×

Веб-аналитика ворует пароли даже когда не хочет

Россия +7 (495) 139-20-33
Шрифт:
1 5311

Веб-аналитика – это жадный, вечно голодный монстр, поглощающий все данные, до которых сможет дотянуться. Даже те, которые не пойдут ему на пользу.

Например, в феврале разработчики аналитического сервиса Mixpanel обнаружили, что непреднамеренно собирали пользовательские пароли. В программе есть модуль Autotrack, который отслеживает взаимодействие пользователя с кнопками, ссылками и формами – в том числе отправляя разработчикам для анализа набранный в формах текст.

Autotrack был сделан так, чтобы не собирать пароли и значения других скрытых форм. Но все равно собирал. И даже после выпуска патча, который должен был исправить эту ошибку, все равно собирал.

Нельзя просто взять и перестать собирать пароли. Сервис веб-аналитики должен распознавать поля и формы с приватными данными, но этому могу помешать много разных факторов. Разработчики по-разному реализуют разные функции в своих сайтах и приложениях. Не всегда правильно размечают в коде поля с приватными данными. Скрипты нескольких третьесторонних сервисов могут взаимодействовать друг с другом непредсказуемым образом. Браузерные расширения могут менять структуру страниц и разметку элементов. Бывают просто ошибки программистов.

Наконец, функция, созданная для удобства пользователей, может поставить под угрозу чувствительные данные. Часто встречается опция «показать пароль» – скрытый за звездочками пароль становится виден, чтобы его легче было набрать без ошибок. Но чтобы это реализовать, пароль в коде надо лишить меток о том, что это пароль, иначе браузеры его будут автоматически прятать за звездочками.

Даже если на сайте нет такой функции, пользователь может установить себе в браузер расширение, которое делает пароли видимыми. И демаскирует их для всех желающих заодно. Эксперты из принстонского CITP в своем исследовании показали сразу несколько сценариев того, как пароль становится видим в коде и может быть собран посторонними скриптами.

Веб-аналитика ворует пароли даже когда не хочет

Суть проблемы тут в самой парадигме работы сервисов мобильной и веб-аналитики: собирать как можно больше информации о поведении и действиях пользователя, а потом уже фильтровать приватную и ненужную. Пользователям остается только надеяться, что она будет честно и успешно отфильтрована, а не продана кому-нибудь, или просто не утечет в интернет.

Но можно ли не только надеяться, но как-то защититься?

  • Не пользуйтесь функцией «показать пароль» или другие данные, которые должны вводиться скрыто
  • Не устанавливайте расширения, которые показывают пароли. Вообще, браузерные расширения давно показали себя как одна из главных угроз для приватности, безопасности, сохранности финансов и личных данных. Чего они только не собирают и кому только не продают. А теперь еще и майнят за ваш счет. Даже изначально добропорядочное расширение может быть продано или угнано, после чего становится зловредным. Лучше ставить только действительно нужные расширения от хорошо известных респектабельных разработчиков и регулярно удалять неиспользуемые.
  • Внимательно заполняйте формы, не вводите данные в поля, для них не предназначенные. Случайно набрали пароль в форме поиска – показали его посторонним сервисам.
  • Используйте блокировщики рекламы и слежки (антитрекинг)
  • Используйте разные пароли для разных сайтов и приложений, чтобы один украденный пароль не сделал уязвимыми сразу все ваши аккаунты в интернете.
Веб-аналитика ворует пароли даже когда не хочет

Оригинал

(Голосов: 6, Рейтинг: 5)
0
0

Есть о чем рассказать? Тогда присылайте свои материалы в редакцию.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Алгоритм продвижения сайта через Pinterest
Виктор Гаврюков
29
комментариев
1
читатель
Полный профиль
Виктор Гаврюков - В самом вверху есть ссылка на мою группу в ВК, там где автор материала. Через группу и свяжитесь со мной_)
Ссылочный апдейт Google: что изменится для SEO-специалистов в рунете
Тимур
6
комментариев
0
читателей
Полный профиль
Тимур - Понял, спасибо за информацию.
Как забрать 5 мест в выдаче из 10. Кейс-эксперимент
Виктор Гаврюков
29
комментариев
1
читатель
Полный профиль
Виктор Гаврюков - такое можно делать и с ВЧ_)
Как продвинуть сайт по коммерческим запросам в ТОП-10 с помощью ресурса Reddit
Denis Zar
2
комментария
0
читателей
Полный профиль
Denis Zar - пользовались услугами по продвижению на реддит от reddit-marketing.pro?
3 основные ошибки, которые допускают владельцы сайтов при продвижении
Виктор Гаврюков
29
комментариев
1
читатель
Полный профиль
Виктор Гаврюков - Не обращай внимания_) Если у тебя хороший ресурс, то ты будешь первоисточником, и все кто своровал, автоматически начнут на тебя ссылаться, точнее, так гугл будет считать_)
Как мы увеличили трафик из Яндекса более чем в 3 раза за неделю на сайте клиники. Кейс
Андрей
1
комментарий
0
читателей
Полный профиль
Андрей - У большинства сайтов произошел рост в Гугле в декабре и в марте Яндекса. Ваши шаманства тут не причём :)
Как доработка структуры вывела сайт в ТОП-10 Google и увеличила трафик в 2 раза. Кейс Связной Трэвел
Дмитрий
3
комментария
0
читателей
Полный профиль
Дмитрий - Вероятнее всего было обновление Google и позиции были снижены в связи с низкой скоростью загрузки страниц (так как доработке ведутся не только по SEO, но и в целом по функционалу сайта, появляются новые скрипты). В этот период в Google Search Console увеличилось количество страниц с низкой скоростью загрузки. Мы выявили несколько проблем, которые снижают скорость загрузки страниц и выдали рекомендации по их устранению. Пока данные рекомендации находятся в работе. Также был проведен анализ EAT факторов и проверка сайта на соответствие требованиям Google к YMYL сайта, выданы рекомендации по доработке данных факторов (ждем внедрения наших рекомендаций, поделимся потом результатами).
Рост ботных переходов на сайт: как интерпретировать и что делать
Mike
5
комментариев
0
читателей
Полный профиль
Mike - как это проверить? что товары выводится именно на основе спроса, а не по заданным алгоритмам?
Сравнительная статистика уровня жизни SEO-специалистов в семи странах, включая Россию
Рустам
1
комментарий
0
читателей
Полный профиль
Рустам - Средняя температура по больнице, подсчет даже близко не отображает действительность, особенно учитывая разность цен и уровня зп в разных частях больших стран (США, Канада, Россия)
Как влияют отзывы на показатель отказов/выходов с сайта. Эксперимент
Виктор Гаврюков
29
комментариев
1
читатель
Полный профиль
Виктор Гаврюков - Жаль что гугл стал меньше ценить пользовательский контент. Но отзывы все еще важны, в любом слае_)
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
385
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
114
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
92
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
62
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!