×

Веб-аналитика ворует пароли даже когда не хочет

Россия +7 (495) 139-20-33
Шрифт:
0 4398

Веб-аналитика – это жадный, вечно голодный монстр, поглощающий все данные, до которых сможет дотянуться. Даже те, которые не пойдут ему на пользу.

Например, в феврале разработчики аналитического сервиса Mixpanel обнаружили, что непреднамеренно собирали пользовательские пароли. В программе есть модуль Autotrack, который отслеживает взаимодействие пользователя с кнопками, ссылками и формами – в том числе отправляя разработчикам для анализа набранный в формах текст.

Autotrack был сделан так, чтобы не собирать пароли и значения других скрытых форм. Но все равно собирал. И даже после выпуска патча, который должен был исправить эту ошибку, все равно собирал.

Нельзя просто взять и перестать собирать пароли. Сервис веб-аналитики должен распознавать поля и формы с приватными данными, но этому могу помешать много разных факторов. Разработчики по-разному реализуют разные функции в своих сайтах и приложениях. Не всегда правильно размечают в коде поля с приватными данными. Скрипты нескольких третьесторонних сервисов могут взаимодействовать друг с другом непредсказуемым образом. Браузерные расширения могут менять структуру страниц и разметку элементов. Бывают просто ошибки программистов.

Наконец, функция, созданная для удобства пользователей, может поставить под угрозу чувствительные данные. Часто встречается опция «показать пароль» – скрытый за звездочками пароль становится виден, чтобы его легче было набрать без ошибок. Но чтобы это реализовать, пароль в коде надо лишить меток о том, что это пароль, иначе браузеры его будут автоматически прятать за звездочками.

Даже если на сайте нет такой функции, пользователь может установить себе в браузер расширение, которое делает пароли видимыми. И демаскирует их для всех желающих заодно. Эксперты из принстонского CITP в своем исследовании показали сразу несколько сценариев того, как пароль становится видим в коде и может быть собран посторонними скриптами.

Веб-аналитика ворует пароли даже когда не хочет

Суть проблемы тут в самой парадигме работы сервисов мобильной и веб-аналитики: собирать как можно больше информации о поведении и действиях пользователя, а потом уже фильтровать приватную и ненужную. Пользователям остается только надеяться, что она будет честно и успешно отфильтрована, а не продана кому-нибудь, или просто не утечет в интернет.

Но можно ли не только надеяться, но как-то защититься?

  • Не пользуйтесь функцией «показать пароль» или другие данные, которые должны вводиться скрыто
  • Не устанавливайте расширения, которые показывают пароли. Вообще, браузерные расширения давно показали себя как одна из главных угроз для приватности, безопасности, сохранности финансов и личных данных. Чего они только не собирают и кому только не продают. А теперь еще и майнят за ваш счет. Даже изначально добропорядочное расширение может быть продано или угнано, после чего становится зловредным. Лучше ставить только действительно нужные расширения от хорошо известных респектабельных разработчиков и регулярно удалять неиспользуемые.
  • Внимательно заполняйте формы, не вводите данные в поля, для них не предназначенные. Случайно набрали пароль в форме поиска – показали его посторонним сервисам.
  • Используйте блокировщики рекламы и слежки (антитрекинг)
  • Используйте разные пароли для разных сайтов и приложений, чтобы один украденный пароль не сделал уязвимыми сразу все ваши аккаунты в интернете.
Веб-аналитика ворует пароли даже когда не хочет

Оригинал

(Голосов: 6, Рейтинг: 5)
0
0

Есть о чем рассказать? Тогда присылайте свои материалы в редакцию.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Кейс: как за 30 дней вывести новый сайт в ТОП выдачи Google
Сергей
2
комментария
0
читателей
Полный профиль
Сергей - Прошёл у Паши курс год назад, пытался продвигать свой сайт portativ.org.ua, но особых продвижений нет. Наверное сео уже умерло??
Облако тегов в интернет-магазине: прикладная инструкция по увеличению трафика
Юлия Дмитриева
2
комментария
0
читателей
Полный профиль
Юлия Дмитриева - Согласна с вами, что в любом деле важен индивидуальный подход:)
Специалисты в Рунете заметили глобальную накрутку поведенческих факторов
Дмитрий Кулаевский
1
комментарий
0
читателей
Полный профиль
Дмитрий Кулаевский - кто-нибудь знает как с этим бороться? очень много такого трафа идёт с июля, сайт сильно просел
Как стандартизировать данные семантики с помощью логарифмов
Юлий
1
комментарий
0
читателей
Полный профиль
Юлий - Чем снималась коммерцелизация?
Яндекс возобновил «показательные порки» за накрутку поведенческих факторов
Антон
1
комментарий
0
читателей
Полный профиль
Антон - Никакой не выпал. Кроме клиентского сайта, который проседал из-за скрутки, о чем Я.Поиску сообщали и клиенту тоже. Ноль реакции от поисковика (продолжайте развивать сайт, никаких проблем нет ...). Клиенту надоело и он заказал накрутку у подрядчиков. Мы искренне ждали бана, сообщали об этом клиенту, т.к. мы все таки делаем все остальное для развития. Как итог: с лета полет нормальный. Сайт растет, никаких проблем. Случайно даже стажер палил тех поддержке факт использования накрутки. И ничего. Сайт растет дальше. Если они не могут ничего принять даже после признания факта накрутки, что они могут сделать с жалобами на накрутку конкурентов?! Никогда не одобряли данные методы, но ... похоже ... все работает :)
«Нет в наличии»: что делать с карточками отсутствующего товара
freyr energy
1
комментарий
0
читателей
Полный профиль
freyr energy - Thank you so much @ admin for share your valuable thoughts and ideas We always enjoy your articles its inspired a lot by reading your articles day by day. So please accept my thanks and congrats for success of your latest series. We hope, you should published more better articles like ever before solar rooftop
Яндекс тестирует оценки сайта в сниппете
Сергей Демин
8
комментариев
0
читателей
Полный профиль
Сергей Демин - вопрос такой: где получить оценку о сайте? а не об организации
15 языков программирования, за знание которых платят выше среднего
Любомир
2
комментария
0
читателей
Полный профиль
Любомир - Ну и ЗП: ни слова о том что она варируеться от 0 до 100 000$ в год!!! Что до высокой зп надо несколько лет етим заниматся! Что 100 000$ в год на западе заробатывают, а где нибудь в азиатских страннах 100$ в год. В СНГ первые годы в разработчика ЗП как в грузчика на складе - это где то 4-5 тыс. долларов в год, и уже имея несколько лет опыта возможно дойти до 10-20 тыс. долларов в год! Почему нет конкретики? Меня лично нервирует то что людям внушают великие ЗП в АйТи, а люди тупые и ведутся!!!!
Локальное продвижение интернет-магазина: как получить дополнительный трафик из регионов
Саша Дружин
2
комментария
0
читателей
Полный профиль
Саша Дружин - У меня был опыт раскрутки сайта на иностранных рынок, например для анголязычной аудитории. В целом отличия есть, хоть и небольшие. Больше всегда прироста получил после закупки ссылок от www.e-raskrutka.ru/anothercountry , они достаточно качественно работают на англоязычную аудиторию и могут лаконично вписаться в любое обсуждение. Можно самому попробовать заказать такие ссылки и посмотреть на результат.
От количества к качеству: что происходит с рекламой в Рунете
Евгений
1
комментарий
0
читателей
Полный профиль
Евгений - Истину глаголите!
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
384
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
113
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
91
Комментариев
80
Комментариев
77
Комментариев
67
Комментариев
60
Комментариев
60
Комментариев
59
Комментариев
57

Отправьте отзыв!
Отправьте отзыв!