Сотни лучших веб-сайтов в мире регулярно отслеживают каждое нажатие клавиши, движение мыши и ввод в веб-форму - даже до того, как они будут отправлены или позже оставлены, согласно Результаты исследования от исследователей из Принстонского университета.

И есть неприятный побочный эффект: личные идентификационные данные, такие как медицинская информация, пароли и данные кредитной карты, могут быть выявлены, когда пользователи просматривают веб-страницы, не зная, что компании контролируют их поведение в браузере. Это ситуация, которая должна тревожить любого, кто заботится о своей конфиденциальности.

Исследователи из Принстона обнаружили, что трудно переписать личную информацию из записей о поведении в режиме просмотра - даже в некоторых случаях, когда пользователи включили параметры конфиденциальности, такие как Не отслеживать.

Ассоциация найдено исследование что сторонние службы отслеживания используются сотнями компаний для мониторинга того, как пользователи перемещаются по своим сайтам. Это становится все более сложным, поскольку все больше и больше компаний укрепляют безопасность и переносят свои сайты на зашифрованные HTTPS-страницы.

Чтобы обойти это, сценарии повторного сеанса развертываются для мониторинга поведения пользовательского интерфейса на веб-сайтах в виде последовательности событий с меткой времени, таких как движения клавиатуры и мыши. Каждое из этих событий записывает дополнительные параметры - указывает на нажатия клавиш (для событий клавиатуры) и координаты экрана (для событий движения мыши) - во время взаимодействия. Когда это связано с контентом веб-сайта и веб-адреса, эта записанная последовательность событий может быть точно воспроизведена другим браузером, который запускает функции, определенные веб-сайтом.

Это означает, что третий человек может видеть, например, пользователя, вводящего пароль в онлайн-форму, что является явным нарушением конфиденциальности. Веб-сайты, которые используют сторонние аналитические фирмы для записи и воспроизведения такого поведения, - утверждают они, во имя «повышения удобства пользователей». Чем больше они знают, что делают пользователи, тем проще предоставить им целенаправленную информацию.

Хотя это не новость, что компании отслеживают наше поведение, когда мы занимаемся серфингом в Интернете, тот факт, что скрипты тихо развертываются для записи отдельных сеансов браузера таким образом, касается соавтора исследования Стивена Энглехардта, который является кандидатом PhD в Принстоне ,

 Демоверсия пользователя для воспроизведения в действии.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

«Сбор содержимого страницы сторонними сценариями воспроизведения может вызвать конфиденциальную информацию, такую ​​как медицинские условия, данные кредитной карты и другую личную информацию, отображаемую на странице, для утечки в стороннюю сторону как часть записи», он написал, «Это может привести к краже личных данных, онлайн-мошенничествам и другим нежелательным поведением. То же самое верно для сбора пользовательских входов во время процесса регистрации и регистрации ».

Сайты, регистрирующие нажатия клавиш, давно известны для специалистов по кибербезопасности. И эмпирическое исследование Принстона вызывает серьезную озабоченность по поводу того, что пользователи, которые практически не контролируют свое поведение в серфинге, регистрируются таким образом.

Поэтому важно помогать пользователям контролировать, как их информация делится в Интернете. Но все чаще появляются признаки того, что юзабилити преодолевают меры безопасности, которые призваны обеспечить безопасность наших данных в Интернете.

Юзабилити и безопасность

Менеджеры паролей используются миллионами людей, чтобы помочь им легко записывать разные пароли для разных сайтов. Пользователю такой службы нужно запомнить только один ключевой пароль.

В последнее время группа исследователей в Университете Дерби и в Открытом университете обнаружили, что автономные клиенты служб диспетчера паролей рискуют подвергать основной пароль ключа при сохранении в виде обычного текста в памяти, который можно обнюхивать или сбрасывать целыми атаками системы.

Пользовательский опыт не является оправданием для допущения недостатков безопасности.

Об авторе

Ицзюнь Юй, старший преподаватель кафедры вычислительной техники и связи, Открытый университет

Эта статья изначально была опубликована в Беседа, Прочтите оригинал статьи.

Похожие книги:

at Внутренний рынок самовыражения и Amazon