Hoe sommige websites elke beweging bekijken en privacyinstellingen negeren

Honderden van 's werelds beste websites volgen routinematig elke toetsaanslag van een gebruiker, muisbewegingen en invoer in een webformulier - zelfs voordat het wordt ingediend of later wordt verlaten, volgens de resultaten van een studie van onderzoekers van Princeton University.

En er is een vervelende bijkomstigheid: persoonlijk identificeerbare gegevens, zoals medische informatie, wachtwoorden en creditcardgegevens, konden worden onthuld wanneer gebruikers op internet surfen - zonder dat ze weten dat bedrijven hun surfgedrag volgen. Het is een situatie die iedereen moet verontrusten die om hun privacy geeft.

De onderzoekers van Princeton vonden het moeilijk om persoonlijk identificeerbare informatie uit browsegedragsrecords te redigeren - zelfs in sommige gevallen wanneer gebruikers privacy-instellingen zoals Do Not Track.

De onderzoek gevonden die trackingdiensten van derden worden door honderden bedrijven gebruikt om te controleren hoe gebruikers op hun websites navigeren. Dit blijkt steeds uitdagender te worden naarmate meer en meer bedrijven de beveiliging opvoeren en hun sites verplaatsen naar gecodeerde HTTPS-pagina's.

Om dit te omzeilen, worden sessie-replay scripts ingezet om het gedrag van gebruikersinterfaces op websites te bewaken als een reeks van tijdgestempelde gebeurtenissen, zoals toetsenbord- en muisbewegingen. Elk van deze gebeurtenissen registreert aanvullende parameters - met vermelding van de toetsaanslagen (voor toetsenbordgebeurtenissen) en schermcoördinaten (voor bewegingen van muizenbewegingen) - op het moment van interactie. In combinatie met de inhoud van een website en een webadres, kan deze opgenomen reeks gebeurtenissen exact opnieuw worden afgespeeld door een andere browser die de functies activeert die door de website zijn gedefinieerd.

Wat dit betekent is dat een derde persoon bijvoorbeeld een gebruiker kan zien die een wachtwoord invoert in een online formulier - wat een duidelijke inbreuk op de privacy is. Websites die analysebedrijven van derden in dienst nemen om dergelijk gedrag vast te leggen en opnieuw af te spelen, zijn, zo beweren ze, in de naam van "het verbeteren van gebruikerservaring". Hoe meer zij weten waar hun gebruikers naar op zoek zijn, hoe gemakkelijker het is om hen van gerichte informatie te voorzien.

innerlijk abonneren grafisch

Hoewel het geen nieuws is dat bedrijven ons gedrag volgen terwijl we op internet surfen, heeft het feit dat scripts stil worden ingezet om individuele browsersessies op deze manier vast te leggen, betrekking op de co-auteur van de studie, Steven Englehardt, die een promovendus is in Princeton. .

 Een websitegebruiker herhaal demo in actie.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

"Het verzamelen van pagina-inhoud door herspeelscripts van derden kan ertoe leiden dat gevoelige informatie, zoals medische aandoeningen, creditcardgegevens en andere persoonlijke informatie die op een pagina wordt weergegeven, naar de derde partij lekt als onderdeel van de opname," Hij schreef. "Dit kan gebruikers blootstellen aan identiteitsdiefstal, online oplichting en ander ongewenst gedrag. Hetzelfde geldt voor het verzamelen van gebruikersinvoer tijdens het afreken- en registratieproces. "

Het registreren van toetsaanslagen op websites is een tijdje bekend bij cyberbeveiligingsdeskundigen. En de empirische studie van Princeton roept geldige zorgen op over gebruikers die weinig of geen controle hebben over hun surfgedrag dat op deze manier wordt vastgelegd.

Het is dus belangrijk om gebruikers te helpen bepalen hoe hun informatie online wordt gedeeld. Maar er zijn steeds meer tekenen van bruikbaarheid die de veiligheidsmaatregelen overtreffen die zijn ontworpen om onze gegevens veilig online te houden.

Bruikbaarheid versus beveiliging

Wachtwoordmanagers worden door miljoenen mensen gebruikt om eenvoudig verschillende wachtwoorden voor verschillende sites bij te houden. De gebruiker van een dergelijke dienst hoeft slechts één sleutelwachtwoord te onthouden.

Onlangs heeft a groep onderzoekers aan de Universiteit van Derby en de Open Universiteit ontdekten dat de offline clients van wachtwoordbeheer-services het risico liepen het hoofdwachtwoord bloot te leggen wanneer ze werden opgeslagen als onbewerkte tekst in het geheugen die zou kunnen worden gesnoven of gedumpt door aanvallen van het hele systeem.

The ConversationGebruikerservaring is geen excuus om beveiligingsfouten te tolereren.

Over de auteur

Yijun Yu, Senior Lecturer, Department of Computing and Communications, De Open Universiteit

Dit artikel is oorspronkelijk gepubliceerd op The Conversation. Lees de originele artikel.

Related Books:

at InnerSelf Market en Amazon