Hunderte der Top-Websites der Welt verfolgen routinemäßig jeden Tastendruck, jede Mausbewegung und Eingabe in ein Web-Formular - noch bevor es eingereicht oder später aufgegeben wird Ergebnisse einer Studie von Forschern der Princeton University.

Und es gibt einen unangenehmen Nebeneffekt: Persönlich identifizierbare Daten wie medizinische Informationen, Passwörter und Kreditkartendetails können aufgedeckt werden, wenn Nutzer im Internet surfen - ohne dass sie wissen, dass Unternehmen ihr Browsing-Verhalten überwachen. Es ist eine Situation, die jeden alarmieren sollte, der sich um ihre Privatsphäre kümmert.

Die Princeton - Forscher fanden heraus, dass es schwierig war, persönlich identifizierbare Informationen aus Browsing - Verhaltensaufzeichnungen zu redigieren - selbst in einigen Fällen, wenn Benutzer Datenschutzeinstellungen wie z Nicht verfolgen.

Das Forschung gefunden Diese Tracking-Dienste von Drittanbietern werden von Hunderten von Unternehmen verwendet, um zu überwachen, wie Benutzer auf ihren Websites navigieren. Dies stellt sich zunehmend als Herausforderung heraus, da immer mehr Unternehmen die Sicherheit erhöhen und ihre Standorte auf die Standorte verlagern verschlüsselte HTTPS-Seiten.

Um dies zu umgehen, werden Session-Replay-Skripts eingesetzt, um das Verhalten von Benutzeroberflächen auf Websites als eine Folge von zeitgestempelten Ereignissen, z. B. Tastatur- und Mausbewegungen, zu überwachen. Jedes dieser Ereignisse zeichnet zusätzliche Parameter auf - zeigt die Tastenanschläge (für Tastaturereignisse) und Bildschirmkoordinaten (für Mausbewegungsereignisse) an - zum Zeitpunkt der Interaktion. In Verbindung mit dem Inhalt einer Website und einer Webadresse kann diese aufgezeichnete Ereignisfolge genau von einem anderen Browser wiedergegeben werden, der die von der Website definierten Funktionen auslöst.

Dies bedeutet, dass eine dritte Person beispielsweise sehen kann, wie ein Benutzer ein Passwort in ein Online-Formular eingibt - was eine klare Verletzung der Privatsphäre darstellt. Websites, die Drittanbieter-Analysefirmen einsetzen, um ein solches Verhalten aufzuzeichnen und wiederzugeben, argumentieren im Namen der "Verbesserung der Nutzererfahrung". Je mehr sie wissen, wonach ihre Nutzer suchen, desto einfacher ist es, sie mit gezielten Informationen zu versorgen.

Es ist zwar keine Neuigkeit, dass Unternehmen unser Verhalten beobachten, während wir im Internet surfen, aber die Tatsache, dass Scripts auf diese Weise stillgelegt werden, um einzelne Browsersitzungen aufzuzeichnen, betrifft den Co-Autor der Studie, Steven Englehardt, der in Princeton promoviert .

 Eine Website-Benutzer-Wiederholung Demo in Aktion.

{youtube}https://youtu.be/l0Yc8s0DTZA{/youtube}

"Die Sammlung von Seiteninhalten durch Wiedergabeskripts von Drittanbietern kann dazu führen, dass vertrauliche Informationen wie beispielsweise medizinische Bedingungen, Kreditkartendetails und andere auf einer Seite angezeigte persönliche Informationen als Teil der Aufzeichnung an Dritte weitergegeben werden." schrieb er. "Dies kann zu Identitätsdiebstahl, Online-Betrug und anderen unerwünschten Verhaltensweisen führen. Das Gleiche gilt für die Erfassung von Benutzereingaben während des Checkout- und Registrierungsprozesses. "

Webseiten, die Tastenanschläge protokollieren, sind ein Thema, das Cybersexicherheitsexperten schon lange bekannt ist. Und die empirische Studie von Princeton wirft berechtigte Bedenken auf, dass Benutzer, die wenig oder keine Kontrolle über ihr Surfverhalten haben, auf diese Weise aufgezeichnet werden.

Daher ist es wichtig, den Benutzern zu helfen, zu kontrollieren, wie ihre Informationen online weitergegeben werden. Aber es gibt immer mehr Anzeichen für Usability-Trumping-Sicherheitsmaßnahmen, die unsere Daten online sichern sollen.

Usability vs Sicherheit

Passwort-Manager werden von Millionen von Benutzern verwendet, um ihnen zu helfen, verschiedene Passwörter für verschiedene Websites zu speichern. Der Benutzer eines solchen Dienstes muss sich nur ein Schlüsselpasswort merken.

Kürzlich wurde ein Gruppe von Forschern an der University of Derby und der Open University stellten fest, dass die Offline-Clients der Passwortmanager-Dienste Gefahr liefen, das Hauptschlüsselpasswort offenzulegen, wenn sie als reiner Text im Speicher gespeichert wurden, der von ganzen Systemattacken erfasst oder verloren werden konnte.

User Experience ist keine Entschuldigung dafür, Sicherheitslücken zu tolerieren.

Über den Autor

Yijun Yu, Senior Lecturer, Abteilung für Computing und Kommunikation, Die Open University

Dieser Artikel wurde ursprünglich veröffentlicht am Das Gespräch.. Lies das Original Artikel.

Bücher zum Thema:

at InnerSelf Market und Amazon