Centinaia dei migliori siti Web del mondo tracciano regolarmente le battute di ogni utente, il movimento del mouse e l'input in un modulo Web, anche prima che venga inviato o successivamente abbandonato, in base alla risultati di uno studio dai ricercatori della Princeton University.

E c'è un brutto effetto collaterale: dati personali identificabili, come informazioni mediche, password e dettagli della carta di credito, potrebbero essere rivelati quando gli utenti navigano sul Web - senza che loro sappiano che le aziende stanno monitorando il loro comportamento di navigazione. È una situazione che dovrebbe allarmare chiunque si preoccupi della loro privacy.

I ricercatori di Princeton hanno scoperto che era difficile redigere informazioni di identificazione personale dai record di comportamento di navigazione - anche, in alcuni casi, quando gli utenti hanno attivato impostazioni di privacy come Do Not Track.

I ricerca trovata i servizi di tracciamento di terze parti sono utilizzati da centinaia di aziende per monitorare il modo in cui gli utenti navigano nei loro siti web. Questo sta dimostrando di essere sempre più impegnativo in quanto sempre più aziende rafforzano la sicurezza e spostano i loro siti verso pagine HTTPS crittografate.

Per ovviare a questo problema, gli script di riproduzione della sessione vengono distribuiti per monitorare il comportamento dell'interfaccia utente sui siti Web come una sequenza di eventi con timestamp, come movimenti della tastiera e del mouse. Ognuno di questi eventi registra parametri aggiuntivi - indicando le sequenze di tasti (per gli eventi della tastiera) e le coordinate dello schermo (per gli eventi di movimento del mouse) - al momento dell'interazione. Se associato al contenuto di un sito Web e di un indirizzo Web, questa sequenza di eventi registrati può essere riprodotta esattamente da un altro browser che attiva le funzioni definite dal sito Web.

Ciò significa che una terza persona è in grado di vedere, ad esempio, un utente che inserisce una password in un modulo online, il che costituisce una chiara violazione della privacy. I siti Web che impiegano società di analisi di terze parti per registrare e riprodurre tali comportamenti sono, sostengono, nel nome di "migliorare l'esperienza utente". Più sanno che cosa cercano i loro utenti, più è facile fornire loro informazioni mirate.

Anche se non è una novità che le aziende monitorano il nostro comportamento mentre navighiamo sul Web, il fatto che gli script vengano implementati in modo discreto per registrare le singole sessioni del browser in questo modo ha riguardato il coautore dello studio, Steven Englehardt, che è un candidato al PhD a Princeton .

 Un utente del sito Web riproduce la demo in azione.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

"La raccolta di contenuti di pagine da script di riproduzione di terze parti può causare la divulgazione di informazioni sensibili, come condizioni mediche, dettagli della carta di credito e altre informazioni personali visualizzate su una pagina, a terze parti come parte della registrazione" ha scritto. "Ciò potrebbe esporre gli utenti a furti di identità, truffe online e altri comportamenti indesiderati. Lo stesso vale per la raccolta di input dell'utente durante i processi di checkout e registrazione. "

La registrazione di sequenze di tasti sui siti Web è stata un problema noto agli esperti di sicurezza informatica. E lo studio empirico di Princeton solleva valide preoccupazioni sugli utenti che hanno poco o nessun controllo sul fatto che il loro comportamento di navigazione venga registrato in questo modo.

Quindi è importante aiutare gli utenti a controllare in che modo le loro informazioni sono condivise online. Ma ci sono segni crescenti di usabilità che superano le misure di sicurezza che sono progettate per mantenere i nostri dati al sicuro online.

Usabilità vs sicurezza

I gestori di password sono utilizzati da milioni di persone per aiutarli a tenere facilmente un registro di password diverse per siti diversi. L'utente di tale servizio ha solo bisogno di memorizzare una password chiave.

Recentemente è stato costruito un gruppo di ricercatori presso l'Università di Derby e l'Open University hanno scoperto che i client offline dei servizi di gestione password erano a rischio di esporre la password della chiave principale quando venivano archiviati come testo normale nella memoria che poteva essere sniffata o scaricata dagli attacchi dell'intero sistema.

L'esperienza dell'utente non è una scusa per tollerare difetti di sicurezza.

Circa l'autore

Yijun Yu, Senior Lecturer, Department of Computing and Communications, L'Open University

Questo articolo è stato pubblicato in origine The Conversation. Leggi il articolo originale.

Libri correlati:

at InnerSelf Market e Amazon