百度360必应搜狗淘宝本站头条
php redisredis 命令redis 锁redis 主从redis 删除
当前位置:网站首页 > 技术教程 > 正文

研究称许多网站在用户提交前,就已泄露输入的内容

mhr18 2024-12-26 13:10 15 浏览 0 评论

DoNews 5月18日消息(刘文轩)一群来自荷兰Radboud大学、瑞士洛桑大学与比利时鲁汶大学的研究人员,在本周公布了一份研究报告,指出有些网站在用户输入表单但并未提交的状态下,追踪器就能取得输入的内容,诸如电子邮件帐号与密码。

这一研究报告名为《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》,研究人员针对全球前10万个网站展开调查,从欧盟及美国执行爬虫程序,通过桌面与移动浏览器,并使用3种不同的Cookie同意设定来调查用户同意与否,总计爬梳了全球前10万个网站的280万个网页。

调查显示,从欧盟执行的爬虫程序发现有1844个网站在用户填入表单,但尚未提交之前,就让追踪器搜集用户所填入的电子邮件,自美国执行的爬虫程序则发现了2950个网站拥有同样的行为,当中有60%的网站是一样的。

此外,研究人员还发现有41个追踪器的域名是未知的。

除了电子邮件,还有52个网站意外地让行为重播供应商(Session Replay Provider)搜集了用户所填入的密码。上述的电子邮件或密码的搜集行为,都是在用户填入资料,但尚未提交的情况下就发生的。

搜集这些网站未提交表单的第三方追踪器来自于不少知名企业,包括Adobe、Oracle、Salesforce、Meta与TikTok等。

其中比较特别的是Meta与TikTok,因为它们的追踪器都具备自动进阶比对(Automatic Advanced Matching)功能,可自动从网络上的表单中搜集杂凑的用户标识符,以用来推送个性化广告,而且它们并无法辨识“提交”键,而是在用户执行任何点击时,也许是其它按键或链接,就会自动搜集用户已输入的信息。

值得注意的是,不管是自欧洲或美国造访,在用户尚未提交电子邮件就外泄的前十大网站中,有不少为新闻网站,包括USA Today、英国的Independent、News Week、Business Insider、Time、Fox News与The Verge等,不过它们都已在接到通知后,于今年2月修补了此一臭虫。

在发现此事之后,研究人员再针对这10万个网站执行了额外的爬虫程序,以检查哪些外泄是因为无关的按键而造成,结果分别有8438个(美国)及7379个(欧盟)网站会将用户资料传送给Meta,也分别有154个(美国)及147个(欧盟)网站会将用户资料传送给TikTok。

外泄密码的52个网站中,最知名的是俄罗斯最大搜寻引擎Yandex,研究人员相信这类的搜集行为都是意外,而且已通知相关企业。

本文源自iDoNews

相关推荐

MySQL数据库中,数据量越来越大,有什么具体的优化方案么?

个人的观点,这种大表的优化,不一定上来就要分库分表,因为表一旦被拆分,开发、运维的复杂度会直线上升,而大多数公司和开发人员是欠缺这种能力的。所以MySQL中几百万甚至小几千万的表,先考虑做单表的优化。...

Redis的Bitmap(位图):签到打卡、用户在线状态,用它一目了然

你是不是每天打开APP,第一时间就是去“签到打卡”?或者在社交软件里,看到你的朋友头像旁边亮着“在线”的绿灯?这些看似简单的功能背后,都隐藏着一个有趣而高效的数据结构。如果让你来设计一个签到系统:用户...

想知道有多少人看了你的文章?Redis HyperLogLog几KB就搞定!

作为一名内容创作者,你每天最期待的,除了文章阅读量蹭蹭上涨,是不是还特别想知道,到底有多少个“独立用户”阅读了你的文章?这个数字,我们通常称为“UV”(UniqueVisitors),它比总阅读量更...

Redis的“HyperLogLog”:统计网站日活用户,省内存又高效的神器

你可能从未听过这个拗口的名字——“HyperLogLog”,它听起来就像是某个高深莫测的数学公式。但请相信我,理解它的核心思想并不难,而且一旦你掌握了它,你会发现它在处理大数据统计问题时,简直就是“救...

阿里云国际站:为什么我的云服务器运行缓慢?

本文由【云老大】TG@yunlaoda360撰写一、网络性能瓶颈带宽不足现象:上传/下载速度慢,远程连接卡顿。排查:通过阿里云控制台查看网络流量峰值是否接近带宽上限34。解决:升级带宽(如从1M提...

Java 近期新闻:Jakarta EE 11和Spring AI更新、WildFly 36.0 Beta、Infinispan

作者|MichaelRedlich译者|明知山策划|丁晓昀OpenJDKJEP503(移除32位x86移植版本)已从“ProposedtoTarget”状态进入到“T...

腾讯云国际站:怎样设置自动伸缩应对流量高峰?

云计算平台服务以阿里云为例:开通服务与创建伸缩组:登录阿里云控制台,找到弹性伸缩服务并开通。创建伸缩组时,选择地域与可用区,定义伸缩组内最小/最大实例数,绑定已有VPC虚拟交换机。实例模板需...

【案例分享】如何利用京东云建设高可用业务架构

本文以2022年一个实际项目为基础,来演示在京东云上构建高可用业务的整个过程。公有云及私有云客户可通过使用京东云的弹性IAAS、PAAS服务,创建高可用、高弹性、高可扩展、高安全的云上业务环境,提升业...

Spring Security在前后端分离项目中的使用

1文章导读SpringSecurity是Spring家族中的一个安全管理框架,可以和SpringBoot项目很方便的集成。SpringSecurity框架的两大核心功能:认证和授权认证:...

Redis与Java集成的最佳实践

Redis与Java集成的最佳实践在当今互联网飞速发展的时代,缓存技术的重要性毋庸置疑。Redis作为一款高性能的分布式缓存数据库,与Java语言的结合更是如虎添翼。今天,我们就来聊聊Redis与Ja...

Redis在Java项目中的应用与数据持久化

Redis在Java项目中的应用与数据持久化Redis简介:为什么我们需要它?在Java项目中,Redis就像一位不知疲倦的快跑选手,总能在关键时刻挺身而出。作为一个内存数据库,它在处理高并发请求时表...

Redis 集群最大节点个数是多少?

Redis集群最大节点个数取决于Redis的哈希槽数量,因为每个节点可以负责多个哈希槽。在Redis3.0之前,Redis集群最多支持16384个哈希槽,因此最大节点数为16384个。但是在Redi...

Java开发岗面试宝典:分布式相关问答详解

今天千锋广州Java小编就给大家分享一些就业面试宝典之分布式相关问题,一起来看看吧!1.Redis和Memcache的区别?1、存储方式Memecache把数据全部存在内存之中,断电后会挂掉,数据不...

当Redis内存不足时,除了加内存,还有哪些曲线救国的办法?

作为“速度之王”的Redis,其高性能的秘密武器之一就是将数据存储在内存中。然而,内存资源是有限且昂贵的。当你的Redis实例开始告警“内存不足”,或者写入请求被阻塞时,最直接的解决方案似乎就是“加内...

商品详情页那么多信息,Redis的“哈希”如何优雅存储?

你每天网购时,无论是打开淘宝、京东还是拼多多,看到的商品详情页都琳琅满目:商品名称、价格、库存、图片、描述、评价数量、销量。这些信息加起来,多的惊人。那么问题来了:这些海量的商品信息,程序是去哪里取出...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表