Du har läst nyheterna om sessionsuppspelningsskript och hur de gör det möjligt för över 400 webbplatser att spåra alla dina tangenttryckningar och musklick och du är förståeligt nog orolig. Om du inte har följt nyheterna, forskare vid Princeton University Centrum för informationsteknologipolitik (CITP), upptäckte att 400 av de mest populära webbplatserna i världen, inklusive Telegrafen och BBC Good Food kör kod som kan spåra allt du skriver in på en webbplats. Detta innebär att, utan din vetskap eller uttryckliga samtycke, din information tas och används av tredje parts servrar.
Du kanske tror att webbplatser som registrerar din aktivitet så att du kan bli remarketingprodukter inte är något nytt, och det är det inte. I det här fallet är dock reprisskript för sessioner mycket mer omfattande än bara det du bestämt dig för att klicka och köpa.
Här registrerar några av de mest trafikerade webbplatserna i världen varje tangenttryckning du gör – oavsett om det är en webbplatssökning eller textchatt med en assistent. Om du börjar fylla i ett formulär med e-postadresser, telefonnummer eller personliga uppgifter och sedan bestämmer dig för att inte följa upp, har dessa webbplatser redan den information de ville ha.
Tack och lov finns det ett sätt att skydda dig mot dessa webbplatser och sessionsuppspelningsskript som helhet. Släppt som en del av CITP:s forskning är en sökbar lista över alla webbplatser som har hittats använda sessionsuppspelningsskript. Den berättar också, ganska praktiskt, om den sidan är skyldig för att ha skickat din information till tredje parts servrar.
Så här blockerar du skript för återuppspelning av sessioner:
Det enklaste sättet att undvika sessionsuppspelningsskript är att gå till CITP:s sökbara lista och aktivt undvika att använda dessa webbplatser. Det kan innebära att du måste ändra dina surfvanor, men du kommer förmodligen att ha det bättre för det.
Om du inte vill ändra dina surfvanor, och jag inte klandrar dig, kan du använda AdBlock Plus. Medan AdBlock Plus dödar 99% av intäkterna de flesta publikationer, som t.ex Alphr, hämta från din sida vitists, den har nu uppdaterats till att stoppa sessionsreprisskript på de 487 webbplatser som listas av CITP. Du måste betala för AdBlock Plus, vilket verkar lite konstigt att betala för att något ska sluta betala för annat innehåll, men det fungerar.
Hur det upptäcktes över 400 webbplatser använder session replay scripts för att skrapa din information
I flera år har keyloggers varit synonymt med tvivelaktiga nedladdningar och spionprogram som hittar sin väg till din PC. Nu är tekniken mycket mer utbredd och vanlig, och den verkar användas på ett av de mest påträngande sätten möjligt.
Forskning från Princeton University’s Centrum för informationsteknologipolitik (CITP) upptäckte att 400 av de mest populära webbplatserna – inklusive Telegrafen och BBC Good Food – kör kod som kan spåra allt du skriver utan din vetskap eller uttryckliga samtycke.
Vad som är ännu mer oroande är att dina tangenttryckningar och data, inklusive information som du har skrivit och sedan raderat, skickas till en tredjepartsserver.
Som Moderkort noterar, det är en liknande situation som vad Facebook gjorde med användarens ofullständiga statusuppdateringar. 2013, när det avslöjades att Facebook loggade vad som sades och sedan raderades innan ett inlägg publicerades, blev folk arga. Men nu, med alla dessa anmärkningsvärda webbplatser som tittar på vad det är du skriver och klickar på, är vi nästan helt omedvetna om att det pågår.
LÄS NÄSTA: Så här kan du se allt Facebook vet om dig
I rättvisans namn till de webbplatser som upptäckts använda sådana tangenttryckningsloggningstjänster, är det faktiskt inte deras avsikt att få denna information. Istället är det en direkt konsekvens av att använda något som kallas ”Session Replay Script”. Dessa webbskript används för att spåra engagemang och hjälpa till med UX-design för att informera webbplatsägare om hur de kan förbättra en besökares resa genom sin webbplats. Tyvärr registrerar dessa manus praktiskt taget allt och skickar iväg dem för att analyseras.
Det blir värre när man upptäcker att det, som forskargruppen uttryckte det, inte ”rimligen kan förväntas vara anonymt”. Som moderkortet förklarar ger ett sådant manusframställande företag FullStory faktiskt webbplatsägare länkad spårningsinformation. De skulle kunna se vem en viss användare var och se tillbaka hela deras webbplatsaktiviteter i realtid – inklusive allt de skriver.
Här är en video om vad FullStorys Session Replay Script kan göra, men många andra företag som utvecklar dem gör också liknande:
https://youtube.com/watch?v=l0Yc8s0DTZA
Forskarna genomförde sin forskning genom att titta på sju av de mest populära sessionsreprisbolagen på marknaden och testa deras produkter på en serie testsidor. När de gjorde detta upptäckte de att minst ett av dessa skript används av 482 av världens 50 000 bästa sajter sorterade efter Alexa ranking.
Som en del av deras forskningsinlägg, ”No boundaries: Exfiltration of personal data by session-replay scripts”, släppte teamet från Princeton en lista över webbplatser som använde skripten – men bara sajter som har bekräftats skicka sådana inspelningar till tredje part.
Om man tittar på listan över webbplatser finns det några ganska oroande gärningsmän. En snabb blick visar att WordPress.com, Microsoft.com, Adobe.com och Spotify.com alla använder dessa spårningsskript. Telegrafen webbplatsen är också en spårningsbov tillsammans med BBC Good Food. Tack och lov har dessa webbplatser inte listats för att göra mer än att bara använda programvaran, webbplatser som faktiskt tycks spela in och skicka iväg data till en tredje part verkar vara en udda blandning, med den ryska sökwebbplatsen Yandex som leder laddningen.
LÄS NÄSTA: Säkerhet och integritet kommer alltid att vara en ofullkomlig balansgång
Märkligt nog var HP:s egen webbplats listad som att skicka data tillsammans med Atlassian, Xfinity och Comcast.
Många företag som skickar dessa uppgifter erbjuder också redaktionstjänster för att ta bort känslig information, men det finns många där ute som inte gör det. Att information läcker ut till den offentliga sfären kan få allvarliga integritetskonsekvenser.
”Insamling av sidinnehåll av tredjepartsuppspelningsskript kan orsaka att känslig information som medicinska tillstånd, kreditkortsuppgifter och annan personlig information som visas på en sida läcker till tredje part som en del av inspelningen”, skrev forskarna i deras inlägg.
Forskare noterade att personlig information och lösenord vanligtvis gled igenom alla redigeringsprogram, även om det bara var delvis. Intressant nog blockerar både Session Replay Script-leverantörerna UserReplay och SessionCam information helt genom att spåra var en användare klickar innan de skriver. Men om information visas som standard på en skärm, till exempel att logga in på en webbplatss kontosida, lämnas dina personliga uppgifter orörda.
I de flesta fall är det bra. Men när en sida, som den amerikanska apotekskedjan Walgreens, listar tidigare medicinska tillstånd och recept på din användarsida som standard, kan all den informationen lätt hamna i fel händer.
LÄS NÄSTA: Eleven använde keylogger för att ändra sitt betyg mer än 90 gånger
Om du undrar hur troligt det är att det händer, visar det sig att saker och ting faktiskt blir värre. Som noterades i deras inlägg upptäckte forskarna att dessa sessionsspårningsföretag faktiskt är i en position att vara sårbara för riktade hacks. De är inte bara värdefulla mål, utan många av analysinstrumentpanelerna som deras kunder använder körs på icke-krypterade HTTP-sidor istället för HTTPS-sidor.
Genom att använda HTTP över HTTPS, ”det gör det möjligt för en aktiv man i mitten att injicera ett skript på uppspelningssidan och extrahera all inspelningsdata”, förklarade forskarna.
Sedan rapporten publicerades har en handfull webbplatser som använder Session Replay-skript och leverantörer som är ansvariga för att skapa dem kommenterat saken. Många svar visar att många webbplatser inte var riktigt medvetna om hur dessa saker fungerade, och därför undersöker de att stoppa sådana tjänster eller förbättra dem för att skydda användardata. På utvecklingssidan, av de få som talade om saken, gav SessionCam ett blogginlägg beskriva sina bekymmer och försäkra användarna om att säkerhet och integritet är deras främsta angelägenhet.
LÄS NÄSTA: Hur säkra är molnlagringstjänster?
Eftersom SessionCam faktiskt är den säkraste leverantören av Session Replay Scripts, åtminstone ur en användares integritetsperspektiv, är inlägget ganska lugnande att företaget är allt för att hålla användardata säker.
”Alla på SessionCam kan stå bakom CITP:s slutsats: ”Att förbättra användarupplevelsen är en kritisk uppgift för publicister. Det bör dock inte ske på bekostnad av användarnas integritet.’,” skrev SessionCam. ”Hela teamet på SessionCam lever efter dessa värderingar varje dag. Sekretessen för dina webbplatsbesökare och säkerheten för dina data är av största vikt för oss.
”Jag är tacksam mot CITP för att de tog upp frågan och undersökte frågorna. Vi kommer att fortsätta arbeta för att ge ännu starkare säkerhet och ge våra kunder och deras kunder den sinnesfrid de behöver.”
Det finns ett sätt att försvara sig mot dessa sessionsreprisskript, installera AdBlock Plus. Tidigare skyddade den dig mot en handfull av dessa spårare, men nu, efter Princeton-studien, är den uppdaterad för att skydda dig mot varje skript som listas i forskarens inlägg.
