Berta Sándor
Több száz honlap figyeli a szövegbeviteleket
Problémás oldalakra hívták fel a figyelmet egyetemi kutatók. Nagyon népszerű honlapokon is vannak olyan scriptek, amelyek a felhasználók egérmozgásait figyelik és mindent rögzítenek.
A Princeton Egyetem munkatársai kiderítették, hogy a világ 50 000 legnépszerűbb portálja közül legalább 482 alkalmaz olyan Session Replay nevű szkripteket, amelyek nem csupán a felhasználók egérmozgásait és a görgetéseit jegyzik fel, hanem az adott honlapon végrehajtott összes billentyűleütést is. Ráadásul mindez valós időben történik.
Ez azt jelenti, hogy fontos adatok - emailcímek, jelszavak stb. - akkor is megszerezhetők, ha azokat végül az internetező el sem küldte. Súlyosbítja a helyzetet, hogy ezeket a szkripteket általában harmadik fél szállítja, így ezek a vállalkozások közvetlenül megszerezhetik az információkat. A bírált oldalak között vannak az Intel, a Hewlett-Packard és a Lenovo portáljai, de teljes ellenőrzést végez a látogatók kapcsán a Sky TV, a Yandex és a Sputniknews honlapja is. A szakemberek hangsúlyozták továbbá, hogy a 482 az abszolút minimumot jelenti, mert az ilyen szkripteket nem lehet mindig könnyen felderíteni.
Fontos leszögezni, hogy e megoldások mögött nem feltétlen az üzemeltetők rossz szándéka húzódik, a szkripteket általában csak elemzési és hibakiszűrési célokra használják fel. Ha tudják az üzemeltetők, hogy hogyan használják a weboldalukat, akkor jobban kezelhetőre alakíthatják azt át, felhívhatják a figyelmet nem használt funkciókra, vagy egyszerűen csak látják, hogy meddig görgetnek le az emberek, és ennek megfelelően alakítanak a tartalmon.
Az is erősen eltérő, hogy az egyes oldalak mennyi információt naplóznak. A Yandex például egy olyan szkriptet használ, amely valóban minden megadott adatot rögzít, ráadásul számos más portálon is fellelhető, amelyekről szintén a Yandex rendszerébe kerülnek az információk. Problémát jelent, hogy az adatátvitel részben titkosítatlanul valósul meg, amely szabaddá teszi az utat a közbekelődő (un. Man-in-the-Middle) támadások előtt.
Néhány honlapüzemeltető reagált a felvetésekre. A Walgreens például azt emelte ki, hogy most már semmilyen adatot nem továbbít a FullStory nevű Session Replay szolgáltatónak. Az amerikai drogérialánc eddig ilyen módon árult el részleteket arról, hogy mely ügyfelének milyen gyógyszereket írtak fel és milyen betegségeik vannak. A Yandex a HTTP-ről a HTTPS-re váltás fontosságára hívta fel a figyelmet, míg a Bonobos nevű ruházati gyártó közölte, hogy eltávolított azt a szkriptet, amelyen keresztül teljes mértékben tovább tudta adni a vásárlói hitelkártya-adatait.
A Princeton Egyetem munkatársai kiderítették, hogy a világ 50 000 legnépszerűbb portálja közül legalább 482 alkalmaz olyan Session Replay nevű szkripteket, amelyek nem csupán a felhasználók egérmozgásait és a görgetéseit jegyzik fel, hanem az adott honlapon végrehajtott összes billentyűleütést is. Ráadásul mindez valós időben történik.
Ez azt jelenti, hogy fontos adatok - emailcímek, jelszavak stb. - akkor is megszerezhetők, ha azokat végül az internetező el sem küldte. Súlyosbítja a helyzetet, hogy ezeket a szkripteket általában harmadik fél szállítja, így ezek a vállalkozások közvetlenül megszerezhetik az információkat. A bírált oldalak között vannak az Intel, a Hewlett-Packard és a Lenovo portáljai, de teljes ellenőrzést végez a látogatók kapcsán a Sky TV, a Yandex és a Sputniknews honlapja is. A szakemberek hangsúlyozták továbbá, hogy a 482 az abszolút minimumot jelenti, mert az ilyen szkripteket nem lehet mindig könnyen felderíteni.
Fontos leszögezni, hogy e megoldások mögött nem feltétlen az üzemeltetők rossz szándéka húzódik, a szkripteket általában csak elemzési és hibakiszűrési célokra használják fel. Ha tudják az üzemeltetők, hogy hogyan használják a weboldalukat, akkor jobban kezelhetőre alakíthatják azt át, felhívhatják a figyelmet nem használt funkciókra, vagy egyszerűen csak látják, hogy meddig görgetnek le az emberek, és ennek megfelelően alakítanak a tartalmon.
Az is erősen eltérő, hogy az egyes oldalak mennyi információt naplóznak. A Yandex például egy olyan szkriptet használ, amely valóban minden megadott adatot rögzít, ráadásul számos más portálon is fellelhető, amelyekről szintén a Yandex rendszerébe kerülnek az információk. Problémát jelent, hogy az adatátvitel részben titkosítatlanul valósul meg, amely szabaddá teszi az utat a közbekelődő (un. Man-in-the-Middle) támadások előtt.
Néhány honlapüzemeltető reagált a felvetésekre. A Walgreens például azt emelte ki, hogy most már semmilyen adatot nem továbbít a FullStory nevű Session Replay szolgáltatónak. Az amerikai drogérialánc eddig ilyen módon árult el részleteket arról, hogy mely ügyfelének milyen gyógyszereket írtak fel és milyen betegségeik vannak. A Yandex a HTTP-ről a HTTPS-re váltás fontosságára hívta fel a figyelmet, míg a Bonobos nevű ruházati gyártó közölte, hogy eltávolított azt a szkriptet, amelyen keresztül teljes mértékben tovább tudta adni a vásárlói hitelkártya-adatait.