研究称许多网站在用户提交前,就已泄露输入的内容
DoNews 5月18日消息(刘文轩)一群来自荷兰Radboud大学、瑞士洛桑大学与比利时鲁汶大学的研究人员,在本周公布了一份研究报告,指出有些网站在用户输入表单但并未提交的状态下,追踪器就能取得输入的内容,诸如电子邮件帐号与密码 。
这一研究报告名为《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》,研究人员针对全球前10万个网站展开调查,从欧盟及美国执行爬虫程序,通过桌面与移动浏览器,并使用3种不同的Cookie同意设定来调查用户同意与否,总计爬梳了全球前10万个网站的280万个网页 。
调查显示,从欧盟执行的爬虫程序发现有1844个网站在用户填入表单,但尚未提交之前,就让追踪器搜集用户所填入的电子邮件,自美国执行的爬虫程序则发现了2950个网站拥有同样的行为,当中有60%的网站是一样的 。
此外,研究人员还发现有41个追踪器的域名是未知的 。
除了电子邮件,还有52个网站意外地让行为重播供应商(Session Replay Provider)搜集了用户所填入的密码 。上述的电子邮件或密码的搜集行为,都是在用户填入资料,但尚未提交的情况下就发生的 。
搜集这些网站未提交表单的第三方追踪器来自于不少知名企业,包括Adobe、Oracle、Salesforce、Meta与TikTok等 。
其中比较特别的是Meta与TikTok,因为它们的追踪器都具备自动进阶比对(Automatic Advanced Matching)功能,可自动从网络上的表单中搜集杂凑的用户标识符,以用来推送个性化广告,而且它们并无法辨识“提交”键,而是在用户执行任何点击时,也许是其它按键或链接,就会自动搜集用户已输入的信息 。
值得注意的是,不管是自欧洲或美国造访,在用户尚未提交电子邮件就外泄的前十大网站中,有不少为新闻网站,包括USA Today、英国的Independent、News Week、Business Insider、Time、Fox News与The Verge等,不过它们都已在接到通知后,于今年2月修补了此一臭虫 。
在发现此事之后,研究人员再针对这10万个网站执行了额外的爬虫程序,以检查哪些外泄是因为无关的按键而造成,结果分别有8438个(美国)及7379个(欧盟)网站会将用户资料传送给Meta,也分别有154个(美国)及147个(欧盟)网站会将用户资料传送给TikTok 。
【研究称许多网站在用户提交前,就已泄露输入的内容】外泄密码的52个网站中,最知名的是俄罗斯最大搜寻引擎Yandex,研究人员相信这类的搜集行为都是意外,而且已通知相关企业 。
- 本周一有消息称|redmik50电竞版:中高档手机的价格
- 嗅觉|研究证实嗅觉刺激可诱发胶质瘤产生
- 近日有消息称三星GalaxyZFold4已经通过3C认证|三星galaxyzfold4通过3c认证,重量比肩华为mat
- 一直以来|研究人员基于这一机制设计,关闭iphone时也能运行
- 预计在5月20日发售的《Dolmen》一直宣称将首发支持Intel的XeSS|《dolmen》官方突然发文支持intelxess
- 联想Yoga|赵明称荣耀笔记本将位列中国前列!网友:手机还行,电脑算了
- 数据库|达摩院加持,阿里云数据库前沿技术研究获三大国际顶会认可
- 安卓|被称为“一代神机”的iPhone XSM!性能和配置超越安卓,值得入手
- 安卓|研究称iPhone关机后仍在运行引热议!大V科普原理:安卓也有类似功能
- Linux|魅族18s独角兽EVO优雅来袭,精致外观与小姐姐堪称绝配