×

Веб-аналитика ворует пароли даже когда не хочет

Россия +7 (495) 139-20-33
Шрифт:
0 4232

Веб-аналитика – это жадный, вечно голодный монстр, поглощающий все данные, до которых сможет дотянуться. Даже те, которые не пойдут ему на пользу.

Например, в феврале разработчики аналитического сервиса Mixpanel обнаружили, что непреднамеренно собирали пользовательские пароли. В программе есть модуль Autotrack, который отслеживает взаимодействие пользователя с кнопками, ссылками и формами – в том числе отправляя разработчикам для анализа набранный в формах текст.

Autotrack был сделан так, чтобы не собирать пароли и значения других скрытых форм. Но все равно собирал. И даже после выпуска патча, который должен был исправить эту ошибку, все равно собирал.

Нельзя просто взять и перестать собирать пароли. Сервис веб-аналитики должен распознавать поля и формы с приватными данными, но этому могу помешать много разных факторов. Разработчики по-разному реализуют разные функции в своих сайтах и приложениях. Не всегда правильно размечают в коде поля с приватными данными. Скрипты нескольких третьесторонних сервисов могут взаимодействовать друг с другом непредсказуемым образом. Браузерные расширения могут менять структуру страниц и разметку элементов. Бывают просто ошибки программистов.

Наконец, функция, созданная для удобства пользователей, может поставить под угрозу чувствительные данные. Часто встречается опция «показать пароль» – скрытый за звездочками пароль становится виден, чтобы его легче было набрать без ошибок. Но чтобы это реализовать, пароль в коде надо лишить меток о том, что это пароль, иначе браузеры его будут автоматически прятать за звездочками.

Даже если на сайте нет такой функции, пользователь может установить себе в браузер расширение, которое делает пароли видимыми. И демаскирует их для всех желающих заодно. Эксперты из принстонского CITP в своем исследовании показали сразу несколько сценариев того, как пароль становится видим в коде и может быть собран посторонними скриптами.

Веб-аналитика ворует пароли даже когда не хочет

Суть проблемы тут в самой парадигме работы сервисов мобильной и веб-аналитики: собирать как можно больше информации о поведении и действиях пользователя, а потом уже фильтровать приватную и ненужную. Пользователям остается только надеяться, что она будет честно и успешно отфильтрована, а не продана кому-нибудь, или просто не утечет в интернет.

Но можно ли не только надеяться, но как-то защититься?

  • Не пользуйтесь функцией «показать пароль» или другие данные, которые должны вводиться скрыто
  • Не устанавливайте расширения, которые показывают пароли. Вообще, браузерные расширения давно показали себя как одна из главных угроз для приватности, безопасности, сохранности финансов и личных данных. Чего они только не собирают и кому только не продают. А теперь еще и майнят за ваш счет. Даже изначально добропорядочное расширение может быть продано или угнано, после чего становится зловредным. Лучше ставить только действительно нужные расширения от хорошо известных респектабельных разработчиков и регулярно удалять неиспользуемые.
  • Внимательно заполняйте формы, не вводите данные в поля, для них не предназначенные. Случайно набрали пароль в форме поиска – показали его посторонним сервисам.
  • Используйте блокировщики рекламы и слежки (антитрекинг)
  • Используйте разные пароли для разных сайтов и приложений, чтобы один украденный пароль не сделал уязвимыми сразу все ваши аккаунты в интернете.
Веб-аналитика ворует пароли даже когда не хочет

Оригинал

(Голосов: 6, Рейтинг: 5)
0
0

Есть о чем рассказать? Тогда присылайте свои материалы в редакцию.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
«Юзабилити-лаборатория»: оставляйте заявку на участие!
Анна Макарова
381
комментарий
0
читателей
Полный профиль
Анна Макарова - Антон, добрый день! Ваш сайт не попал в основную выборку для юзабилити-анализа, но эксперты постараются сделать по вашему сайту видеоразбор (ю-ревью). Будем держать вас в курсе )
Тест по SEO – проверь свой уровень знаний
Артем Дорофеев
8
комментариев
0
читателей
Полный профиль
Артем Дорофеев - Полный текст вопроса со скриншотом панели прикладываю. Итого, что имеем: - на скриншоте отмечено, что это фильтр МПК - сайт коммерческий - рекламы на сайте нет С вероятностью 95% это ошибка (которая уже дважды случалась в Яндексе), когда они случайно "закосили" неповинные сайты. Тогда по запросу Платону фильтр быстренько снимали. Но вопрос даже не на знание этого нюанса. В любой непонятной ситуации, прежде чем что-либо предпринимать (особенно переписывать весь контент на сайте или менять дизайн, как указано в других вариантах) - фильтр следует подтвердить. Правильный ответ: "Написать письмо в техподдержку Яндекса".
Кейс: как за 30 дней вывести новый сайт в ТОП выдачи Google
Сергей
2
комментария
0
читателей
Полный профиль
Сергей - Прошёл у Паши курс год назад, пытался продвигать свой сайт portativ.org.ua, но особых продвижений нет. Наверное сео уже умерло??
Выбираем CMS для сайта с точки зрения SEO: базовые требования
SEO.RU
6
комментариев
0
читателей
Полный профиль
SEO.RU - Спасибо за замечание, действительно была допущена неточность - возможно информация была не так давно обновилась. Данные в статье поправим на актуальные.
Digital-marketing: как выжить в кризис. Опыт реальной компании
Maks
1
комментарий
0
читателей
Полный профиль
Maks - Спасибо за опыт Вашей компании, Иван Папусь. Интересно получилось! Желаю Вашему бизнесу стабильности и успешно пережить все кризисы))
100+ ресурсов по SEO для изучения поисковой оптимизации с нуля
Марина Ибушева
0
комментариев
0
читателей
Полный профиль
Марина Ибушева - Спасибо за добавление. Мы уже работаем над отдельным материалом про курсы, потому что одной статьи мало, чтобы охватить все крутое по обучению)
SEO must go on! Почему в кризис нельзя останавливать продвижение сайта
everystraus
43
комментария
0
читателей
Полный профиль
everystraus - Мы даже варианты не рассматривали. Если проект неустойчив, сразу предлагали сбавить обороты до минимума, но и так, чтоб не свалиться в штопор. Именно по СЕО чаще всего.
Как стандартизировать данные семантики с помощью логарифмов
Юлий
1
комментарий
0
читателей
Полный профиль
Юлий - Чем снималась коммерцелизация?
Гайд по работе с освобождающимися доменами: перехват, восстановление, создание сетки и заработок
Daniel Dan
1
комментарий
0
читателей
Полный профиль
Daniel Dan - Интересно и полезно читать, Спасибо!
Платные и бесплатные курсы по SEO и интернет-маркетингу для новичков и опытных специалистов
Алексей Терещенко
1
комментарий
0
читателей
Полный профиль
Алексей Терещенко - Запустил бесплатный марафон для SEO специалистов с нуля в Фейсбуке. Рекомендую начинать совой путь с него и дальше уже определятся, нравится направление или нет. Так же на базе обучающего марафона есть сообщестово в котором все в удобном формате общаются и постигают профессию. Моя миссия - создать сообщество крутых и образованых seo специалистов и поднять качество услуг на высокий уровень. Кому интересно, присоеденяйтесь www.facebook.com/groups/startseofree/
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
381
Комментариев
373
Комментариев
262
Комментариев
249
Комментариев
171
Комментариев
156
Комментариев
141
Комментариев
121
Комментариев
113
Комментариев
97
Комментариев
97
Комментариев
96
Комментариев
89
Комментариев
80
Комментариев
77
Комментариев
67
Комментариев
60
Комментариев
60
Комментариев
59
Комментариев
57

Отправьте отзыв!
Отправьте отзыв!