RELATEED CONSULTING
免费使用
下列产品全部免费使用
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
研究人员称,危险的脚本对网络冲浪者构成威胁
  • 发表时间:2020-08-23 22:12
  • 来源:数度域

普林斯顿信息技术政策中心的研究人员称,网站运营商用来观察访问者在网页上的击键、鼠标移动和滚动行为的一种流行技术充满了风险。

许多服务提供商提供的技术使用脚本来捕捉网页上访问者的活动,将其存储在提供商的服务器上,并根据网站运营商的要求进行播放。

这种做法背后的想法是让运营商深入了解用户如何与他们的网站互动,并识别出破损和混乱的页面。

rapid 7的研究主管托德·比尔兹利说:“你可以使用会话重放脚本来找出你网站上所有的盲区。”

他告诉technewsworld:“如果你有一个空间‘点击这里打九折’,但没有人点击那里,那页面可能有问题。”

比尔兹利补充说,这些脚本还可以用于支持和解决用户问题。

偷窥脚本

然而,据研究人员steven englehardt、gunes acar和arvind narayanan称,这些脚本收集的数据远远超出了用户的预期。

他们在一篇在线文章中指出,在用户提交表单之前,会收集输入表单的文本,并保存精确的鼠标移动——所有这些都不会给用户带来任何视觉上的指示。

此外,不能合理地期望数据保持匿名。

该团队写道:“事实上,一些公司允许出版商明确地将录音与用户的真实身份联系起来。”与提供聚合统计数据的典型分析服务不同,这些脚本旨在记录和回放单个浏览会话,就像有人在监视您一样

这意味着,无论访问者是否完成了表单并将其提交给网站,操作人员都可以看到在网站上键入的任何信息。

abine的首席技术官andrew sudbury说:“即使你删除了你在表格中输入的数据,网站所有者也会看到这些数据。”

他告诉technewsworld:“当你认为自己没有被录制时,你就被录制了,所以你可能会透露一些你知道自己被录制时不会透露的信息。”

擦洗

研究人员研究了alexa网站列出的50,000个顶级网站中的482个网站的七个会话重放脚本服务提供商。这些服务包括yandex、fullstory、hotjar、userreplay、smartlook、clicktale和sessioncam。

研究人员发现,这些服务为网站出版商提供了多种方法,将敏感信息排除在重播会话之外,但这些方法都是劳动密集型的,这阻碍了它们的使用。

他们解释说,为了避免泄密,出版商需要认真检查和清除所有显示或接受用户信息的页面。

englehardt、acar和narayanan写道,对于动态生成的站点,这个过程将涉及检查底层web应用程序的服务器端代码。

此外,每当一个站点被更新或者支持它的web应用程序改变时,这个过程都需要重复。

sudbury说:“这些脚本只是收集所有的信息,所以必须有人进去花时间和精力告诉服务提供商不要在任何特定的网页上收集什么。”“一般来说,出版商不会这么做。”

泄露密码

为了识别重播脚本给网站访问者带来的风险,研究人员设置了测试页面,并使用了七家公司中六家公司的脚本。出于实际考虑,其中一家公司clicktale被排除在外。

密码泄露是重播服务可能带来的风险之一。研究人员解释说,所有的服务都尽力从回放中编辑密码,但是这些策略会在带有移动友好登录框的页面上失效,这些登录框使用文本输入来存储未屏蔽的密码。

研究人员还发现,这些服务以不完整的方式编辑敏感信息。除了自动阻止重播会话中的信息之外,这些服务还允许发布者手动指定排除字段。

该团队写道:“为了有效地部署这些缓解措施,发布者需要主动审核每个输入元素,以确定它是否包含个人数据。”这很复杂,容易出错,而且成本很高,尤其是当站点或底层web应用程序代码随着时间推移而变化时

易受攻击的传输

用户输入不是侵犯隐私的唯一方式。重放服务也捕获渲染页面上的信息。

与用户输入记录不同,没有一家公司默认提供显示内容的自动编辑;研究人员写道:“我们测试中显示的所有内容最终都泄露了。”

他们坚持认为,因为它迫使出版商手动解决这个问题,这个过程从根本上说是不安全的。

在服务提供商和发布者之间传输数据也存在潜在的风险。

研究人员解释说,一旦会话录制完成,出版商就可以使用录制服务提供的仪表板对其进行审查。

一些服务在一个http页面中提供回放,即使原始页面受到https的保护,它们仍然继续。这使得回放页面容易受到中间人攻击,中间人攻击可能会将页面中的所有数据吸到黑客手中。

此外,一些服务不使用https与它们的客户通信,这使传输暴露在被动的网络监视之下。

严格要求

至少有一个会话重播提供商说,它采取了一些预防措施来保护其客户的信息。

clicktale的总法律顾问leor hurwitz说:“clicktale的所有政策和实践都符合iso 27001标准,符合我们全球客户的严格要求。”

iso 27001是信息安全管理系统的安全标准,要求实施、监控、维护和持续改进这些系统。

hurwitz告诉technewsworld:“默认情况下,clicktale设置为不捕获击键或网页中包含的任何常见敏感数据字段。”

他解释说,除了建立默认块之外,该公司还与客户密切合作,以确保在实施会话重放系统时,网页中包含的任何敏感信息都不会包含在捕获过程中。

hurwitz补充道,这些措施允许其客户改善客户体验,而无需获取与购物体验没有直接关系的敏感信息。

阻止脚本

担心重放脚本的消费者可以获得软件来阻止它们。

"当您访问网站时,浏览器会加载执行此操作的javascript。这可以通过跟踪器拦截器来阻止。”

“网络提供了各种惊人的技术能力,旨在让用户在网站上拥有丰富的体验,”他说,“但令人沮丧的是,广告、特征分析和跟踪行业很快就发现了违背人们意愿跟踪他们的聪明方法。”

appriver的安全分析师David picture指出,重播脚本已经成为隐私倡导者的一个新话题。

他告诉technewsworld:“目前的讨论将提高用户的意识。”“这通常会导致对监管的更大需求,而解决这一问题的技术很可能会被纳入现有的解决方案中,或者出现来预防这一问题。”

研究人员称,危险的脚本对网络冲浪者构成威胁 相关的文章:

  • epic声称谷歌在ftc投诉中侵犯了消费者隐私
  • 满足全方位购物的需求
  • 智能家电和你
  • 维瓦尔第首席执行官声称谷歌对隐私批评进行了报复
  • 语音购物将飙升
  • 加州称严厉的网络中立州法律