当前位置:安全企业动态 → 正文

外媒:在许多网站,你每一次操作都会被收集记录

责任编辑:editor007 作者:乐邦 |来源:企业网D1Net  2017-11-21 19:50:42 本文摘自:网易科技报道

外媒:在许多网站,你每一次操作都会被收集记录

11月21日消息,据国外媒体Motherboard报道,通过简单的脚本工具,我们在网页上的任何一次点击和输入都能被记录下来。最近普林斯顿大学的研究者发现,全球有近500家热门网站会自动记录你的每一次操作,然后将这些信息发给第三方服务器。

常常上网的人应该都知道很多网站会记录他们的来访和浏览过的页面。例如,你在一家零售商的网站上搜索某双鞋子,它就会记录你对它有兴趣。第二天,你在访问社交媒体网站的时候就会看到同一双鞋子的广告。

网站跟踪用户并不是什么新鲜事,但上周发布的来自普林斯顿大学的研究显示,在线跟踪的侵略性要远远超过大多网络用户的想象。普林斯顿大学信息技术政策中心的三位研究人员在研究报告中指出,运行于众多全球热门网站的第三方脚本会跟踪你的每一次按键输入,然后将那些信息发送到第三方的服务器。

有的流量很高的网站会运行软件来记录你的每一次点击和你输入的每一个词语。据研究人员发现,如果你访问一个网站,开始填写表格,然后弃填,你输入过的每一个字还是会被记录下来。如果你不小心将复制到剪贴板的东西粘贴到一个表格,那些内容也会被记录下来。2013年,Facebook被发现对用户的状态更新采取类似的做法——它记录用户输入过的任何内容,即便内容最终没有发布出去。该举引起了用户的强烈不满。

“会话回放”脚本

网站运行的这些脚本被称作“会话回放”(session replay)脚本。会话回放脚本被企业用来了解用户如何使用它们的网站。但那些脚本并不只是收集普通的数据,它们会记录且能够回放个人的浏览会话。它们不是运行于每一个页面,但往往被置于用户输入密码、医疗状况等敏感信息的页面。

该项研究的其中一位研究者史蒂夫·英格尔哈特(Steve Englehardt)指出,“用户很难知道这一切,除非你有深入研读用户隐私政策。我们希望用户注意这一点。”

在研究者们看来,最令人不安的是,会话回放脚本收集的信息并没有匿名。FullStory等部分提供该类软件的公司所设计的跟踪脚本甚至能够让网站将所收集的信息与用户的真实身份关联起来。企业可以在后台看到用户与特定的邮箱地址或者姓名关联。

为了展开研究,几位研究人员探究了其中七家最热门的会话回放脚本公司,其中包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar以及俄罗斯最流行的搜索引擎Yandex。他们创建了测试页面,然后在上面安装了来自当中六家公司的会话回放脚本。他们发现,全球最热门的5万个网站中的482个(根据Alexa的排名)有使用当中的这些脚本。

使用那些脚本的知名公司包括男性服饰零售商Bonobos.com、美国最大连锁药店Walgreens.com和金融投资公司Fidelity.com。另外值得指出的是,482可能是一个低估的数字。研究者称,那些脚本可能不会记录每一个网站访客的信息。因此,当他们在进行测试的时候,他们可能检测不到部分脚本,因为它们没有被激活。

自普林斯顿大学的研究人员公布他们的研究结果以来,Bonobos和Walgreens均表示它们将停止使用会话回放脚本。“我们非常重视保护用户的数据,目前正在调查昨天发布的研究里所指出的问题。出于谨慎起见,我们已经停止与FullStory共享数据。”Walgreens上周四在邮件中表示。

Bonobos没有回应置评请求,但它向《连线》杂志表示,它“已停止与FullStory进行数据共享,以便评估我们的协议和关于他们的服务的运营。我们正继续评估和强化我们的系统和流程,以保护我们的用户数据。”

Fidelity方面没有表态要停止使用会话回放脚本。

出售会话回放脚本的公司也有提供众多的编辑工具,来让网站排除记录的信息当中的敏感内容,有的工具甚至明确禁止收集用户数据。不过,如此之多的全球热门网站使用会话回放脚本,还是会带来严重的隐私影响。

信息泄露风险

“第三方会话回放脚本收集页面内容的行为,可能会导致医疗状况、信用卡细节等敏感信息以及其它显示在页面上的个人资料泄露给第三方。”研究人员指出。

密码往往会被不慎纳入记录的信息当中,尽管那些脚本的设定中需要排除掉它们。研究者发现,其它的个人信息也往往没有被编辑,或者只是被部分编辑,至少部分脚本是这样。其中的两家公司UserReplay和SessionCam会默认拦截所有的用户输入信息(它们只是跟踪用户的点击活动),这种做法要安全得多。

然而,重要的并不只是用户输入的信息。当你登陆网站的时候,显示在屏幕上的内容也有可能是敏感内容。研究人员发现,“那些脚本公司似乎没有一家默认自动编辑所显示的内容;因此所有显示在屏幕上的内容都会泄露。”

例如,研究者测试了之前使用来自FullStory的脚本的Walgreens.com网站。他们发现,虽然Walgreens有使用FullStory提供的诸多编辑功能,但医疗状况、处方等信息以及用户的真实姓名仍然会被会话回放脚本收集。

最后,该研究的作者担心,会话脚本公司可能会容易遭到黑客的定向攻击,尤其考虑到它们可能是富有价值的攻击目标。例如,这些公司很多都有供客户回放所收集的信息的控制面板。但Yandex、Hotjar和Smartlook的控制面板运行的是没有加密的HTTP页面,而不是安全得多的加密HTTPS页面。

“可能会有人在回放页面插入一个脚本,提取掉所有被记录下来的数据。”该研究的作者写道。

Yandex发言人在一份邮件声明中表示,公司在试图在任何可以的地方使用HTTPS,也即将升级它的产品,不再使用HTTP。

在互联网上跟踪你的一举一动的不只有会话脚本。今年早些时候的一项研究发现,在全球最流行的1000个网站中,接近一半使用同一跟踪软件来以各种方式跟踪你的线上行为。

关键字:脚本定向攻击

本文摘自:网易科技报道

x 外媒:在许多网站,你每一次操作都会被收集记录 扫一扫
分享本文到朋友圈
当前位置:安全企业动态 → 正文

外媒:在许多网站,你每一次操作都会被收集记录

责任编辑:editor007 作者:乐邦 |来源:企业网D1Net  2017-11-21 19:50:42 本文摘自:网易科技报道

外媒:在许多网站,你每一次操作都会被收集记录

11月21日消息,据国外媒体Motherboard报道,通过简单的脚本工具,我们在网页上的任何一次点击和输入都能被记录下来。最近普林斯顿大学的研究者发现,全球有近500家热门网站会自动记录你的每一次操作,然后将这些信息发给第三方服务器。

常常上网的人应该都知道很多网站会记录他们的来访和浏览过的页面。例如,你在一家零售商的网站上搜索某双鞋子,它就会记录你对它有兴趣。第二天,你在访问社交媒体网站的时候就会看到同一双鞋子的广告。

网站跟踪用户并不是什么新鲜事,但上周发布的来自普林斯顿大学的研究显示,在线跟踪的侵略性要远远超过大多网络用户的想象。普林斯顿大学信息技术政策中心的三位研究人员在研究报告中指出,运行于众多全球热门网站的第三方脚本会跟踪你的每一次按键输入,然后将那些信息发送到第三方的服务器。

有的流量很高的网站会运行软件来记录你的每一次点击和你输入的每一个词语。据研究人员发现,如果你访问一个网站,开始填写表格,然后弃填,你输入过的每一个字还是会被记录下来。如果你不小心将复制到剪贴板的东西粘贴到一个表格,那些内容也会被记录下来。2013年,Facebook被发现对用户的状态更新采取类似的做法——它记录用户输入过的任何内容,即便内容最终没有发布出去。该举引起了用户的强烈不满。

“会话回放”脚本

网站运行的这些脚本被称作“会话回放”(session replay)脚本。会话回放脚本被企业用来了解用户如何使用它们的网站。但那些脚本并不只是收集普通的数据,它们会记录且能够回放个人的浏览会话。它们不是运行于每一个页面,但往往被置于用户输入密码、医疗状况等敏感信息的页面。

该项研究的其中一位研究者史蒂夫·英格尔哈特(Steve Englehardt)指出,“用户很难知道这一切,除非你有深入研读用户隐私政策。我们希望用户注意这一点。”

在研究者们看来,最令人不安的是,会话回放脚本收集的信息并没有匿名。FullStory等部分提供该类软件的公司所设计的跟踪脚本甚至能够让网站将所收集的信息与用户的真实身份关联起来。企业可以在后台看到用户与特定的邮箱地址或者姓名关联。

为了展开研究,几位研究人员探究了其中七家最热门的会话回放脚本公司,其中包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar以及俄罗斯最流行的搜索引擎Yandex。他们创建了测试页面,然后在上面安装了来自当中六家公司的会话回放脚本。他们发现,全球最热门的5万个网站中的482个(根据Alexa的排名)有使用当中的这些脚本。

使用那些脚本的知名公司包括男性服饰零售商Bonobos.com、美国最大连锁药店Walgreens.com和金融投资公司Fidelity.com。另外值得指出的是,482可能是一个低估的数字。研究者称,那些脚本可能不会记录每一个网站访客的信息。因此,当他们在进行测试的时候,他们可能检测不到部分脚本,因为它们没有被激活。

自普林斯顿大学的研究人员公布他们的研究结果以来,Bonobos和Walgreens均表示它们将停止使用会话回放脚本。“我们非常重视保护用户的数据,目前正在调查昨天发布的研究里所指出的问题。出于谨慎起见,我们已经停止与FullStory共享数据。”Walgreens上周四在邮件中表示。

Bonobos没有回应置评请求,但它向《连线》杂志表示,它“已停止与FullStory进行数据共享,以便评估我们的协议和关于他们的服务的运营。我们正继续评估和强化我们的系统和流程,以保护我们的用户数据。”

Fidelity方面没有表态要停止使用会话回放脚本。

出售会话回放脚本的公司也有提供众多的编辑工具,来让网站排除记录的信息当中的敏感内容,有的工具甚至明确禁止收集用户数据。不过,如此之多的全球热门网站使用会话回放脚本,还是会带来严重的隐私影响。

信息泄露风险

“第三方会话回放脚本收集页面内容的行为,可能会导致医疗状况、信用卡细节等敏感信息以及其它显示在页面上的个人资料泄露给第三方。”研究人员指出。

密码往往会被不慎纳入记录的信息当中,尽管那些脚本的设定中需要排除掉它们。研究者发现,其它的个人信息也往往没有被编辑,或者只是被部分编辑,至少部分脚本是这样。其中的两家公司UserReplay和SessionCam会默认拦截所有的用户输入信息(它们只是跟踪用户的点击活动),这种做法要安全得多。

然而,重要的并不只是用户输入的信息。当你登陆网站的时候,显示在屏幕上的内容也有可能是敏感内容。研究人员发现,“那些脚本公司似乎没有一家默认自动编辑所显示的内容;因此所有显示在屏幕上的内容都会泄露。”

例如,研究者测试了之前使用来自FullStory的脚本的Walgreens.com网站。他们发现,虽然Walgreens有使用FullStory提供的诸多编辑功能,但医疗状况、处方等信息以及用户的真实姓名仍然会被会话回放脚本收集。

最后,该研究的作者担心,会话脚本公司可能会容易遭到黑客的定向攻击,尤其考虑到它们可能是富有价值的攻击目标。例如,这些公司很多都有供客户回放所收集的信息的控制面板。但Yandex、Hotjar和Smartlook的控制面板运行的是没有加密的HTTP页面,而不是安全得多的加密HTTPS页面。

“可能会有人在回放页面插入一个脚本,提取掉所有被记录下来的数据。”该研究的作者写道。

Yandex发言人在一份邮件声明中表示,公司在试图在任何可以的地方使用HTTPS,也即将升级它的产品,不再使用HTTP。

在互联网上跟踪你的一举一动的不只有会话脚本。今年早些时候的一项研究发现,在全球最流行的1000个网站中,接近一半使用同一跟踪软件来以各种方式跟踪你的线上行为。

关键字:脚本定向攻击

本文摘自:网易科技报道

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^