HOW2.work

ホーム 紐を切る ストリーミングサービス 入力したものすべてを記録する 400 以上のサイトを停止する方法: セッション再生スクリプトを使用するすべてのサイトの完全なリスト

入力したものすべてを記録する 400 以上のサイトを停止する方法: セッション再生スクリプトを使用するすべてのサイトの完全なリスト

in
セッション リプレイ スクリプトと、それによって 400 以上の Web サイトがユーザーのすべてのキーストロークとマウス クリックを追跡できるようにする方法に関するニュースを読んで、当然のことながら心配しています。このニュースをまだチェックしていない方のために説明すると、プリンストン大学情報技術政策センター (CITP) の研究者は、テレグラフや BBC グッド フードなど、世界で最も人気のある Web サイト 400 が、ユーザーのすべてを追跡できるコードを実行していることを発見しました。 Web サイトに入力します。これは、ユーザーの知らないうちに、または明示的な同意なしに、ユーザーの情報がサードパーティのサーバーによって取得され、使用されていることを意味します。
Web サイトがユーザーのアクティビティを記録して製品をリマーケティングできることは、何も新しいことではないと考えているかもしれませんが、実際はそうではありません。ただし、この例では、セッション リプレイ スクリプトは、クリックして購入することを決めたものだけではなく、はるかに広範囲に影響を及ぼします。
ここでは、世界で最もトラフィックの多い Web サイトのいくつかでは、サイト検索やアシスタントとのテキスト チャットなど、ユーザーが行うすべてのキーストロークを記録しています。電子メール アドレス、電話番号、または個人情報をフォームに入力し始めた後で、入力をやめたとしても、それらのサイトにはすでに必要な情報が用意されています。
ありがたいことに、これらのサイトやセッション リプレイ スクリプト全体から身を守る方法があります。 CITP の調査の一環として、セッション リプレイ スクリプトを使用していることが判明したすべてのサイトの検索可能なリストがリリースされました。また、そのサイトがあなたの情報をサードパーティのサーバーに送信しているかどうかも簡単に教えてくれます。

セッションリプレイスクリプトをブロックする方法:

セッション リプレイ スクリプトを回避する最も簡単な方法は、CITP の検索可能なリストにアクセスし、それらのサイトの使用を積極的に避けることです。ブラウジングの習慣を変える必要があるかもしれませんが、おそらくその方が良いでしょう。
ブラウジングの習慣を変えたくない場合は、私はあなたを責めませんが、AdBlock Plus を使用できます。 AdBlock Plus は、Alphr などのほとんどの出版物がページ訪問者から得ている収益の 99% を奪ってしまいますが、現在は AdBlock Plus 自体が更新され、CITP によってリストされている 487 サイトのセッション リプレイ スクリプトを停止します。 AdBlock Plus の料金を支払う必要があります。他のコンテンツへの支払いを停止するために何かにお金を払うのは少し奇妙に思えますが、機能します。
session_replay_script_snooping

発見の経緯 400以上のサイトがセッションリプレイスクリプトを使用して情報を収集している

長年にわたり、キーロガーは、PC に侵入する危険なダウンロードやスパイウェアの代名詞でした。現在、このテクノロジーははるかに普及し、一般的になり、考えられる限り最も侵入的な方法の 1 つで使用されているようです。
プリンストン大学情報技術政策センター (CITP) の調査により、The Telegraph や BBC Good Food を含む 400 の最も人気のある Web サイトで、ユーザーの知らないうちに、または明示的な同意なしに入力内容をすべて追跡できるコードが実行されていることが判明しました。
さらに心配なのは、キーストロークと、入力して削除した情報を含むデータがサードパーティのサーバーに送信されていることです。
Motherboard が指摘しているように、これは Facebook がユーザーの不完全なステータス更新に対して行っていたことと同様の状況です。 2013年、Facebookが発言内容を記録し、投稿が公開される前に削除されていたことが明らかになり、人々は激怒した。しかし今では、これらの著名なウェブサイトがすべて、あなたが何を書いたり、クリックしたりしているのかを監視しているため、私たちはそれが起こっていることにほとんど気づいていません。
次を読む: Facebook があなたについて知っているすべてを確認する方法は次のとおりです
このようなキーストローク ログ サービスを使用していることが判明したサイトに対して公平を期すために言えば、実際にはこの情報を取得することは彼らの意図ではありません。代わりに、これは「セッション リプレイ スクリプト」と呼ばれるものを使用したことの直接的な結果です。これらの Web スクリプトは、エンゲージメントを追跡し、サイト所有者に Web サイト内の訪問者の移動を改善する方法を通知する UX デザインに使用されます。残念ながら、これらのスクリプトは事実上すべてを記録し、分析するために送信します。
研究チームが言うように、「匿名性が保たれることが合理的に期待できない」ことがわかると事態はさらに悪化します。 Motherboard の説明によると、そのようなセッション リプレイ スクリプト作成会社の 1 つである FullStory は、実際にサイト所有者にリンクされた追跡情報を提供しています。特定のユーザーが誰であるかを確認し、入力内容を含むサイト全体のアクティビティをリアルタイムで振り返ることができます。
FullStory のセッション リプレイ スクリプトで何ができるかを示すビデオは次のとおりですが、セッション リプレイ スクリプトを開発している他の多くの企業も同様のことを行っています。
https://youtube.com/watch?v=l0Yc8s0DTZA
研究者らは、市場で最も人気のあるセッション リプレイ会社 7 社を調査し、一連のテスト ページで製品をテストすることで調査を実施しました。その結果、これらのスクリプトの少なくとも 1 つが、Alexa ランキングで分類された世界の上位 50,000 サイトのうち 482 サイトで使用されていることを発見しました。
研究投稿「境界なし: セッション リプレイ スクリプトによる個人データの抽出」の一環として、プリンストン大学のチームは、スクリプトを使用したサイトのリストを発表しましたが、そのような記録を第三者に送信したことが確認されているサイトのみでした。パーティー。
サイトのリストを見ると、かなり心配な犯人がいます。ざっと見ただけで、Wordpress.com、Microsoft.com、Adobe.com、Spotify.com がすべてこれらの追跡スクリプトを使用していることがわかります。 Telegraph の Web サイトも、BBC Good Food とともに追跡の犯人です。ありがたいことに、これらのサイトは単にソフトウェアを使用する以上のことをしているサイトにはリストされておらず、実際にデータを記録してサードパーティに送信していると思われるサイトは奇妙な組み合わせのようで、ロシアの検索ウェブサイト Yandex が先頭に立っている。
続きを読む: セキュリティとプライバシーは常に不完全なバランスをとるものです
奇妙なことに、HP 自身の Web サイトは、Atlassian、Xfinity、Comcast とともにデータを送信するものとしてリストされていました。
このデータを送信する多くの企業は、機密情報を削除するための編集サービスも提供していますが、提供していない企業もたくさんあります。情報が公共の場に漏洩すると、プライバシーに重大な影響を与える可能性があります。
「サードパーティの再生スクリプトによるページコンテンツの収集により、ページに表示される病状、クレジットカードの詳細、その他の個人情報などの機密情報が記録の一部としてサードパーティに漏洩する可能性がある」と研究者らは書いている。彼らの投稿。
プライバシー監視
研究者らは、たとえ部分的であっても、個人情報とパスワードは通常、いかなる編集ソフトウェアでもすり抜けてしまうことを指摘しました。興味深いことに、セッション リプレイ スクリプト プロバイダーである UserReplay と SessionCam は両方とも、ユーザーが入力する前にどこをクリックしたかを追跡することで、情報を完全にブロックします。ただし、サイトのアカウント ページへのログインなど、情報がデフォルトで画面に表示される場合、個人データは編集されないままになります。
ほとんどの場合、それで問題ありません。しかし、米国の薬局チェーン Walgreens などのサイトがデフォルトでユーザー ページに過去の病状や処方箋をリストすると、その情報すべてが悪者の手に簡単に渡ってしまう可能性があります。
次を読む: 学生はキーロガーを使用して成績を 90 回以上変更しました
それがどのくらいの確率で起こるのか疑問に思っているなら、実際には事態はさらに悪化していることがわかります。投稿で述べたように、研究者らは、これらのセッション追跡企業が実際に標的型ハッキングに対して脆弱な立場にあることを発見しました。価値の高いターゲットであるだけでなく、クライアントが使用する分析ダッシュボードの多くは、HTTPS ページではなく、暗号化されていない HTTP ページで実行されます。
HTTP over HTTPS を使用することで、「これにより、アクティブな中間者が再生ページにスクリプトを挿入し、すべての録画データを抽出することが可能になります」と研究者らは説明しました。
HTTP を使用すると、アクティブな中間者がすべての録音データを抽出できます。
このレポートが発表されて以来、セッション リプレイ スクリプトを使用しているいくつかのサイトと、セッション リプレイ スクリプトの作成を担当するベンダーがこの問題についてコメントしています。多くの回答は、多くのサイトがこれらの仕組みを十分に認識していないため、そのようなサービスを停止するか、ユーザーデータを安全に保つために改善することを検討していることを示しています。開発側では、この問題について発言した数少ない企業のうち、SessionCam が懸念事項を概説するブログ投稿を提供し、セキュリティとプライバシーが最大の関心事であることをユーザーに安心させました。
次を読む: クラウド ストレージ サービスはどの程度安全ですか?
SessionCam は、少なくともユーザーのプライバシーの観点からは、実際にはセッション リプレイ スクリプトの最も安全なプロバイダーであるため、この投稿は、同社がユーザー データの安全を守ることに全力を尽くしていることをむしろ安心させるものです。
関連項目を参照
「SessionCam の全員が、『ユーザー エクスペリエンスの向上はパブリッシャーにとって重要な課題である』という CITP の結論を支持することができます。ただし、ユーザーのプライバシーを犠牲にしてはいけません。」とSessionCamは書いています。 「SessionCam のチーム全体がこれらの価値観を毎日実践しています。ウェブサイト訪問者のプライバシーとデータのセキュリティは、当社にとって最も重要です。
「問題を提起し、疑問を検討してくれたCITPに感謝しています。今後もより強力なセキュリティを提供し、お客様とその顧客に必要な安心感を提供できるよう取り組んでまいります。」
これらのセッション リプレイ スクリプトを防ぐ 1 つの方法は、AdBlock Plus をインストールすることです。以前はこれらの少数のトラッカーからユーザーを保護していましたが、プリンストン大学の調査を受けて、研究者の投稿にリストされているすべてのスクリプトからユーザーを保護するように更新されました。

「入力したものすべてを記録する 400 以上のサイトを停止する方法: セッション再生スクリプトを使用するすべてのサイトの完全なリスト」に関するベスト動画選定!

繰り返し処理の終了条件設定
[ClickerAce] 操作記録を追加または削除するには
セッション リプレイ スクリプトと、それによって 400 以上の Web サイトがユーザーのすべてのキーストロークとマウス クリックを追跡できるようにする方法に関するニュースを読んで、当然のことながら心配しています。このニュースをまだチェックしていない方のために説明すると、プリンストン大学情報技術政策センター (CITP) の研究者は、テレグラフや BBC グッド フードなど、世界で最も人気のある Web サイト 400 が、ユーザーのすべてを追跡できるコードを実行していることを発見しました。 Web サイトに入力します。これは、ユーザーの知らないうちに、または明示的な同意なしに、ユーザーの情報がサードパーティのサーバーによって取得され、使用されていることを意味します。
Web サイトがユーザーのアクティビティを記録して製品をリマーケティングできることは、何も新しいことではないと考えているかもしれませんが、実際はそうではありません。ただし、この例では、セッション リプレイ スクリプトは、クリックして購入することを決めたものだけではなく、はるかに広範囲に影響を及ぼします。
ここでは、世界で最もトラフィックの多い Web サイトのいくつかでは、サイト検索やアシスタントとのテキスト チャットなど、ユーザーが行うすべてのキーストロークを記録しています。電子メール アドレス、電話番号、または個人情報をフォームに入力し始めた後で、入力をやめたとしても、それらのサイトにはすでに必要な情報が用意されています。
ありがたいことに、これらのサイトやセッション リプレイ スクリプト全体から身を守る方法があります。 CITP の調査の一環として、セッション リプレイ スクリプトを使用していることが判明したすべてのサイトの検索可能なリストがリリースされました。また、そのサイトがあなたの情報をサードパーティのサーバーに送信しているかどうかも簡単に教えてくれます。

セッションリプレイスクリプトをブロックする方法:

セッション リプレイ スクリプトを回避する最も簡単な方法は、CITP の検索可能なリストにアクセスし、それらのサイトの使用を積極的に避けることです。ブラウジングの習慣を変える必要があるかもしれませんが、おそらくその方が良いでしょう。
ブラウジングの習慣を変えたくない場合は、私はあなたを責めませんが、AdBlock Plus を使用できます。 AdBlock Plus は、Alphr などのほとんどの出版物がページ訪問者から得ている収益の 99% を奪ってしまいますが、現在は AdBlock Plus 自体が更新され、CITP によってリストされている 487 サイトのセッション リプレイ スクリプトを停止します。 AdBlock Plus の料金を支払う必要があります。他のコンテンツへの支払いを停止するために何かにお金を払うのは少し奇妙に思えますが、機能します。
session_replay_script_snooping

発見の経緯 400以上のサイトがセッションリプレイスクリプトを使用して情報を収集している

長年にわたり、キーロガーは、PC に侵入する危険なダウンロードやスパイウェアの代名詞でした。現在、このテクノロジーははるかに普及し、一般的になり、考えられる限り最も侵入的な方法の 1 つで使用されているようです。
プリンストン大学情報技術政策センター (CITP) の調査により、The Telegraph や BBC Good Food を含む 400 の最も人気のある Web サイトで、ユーザーの知らないうちに、または明示的な同意なしに入力内容をすべて追跡できるコードが実行されていることが判明しました。
さらに心配なのは、キーストロークと、入力して削除した情報を含むデータがサードパーティのサーバーに送信されていることです。
Motherboard が指摘しているように、これは Facebook がユーザーの不完全なステータス更新に対して行っていたことと同様の状況です。 2013年、Facebookが発言内容を記録し、投稿が公開される前に削除されていたことが明らかになり、人々は激怒した。しかし今では、これらの著名なウェブサイトがすべて、あなたが何を書いたり、クリックしたりしているのかを監視しているため、私たちはそれが起こっていることにほとんど気づいていません。
次を読む: Facebook があなたについて知っているすべてを確認する方法は次のとおりです
このようなキーストローク ログ サービスを使用していることが判明したサイトに対して公平を期すために言えば、実際にはこの情報を取得することは彼らの意図ではありません。代わりに、これは「セッション リプレイ スクリプト」と呼ばれるものを使用したことの直接的な結果です。これらの Web スクリプトは、エンゲージメントを追跡し、サイト所有者に Web サイト内の訪問者の移動を改善する方法を通知する UX デザインに使用されます。残念ながら、これらのスクリプトは事実上すべてを記録し、分析するために送信します。
研究チームが言うように、「匿名性が保たれることが合理的に期待できない」ことがわかると事態はさらに悪化します。 Motherboard の説明によると、そのようなセッション リプレイ スクリプト作成会社の 1 つである FullStory は、実際にサイト所有者にリンクされた追跡情報を提供しています。特定のユーザーが誰であるかを確認し、入力内容を含むサイト全体のアクティビティをリアルタイムで振り返ることができます。
FullStory のセッション リプレイ スクリプトで何ができるかを示すビデオは次のとおりですが、セッション リプレイ スクリプトを開発している他の多くの企業も同様のことを行っています。
https://youtube.com/watch?v=l0Yc8s0DTZA
研究者らは、市場で最も人気のあるセッション リプレイ会社 7 社を調査し、一連のテスト ページで製品をテストすることで調査を実施しました。その結果、これらのスクリプトの少なくとも 1 つが、Alexa ランキングで分類された世界の上位 50,000 サイトのうち 482 サイトで使用されていることを発見しました。
研究投稿「境界なし: セッション リプレイ スクリプトによる個人データの抽出」の一環として、プリンストン大学のチームは、スクリプトを使用したサイトのリストを発表しましたが、そのような記録を第三者に送信したことが確認されているサイトのみでした。パーティー。
サイトのリストを見ると、かなり心配な犯人がいます。ざっと見ただけで、Wordpress.com、Microsoft.com、Adobe.com、Spotify.com がすべてこれらの追跡スクリプトを使用していることがわかります。 Telegraph の Web サイトも、BBC Good Food とともに追跡の犯人です。ありがたいことに、これらのサイトは単にソフトウェアを使用する以上のことをしているサイトにはリストされておらず、実際にデータを記録してサードパーティに送信していると思われるサイトは奇妙な組み合わせのようで、ロシアの検索ウェブサイト Yandex が先頭に立っている。
続きを読む: セキュリティとプライバシーは常に不完全なバランスをとるものです
奇妙なことに、HP 自身の Web サイトは、Atlassian、Xfinity、Comcast とともにデータを送信するものとしてリストされていました。
このデータを送信する多くの企業は、機密情報を削除するための編集サービスも提供していますが、提供していない企業もたくさんあります。情報が公共の場に漏洩すると、プライバシーに重大な影響を与える可能性があります。
「サードパーティの再生スクリプトによるページコンテンツの収集により、ページに表示される病状、クレジットカードの詳細、その他の個人情報などの機密情報が記録の一部としてサードパーティに漏洩する可能性がある」と研究者らは書いている。彼らの投稿。
プライバシー監視
研究者らは、たとえ部分的であっても、個人情報とパスワードは通常、いかなる編集ソフトウェアでもすり抜けてしまうことを指摘しました。興味深いことに、セッション リプレイ スクリプト プロバイダーである UserReplay と SessionCam は両方とも、ユーザーが入力する前にどこをクリックしたかを追跡することで、情報を完全にブロックします。ただし、サイトのアカウント ページへのログインなど、情報がデフォルトで画面に表示される場合、個人データは編集されないままになります。
ほとんどの場合、それで問題ありません。しかし、米国の薬局チェーン Walgreens などのサイトがデフォルトでユーザー ページに過去の病状や処方箋をリストすると、その情報すべてが悪者の手に簡単に渡ってしまう可能性があります。
次を読む: 学生はキーロガーを使用して成績を 90 回以上変更しました
それがどのくらいの確率で起こるのか疑問に思っているなら、実際には事態はさらに悪化していることがわかります。投稿で述べたように、研究者らは、これらのセッション追跡企業が実際に標的型ハッキングに対して脆弱な立場にあることを発見しました。価値の高いターゲットであるだけでなく、クライアントが使用する分析ダッシュボードの多くは、HTTPS ページではなく、暗号化されていない HTTP ページで実行されます。
HTTP over HTTPS を使用することで、「これにより、アクティブな中間者が再生ページにスクリプトを挿入し、すべての録画データを抽出することが可能になります」と研究者らは説明しました。
HTTP を使用すると、アクティブな中間者がすべての録音データを抽出できます。
このレポートが発表されて以来、セッション リプレイ スクリプトを使用しているいくつかのサイトと、セッション リプレイ スクリプトの作成を担当するベンダーがこの問題についてコメントしています。多くの回答は、多くのサイトがこれらの仕組みを十分に認識していないため、そのようなサービスを停止するか、ユーザーデータを安全に保つために改善することを検討していることを示しています。開発側では、この問題について発言した数少ない企業のうち、SessionCam が懸念事項を概説するブログ投稿を提供し、セキュリティとプライバシーが最大の関心事であることをユーザーに安心させました。
次を読む: クラウド ストレージ サービスはどの程度安全ですか?
SessionCam は、少なくともユーザーのプライバシーの観点からは、実際にはセッション リプレイ スクリプトの最も安全なプロバイダーであるため、この投稿は、同社がユーザー データの安全を守ることに全力を尽くしていることをむしろ安心させるものです。
関連項目を参照
「SessionCam の全員が、『ユーザー エクスペリエンスの向上はパブリッシャーにとって重要な課題である』という CITP の結論を支持することができます。ただし、ユーザーのプライバシーを犠牲にしてはいけません。」とSessionCamは書いています。 「SessionCam のチーム全体がこれらの価値観を毎日実践しています。ウェブサイト訪問者のプライバシーとデータのセキュリティは、当社にとって最も重要です。
「問題を提起し、疑問を検討してくれたCITPに感謝しています。今後もより強力なセキュリティを提供し、お客様とその顧客に必要な安心感を提供できるよう取り組んでまいります。」
これらのセッション リプレイ スクリプトを防ぐ 1 つの方法は、AdBlock Plus をインストールすることです。以前はこれらの少数のトラッカーからユーザーを保護していましたが、プリンストン大学の調査を受けて、研究者の投稿にリストされているすべてのスクリプトからユーザーを保護するように更新されました。

「入力したものすべてを記録する 400 以上のサイトを停止する方法: セッション再生スクリプトを使用するすべてのサイトの完全なリスト」に関するベスト動画選定!

繰り返し処理の終了条件設定
[ClickerAce] 操作記録を追加または削除するには

最新記事一覧