切换到宽版
开启辅助访问
登录
立即注册
搜索
搜索
搜索
首页
Portal
论坛
同城
人才网
工具
菲龙网工具
个人中心
关于我们
每日签到
本地新闻
时事评论
华人世界
中国新闻
新闻视频
国际新闻
娱乐新闻
科技新闻
菲龙广场
房产网
菲龙速聘
二手交易
便民电话
美食餐厅
旅游签证
物流速运
商品买卖
二手车市场
严选
话费充值
便民电话
贺词页面
瀑布流页
汇率查询
APP下载
每日签到
我的任务
道具商店
每日签到
我的任务
道具商店
更改用户名
关于菲龙网
About US
联系菲龙网
活动回顾
加入我们
本版
用户
菲龙网
»
论坛
›
新闻频道
›
科技新闻
›
近五千网站被曝“偷看”用户输入:还没点确定,信息就被 ...
菲龙网编辑部7
有 744 人收听 TA
147201
主题
147218
回复
173314
积分
收听TA
发消息
加好友
本文来自
科技新闻
订阅
|
收藏
(
2953
)
菲龙网编辑部7发布过的帖子
0/47
截至2023年末我国银行卡总发卡量达95.6亿张,同比增长2.8%
0/37
银行理财10月报:新品平均“吸金规模”环比涨超三成,近八成到期产品业绩达标
0/31
南财问卷调研:试点三周年,大湾区居民如何看待“跨境理财通”?
0/35
何昊天任招商银行广州分行副行长,此前为行长助理
0/40
“996奋斗无忧险”熬夜猝死最高获赔60万元?平安财险回应:目前公司没有销售相关产品
0/51
跨境支付新打法!星展首发支持14币种借记卡,能否引起“鲇鱼效应”?
0/32
李云泽:保险业要加大对先进制造业等重点领域投资力度
0/38
债台高筑的新希望,盯上了民生银行
0/45
单个季度员工倒贴3000万?西安银行:不清楚
查看TA的全部帖子>>
近五千网站被曝“偷看”用户输入:还没点确定,信息就被发走
时间:2022-5-14 08:28
0
548
|
复制链接
|
互动交流
显示全部楼层
阅读模式
直达楼层
马上注册,结交更多好友
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
只是在登录界面打了几个字母,没确认没提交,网站居然就已经抓捕到了键入内容?
是的,根据来自欧洲顶尖研究型学术院校——荷兰拉德堡德大学、洛桑大学、鲁汶大学的三位科学家的最新研究,全世界前10万排名的网站中,有近5000个门户网站都有过这样的行为,如福克斯新闻、商业内幕(business insider)、时代(Time)等网站。
通过研究人员自制的爬虫脚本可以看到,在某一网站的登录界面输入邮件地址,鼠标移动到下一个输入框后,网站后台就已经准确抓取到了已输入数据:
用研究人员的话来说,就是“当点击下一个字段时,它们会收集前一个字段”,包括用户每一次修改的数据,甚至是账号密码。
那么,这样的抓取行为到底是如何做到的?
事实上,很多常见的登录窗口都是表单网页,这是HTML中的一种概念,可以使网页和用户之间进行交互,并将用户填写的数据发送给服务器端。所以这些网页也可以被看作是一张或多张表格,用户名、密码、邮件地址等输入信息就是表格中的一行行数据。
不仅为了满足基本的网页交互需求,还出于其他要求——比如检查键入的数据是否符合要求——用户的所有在线活动,包括鼠标点击和键入数据,对于网页来说都是“透明”且“可抓取”的。
于是,很多网站便会使用一些**追踪器来监测用户,用于提供服务、广告、营销活动。
这些活动的合法与否,就在于网页只是暂时抓取数据进行合法的交互,还是进行了行跨网站、跨平台和持久的识别。
以Meta为例,它曾开发过一款**的网站事件管理/收集工具,Meta Pixel。
Meta Pixel有一种叫做“自动高级匹配”的功能,可以自动从网页的表单数据中收集个人标识符,通过这一身份认证,就可以锁定同一用户在不同平台上的操作,进而测量广告的转化率和成效。
同时,官方文档里也写明:在用户提交表单时,Meta Pixel才会触发数据收集。
但研究人员在调查中发现,Meta Pixel脚本在没有识别到提交按钮,或者监听(表单)提交事件时,也会触发数据收集机制。
也就是说,安装有这一追踪器的网站,在用户点击提交按钮,甚至放弃表单关闭网页之前,就已经收集到了个人数据。
研究团队统计发现,有超过1.5万个网站可能通过Meta Pixel泄露了信息。
此外,另一个较为出名的**网站事件管理工具,TikTok Pixel也有和Meta Pixel同样的问题,涉及了上百个网站的信息泄露。
研究人员分别选出了美国和欧盟地区的十大泄露信息次数最多的网站,可以看到,其中的**网站事件管理工具除了上述两家,还有taboola、Bizible等广告商。
据了解,三位研究人员Asuman Senol、Gunes Acar、Mathias Humbert从去年开始调查,共爬取了10万多个网站。在发现问题后,团队已经在今年3月份向Meta提交了一份错误报告,该公司很快指派了一名工程师处理这个案件,但自那以后,就再也没有收到过更新报告。而TikTok在得到通知后,也并没有进一步的回应。
研究团队表示,针对上述问题,他们已经开发了一款检测网页非法表单的插件,并将在今年8月份的Usenix安全会议上展示他们的发现,包括调查结果和爬虫程序的构成。
采写:南都见习记者杨博雯
回复
举报
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
点我进行验证
本版积分规则
发表回复
回帖后跳转到最后一页
关闭
站长推荐
/1
【点击免费下载】菲龙网移动APP客户端
【点击免费下载】菲龙网移动APP客户端,新闻/娱乐/生活资讯生活通,带你了解菲律宾多一点!
查看 »
扫码添加微信客服
快速回复
返回列表
返回顶部