Hoe sommige webwerwe jou elke skuif sien en ignoreer privaatheidinstellings

Honderde van die wêreld se top webwerwe volg 'n gebruiker se sleutelbord, muisbeweging en insette in 'n webvorm - selfs voordat dit ingedien of later verlaat word, volgens die resultate van 'n studie van navorsers aan die Princeton Universiteit.

En daar is 'n nare newe-effek: persoonlike identifiseerbare data, soos mediese inligting, wagwoorde en kredietkaartbesonderhede, kan bekend gemaak word wanneer gebruikers op die web navigeer - sonder dat hulle weet dat maatskappye hul blaaiergedrag monitor. Dit is 'n situasie wat iemand wat omgee vir hul privaatheid, moet alarm.

Die Princeton-navorsers het bevind dat dit moeilik was om persoonlike identifiseerbare inligting uit blaaigedragrekords te redigeer - selfs in sommige gevalle wanneer gebruikers privaatheidinstellings aangeskakel het, soos Moenie dophou nie.

Die navorsing gevind Die dop van derde partye word deur honderde ondernemings gebruik om te monitor hoe gebruikers hul webwerwe navigeer. Dit blyk toenemend uitdagend te wees, aangesien meer en meer maatskappye beef-up sekuriteit en verskuiwing van hul webwerwe na geïnkripteer HTTPS bladsye.

Om hieraan te werk, word sessie-herhalingskripte ontplooi om gebruikerskoppelvlakgedrag op webwerwe te monitor as 'n reeks tydgestemde gebeurtenisse, soos sleutelbord- en muisbewegings. Elkeen van hierdie gebeurtenisse teken bykomende parameters aan. Dit dui op die toetsaanslagen (vir sleutelbordgebeurtenisse) en skermkoördinate (vir muisbewegingsgebeure) - ten tyde van interaksie. Wanneer dit verband hou met die inhoud van 'n webwerf en webadres, kan hierdie rekord van gebeure presies weergegee word deur 'n ander blaaier wat die funksies wat deur die webwerf gedefinieer word, aktiveer.

Wat dit beteken, is dat 'n derde persoon byvoorbeeld kan sien dat 'n gebruiker 'n wagwoord in 'n aanlyn vorm invoer - wat 'n duidelike privaatheidskending is. Webwerwe wat derdeparty-analitiese maatskappye in diens neem om sulke gedrag op te neem en te herhaal, is, volgens hulle, in die naam van "verbetering van gebruikerservaring". Hoe meer hulle weet wat hul gebruikers agterna is, hoe makliker is dit om hulle te voorsien van geteikende inligting.

innerself teken grafiese in

Hoewel dit nie nuus is dat maatskappye ons gedrag monitor terwyl ons op die internet navigeer nie, is die feit dat skripte stilweg ontplooi word om individuele blaaier sessies op te neem, betrokke by die studie se mede-outeur, Steven Englehardt, wat 'n PhD-kandidaat in Princeton is. .

 'N webwerf gebruiker herhaling demo in aksie.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

"Die versameling van bladsy-inhoud deur die herhalingskripte van derde partye kan sensitiewe inligting, soos mediese toestande, kredietkaartbesonderhede en ander persoonlike inligting wat op 'n bladsy vertoon word, veroorsaak om na die derde party as deel van die opname te lek." hy het geskryf. "Dit kan gebruikers blootstel aan identiteitsdiefstal, aanlyn swendelary en ander ongewenste gedrag. Dieselfde geld vir die insameling van gebruikersinsette tydens afhandeling- en registrasieprosesse. "

Webwerwe wat aantekenings toetse het, is al 'n ruk lank bekend vir die kundiges van cybersekerheid. En Princeton se empiriese studie gee geldige kommer oor gebruikers wat min of geen beheer het oor hul navigeergedrag wat op hierdie manier aangeteken word nie.

Daarom is dit belangrik om gebruikers te help beheer hoe hul inligting aanlyn gedeel word. Maar daar is toenemende tekens van bruikbaarheid trumping sekuriteitsmaatreëls wat ontwerp is om ons data veilig aanlyn te hou.

Gebruikbaarheid teenoor sekuriteit

Wagwoordbestuurders word deur miljoene mense gebruik om hulle maklik te help om rekord te hou van verskillende wagwoorde vir verskillende webwerwe. Die gebruiker van so 'n diens hoef slegs een sleutel wagwoord te memoriseer.

Onlangs het 'n groep navorsers by die Universiteit van Derby en die Oop Universiteit het bevind dat die aflyn kliënte van wagwoordbestuurderdienste die risiko loop om die hoof sleutel wagwoord bloot te stel wanneer dit gestoor word as gewone teks in geheue wat deur hele stelselaanvalle gesnuif of gedompel kan word.

Die gesprekGebruikerservaring is nie 'n verskoning om sekuriteitsfoute te verdra nie.

Oor Die Skrywer

Yijun Yu, Senior Lektor, Departement Rekenaar- en Kommunikasie, Die Ope Universiteit

Hierdie artikel is oorspronklik gepubliseer op Die gesprek. Lees die oorspronklike artikel.

Verwante Boeke:

at InnerSelf Market en Amazon