Taggat med: Clicktale

Script på webbsidor som loggar användarmönster läcker känslig information

Att använda olika former av javascript som loggar hur en webb-besökare rör sin mus eller vad hen fyller i formulär blir allt vanligare. Av världens topp 50000 sajter så använder 482 st någon form av användarloggning från tjänster såsom Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale eller SessionCam.

Dock har ny forskning visat på att dessa tjänster loggar lite väl mycket information på webbsidorna där dessa finns installerade.

Det var när forskarna Steven Englehardt, Gunes Acar och Arvind Narayanan vid Princeton University började att analysera vad som verkligen skickades iväg som de fann något intressant.

Denna tabell visar på vilken leverantör som skickar vilken typ av känslig information vidare till sig från sidan där scriptet är installerat:


Fylld cirkel: Data är exkluderad; Halvfull cirkel: maskar innehållet men längden finns kvar; Tom cirkel: Data skickas i klartext
* UserReplay skickar 4 sista siffrorna i kreditkortet i klartext
† Hotjar maskerar adressen i adressfält

Och för att förevisa bättre hur läckaget uppstår så kan du se följande bild där Fullstory är installerad på populära sajten Bonobos:

Samtliga nuvarande lösningar brister på flera sätt, därför rekommenderar studenterna vid Princeton följande:

A safer approach would be to mask or redact all inputs by default, as is done by UserReplay and SessionCam, and allow whitelisting of known-safe values. Even fully masked inputs provide imperfect protection. For example, the masking used by UserReplay and Smartlook leaks the length of the user’s password.

Vidare så läcker exempelvis läkemedelsavdelningen på Walgreens.com information om vilka läkemedel eller åkommor en webb-besökare uppger genom att använda denna typ av tjänst/script.

Hur ser det ut på svenska webbsidor?

Källa