どのようにいくつかのウェブサイトがあなたの動きを監視し、プライバシー設定を無視する

何百もの世界トップウェブサイトは、ユーザのキーストローク、マウスの動き、ウェブフォームへの入力を日常的に追跡しています。 研究の結果 プリンストン大学の研究者から。

また、企業が閲覧行動を監視していることを知らずに、ユーザーがウェブを閲覧すると、医療情報、パスワード、クレジットカードの詳細などの個人識別可能なデータが明らかになる可能性があります。 プライバシーを気にしている人を警戒すべき状況です。

Princetonの研究者は、個人識別可能な情報を閲覧行動記録から修正することは困難であることを発見しました。たとえ場合によっては、ユーザーが 追跡しません.

  研究が見つかりました ユーザーがウェブサイトをどのようにナビゲートするかを監視するために、何百もの企業がサードパーティのトラッキングサービスを使用しています。 ますます多くの企業がセキュリティを強化し、サイトを 暗号化されたHTTPSページ.

この問題を回避するために、キーボードやマウスの動きなどの一連のタイムスタンプ付きイベントとして、Webサイト上のユーザーインターフェイスの動作を監視するためのセッション再生スクリプトが導入されています。 これらのイベントのそれぞれには、キーボード操作のキーストロークとマウス操作イベントの画面座標を示す追加のパラメータが記録されます。 ウェブサイトおよびウェブアドレスのコンテンツに関連付けられている場合、この記録された一連のイベントは、ウェブサイトによって定義された機能をトリガーする別のブラウザーによって正確に再生することができる。

これが意味することは、第三者が、例えば、ユーザーがオンラインフォームにパスワードを入力するのを見ることができることです。これは明確なプライバシー侵害です。 このような行動を記録して再生するために第三者の分析会社を採用しているウェブサイトは、「ユーザーエクスペリエンスの向上」という名前で主張されています。 ユーザーが何を知っているか分かるほど、ターゲット情報を提供することが容易になります。

インナーセルフ購読グラフィック

このように個々のブラウザセッションを記録するためにスクリプトが静かに導入されているという事実は、プリンストンの博士論文候補者であるSteven Englehardt 。

 ウェブサイトのユーザーリプレイのデモが実行中です。

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

「サードパーティの再生スクリプトによるページコンテンツの収集によって、病状、クレジットカードの詳細、ページに表示されるその他の個人情報などの機密情報が記録の一部として第三者に漏洩する可能性があります。 彼が書きました。 これにより、ユーザーが個人情報の盗難、オンライン詐欺などの望ましくない行為にさらされる可能性があります。 チェックアウトや登録プロセス中のユーザー入力の収集についても同じことが言えます。

ウェブサイトのキーストロークを記録することは、サイバーセキュリティ専門家にはしばらくの間知られている問題であった。 そして、プリンストンの実証研究は、このように記録されたサーフィン行動をほとんどまたはまったく制御できないユーザーについての正当な懸念を提起する。

したがって、ユーザーがオンラインで情報を共有する方法を制御するのを助けることが重要です。 しかし、私たちのデータをオンラインで安全に保つために設計されたセキュリティ対策を捨てるユーザビリティの兆候が増えています。

ユーザビリティとセキュリティ

パスワードマネージャーは、何百万人もの人々が、異なるサイトの異なるパスワードを簡単に記録できるようにするために使用されています。 そのようなサービスのユーザーは、1つの主要なパスワードを覚えるだけでよい。

最近では、 研究者グループ ダービー大学とオープン大学では、システム全体の攻撃によってスニッフィングまたはダンプされる可能性のあるプレーンテキストとしてメモリに保存されると、パスワードマネージャサービスのオフラインクライアントがメインキーのパスワードを公開する危険性があることを発見しました。

会話ユーザーエクスペリエンスは、セキュリティ上の欠陥を許容するための言い訳ではありません。

著者について

Yijun Yu、シニア講演者、コンピューティングコミュニケーション部、 オープン大学

この記事は、最初に公開された 会話。 読む 原著.

関連書籍:

at InnerSelfMarketとAmazon