Анализ средств отслеживания действий пользователей на сайтах

Автор: | 23.11.2017


Исследователи из Принстонского университета изучили 10 тысяч самых популярных сайтов по рейтингу Alexa и обнаружили, что на 1239 из них применяются сторонние скрипты для изучения поведения пользователей, которые в реальном режиме времени отслеживают нажатия клавиш, прокрутку экрана, движения мыши и клики, передавая сведения на сайт аналитики до окончания заполнения и отправки web-форм. Впоследствии, оператор подобных систем аналитики может повторно прокрутить сеанс, воссоздав все действия пользователя на странице.

Среди сайтов, на которых применяются скрипты для записи действий во время сеанса работы со страницей, такие ресурсы как yandex.ru, wordpress.com, microsoft.com, adobe.com, godaddy.com, avito.ru, spotify.com, livejournal.com, hp.com, skype.com, evernote.com, samsung.com, sberbank.ru, reuters.com, bitbucket.org, ibm.com, rbc.ru, intel.com, lenovo.com, ria.ru и digitalocean.com. Так как некоторые из рассмотренных систем аналитики в зависимости от настроек позволяют отключить детальное отслеживание действий пользователя во время сеанса, при построении списка оценивалось не просто присутствие кода счётчика, а именно определялся факт отправки меток.

При помощи фреймворка OpenWPM был подготовлен краулер, который загружал страницу, симулировал действия пользователя через подстановку уникальной метки в поля ввода HTML и отслеживал попытки отправить данную метку на сервер аналитики (возможность передачи метки в составе закодированного набора данных учитывалось через подстановку достаточно большого блока и оценки изменения размера передаваемых данных). Пользователи могут оценить применение систем анализа сеансов лишь при помощи встроенных в бразуеры средств для web-разработчиков, так как сайты никак не информируют посетителей о записи их действий со страницей.

Анализ средств отслеживания действий пользователей на сайтах

Самое неприятное, что рассмотренные системы отслеживания сеансов не только передают на сторонние серверы содержимое web-форм до их отправки на основной сайт, но и транслируют поля с номерами кредитных карт, адресами и другой персональной информацией. При этом все рассмотренные сервисы не передают сведения вводимые в полях для ввода паролей, а некоторые сервисы пытаются фильтровать данные кредитных карт. Сервисы Smartlook и UserReplay передают число символов в поле с паролем, а UserReplay последние 4 цифры номера кредитной карты. Сервис FullStory позволяет посимвольно восстановить ввод номеров кредитных карт на некоторых сайтах. Yandex, Hotjar и Smartlook предоставляют возможность входа в web-интерфейс аналитики по HTTP без шифрования.

Анализ средств отслеживания действий пользователей на сайтах

Самыми навязчивыми исследователи назвали сервисы Yandex Metrika, FullStory, Hotjar и Smartlook, так как они по умолчанию обеспечивают запись ввода в полях форм. Но следует учитывать настройки конкретного сайта, например, в отчёте в общем виде указано, что Yandex Metrika передаёт на внешний сервер вводимые параметры кредитных карт и персональные данные, пропуская лишь значения в полях ввода паролей, но не для всех сайтов в списке это действует. Например, ручная проверка присутствующего в списке sberbank.ru показала, что отправляются только данные о кликах и прокрутке без передачи непосредственного содержимого web-форм.

Анализ средств отслеживания действий пользователей на сайтах



Источник

Добавить комментарий