เมื่อการ Tracking Online ไปไกลกว่าแค่เว็บไซต์ Analytics
บนโลกอินเทอร์เน็ตเราแทบทุกคนคงรู้ดีว่าไม่มีกิจกรรมไหนที่ทำแล้วไม่เหลือร่องรอยเอาไว้ โดยเฉพาะเจ้าของเว็บไซต์ พวกเขารู้จักสคริปต์ที่ใช้เรียนรู้พฤติกรรมของผู้เข้าชมเว็บไซต์ เพื่อรวบรวมนำไปพัฒนาเว็บไซต์ หรือในเว็บไซต์ขายของออนไลน์ก็นำไปเพิ่มยอดขาย แต่ว่าทั้งหมดไม่ได้มีแค่นี้
นักวิจัยของมหาวิทยาลัย Princeton University พบว่ามีเครื่องมือที่เรียกว่า “session-replay script” ที่สามารถเก็บข้อมูลทั้งหมดที่ผู้ใช้ใช้งานเว็บไซต์ในทุกกิจกรรม เหมือนมีคนนั่งข้างๆตอนคุณใช้คอมพิวเตอร์อยู่ และยังเก็บข้อมูลเป็นแบบเรียลไทม์อีกด้วย
ในบรรดาเว็บไซต์ยอดนิยม 50,000 เว็บไซต์นักวิจัยพบ 482 เว็บไซต์ที่มีสคริปต์เหล่านี้ ถึงแม้ตัวเลขค่อนข้างน้อยแต่ในอนาคต จะเว็บไซต์ที่ใช้งานสคริปต์เหล่านี้เพิ่มขึ้นอย่างแน่นอน
ความเสี่ยงที่เกิดขึ้น
แม้จะบอกว่าสคริปต์เหล่านี้ถูกนำมาใช้เพื่อประโยชน์ของผู้เข้าชมเว็บไซต์ก็ตาม แต่การใช้งานก็จำเป็นต้องคำนึงถึงความเป็นส่วนตัวและความปลอดภัยด้วย ที่สำคัญที่สุดก็คือ หากเกิดเหตุการณ์ที่สคริปต์ทำงานผิดพลาดและทำให้ข้อมูลถูกขโมยไป ถ้ามีการป้องกันที่ไม่เหมาะสมข้อมูลของผู้ใช้จะตกอยู่ในอันตราย
นอกจากการรวบรวมข้อมูลแล้ว session-replay script ยังสามารถเจาะรายละเอียดย้อนหลังได้ และที่แย่กว่านั้นในบางสคริปต์ยังเก็บข้อมูลชื่อจริงของผู้ใช้มาด้วย
จริงอยู่ที่การใช้เว็บไซต์ HTTPS นั้นจะทำให้ข้อมูลภายในปลอดภัย แต่นักวิจัยพบการส่งต่อข้อมูลผ่านเว็บไซต์ HTTP ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลได้
ท้ายที่สุดก็คือผู้ใช้ไม่สามารถรู้ได้เลยว่าตัวเองกำลังถูกเก็บข้อมูลอยู่ อาจเป็นเพราะหากมีการขออนุญาตผู้ใช้จะไม่อนุญาตก็เป็นไปได้
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2018/04/20/whats-deal-session-replay-scripts/
Translated by: Worapon H.
WeLiveSecurity Thai Edition's 
เมื่อการ Tracking Online ไปไกลกว่าแค่เว็บไซต์ Analytics
บนโลกอินเทอร์เน็ตเราแทบทุกคนคงรู้ดีว่าไม่มีกิจกรรมไหนที่ทำแล้วไม่เหลือร่องรอยเอาไว้ โดยเฉพาะเจ้าของเว็บไซต์ พวกเขารู้จักสคริปต์ที่ใช้เรียนรู้พฤติกรรมของผู้เข้าชมเว็บไซต์ เพื่อรวบรวมนำไปพัฒนาเว็บไซต์ หรือในเว็บไซต์ขายของออนไลน์ก็นำไปเพิ่มยอดขาย แต่ว่าทั้งหมดไม่ได้มีแค่นี้
นักวิจัยของมหาวิทยาลัย Princeton University พบว่ามีเครื่องมือที่เรียกว่า “session-replay script” ที่สามารถเก็บข้อมูลทั้งหมดที่ผู้ใช้ใช้งานเว็บไซต์ในทุกกิจกรรม เหมือนมีคนนั่งข้างๆตอนคุณใช้คอมพิวเตอร์อยู่ และยังเก็บข้อมูลเป็นแบบเรียลไทม์อีกด้วย
ในบรรดาเว็บไซต์ยอดนิยม 50,000 เว็บไซต์นักวิจัยพบ 482 เว็บไซต์ที่มีสคริปต์เหล่านี้ ถึงแม้ตัวเลขค่อนข้างน้อยแต่ในอนาคต จะเว็บไซต์ที่ใช้งานสคริปต์เหล่านี้เพิ่มขึ้นอย่างแน่นอน
ความเสี่ยงที่เกิดขึ้น
แม้จะบอกว่าสคริปต์เหล่านี้ถูกนำมาใช้เพื่อประโยชน์ของผู้เข้าชมเว็บไซต์ก็ตาม แต่การใช้งานก็จำเป็นต้องคำนึงถึงความเป็นส่วนตัวและความปลอดภัยด้วย ที่สำคัญที่สุดก็คือ หากเกิดเหตุการณ์ที่สคริปต์ทำงานผิดพลาดและทำให้ข้อมูลถูกขโมยไป ถ้ามีการป้องกันที่ไม่เหมาะสมข้อมูลของผู้ใช้จะตกอยู่ในอันตราย
นอกจากการรวบรวมข้อมูลแล้ว session-replay script ยังสามารถเจาะรายละเอียดย้อนหลังได้ และที่แย่กว่านั้นในบางสคริปต์ยังเก็บข้อมูลชื่อจริงของผู้ใช้มาด้วย
จริงอยู่ที่การใช้เว็บไซต์ HTTPS นั้นจะทำให้ข้อมูลภายในปลอดภัย แต่นักวิจัยพบการส่งต่อข้อมูลผ่านเว็บไซต์ HTTP ซึ่งทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลได้
ท้ายที่สุดก็คือผู้ใช้ไม่สามารถรู้ได้เลยว่าตัวเองกำลังถูกเก็บข้อมูลอยู่ อาจเป็นเพราะหากมีการขออนุญาตผู้ใช้จะไม่อนุญาตก็เป็นไปได้
Author: Tomáš Foltýn
Source: https://www.welivesecurity.com/2018/04/20/whats-deal-session-replay-scripts/
Translated by: Worapon H.
แบ่งปันสิ่งนี้: