Сотні найкращих веб-сайтів у світі регулярно відстежують кожне натискання клавіші, рух миші та введення у веб-форму - навіть до того, як вона буде подана або пізніше відмовлена, згідно з результати дослідження від дослідників з Принстонського університету.
І є неприємний побічний ефект: особисті ідентифікаційні дані, такі як медична інформація, паролі та дані кредитної картки, можуть бути розкриті, коли користувачі здійснюють веб-пошук - без того, щоб вони знали, що компанії контролюють їх поведінку при перегляді веб-сторінок. Це ситуація, яка повинна насторожити кожного, хто піклується про свою приватність.
Принстонські дослідники виявили, що важко відредагувати особисту інформацію з перегляду записів поведінки - навіть, в деяких випадках, коли користувачі вмикають налаштування конфіденційності, такі як Не відслідковувати.
Команда знайдено дослідження що сторонні послуги відстеження використовуються сотнями підприємств для моніторингу, як користувачі орієнтуються на їх веб-сайтах. Це виявляється дедалі складнішим завданням, оскільки все більше і більше компаній посилюють рівень безпеки та переносять свої сайти на зашифровані сторінки HTTPS.
Щоб обійти це, сценарії відтворення сеансів розгортаються для моніторингу поведінки користувальницького інтерфейсу на веб-сайтах як послідовність подій із позначкою часу, таких як переміщення клавіатури та миші. Кожна з цих подій записує додаткові параметри - із зазначенням натискань клавіш (для подій клавіатури) та координат екрана (для подій руху миші) - під час взаємодії. Коли вона пов’язана із вмістом веб-сайту та веб-адресою, ця записана послідовність подій може бути точно відтворена іншим браузером, який запускає функції, визначені веб-сайтом.
Це означає, що третя особа може бачити, наприклад, користувача, який вводить пароль в онлайн-формі - що є явним порушенням конфіденційності. Веб-сайти, на яких працюють сторонні аналітичні фірми, щоб реєструвати та відтворювати таку поведінку, зазначають вони, в ім'я "покращення взаємодії з користувачами". Чим більше вони знають, за чим переслідують своїх користувачів, тим простіше надати їм цільову інформацію.
Хоча це не новина про те, що компанії стежать за нашою поведінкою під час серфінгу в Інтернеті, той факт, що сценарії спокійно розгортаються для запису окремих сеансів браузера таким чином, стосується співавтора дослідження Стівена Енглехардта, який є кандидатом наук у Принстоні .
Демонстрація демо-версії користувача веб-сайту в дії.
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
"Збір вмісту сторінки сторонніми сценаріями відтворення може спричинити витік конфіденційної інформації, наприклад, медичних захворювань, даних кредитної картки та іншої особистої інформації, що відображається на сторінці, третій стороні в рамках запису" він написав. «Це може піддавати користувачів крадіжці особистих даних, веб-шахрайствам та іншим небажаним поведінкам. Те саме стосується збору введених користувачем даних під час оформлення замовлення та реєстрації ».
Веб-сайти, що реєструють натискання клавіш, вже давно відомі експертам з питань кібербезпеки. І емпіричне дослідження Принстона викликає поважні занепокоєння з приводу того, що користувачі практично не контролюють свою поведінку в серфінгу і записуються таким чином.
Тому важливо допомогти користувачам контролювати спосіб обміну їх інформацією в Інтернеті. Але все частіше спостерігаються ознаки юзабіліті, що обмежує заходи безпеки, які призначені для захисту наших даних в Інтернеті.
Юзабіліті проти безпеки
Менеджери паролів використовуються мільйонами людей, щоб допомогти їм легко вести облік різних паролів для різних сайтів. Користувачеві такої послуги потрібно запам'ятати лише один ключ-пароль.
Останнім часом група дослідників в Університеті Дербі та Відкритому університеті виявили, що офлайн-клієнти служб диспетчера паролів ризикують викрити пароль основного ключа, зберігаючись у вигляді простого тексту в пам'яті, який може бути нюханий або скинутий під час цілих системних атак.
Взаємодія з користувачем не є виправданням для терпіння недоліків безпеки.
Взаємодія з користувачем не є виправданням для терпіння недоліків безпеки.про автора
Yijun Yu, старший викладач кафедри обчислювальної техніки та зв'язку, Відкритий університет
Ця стаття була спочатку опублікована на Бесіда. Читати оригінал статті.
Схожі книги:
at InnerSelf Market і Amazon
