Làm thế nào một số trang web theo dõi mọi di chuyển của bạn và bỏ qua các thiết lập quyền riêng tư

Hàng trăm trang web hàng đầu thế giới thường xuyên theo dõi mọi thao tác gõ phím, di chuyển chuột và nhập dữ liệu của người dùng vào một biểu mẫu web - ngay cả trước khi nó được gửi hoặc bị bỏ rơi, theo kết quả của một nghiên cứu từ các nhà nghiên cứu tại Đại học Princeton.

Và có một tác dụng phụ khó chịu: dữ liệu cá nhân, như thông tin y tế, mật khẩu và chi tiết thẻ tín dụng, có thể được tiết lộ khi người dùng lướt web - mà họ không biết rằng các công ty đang theo dõi hành vi duyệt web của họ. Đó là một tình huống nên báo động bất cứ ai quan tâm đến quyền riêng tư của họ.

Các nhà nghiên cứu của Princeton nhận thấy rất khó để xác định lại thông tin cá nhân từ các hồ sơ hành vi duyệt web - thậm chí, trong một số trường hợp, khi người dùng đã bật cài đặt quyền riêng tư như Không Theo Dõi.

Sản phẩm nghiên cứu tìm thấy rằng các dịch vụ theo dõi của bên thứ ba được hàng trăm doanh nghiệp sử dụng để theo dõi cách người dùng điều hướng trang web của họ. Điều này đang được chứng minh là ngày càng thách thức khi ngày càng nhiều công ty tăng cường bảo mật và chuyển trang web của họ sang trang HTTPS được mã hóa.

Để giải quyết vấn đề này, các kịch bản phát lại phiên được triển khai để giám sát hành vi giao diện người dùng trên các trang web dưới dạng một chuỗi các sự kiện được đánh dấu thời gian, chẳng hạn như chuyển động của bàn phím và chuột. Mỗi sự kiện này ghi lại các tham số bổ sung - biểu thị tổ hợp phím (đối với sự kiện bàn phím) và tọa độ màn hình (đối với sự kiện di chuyển chuột) - tại thời điểm tương tác. Khi được liên kết với nội dung của một trang web và địa chỉ web, chuỗi sự kiện được ghi lại này có thể được phát lại chính xác bởi một trình duyệt khác kích hoạt các chức năng được xác định bởi trang web.

Điều này có nghĩa là người thứ ba có thể nhìn thấy, ví dụ, người dùng nhập mật khẩu vào biểu mẫu trực tuyến - đó là một vi phạm quyền riêng tư rõ ràng. Các trang web sử dụng các công ty phân tích của bên thứ ba để ghi lại và phát lại hành vi đó là, họ lập luận, dưới danh nghĩa nâng cao trải nghiệm người dùng. Họ càng biết những gì người dùng của họ sau đó, thì việc cung cấp cho họ thông tin được nhắm mục tiêu càng dễ dàng.

đồ họa đăng ký nội tâm

Mặc dù không có tin rằng các công ty đang theo dõi hành vi của chúng tôi khi chúng tôi lướt web, nhưng thực tế là các tập lệnh đang lặng lẽ được triển khai để ghi lại các phiên trình duyệt riêng lẻ theo cách này đã khiến đồng tác giả của nghiên cứu, Steven Englehardt, một ứng cử viên tiến sĩ tại Princeton .

 Một người dùng trang web phát lại bản demo trong hành động.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

Bộ sưu tập nội dung trang của các tập lệnh phát lại của bên thứ ba có thể gây ra thông tin nhạy cảm, chẳng hạn như tình trạng y tế, chi tiết thẻ tín dụng và thông tin cá nhân khác được hiển thị trên một trang, để rò rỉ cho bên thứ ba như một phần của bản ghi, ông đã viết. Điều này có thể khiến người dùng bị đánh cắp danh tính, lừa đảo trực tuyến và các hành vi không mong muốn khác. Điều này cũng đúng với việc thu thập dữ liệu đầu vào của người dùng trong quá trình thanh toán và đăng ký.

Các trang web đăng nhập tổ hợp phím đã là một vấn đề được biết đến trong một thời gian cho các chuyên gia an ninh mạng. Và nghiên cứu thực nghiệm của Princeton làm tăng mối lo ngại hợp lệ về việc người dùng có ít hoặc không kiểm soát được hành vi lướt web của họ được ghi lại theo cách này.

Vì vậy, điều quan trọng là giúp người dùng kiểm soát cách chia sẻ thông tin của họ trực tuyến. Nhưng ngày càng có nhiều dấu hiệu về khả năng sử dụng các biện pháp bảo mật được thiết kế để giữ cho dữ liệu của chúng tôi an toàn trực tuyến.

Khả năng sử dụng và bảo mật

Trình quản lý mật khẩu được sử dụng bởi hàng triệu người để giúp họ dễ dàng lưu giữ hồ sơ về các mật khẩu khác nhau cho các trang web khác nhau. Người dùng dịch vụ như vậy chỉ cần ghi nhớ một mật khẩu chính.

Gần đây, một nhóm các nhà nghiên cứu tại Đại học Derby và Đại học Mở phát hiện ra rằng các máy khách ngoại tuyến của dịch vụ quản lý mật khẩu có nguy cơ lộ mật khẩu khóa chính khi được lưu dưới dạng văn bản đơn giản trong bộ nhớ có thể bị đánh hơi hoặc bị loại bỏ bởi các cuộc tấn công toàn hệ thống.

ConversationTrải nghiệm người dùng không phải là một cái cớ để dung thứ cho các lỗi bảo mật.

Giới thiệu về Tác giả

Yijun Yu, Giảng viên cao cấp, Bộ môn Điện toán và Truyền thông, Đại học Mở

Bài viết này ban đầu được xuất bản vào Conversation. Đọc ban đầu bài viết.

Sách liên quan:

at Thị trường InnerSelf và Amazon