hp.com,intel.com,gap.com,windows.com,toysrus.com,logitech.com,adidas.com,bose.com…這些大品牌網站在公社中都有一件事,它們將著手進行“會話 - 重演腳本”(SRSC)。也就是說,JavaScript代碼能夠記錄用戶在會話期間所做的一系列操作:鼠標移動,頁面滾動,訪問或單擊的內容,以表格中的訪問等文本敲擊的文本等。此信息已傳輸到專門從事Web營銷和行為分析的第三方公司。他們允許他們“重播”用戶會議,並了解用戶對提供給他的頁面的反應。
在482個網站上進行了驗證的實踐
基本上,這可能是一件好事。這使發布者可以優化其網站並提供更好的服務。不幸的是,這種治療通常是在沒有用戶知識的情況下進行的,並且在個人數據保護方面有風險。
普林斯頓大學的三名研究人員 - 史蒂芬·恩格爾哈特(Steven Englehardt),吉斯·阿卡爾(Gunes Acar)和阿爾文·納拉亞南(Arvind Narayanan) - 剛剛意識到一項研究關於問題。他們發現,在Alexa引用的50,000個最大的網站中,有482個是SRSC的七個最大供應商之一的客戶。研究人員製作了一個視頻,該視頻顯示了其中一位提供商如何實時記錄此數據。
https://www.youtube.com/watch?v=l0yc8s0dtza
但是,這些提供商的服務具有可疑的質量。通過將這些SRSC應用於測試頁面,研究人員能夠強調,對於七個提供者,四個提供商,一定數量的個人數據 - 電子郵件,名稱,電話號碼,地址,地址,出生日期,社會安全號碼 - 是在沒有匿名的情況下傳輸的。
銀行卡數據通常排除在此集合中(在Yandex除外),必須正確編碼網頁。例如,在FullStory提供商處,銀行卡號確實是從集成的表單字段的那一刻所吸引的,這些字段不包括“ CC-Number”標籤作為屬性。是投票。
密碼相同的問題。沒有提供者試圖收集它們,但有時會出現功能障礙。在某些移動網站上,秘密代碼仍然可以出門在外。研究人員甚至找到了一個網站,該站點在從未發送表單時傳輸密碼!此外,腳本還可以捕獲Web服務器動態生成的數據,並且可能包含個人數據。簡而言之,數據洩漏是多重的,可能是嚴重的。
好消息是,可以保護自己免受這種間諜活動的侵害。根據主板的說法,Adblock Plus剛剛將這七個提供商添加到了他的黑名單中。因此,如果您使用軟件,他們的腳本將不再執行。
來源:
部落格
