Największe strony nagrywają zachowania użytkowników. Jak się chronić?

Największe strony nagrywają zachowania użytkowników. Jak się chronić?21.11.2017 14:39

Aktualizacja, 22.11.2017 r., 12:40 Na naszą prośbę o komentarz odpowiedzieli dotąd przedstawiciele serwisów spidersweb.pl, natemat.pl oraz home.pl, przyznając, że wykorzystują w celach analitycznych ze skryptów odtwarzania sesji, jednak nie były one wykorzystywane do przechwytywania wrażliwych danych wprowadzanych do pól formualrzy.

Centrum badawcze Freedom to Tinker przy Princeton Center for Information Technology opublikowało wyniki badań stron internetowych pod kątem wykorzystania zewnętrznych skryptów śledzących zachowania użytkownika. Na tapet wzięto skrypty session replay, które umożliwiają nagrywanie całych sesji użytkownika, a następnie wykorzystanie ich w celach analitycznych. Dane zebrane przez FtT nie nastrajają optymistycznie, nie oznacza to jednak, że nie mamy się jak bronić.

Anglojęzyczny termin session replay jest poniekąd mylący – sugeruje odtwarzanie sesji użytkownika w oparciu o interakcji z poszczególnymi elementami strony. Eksperci z Princeton przeanalizowali zjawisko jeszcze bardziej alarmujące – narzędzia, które na podstawie zebranych o sesji informacji są w stanie generować całe wizualizacje. Zupełnie tak, jakby użytkownik korzystał z programu nagrywającego w formie pliku wideo widok całej karty. Przechwytywane w ten sposób są także wrażliwe dane przechwytywane z klawiatury podczas wprowadzania danych do formularzy: niekiedy także z danymi płatności czy hasłami. Możliwości tych narzędzi analitycznych eksperci prezentują w filmie:

Wyniki badań mogą zaskoczyć – z narzędzi odtwarzających sesje na podstawie danych zebranych o sesji korzystają setki największych serwisów na całym świcie. Na liście znajdziemy takie domeny, jak microsoft.com, adobe.com, samsung.com czy spotify.com. Freedom to Tinker udostępniło nawet wyszukiwarkę serwisów wykorzystujących nagrywanie sesji. W polskim Internecie dowody na to znaleziono w przypadku stron bankier.pl oraz home.pl. Skrypty, które to umożliwiają odnaleziono na bzwbk.pl, natemat.pl, kwejk.pl, czy spidersweb.pl. Skontaktowaliśmy się już z właścicielam wymienionych serwisów z prośbą o stanowisko uzupełnimy niniejszy artykuł po otrzymaniu odpowiedzi.

Z naszych ustaleń wynika, że omawiane skrypty służą do sporządzania heatmap, czyli formy wizualizacji danych, które służą określaniu, jakie elementy strony cieszą się największym zainteresowaniem użytkowników. Stosowanie skryptów session replay nie jest jednoznaczne z przytaczanym przez FtT przechwytywaniem wrażliwych danych z klawiatury, choć technicznie jest to możliwe. Skrypty session replay mogą być także implementowane na stronach internetowych przez zewnętrzne narzędzia analityczne, wykorzystywane przez właścicieli serwisów.

Jak się chronić?

Użytkownikom, którym nie w smak jest dzielenie się całą sesją, niekiedy łącznie z wrażliwymi danymi, polecamy rozszerzenia dostępne dla wszystkich najpopularniejszych przeglądarek internetowych.

Mozilla Firefox

Użytkownicy Firefoksa mogą skorzystać z popularnego rozszerzenia NoScript, które zarządza wykonywaniem skryptów i automatycznie blokuje te, które pochodzą z niezaufanych witryn. NoScirpt to także skuteczne zabezpieczenie przed atakami cross-site scripting, czyli takimi, które wykorzystują skrypty osadzane w kodzie strony i zasadę tożsamego pochodzenia. Co ważne, rozszerzenie nie wymusza na użytkowniku stosowania raz danej konfiguracji i umożliwia oznaczania stron, jako zaufanych, co pozwala na wykonywanie skryptów.

Po instalacji rozszerzenia, na głównym pasku przeglądarki pojawia się ikona NoScripta, przy której wyświetli się znacznik z liczbą zablokowanych skryptów. Po kliknięciu ikony, możemy odblokować żądane elementy, a także ustalić politykę wobec wyświetlanej właśnie strony. Jeżeli użytkownik uważa, że skrypty nie naruszają jego prywatności, to nic nie stoi na przeszkodzie, by kliknął pozycję Zaufane. W przypadku wątpliwości może zablokować wszystkie skrypty lub potraktować je wybiórczo w menu Custom. Właśnie ukazała się nowa wersja rozszerzenia, która działa jako WebExtension w najnowszym Firefoksie Quantum.

Chrome, Opera i Vivaldi

Blokować skrypty mogą oczywiście także użytkownicy przeglądarek bazujących na silnikach znanych z Chromium. Dla nich przygotowano rozszerzenie No-Script Suite Lite, które dla Chrome'a i Vivaldiego można pobrać ze katalogu Chrome Web Store, zaś wersję dla Opery znaleźć można wśród Dodatków Opery. Nie ustępuje ono możliwościami NoScripta i korzysta się z niego w bardzo zbliżony sposób – polityką blokowania skryptów zarządzać można po kliknięciu przycisku rozszerzenia, które wyświetla się obok paska adresu.

Poza blokowaniem samych skryptów, No Script Suite Lite oferuje dodatkowe możliwości zarządzania zachowaniami witryny. Dolny panel okna rozszerzenia umożliwia kolejno blokowanie skryptów (domyślnie włączone), źródeł plików CSS, obrazków, osadzonych obiektów i apletów oraz multimediów. Dla zaufanych stron rozszerzenie można wyłączyć kliknięciem przycisku oznaczonego ikoną tarczy.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na