数百个世界顶级网站会定期跟踪用户的每一次击键,鼠标移动以及输入网页表单 - 甚至在提交或放弃之前,根据 一项研究成果 来自普林斯顿大学的研究人员。
而且还有一个令人讨厌的副作用:当用户上网时,个人身份信息(例如医疗信息,密码和信用卡详情)可能会暴露,而不知道公司正在监控他们的浏览行为。 这是一个应该警惕任何关心他们隐私的情况。
普林斯顿大学的研究人员发现,很难从浏览行为记录中找出个人可识别的信息,甚至在某些情况下,当用户已经打开隐私设置,如 不跟踪.
研究发现 第三方跟踪服务被数百家企业用来监控用户如何浏览他们的网站。 随着越来越多的公司加强安全性并将其网站转移到其他地方,这种情况越来越具有挑战性 加密的HTTPS页面.
要解决此问题,会话重播脚本将部署为监视网站上的用户界面行为,如键盘和鼠标移动的时间戳事件序列。 这些事件中的每一个都会记录附加参数 - 指示交互时的击键(用于键盘事件)和屏幕坐标(用于鼠标移动事件)。 当与网站和网址的内容相关联时,这个记录的事件序列可以由触发网站定义的功能的另一个浏览器准确地重播。
这意味着第三方能够看到,例如,一个用户输入密码到一个在线表格 - 这是一个明显的隐私违规。 他们认为,使用第三方分析公司来记录和重放这种行为的网站是以“增强用户体验”为名称的。 他们知道用户越多后,越容易为他们提供有针对性的信息。
尽管在网上冲浪时公司监控我们的行为并不是什么新闻,但事实上,以这种方式悄悄地部署脚本来记录单独的浏览器会话,这一研究的共同作者Steven Englehardt是普林斯顿大学博士候选人。
网站用户重播演示。
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
“通过第三方重播脚本收集页面内容可能会导致敏感信息(如医疗条件,信用卡详细信息和其他个人信息显示在页面上)作为记录的一部分泄露给第三方” 他写道:。 “这可能会暴露用户身份盗用,在线诈骗等不良行为。 在结帐和注册过程中收集用户输入也是如此。“
记录击键的网站已经成为网络安全专家一段时间的问题。 而普林斯顿的实证研究则提出了有效的担忧,即用户很少或根本无法控制他们的网上冲浪行为。
因此,帮助用户控制他们的信息在线共享是非常重要的。 但是越来越多的可用性迹象表明可用性是安全措施,旨在保护我们的数据在线安全。
可用性与安全性
密码管理员被数百万人用来帮助他们轻松地记录不同密码的记录。 这种服务的用户只需要记住一个密码。
近日, 研究小组 在德比大学和开放大学发现,密码管理器服务的离线客户在以纯文本形式存储在可能被整个系统攻击嗅探或倾倒的内存中时暴露主密钥密码的风险。
用户体验不是容忍安全漏洞的借口。
用户体验不是容忍安全漏洞的借口。关于作者
计算和通信部高级讲师余义军, 开放大学
相关书籍:
at InnerSelf 市场和亚马逊
