Największe strony nagrywają zachowania użytkowników. Jak się chronić?

Aktualizacja, 22.11.2017 r., 12:40 Na naszą prośbę o komentarz odpowiedzieli dotąd przedstawiciele serwisów spidersweb.pl, natemat.pl oraz home.pl, przyznając, że wykorzystują w celach analitycznych ze skryptów odtwarzania sesji, jednak nie były one wykorzystywane do przechwytywania wrażliwych danych wprowadzanych do pól formualrzy.

Największe strony nagrywają zachowania użytkowników. Jak się chronić?

21.11.2017 | aktual.: 22.11.2017 12:42

Centrum badawcze Freedom to Tinker przy Princeton Center for Information Technology opublikowało wyniki badań stron internetowych pod kątem wykorzystania zewnętrznych skryptów śledzących zachowania użytkownika. Na tapet wzięto skrypty session replay, które umożliwiają nagrywanie całych sesji użytkownika, a następnie wykorzystanie ich w celach analitycznych. Dane zebrane przez FtT nie nastrajają optymistycznie, nie oznacza to jednak, że nie mamy się jak bronić.

Anglojęzyczny termin session replay jest poniekąd mylący – sugeruje odtwarzanie sesji użytkownika w oparciu o interakcji z poszczególnymi elementami strony. Eksperci z Princeton przeanalizowali zjawisko jeszcze bardziej alarmujące – narzędzia, które na podstawie zebranych o sesji informacji są w stanie generować całe wizualizacje. Zupełnie tak, jakby użytkownik korzystał z programu nagrywającego w formie pliku wideo widok całej karty. Przechwytywane w ten sposób są także wrażliwe dane przechwytywane z klawiatury podczas wprowadzania danych do formularzy: niekiedy także z danymi płatności czy hasłami. Możliwości tych narzędzi analitycznych eksperci prezentują w filmie:

Wyniki badań mogą zaskoczyć – z narzędzi odtwarzających sesje na podstawie danych zebranych o sesji korzystają setki największych serwisów na całym świcie. Na liście znajdziemy takie domeny, jak microsoft.com, adobe.com, samsung.com czy spotify.com. Freedom to Tinker udostępniło nawet wyszukiwarkę serwisów wykorzystujących nagrywanie sesji. W polskim Internecie dowody na to znaleziono w przypadku stron bankier.pl oraz home.pl. Skrypty, które to umożliwiają odnaleziono na bzwbk.pl, natemat.pl, kwejk.pl, czy spidersweb.pl. Skontaktowaliśmy się już z właścicielam wymienionych serwisów z prośbą o stanowisko uzupełnimy niniejszy artykuł po otrzymaniu odpowiedzi.

Z naszych ustaleń wynika, że omawiane skrypty służą do sporządzania heatmap, czyli formy wizualizacji danych, które służą określaniu, jakie elementy strony cieszą się największym zainteresowaniem użytkowników. Stosowanie skryptów session replay nie jest jednoznaczne z przytaczanym przez FtT przechwytywaniem wrażliwych danych z klawiatury, choć technicznie jest to możliwe. Skrypty session replay mogą być także implementowane na stronach internetowych przez zewnętrzne narzędzia analityczne, wykorzystywane przez właścicieli serwisów.

Jak się chronić?

Użytkownikom, którym nie w smak jest dzielenie się całą sesją, niekiedy łącznie z wrażliwymi danymi, polecamy rozszerzenia dostępne dla wszystkich najpopularniejszych przeglądarek internetowych.

Mozilla Firefox

Użytkownicy Firefoksa mogą skorzystać z popularnego rozszerzenia NoScript, które zarządza wykonywaniem skryptów i automatycznie blokuje te, które pochodzą z niezaufanych witryn. NoScirpt to także skuteczne zabezpieczenie przed atakami cross-site scripting, czyli takimi, które wykorzystują skrypty osadzane w kodzie strony i zasadę tożsamego pochodzenia. Co ważne, rozszerzenie nie wymusza na użytkowniku stosowania raz danej konfiguracji i umożliwia oznaczania stron, jako zaufanych, co pozwala na wykonywanie skryptów.

Obraz

Po instalacji rozszerzenia, na głównym pasku przeglądarki pojawia się ikona NoScripta, przy której wyświetli się znacznik z liczbą zablokowanych skryptów. Po kliknięciu ikony, możemy odblokować żądane elementy, a także ustalić politykę wobec wyświetlanej właśnie strony. Jeżeli użytkownik uważa, że skrypty nie naruszają jego prywatności, to nic nie stoi na przeszkodzie, by kliknął pozycję Zaufane. W przypadku wątpliwości może zablokować wszystkie skrypty lub potraktować je wybiórczo w menu Custom. Właśnie ukazała się nowa wersja rozszerzenia, która działa jako WebExtension w najnowszym Firefoksie Quantum.

Chrome, Opera i Vivaldi

Blokować skrypty mogą oczywiście także użytkownicy przeglądarek bazujących na silnikach znanych z Chromium. Dla nich przygotowano rozszerzenie No-Script Suite Lite, które dla Chrome'a i Vivaldiego można pobrać ze katalogu Chrome Web Store, zaś wersję dla Opery znaleźć można wśród Dodatków Opery. Nie ustępuje ono możliwościami NoScripta i korzysta się z niego w bardzo zbliżony sposób – polityką blokowania skryptów zarządzać można po kliknięciu przycisku rozszerzenia, które wyświetla się obok paska adresu.

Obraz

Poza blokowaniem samych skryptów, No Script Suite Lite oferuje dodatkowe możliwości zarządzania zachowaniami witryny. Dolny panel okna rozszerzenia umożliwia kolejno blokowanie skryptów (domyślnie włączone), źródeł plików CSS, obrazków, osadzonych obiektów i apletów oraz multimediów. Dla zaufanych stron rozszerzenie można wyłączyć kliknięciem przycisku oznaczonego ikoną tarczy.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (73)