數百個世界頂級網站定期跟踪用戶的每次擊鍵,鼠標移動和輸入到網絡表單 - 甚至在提交或稍後放棄之前,根據 一項研究的結果 來自普林斯頓大學的研究人員。
並且存在一個令人討厭的副作用:當用戶在網上沖浪時,可以揭示個人可識別數據,例如醫療信息,密碼和信用卡詳細信息 - 他們不知道公司正在監控他們的瀏覽行為。 這種情況應該引起任何關心他們隱私的人的警覺。
普林斯頓的研究人員發現很難從瀏覽行為記錄中編輯個人身份信息 - 甚至在某些情況下,當用戶開啟隱私設置時,例如 不跟踪.
研究發現 數百家企業使用第三方跟踪服務來監控用戶如何瀏覽其網站。 隨著越來越多的公司加強安全性並將其網站轉移到其他地方,這種情況越來越具有挑戰性 加密的HTTPS頁面.
為解決此問題,部署會話重播腳本以監視網站上的用戶界面行為,作為一系列帶時間戳的事件,例如鍵盤和鼠標移動。 這些事件中的每一個都記錄了附加參數 - 指示在交互時鍵擊(用於鍵盤事件)和屏幕坐標(用於鼠標移動事件)。 當與網站和網址的內容相關聯時,該記錄的事件序列可以由觸發網站定義的功能的另一瀏覽器精確地重放。
這意味著第三個人能夠看到,例如,用戶在線形式輸入密碼 - 這是一個明顯的隱私洩露。 他們認為,採用第三方分析公司記錄和重播此類行為的網站是以“增強用戶體驗”的名義。 他們越了解用戶的用戶,就越容易為他們提供有針對性的信息。
雖然公司在瀏覽網頁時監控我們的行為並不是新聞,但是以這種方式悄悄地部署腳本來記錄單個瀏覽器會話這一事實引起了該研究的合著者Steven Englehardt的關注,他是普林斯頓大學的博士候選人。 。
網站用戶重播演示實際操作。
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
“通過第三方重播腳本收集頁面內容可能會導致敏感信息(如醫療條件,信用卡詳細信息和頁面上顯示的其他個人信息)作為錄製內容洩漏給第三方,” 他寫了。 “這可能會使用戶遭受身份盜用,在線詐騙和其他不受歡迎的行為。 在結賬和註冊過程中收集用戶輸入也是如此。“
記錄擊鍵的網站一直是網絡安全專家已知的問題。 普林斯頓的實證研究提出了一種有效的擔憂,即用戶很少或根本無法控制他們以這種方式記錄的衝浪行為。
因此,幫助用戶控制在線共享信息的方式非常重要。 但是,越來越多的可用性跡象超越了旨在保證我們的數據在線安全的安全措施。
可用性與安全性
數百萬人使用密碼管理器來幫助他們輕鬆記錄不同站點的不同密碼。 這種服務的用戶只需要記住一個密鑰密碼。
最近,一個 研究小組 在德比大學和開放大學發現密碼管理器服務的離線客戶端存在暴露主密鑰密碼的風險,當將其作為純文本存儲在內存中時可能被整個系統攻擊嗅探或甩掉。
用戶體驗不是容忍安全漏洞的藉口。
用戶體驗不是容忍安全漏洞的藉口。關於作者
Yijun Yu,計算與通信系高級講師, 開放大學
相關書籍:
at InnerSelf 市場和亞馬遜
