Session replay, così i siti ci spiano

Grazie a script specifici registrano ogni mossa dei visitatori, compreso l'inserimento di password e dati sensibili.



[ZEUS News - www.zeusnews.it - 25-11-2017]

session replay

Che i siti web raccolgano statistiche sul comportamento dei visitatori è cosa nota e, entro certi limiti, normale.

Una ricerca condotta presso l'Università di Princeton, però, per alcuni siti questa pratica sta raggiungendo livelli tali da minacciare seriamente la privacy e la sicurezza degli utenti, a causa dell'uso di script che consentono il cosiddetto session replay.

In buona sostanza, tali script consentono di seguire ogni movimento del visitatore all'interno del sito, non limitandosi a tenere traccia delle pagine visitate: seguono anche i movimenti del cursore del mouse e anche i caratteri digitati da tastiera nelle varie form.

Nominalmente, questo modo di procedere ha il solo scopo di conoscere meglio il modo in cui gli utenti interagiscono con il sito e individuare eventuali pagine che non funzionano o che sono poco chiare, ma è evidente che gli effetti collaterali sono da prendere sul serio.

La possibilità che vengano carpiti password, numeri di carta di credito, informazioni bancarie e altri dati sensibili è chiaramente molto alta, e non può non essere considerata un problema, anche perché l'uso degli script che permettono il session replay è abbastanza diffuso anche tra i siti più importanti.

Sondaggio
Cosa pensi dei siti che conoscono la tua ubicazione e che ti mostrano annunci pubblicitari in base ai siti Internet che visiti o alla cronologia delle tue ricerche?
Mi piace! È molto comodo
Non mi piace molto questo meccanismo ma Internet funziona così
Utilizzo opzioni specifiche del browser per salvaguardare la mia privacy e per evitare che i miei movimenti vengano controllati
Ho installato una speciale applicazione o un plug-in per evitare che i siti Internet ottengano la mia cronologia di navigazione e le mie ricerche
È una questione che non mi ha mai interessato

Mostra i risultati (1567 voti)
Leggi i commenti (6)

I ricercatori di Princeton hanno individuato 482 siti, tra i 50.000 più popolari secondo la classifica di Alexa, che fanno uso di questa tecnica. Possono non sembrare molti, ma tra di essi ci sono siti che hanno milioni di visitatori.

L'elenco comprende infatti aziende come HP, Lenovo, Autodesk, Microsoft e Intel, ma anche Wordpress, Adobe e GoDaddy.

«Non abbiamo presentato questi esempi per puntare il dito contro certi siti. Invece, vogliamo mostrare che il processo di redazione può fallire anche se condotto da grandi nomi, che hanno incentivi legali molto forti nel proteggere i dati degli utenti» spiegano i ricercatori.

In effetti, gli script usati sono realizzati in maniera tale da tentare di escludere la registrazioni di dati come password, numeri di carta di credito e via dicendo. Ma l'implementazione è sovente imperfetta, e il risultato è che anche le informazioni personali vengono carpite.

In più, i ricercatori spiegano come i servizi di terze parti usati per il session replay spesso inviano i dati raccolti tramite connessioni non cifrate: in teoria, quindi, un malintenzionato potrebbe riuscire a sottrarli e usarli per i propri loschi fini, dal furto d'identità alla truffa.

Qui sotto, il video realizzato dai ricercatori per illustrare il funzionamento del session replay.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Approfondimenti
Tutti quelli che ci spiano (e come bloccarli)
I siti che spiano la history del browser
Nuda sui cellulari per diventare capoclasse

Commenti all'articolo (2)

seagate
uMatrix e via.
2-12-2017 18:59

Gladiator
L'biettivo di questa gente è succhiare sempre più dati dagli utenti - ovvero dalle vacche da mungere - fregandosene bellamente di qualsiasi minimo scampolo di sicurezza o rispetto verso coloro che gli danno i soldi per prosperare. Chissà se questo sistema si potrà reggere per sempre in futuro... :roll:
2-12-2017 18:19
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Secondo te, come bisogna definire chi commette intrusioni informatiche?
un hacker
un cracker
un grissino

Mostra i risultati (4194 voti)
Ottobre 2018
n. 3095 del 13-10-2018
Violare WhatsApp? Basta una videochiamata
n. 3094 del 11-10-2018
Microsoft: ecco perché l'Update di Windows 10 cancellava i file degli utenti
n. 3093 del 09-10-2018
Microsoft getta la spugna e ritira l'aggiornamento di ottobre per Windows 10
n. 3092 del 07-10-2018
Windows 10, attenti all'aggiornamento: potrebbe cancellare i documenti
n. 3091 del 04-10-2018
Windows 10, arriva l'update di ottobre: ecco come aggiornare subito
n. 3090 del 03-10-2018
WhatsApp, arriva la pubblicità
n. 3089 del 01-10-2018
Migliaia di siti mobile accedono ai sensori dello smartphone senza informare l'utente
Settembre 2018
n. 3088 del 28-09-2018
Demonoid offline da giorni, il proprietario è irreperibile
n. 3087 del 27-09-2018
Virtual Desktop: Windows 10 diventa virtuale e si sposta nel cloud
n. 3086 del 25-09-2018
Il bug in Firefox che manda in crash il browser (e spesso anche il sistema operativo)
n. 3085 del 23-09-2018
Ex CEO di Google: tra dieci anni ci saranno due Internet
n. 3084 del 20-09-2018
Il fallimento di Windows Store: un documento interno ne rivela la portata
n. 3083 del 19-09-2018
Corruzione in Amazon: dipendenti pagati per cancellare le recensioni negative
n. 3082 del 17-09-2018
Copyright, il sito di sottotitoli ITASA costretto a gettare la spugna
n. 3081 del 14-09-2018
Windows 10 deciderà in autonomia quali file tenere e quali cancellare
Tutti gli Arretrati
Vecchi articoli
Olimpo Informatico


E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
web metrics