Hundratals av världens bästa webbplatser spårar en användares alla tangenttryckningar, musrörelser och inmatas i en webbformulär - även innan den lämnas in eller senare överges, enligt Resultat av en studie från forskare vid Princeton University.

Och det finns en obehaglig bieffekt: Personliga identifierbara data, som medicinsk information, lösenord och kreditkortsuppgifter, kan avslöjas när användarna surfar på nätet - utan att de vet att företag övervakar sitt surfande beteende. Det är en situation som bör larma någon som bryr sig om deras integritet.

Princeton-forskarna fann att det var svårt att redigera personligt identifierbar information från surfningsbeteenden - även i vissa fall när användarna har aktiverat sekretessinställningar som t.ex. Inte Spåra.

Smakämnen forskning hittades Den tredje partens spårningstjänster används av hundratals företag för att övervaka hur användarna navigerar på sina webbplatser. Detta visar sig bli alltmer utmanande eftersom fler och fler företag ökar säkerheten och flyttar sina webbplatser över till krypterade HTTPS-sidor.

För att arbeta runt om detta, används sessionsreplay-skript för att övervaka användargränssnittets beteende på webbplatser som en följd av tidsstämplade händelser, som tangentbord och musrörelser. Var och en av dessa händelser registrerar ytterligare parametrar - vilket indikerar tangenttryckningar (för tangentbordshändelser) och skärmkoordinater (för musrörelsehändelser) - vid samspelstidpunkten. När den är associerad med innehållet på en webbplats och webbadress, kan den här inspelade händelseshöjden exakt spelas upp av en annan webbläsare som utlöser de funktioner som definieras av webbplatsen.

Vad detta innebär är att en tredje person kan se till exempel en användare som skriver in ett lösenord i en onlinebeskrivning - vilket är ett tydligt brott mot sekretessen. Webbplatser som använder tredjeparts analytics företag att spela in och spela upp sådant beteende är, de argumenterar, i namnet "förbättrad användarupplevelse". Ju mer de vet vad deras användare är efter, desto lättare är det att ge dem riktade uppgifter.

Samtidigt som det inte är nyheter om att företag övervakar vårt beteende när vi surfar på webben, är det faktum att skript är tyst utsatta för att spela in enskilda webbläsarsessioner på detta sätt bekymrad studieens medförfattare Steven Englehardt, som är doktorand vid Princeton .

 En webbplatsanvändare spelar upp demo i aktion.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

"Samling av sidinnehåll av skript från tredje part kan orsaka känslig information, till exempel medicinska förhållanden, kreditkortsuppgifter och annan personlig information som visas på en sida, för att läcka till tredje part som en del av inspelningen" han skrev. "Detta kan utsätta användare för identitetsstöld, onlineskrämmor och annat oönskade beteende. Detsamma gäller för insamling av användarinputs vid kassa och registreringsprocesser. "

Webbplatsloggningstryck har varit ett problem som är känt för cybersecurity-experter. Och Princetons empiriska studie ger upphov till giltiga farhågor om användare som har liten eller ingen kontroll över sitt surfande beteende registreras på detta sätt.

Så det är viktigt att hjälpa användare att kontrollera hur deras information delas online. Men det finns ökande tecken på användbarhet trumpande säkerhetsåtgärder som är utformade för att hålla vår data säker online.

Användbarhet vs säkerhet

Lösenordshanterare används av miljontals människor för att hjälpa dem att enkelt hålla ett register över olika lösenord för olika webbplatser. Användaren av en sådan tjänst behöver bara memorera ett nyckellösenord.

Nyligen har en forskargrupp vid universitetet i Derby och Open University upptäckte att de offline klienterna för lösenordshanteringstjänster riskerar att avslöja huvudnyckel lösenordet när de lagras som vanlig text i minnet som kan sniffas eller dumpas av hela systemattacker.

Användarupplevelse är inte en ursäkt för att tolerera säkerhetsbrister.

Om författaren

Yijun Yu, universitetslektor, Institutionen för datavetenskap och kommunikation, Open University

Den här artikeln publicerades ursprungligen den Avlyssningen. Läs ursprungliga artikeln.

Relaterade böcker:

at InnerSelf Market och Amazon