เว็บไซต์ชั้นนำของโลกหลายร้อยแห่งติดตามการกดแป้นพิมพ์ การเคลื่อนไหวของเมาส์ และการป้อนข้อมูลของผู้ใช้ในแบบฟอร์มเว็บทุกครั้ง แม้กระทั่งก่อนที่จะส่งหรือละทิ้งในภายหลัง ผลการศึกษา จากนักวิจัยที่มหาวิทยาลัยพรินซ์ตัน
และมีผลข้างเคียงที่น่ารังเกียจ นั่นคือ ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ เช่น ข้อมูลทางการแพทย์ รหัสผ่าน และรายละเอียดบัตรเครดิต อาจถูกเปิดเผยเมื่อผู้ใช้ท่องเว็บ โดยที่พวกเขาไม่รู้ว่าบริษัทต่างๆ กำลังติดตามพฤติกรรมการท่องเว็บของพวกเขา เป็นสถานการณ์ที่น่าเตือนทุกคนที่ใส่ใจเกี่ยวกับความเป็นส่วนตัวของพวกเขา
นักวิจัยของ Princeton พบว่าเป็นการยากที่จะแก้ไขข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้จากบันทึกพฤติกรรมการท่องเว็บ แม้กระทั่งในบางกรณีเมื่อผู้ใช้เปิดการตั้งค่าความเป็นส่วนตัว เช่น Do Not Track.
พื้นที่ พบการวิจัย ธุรกิจหลายร้อยแห่งใช้บริการติดตามบุคคลที่สามเพื่อตรวจสอบว่าผู้ใช้นำทางเว็บไซต์ของตนอย่างไร สิ่งนี้พิสูจน์ให้เห็นว่ามีความท้าทายมากขึ้นเรื่อยๆ เนื่องจากมีบริษัทต่างๆ เพิ่มมากขึ้นเรื่อยๆ ในการรักษาความปลอดภัยและเปลี่ยนไซต์ของพวกเขาไปที่ หน้า HTTPS ที่เข้ารหัส.
เพื่อแก้ไขปัญหานี้ สคริปต์เล่นซ้ำเซสชันจะถูกปรับใช้เพื่อตรวจสอบพฤติกรรมของอินเทอร์เฟซผู้ใช้บนเว็บไซต์เป็นลำดับของเหตุการณ์ที่ประทับเวลา เช่น การเคลื่อนไหวของแป้นพิมพ์และเมาส์ แต่ละเหตุการณ์เหล่านี้จะบันทึกพารามิเตอร์เพิ่มเติม - ระบุการกดแป้นพิมพ์ (สำหรับเหตุการณ์แป้นพิมพ์) และพิกัดหน้าจอ (สำหรับเหตุการณ์การเคลื่อนไหวของเมาส์) - ในขณะที่มีการโต้ตอบ เมื่อเชื่อมโยงกับเนื้อหาของเว็บไซต์และที่อยู่เว็บ ลำดับเหตุการณ์ที่บันทึกไว้นี้สามารถเล่นซ้ำได้โดยเบราว์เซอร์อื่นที่เรียกฟังก์ชันที่กำหนดโดยเว็บไซต์
สิ่งนี้หมายความว่าบุคคลที่สามสามารถเห็นได้ เช่น ผู้ใช้ป้อนรหัสผ่านลงในแบบฟอร์มออนไลน์ ซึ่งเป็นการละเมิดความเป็นส่วนตัวที่ชัดเจน เว็บไซต์ที่จ้างบริษัทวิเคราะห์บุคคลที่สามเพื่อบันทึกและเล่นซ้ำพฤติกรรมดังกล่าว พวกเขาโต้เถียงกันในนามของ “การยกระดับประสบการณ์ผู้ใช้” ยิ่งพวกเขารู้ว่าผู้ใช้ของพวกเขาเป็นอย่างไร ก็ยิ่งให้ข้อมูลที่ตรงเป้าหมายได้ง่ายขึ้นเท่านั้น
แม้ว่าจะไม่ใช่ข่าวที่บริษัทต่างๆ กำลังติดตามพฤติกรรมของเราในขณะที่เราท่องเว็บ แต่ความจริงที่ว่าสคริปต์ถูกนำไปใช้อย่างเงียบๆ เพื่อบันทึกเซสชันของเบราว์เซอร์แต่ละรายการในลักษณะนี้ ทำให้ Steven Englehardt ผู้เขียนร่วมการศึกษาซึ่งเป็นผู้สมัครระดับปริญญาเอกที่ Princeton รู้สึกกังวล .
การสาธิตการเล่นซ้ำของผู้ใช้เว็บไซต์
{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}
“การรวบรวมเนื้อหาของหน้าโดยสคริปต์เล่นซ้ำของบุคคลที่สามอาจทำให้ข้อมูลที่ละเอียดอ่อน เช่น เงื่อนไขทางการแพทย์ รายละเอียดบัตรเครดิต และข้อมูลส่วนบุคคลอื่น ๆ ที่แสดงบนหน้า รั่วไหลไปยังบุคคลที่สามซึ่งเป็นส่วนหนึ่งของการบันทึก” เขาเขียน. “สิ่งนี้อาจทำให้ผู้ใช้ถูกขโมยข้อมูลประจำตัว การหลอกลวงทางออนไลน์ และพฤติกรรมที่ไม่ต้องการอื่นๆ เช่นเดียวกับการรวบรวมอินพุตของผู้ใช้ระหว่างขั้นตอนการชำระเงินและการลงทะเบียน”
การบันทึกการกดแป้นพิมพ์ของเว็บไซต์เป็นปัญหาที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ทราบมาระยะหนึ่งแล้ว และการศึกษาเชิงประจักษ์ของพรินซ์ตันทำให้เกิดข้อกังวลที่ถูกต้องเกี่ยวกับผู้ใช้ที่มีการควบคุมพฤติกรรมการท่องเว็บเพียงเล็กน้อยหรือไม่มีเลยซึ่งถูกบันทึกในลักษณะนี้
ดังนั้นจึงเป็นสิ่งสำคัญที่จะช่วยให้ผู้ใช้ควบคุมวิธีการแบ่งปันข้อมูลทางออนไลน์ แต่มีสัญญาณของความสามารถในการใช้งานที่เพิ่มขึ้นซึ่งส่งผลต่อมาตรการรักษาความปลอดภัยที่ออกแบบมาเพื่อให้ข้อมูลของเราปลอดภัยทางออนไลน์
การใช้งาน vs ความปลอดภัย
ผู้จัดการรหัสผ่านถูกใช้โดยผู้คนนับล้านเพื่อช่วยให้พวกเขาบันทึกรหัสผ่านที่แตกต่างกันสำหรับไซต์ต่างๆ ได้อย่างง่ายดาย ผู้ใช้บริการดังกล่าวต้องจำรหัสผ่านคีย์เดียวเท่านั้น
เมื่อเร็ว ๆ นี้ กลุ่มนักวิจัย ที่ University of Derby และ Open University พบว่าไคลเอนต์ออฟไลน์ของบริการจัดการรหัสผ่านมีความเสี่ยงที่จะเปิดเผยรหัสผ่านของคีย์หลักเมื่อจัดเก็บเป็นข้อความธรรมดาในหน่วยความจำที่อาจถูกดมกลิ่นหรือทิ้งโดยการโจมตีทั้งระบบ
ประสบการณ์ของผู้ใช้ไม่ใช่ข้ออ้างในการทนต่อข้อบกพร่องด้านความปลอดภัย
ประสบการณ์ของผู้ใช้ไม่ใช่ข้ออ้างในการทนต่อข้อบกพร่องด้านความปลอดภัยเกี่ยวกับผู้เขียน
Yijun Yu อาจารย์อาวุโส ภาควิชาคอมพิวเตอร์และการสื่อสาร มหาวิทยาลัยเปิด
บทความนี้ถูกเผยแพร่เมื่อวันที่ สนทนา. อ่าน บทความต้นฉบับ.
หนังสือที่เกี่ยวข้อง:
at ตลาดภายในและอเมซอน
