Dünyanın en iyi web sitelerinden yüzlerce tanesi, kullanıcının her tuş vuruşunu, fare hareketini ve girişini bir web formuna düzenli olarak izliyor - hatta gönderilmeden veya daha sonra terk edilmeden önce bile Bir çalışmanın sonuçları Princeton Üniversitesi'ndeki araştırmacılardan.

Ve çok kötü bir yan etkisi var: tıbbi bilgiler, şifreler ve kredi kartı bilgileri gibi kişisel tanımlanabilir veriler, kullanıcılar internette gezinirken - şirketlerin gezinme davranışlarını izlediklerini bilmeden - ortaya çıkarılabilir. Bu, mahremiyetini önemseyen herkesi alarma geçirmesi gereken bir durumdur.

Princeton araştırmacıları kişisel olarak tanımlanabilir bilgileri göz atma davranış kayıtlarından - bazı durumlarda kullanıcılar gibi gizlilik ayarlarını açtıklarında bile - tarama kayıtlarından ayırmanın zor olduğunu tespit etti. Takip Etmeyin.

The araştırma bulundu üçüncü taraf izleme hizmetlerinin, kullanıcıların web sitelerinde nasıl gezindiklerini izlemek için yüzlerce işletme tarafından kullanıldığı. Bu, gittikçe daha fazla şirket güvenliği artırıp sitelerini bu sitelere kaydırdığı için giderek daha zorlu olduğunu kanıtlıyor. şifreli HTTPS sayfaları.

Bu soruna geçici bir çözüm bulmak için, oturum yeniden yürütme komut dosyaları, web sitelerinde kullanıcı arabirimi davranışını klavye ve fare hareketleri gibi zaman damgalı olaylar dizisi olarak izlemek için dağıtılır. Bu olayların her biri, etkileşim sırasında tuş vuruşlarını (klavye olayları için) ve ekran koordinatlarını (fare hareketi olayları için) gösteren - ek parametreleri kaydeder. Bir web sitesinin içeriği ve web adresiyle ilişkilendirildiğinde, kaydedilen bu olaylar dizisi, web sitesi tarafından tanımlanan işlevleri tetikleyen başka bir tarayıcı tarafından tam olarak tekrarlanabilir.

Bunun anlamı, üçüncü bir kişinin, örneğin çevrimiçi bir forma şifre girdiğini gösteren bir kullanıcıyı görebilmesidir - ki bu gizlilik ihlalidir. Üçüncü taraf analitik firmalarını bu tür davranışları kaydetmek ve tekrarlamak için kullanan web siteleri, “kullanıcı deneyimini geliştirmek” adına tartışıyorlar. Kullanıcılarının neyin peşinde olduğunu ne kadar çok bilirlerse, hedeflenen bilgileri sağlamak o kadar kolay olur.

İnternette gezinirken şirketlerin davranışlarımızı takip ettiği haberi olmasa da, bireysel tarayıcı oturumlarını bu şekilde kaydetmek için komut dosyalarının sessizce konuşlandırılması, Princeton'da doktora adayı olan çalışmanın yazarı Steven Englehardt ile ilgilidir. .

 Bir web sitesi kullanıcısı eylem demosunu tekrar oynatır.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

“Üçüncü taraf yeniden yürütme komut dosyalarına göre sayfa içeriğinin toplanması, tıbbi koşullar, kredi kartı bilgileri ve sayfada görüntülenen diğer kişisel bilgiler gibi hassas bilgilerin kaydın bir parçası olarak üçüncü tarafa sızmasına neden olabilir” o yazdı. “Bu, kullanıcıları kimlik hırsızlığına, çevrimiçi dolandırıcılıklara ve diğer istenmeyen davranışlara maruz bırakabilir. Aynısı, ödeme ve kayıt işlemleri sırasında kullanıcı girdilerinin toplanması için de geçerlidir. ”

Tuş vuruşlarını kaydeden web siteleri, bir süredir siber güvenlik uzmanlarının bildiği bir konudur. Princeton'ın deneysel çalışması, bu şekilde kaydedildikleri sörf davranışları üzerinde çok az veya hiç kontrol sahibi olmayan kullanıcılar hakkında geçerli kaygılar uyandırıyor.

Bu nedenle, kullanıcıların bilgilerinin çevrimiçi olarak nasıl paylaşıldığını kontrol etmelerine yardımcı olmak önemlidir. Ancak, verilerimizi çevrimiçi ortamda güvende tutmak için tasarlanan, artan kullanılabilirlik önlemi güvenlik önlemleri vardır.

Kullanılabilirliğe karşı güvenlik

Şifre yöneticileri, milyonlarca insan tarafından farklı siteler için farklı şifrelerin kaydını kolayca tutmalarına yardımcı olmak için kullanılır. Böyle bir servisin kullanıcısının sadece bir anahtar şifreyi ezberlemesi yeterlidir.

Son zamanlarda, bir araştırmacı grubu Derby Üniversitesi ve Açık Üniversite'de, şifre yöneticisi hizmetlerinin çevrimdışı olan istemcilerinin, tüm sistem saldırıları tarafından hor görülebilecek veya atılabilecek bellekte düz metin olarak saklandıklarında ana anahtar parola gösterme riski altında bulundukları tespit edildi.

Kullanıcı deneyimi, güvenlik kusurlarını tolere etmek için bir bahane değildir.

Yazar hakkında

Yijun Yu, Öğretim Üyesi, Bilgi İşlem ve İletişim Bölümü, Açık Üniversite

Bu yazı orijinalinde Konuşma. Okumak Orijinal makale.

İlgili Kitaplar:

at InnerSelf Pazarı ve Amazon