Script på webbsidor som loggar användarmönster läcker känslig information

Att använda olika former av javascript som loggar hur en webb-besökare rör sin mus eller vad hen fyller i formulär blir allt vanligare. Av världens topp 50000 sajter så använder 482 st någon form av användarloggning från tjänster såsom , , , , , eller .

Dock har ny forskning visat på att dessa tjänster loggar lite väl mycket information på webbsidorna där dessa finns installerade.

Det var när forskarna Steven Englehardt, Gunes Acar och Arvind Narayanan vid Princeton University började att analysera vad som verkligen skickades iväg som de fann något intressant.

Denna tabell visar på vilken leverantör som skickar vilken typ av känslig information vidare till sig från sidan där scriptet är installerat:


Fylld cirkel: Data är exkluderad; Halvfull cirkel: maskar innehållet men längden finns kvar; Tom cirkel: Data skickas i klartext
* UserReplay skickar 4 sista siffrorna i kreditkortet i klartext
† Hotjar maskerar adressen i adressfält

Och för att förevisa bättre hur läckaget uppstår så kan du se följande bild där Fullstory är installerad på populära sajten Bonobos:

Samtliga nuvarande lösningar brister på flera sätt, därför rekommenderar studenterna vid Princeton följande:

A safer approach would be to mask or redact all inputs by default, as is done by UserReplay and SessionCam, and allow whitelisting of known-safe values. Even fully masked inputs provide imperfect protection. For example, the masking used by UserReplay and Smartlook leaks the length of the user’s password.

Vidare så läcker exempelvis läkemedelsavdelningen på Walgreens.com information om vilka läkemedel eller åkommor en webb-besökare uppger genom att använda denna typ av tjänst/script.

Hur ser det ut på svenska webbsidor?

Källa

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1889848 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>