新闻快讯
< >

覆盖全球的安全问题:会话回放脚本可暴露访问者敏感信息

一项新的研究发现,包括microsoft.com、adobe.com和godaddy.com在内的数百个网站,正默默地记录着你在网站页面中的所有操作,包括每一次通过键盘的按键、实时的鼠标移动或者滚动操作以及访问过什么网页内容、搜索过什么内容等等。此外,这还不是最重要的,重要的是这些网站将这些数据发送给了第三方服务器。

 覆盖全球的安全问题:会话回放脚本可暴露访问者敏感信息-E安全

这一切都源于这些网站开始使用一种新的第三方分析服务——会话回放脚本。与提供汇总统计信息的典型分析服务不同,这些脚本旨在用于单个浏览会话的录制和回放。这就好比你在网吧玩游戏的时候,后面站了一排小学生在看着你。

这些由第三方分析服务商提供的脚本,原本旨在帮助网站运营商更好地了解访问者如何与其网络媒体资源进行交互,并识别出混淆或损坏的特定网页。顾名思义,脚本允许网站管理员重新制定单独的浏览会话。每次键盘按键、输入和鼠标移动、滚动都可以被记录下来,然后再回放。

研究来自于普林斯顿大学计算机科学系的安全专家Steven Englehardt,Gunes Acar和Arvind Narayanan组成的安全小组。他们分别对7家分析服务商提供的会话回放脚本(Yandex、FullStory、Hotjar、UserReplay、Smartlook、Clicktale和SessionCam)进行了研究分析,并且发现在Alexa排名前5万的网站中,有482个网站采用了这样的服务。

 覆盖全球的安全问题:会话回放脚本可暴露访问者敏感信息-E安全

当然,这就包含了我们在文章最开始提到的microsoft.com(微软官网)、adobe.com(Adobe官网)和godaddy.com(世界知名互联网域名注册商GoDaddy官网)。

Englehardt解释说:“通过第三方会话回放脚本收集页面内容可能会导致网站访问者敏感信息泄露给第三方分析服务商,如医疗条件、信用卡详细信息和其他个人信息。这就使得网站访问者可能会遭到身份盗用、在线诈骗和其他不良行为的侵害。”

Englehardt安装了6款使用最广泛的会话回放脚本,发现它们都在不同程度上暴露了网站访问者的个人敏感信息。例如,在创建一个帐户的过程中,Englehardt输入的字符至少有一部分被脚本所收集。

 覆盖全球的安全问题:会话回放脚本可暴露访问者敏感信息-E安全

来自FullStory、Hotjar、Yandex和Smartlook的脚本是最具侵入性的,因为默认情况下,它们会记录访问者输入的所有字符,包括到姓名、电子邮箱地址、电话号码、地址、社会安全号码和出生日期等。

研究人员强调,目前还没有针对性的办法来阻止此类数据收集行为。如果非要说有的话,那就是某些广告拦截器,可以过滤一些但不是全部的会话回放脚本。