×

Веб-аналитика ворует пароли даже когда не хочет

Россия +7 (495) 139-20-33
Шрифт:
1 7779
Подпишитесь на нас в Telegram

Веб-аналитика – это жадный, вечно голодный монстр, поглощающий все данные, до которых сможет дотянуться. Даже те, которые не пойдут ему на пользу.

Например, в феврале разработчики аналитического сервиса Mixpanel обнаружили, что непреднамеренно собирали пользовательские пароли. В программе есть модуль Autotrack, который отслеживает взаимодействие пользователя с кнопками, ссылками и формами – в том числе отправляя разработчикам для анализа набранный в формах текст.

Autotrack был сделан так, чтобы не собирать пароли и значения других скрытых форм. Но все равно собирал. И даже после выпуска патча, который должен был исправить эту ошибку, все равно собирал.

Нельзя просто взять и перестать собирать пароли. Сервис веб-аналитики должен распознавать поля и формы с приватными данными, но этому могу помешать много разных факторов. Разработчики по-разному реализуют разные функции в своих сайтах и приложениях. Не всегда правильно размечают в коде поля с приватными данными. Скрипты нескольких третьесторонних сервисов могут взаимодействовать друг с другом непредсказуемым образом. Браузерные расширения могут менять структуру страниц и разметку элементов. Бывают просто ошибки программистов.

Наконец, функция, созданная для удобства пользователей, может поставить под угрозу чувствительные данные. Часто встречается опция «показать пароль» – скрытый за звездочками пароль становится виден, чтобы его легче было набрать без ошибок. Но чтобы это реализовать, пароль в коде надо лишить меток о том, что это пароль, иначе браузеры его будут автоматически прятать за звездочками.

Даже если на сайте нет такой функции, пользователь может установить себе в браузер расширение, которое делает пароли видимыми. И демаскирует их для всех желающих заодно. Эксперты из принстонского CITP в своем исследовании показали сразу несколько сценариев того, как пароль становится видим в коде и может быть собран посторонними скриптами.

Веб-аналитика ворует пароли даже когда не хочет

Суть проблемы тут в самой парадигме работы сервисов мобильной и веб-аналитики: собирать как можно больше информации о поведении и действиях пользователя, а потом уже фильтровать приватную и ненужную. Пользователям остается только надеяться, что она будет честно и успешно отфильтрована, а не продана кому-нибудь, или просто не утечет в интернет.

Но можно ли не только надеяться, но как-то защититься?

  • Не пользуйтесь функцией «показать пароль» или другие данные, которые должны вводиться скрыто
  • Не устанавливайте расширения, которые показывают пароли. Вообще, браузерные расширения давно показали себя как одна из главных угроз для приватности, безопасности, сохранности финансов и личных данных. Чего они только не собирают и кому только не продают. А теперь еще и майнят за ваш счет. Даже изначально добропорядочное расширение может быть продано или угнано, после чего становится зловредным. Лучше ставить только действительно нужные расширения от хорошо известных респектабельных разработчиков и регулярно удалять неиспользуемые.
  • Внимательно заполняйте формы, не вводите данные в поля, для них не предназначенные. Случайно набрали пароль в форме поиска – показали его посторонним сервисам.
  • Используйте блокировщики рекламы и слежки (антитрекинг)
  • Используйте разные пароли для разных сайтов и приложений, чтобы один украденный пароль не сделал уязвимыми сразу все ваши аккаунты в интернете.
Веб-аналитика ворует пароли даже когда не хочет

Оригинал

Есть о чем рассказать? Тогда присылайте свои материалы в редакцию.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Накрутка поведенческих факторов: дорого, сложно, но можно. Если очень хочется
Oleg_bobr2012
1
комментарий
0
читателей
Полный профиль
Oleg_bobr2012 - Мда...Может Анне сразу в Яндекс написать кейсы по накрутке ПФ. Я бы такого сотрудника гнал вон.
28 способов повысить конверсию интернет-магазина
Татьяна
1
комментарий
0
читателей
Полный профиль
Татьяна - Очень действенные рекомендации представлены в статье! Всё четко расписано и легко внедряемо в работу интернет-магазинов.Удобство и наглядность+различные бонусы и скидки-именно то, что и цепляет покупателя.
5 способов увидеть сайт глазами поисковика: анализируем скрытый контент и cloaking
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Сейчас клоаку прячут, так что под нее можно глянуть только с гуггловских ip. Сейчас только гуггл сервисами можно глянуть
7 актуальных сервисов для анализа сайта: сравнительная характеристика
Jenimeon
1
комментарий
0
читателей
Полный профиль
Jenimeon - SimilarWeb один из моих фаворитов, частенько им пользуюсь. Ценник не малый, но функционал хороший. Be1 тоже годный.
Создали ресурс для металлургов, который позволяет следить за аналитикой рынка и осуществлять продажи
Наталья Сталь
3
комментария
0
читателей
Полный профиль
Наталья Сталь -
Какие сайты лидировали в поиске Яндекса и Google в 2023 году
Гость
1
комментарий
0
читателей
Полный профиль
Гость - Если что по рейтингу вы не правы, есть ядро по которому производиться оценка и вы можете по нему самостоятельно все посмотреть. Единственный объективный рейтинг по SEO. Других не знаю Ну я вам скажу что это не так и в предыдущие года сайт моего клиента попадал в рейтинг, при чем несколько раз. И я прекрасно знал еще до объявления результатов кто лидер - рейтинг прозрачный, есть фразы по которым набираются баллы. В этом году наш сайт не попал в рейтинг например и это было понятно, что не попадет (по статистике позиций)
5 ошибок отдела продаж, из-за которых вы теряете клиентов
Андрей
1
комментарий
0
читателей
Полный профиль
Андрей - Крутая статья! Можно еще указать: Работу без CRM-системы - я считаю, что это основа отдела продаж. Потому что не все компании решаются на внедрение отдельно системы для отдела продаж. Но зато можно что то многофункциональное внедрить аспро.клауд или что то подобное
Простые SEO-работы, которые могут увеличить прибыль компании. Часть 1
roma.lisov
1
комментарий
0
читателей
Полный профиль
roma.lisov - Воспользовался советом по проверке и настройке картинок на сайте – реально дельный совет. Вот вроде и просто, казалось бы, а мне в голову раньше не пришло. А такие нюансы, конечно, нужно знать)
Яндекс встроил нейросети в свой Браузер
RasDva
12
комментариев
0
читателей
Полный профиль
RasDva - О дааааа)
Как мы увеличили поисковый трафик на 30% с помощью ChatGPT
Светлана Светлана
23
комментария
0
читателей
Полный профиль
Светлана Светлана - Я сама работаю в маркетинге и недавно решила еще дополнительно пройти курсы по интернет маркетингу astobr.com/services/povyshenie-kvalifikatsii/menedzhment-upravlenie/internet-marketing/ , как по мне эти знания которые я получила, очень помогают мне в работе
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
386
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
120
Комментариев
100
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
80
Комментариев
77
Комментариев
74
Комментариев
67
Комментариев
64
Комментариев
60
Комментариев
59

Отправьте отзыв!
Отправьте отзыв!