Honderden populaire websites sturen toetsaanslagen door
Honderden populaire websites sturen toetsaanslagen, muisbewegingen, scrollgedrag en de inhoud van bezochte pagina's naar derde partijen door, zonder dat gebruikers dit weten, zo hebben onderzoekers van Princeton University ontdekt. De websites maken gebruik van zogeheten "session replay" scripts.
Deze scripts slaan het gedrag van de gebruiker op, zodat dit later kan worden bekeken. "Alsof iemand over je schouder meekijkt", aldus de onderzoekers. Het beoogde doel van dergelijke scripts is om inzicht te krijgen in hoe gebruikers de website gebruiken en verwarrende of niet meer bestaande pagina's te ontdekken. De hoeveelheid data die deze diensten verzamelen gaat volgens de onderzoekers veel verder dan gebruikers verwachten.
Het gaat dan bijvoorbeeld om de tekst in een formulier voordat die wordt verstuurd, alsmede precieze muisbewegingen. De onderzoekers merken op dat deze gegevens niet anoniem blijven. Sommige bedrijven laten uitgevers deze opnamen aan de echte identiteit van de gebruiker koppelen. Voor hun onderzoek keken de onderzoekers naar de zeven meest gebruikte replay-scripts, namelijk Yandex, FullStory, Hotjar, UserReplay, Smartlook, Clicktale en SessionCam. De scripts werden op 482 van de Alexa top 50.000 websites aangetroffen.
Datalek
De onderzoekers waarschuwen dat het verzamelen van gebruikersdata door replay-scripts ervoor kan zorgen dat gevoelige informatie lekt, zoals medische klachten, creditcardgegevens en andere persoonlijke informatie. De aanbieders van replay-scripts bieden wel tools om gevoelige informatie te filteren en verwijderen, maar de uitgever van de website moet hiervoor elke pagina doorlopen en controleren. Iets wat niet altijd wordt gedaan. Zo bleek tenminste één van de websites het wachtwoord in een registratieformulier naar een derde partij door te sturen, ook al werd het registratieformulier zelf nooit verstuurd.
Blokkeren
Ook gebruikers van adblockers lopen risico dat hun data wordt doorgestuurd. De twee populairste adblockerfilters, EasyList en EasyPrivacy, blijken de replay-scripts van FullStory, Smartlook en UserReplay niet te blokkeren. EasyPrivacy heeft wel filterregels die Yandex, Hotjar, ClickTale en SessionCam blokkeren. UserReplay biedt uitgevers de mogelijkheid om geen data te verzamelen van gebruikers die Do Not Track in hun browser hebben ingesteld. Geen van de Alexa top 1 miljoen uitgevers blijkt Do Not Track te respecteren. "Het verbeteren van de gebruikerservaring is een belangrijke taak van uitgevers. Het zou echter niet ten koste van de privacy mogen gaan", aldus de onderzoekers.
- Firefox browser dan? : Nee die garandeert ook niets standaard en je zal er voor onder de motorkap moeten : studie maken van een zeer uitgebreide lijst van DOM settings.
Bekenste usual suspects die me bijstaan, clipboardevents, idle time/observers, dom workers in het algemeen, accu en vibrating functies, keyboardevents?
Je kan het beter zelf opzoeken op een site die zich er al jaren in specialiseert.
https://www.ghacks.net/2015/08/18/a-comprehensive-list-of-firefox-privacy-and-security-settings/
Als je klaar bent na een uur of twee, geef je natuurlijk je browser netjes een andere naam : FireFixed
Leuke he dat mzzzl::lblahwahwah ?
Niet echt, dat heeft niets meer te maken met van alles en nog wat.
Op vele vlakken lapt het elke marktwet aan haar laars; luisteren naar de klant, niet misleiden, klantvriendelijk zijn, klanten niet met onnodig werk opschepen, ..
Tekst typen in een plaintxt editor kan natuurlijk ook, daarna pasten en vergeet met wachtwoorden dan niet even iets nieuws te kopieren, een spatie of zo opdat je wachtwoord niet meer in het geheugen geparkeerd blijft staan.
Zoals het nu gaat met alle Apps wordt het alleen maar steeds meer naar de client gebracht.
Dat komt omdat de uitvinder van dat alles zich flink voor het karretje laat spannen van allerhande lobbygroepen die iets willen met 'zijn' protocol. (Zoals DRM in HTML5 bijvoorbeeld).
2414 redhat.com clicktale.net evidence of session recording #nocomment
Ik ben ook een Linux aanhanger Neb en heb de pest aan Microsoft om vele redenen maar RedHat doet er ook vrolijk aan mee. Toch andere belangen blijkbaar dan de mensen die Linux echt een warm hart toedragen.
Zoals het nu gaat met alle Apps wordt het alleen maar steeds meer naar de client gebracht.
Was inderdaad zo gek nog niet behalve dat de servers regelmatig zwaar overbelast waren. Het idee is dat iedere client een beetje meehelpt. Alleen is het te ver doorgeschoten met te weinig beveiliging.
Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.
Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.
Hou aub op met dit soort onzin te verspreiden. Niemand zit te wachten op onzin-conspiracy crap.
Eigenlijk maakt het dus hier niet zo veel uit of we nu door de hond (Yandex (FSB)) of de kat ( clicktale dot net (NSA) worden gebeten. Iedereen zich wel eens afgevraagd waarom mensen op bepaalde zoekacties, bijvoorbeeld Raptor BGP, tor, tails, ?
linux, Immunant Selfrando extra onder de loep worden genomen? Potentiële extremisten, meneertje en die motten in beeld worden gebracht.
We zitten dus gevangen tussen de rots van de totale surveillance van grote mogendheden en de harde steen van de product profilering van de grote multinationale bedrijven en die techniek blijkt ook hier weer volledig ten dienste van deze steeds dystopischer wereld te worden gebruikt.
Wanneer is het eens een keer genoeg? Wanneer gaan we de boel weer echt veilig maken? Wanneer worden technisch weerbare mensen niet langer als "extremisten" beschouwd? Genoeg filosofische referentie, want dat helpt toch geen ene mallemoer. We zullen het echt zelf moeten doen.
Hier zie ik alleen maar waarschuwingen voorbij komen: https://privacyscore.org/site/17412/
en https://urlscan.io/result/106e10b5-1645-4fad-8e26-3d7c6bf5c073#summary
Bij zoeken op de laatste pagina urlscan/io krijg ik van Bitdefender TrafficLight nog een phishing alert toe ook.
Is zoveel mensen op de hoogte stellen van de ware aard van de infrastructuur een optie? Zou het wat uitmaken?
Hoeveel % van de ingeslapen massa, op de semi-automatische of volautomatische piloot opererend, zal het ene deuk uitmaken? En de heersers op Interwebs lachen zich de b*llen uit de broek.
Princeton maakt bekend, Princeton gaat verder met BGP injectie onderzoek om tor en tails verder te de-anonimiseren.
Princeton is horig aan de "forces that be". Net zo goed als Yandex.ru trouwens.
Trouwens die horigen zijn we allemaal geworden in zekere zin.
luntrus
Er zijn bergen geheime functies die aan geen enkele programmeur in welke taal dan ook beschikbaar zijn gesteld. En computers maken deel uit van iets veel groters.
Vertel...
Ooohhh Jaaa!! Om Bert Visscher maar eens te quoten: "Vertel vertel! Niet te snel, we schrijven mee! Desnoods leggen we geld toe!"
Of linkt je achtergrond verhaal over de bergen geheime functies toevallig naar Niburu - tussen het verhaal over de holle aarde en dat de maan van ijzer is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.