Старший брат следит за тобой. И имя ему — интернет. Идея отслеживания веб-сайтов вызывает опасения и у «айтишников», и у тех, кто далёк от каких бы то ни было технологий. Недавние исследования Принстонского университета доказывают, что не зря все так переживают по этому поводу. На прошлой недели три специалиста из Центра политики информационных технологий Принстона (CITP) опубликовали доклад, где описали как сотни мировых веб-сайтов отслеживают каждое нажатие клавиши каждого посетителя, и отправляют полученные данные на сторонний сервер.
По данным исследователей, скрипты FullStory, Hotjar, «Яндекс» и Smartlook записывали абсолютно все данные, а решения Smartlook и UserReplay не стеснялись заимствовать даже пароли и последние цифры номеров банковских карт. С полным список сайтов-шпионов можно ознакомится здесь.
Как отмечают специалисты, действия вышеуказанных компаний нельзя назвать незаконными, даже учитывая то, что у владельцев сайтов есть возможность настраивать решения для более корректного сбора данных, но они не спешат тратить свое время на подобные детали.
Также стало известно, что панели Yandex, Hotjar и Smartlook запускают незашифрованные страницы HTTP вместо более безопасных, зашифрованных HTTPS, то есть, данные остаются без защиты.
После публикации доклада и дальнейшего распространения информации о деятельности компаний, большинство из них пообещали отказаться от использования решений.
Существуют сайты, — продолжают учёные, — которые оснащены механизмами запоминания каждого введённого вами слова, и даже если вы решите покинуть страницу преждевременно, введенные вами данные все равно будут записаны. Точно такая же ситуация и с буфером обмена, если вдруг вы вставите в форму информацию из промежуточного хранилища данных.
Используемые скрипты называются сценариями «повторного сеанса». Они существуют для оценки использования сайта клиентами и идентификации ошибок, которые не видны во время разработки.
Эти сценарии не просто собирают общую статистику, но записывают и воспроизводят отдельные сеансы. Часто они запускаются на страницах ввода юзером конфиденциальной информации в виде паролей и личных данных.
В этом ролике вы увидите, как происходит запись сеанса:
ПЕРЕЙДИТЕ В ПОЛНУЮ ВЕРСИЮ