首页>网络安全资讯>会话回放脚本:可记录你在网站页面中的所有操作

会话回放脚本:可记录你在网站页面中的所有操作

一项新的研究发现,包括microsoft.com、adobe.com和godaddy.com在内的数百个网站,正默默地记录着你在网站页面中的所有操作,包括每一次通过键盘的按键、实时的鼠标移动或者滚动操作以及访问过什么网页内容、搜索过什么内容等等。此外,这还不是最重要的,重要的是这些网站将这些数据发送给了第三方服务器。

这一切都源于这些网站开始使用一种新的第三方分析服务——会话回放脚本。与提供汇总统计信息的典型分析服务不同,这些脚本旨在用于单个浏览会话的录制和回放。这就好比你在网吧玩游戏的时候,后面站了一排小学生在看着你。

这些由第三方分析服务商提供的脚本,原本旨在帮助网站运营商更好地了解访问者如何与其网络媒体资源进行交互,并识别出混淆或损坏的特定网页。顾名思义,脚本允许网站管理员重新制定单独的浏览会话。每次键盘按键、输入和鼠标移动、滚动都可以被记录下来,然后再回放。

研究来自于普林斯顿大学计算机科学系的安全专家Steven Englehardt,Gunes Acar和Arvind Narayanan组成的安全小组。他们分别对7家分析服务商提供的会话回放脚本(Yandex、FullStory、Hotjar、UserReplay、Smartlook、Clicktale和SessionCam)进行了研究分析,并且发现在Alexa排名前5万的网站中,有482个网站采用了这样的服务。

当然,这就包含了我们在文章最开始提到的microsoft.com(微软官网)、adobe.com(Adobe官网)和godaddy.com(世界知名互联网域名注册商GoDaddy官网)。

Englehardt解释说:“通过第三方会话回放脚本收集页面内容可能会导致网站访问者敏感信息泄露给第三方分析服务商,如医疗条件、信用卡详细信息和其他个人信息。这就使得网站访问者可能会遭到身份盗用、在线诈骗和其他不良行为的侵害。”

Englehardt安装了6款使用最广泛的会话回放脚本,发现它们都在不同程度上暴露了网站访问者的个人敏感信息。例如,在创建一个帐户的过程中,Englehardt输入的字符至少有一部分被脚本所收集。

来自FullStory、Hotjar、Yandex和Smartlook的脚本是最具侵入性的,因为默认情况下,它们会记录访问者输入的所有字符,包括到姓名、电子邮箱地址、电话号码、地址、社会安全号码和出生日期等。

研究人员强调,目前还没有针对性的办法来阻止此类数据收集行为。如果非要说有的话,那就是某些广告拦截器,可以过滤一些但不是全部的会话回放脚本。

相关资讯:

Wi-Fi信号干扰可能会泄漏您的密码和按键记录

研究人员又发现一项黑科技,通过观察手指移动产生的WiFi信号变化,就能准确获取您在手机屏幕上或计算机键盘上输入的密码、Pin码等敏感信息。

Gmail调查:网络钓鱼威胁大于数据泄露

研究人员发现,1万个钓鱼工具中83%收集受害者的地理位置,18%收集电话号码。相比之下,低于0.1%的键盘记录器收集电话细节和秘密信息。...

黑科技:每个无线路由器或成窃听神器

Wi-Fi信号干扰可能会泄漏您的密码和按键记录研究人员又发现一项黑科技,通过观察手指移动产生的WiFi信号变化,就能准确获取您在手机屏幕上或计算机键盘上...

转载:2016年“最创新”的8种攻击方式

1. “MouseJack”允许黑客通过无线键盘、鼠标入侵计算机美国物联网安全...522起数据泄露事件发生,泄露的数据超过0.13亿条记录(不包括未记录在案...