百度360必应搜狗淘宝本站头条
php redisredis 命令oracle位图索引redis 锁redis 主从
当前位置:网站首页 > 技术教程 > 正文

研究称许多网站在用户提交前,就已泄露输入的内容

mhr18 2024-12-26 13:10 22 浏览 0 评论

DoNews 5月18日消息(刘文轩)一群来自荷兰Radboud大学、瑞士洛桑大学与比利时鲁汶大学的研究人员,在本周公布了一份研究报告,指出有些网站在用户输入表单但并未提交的状态下,追踪器就能取得输入的内容,诸如电子邮件帐号与密码。

这一研究报告名为《Leaky Forms : A Study of Email and Password Exfiltration Before Form Submission》,研究人员针对全球前10万个网站展开调查,从欧盟及美国执行爬虫程序,通过桌面与移动浏览器,并使用3种不同的Cookie同意设定来调查用户同意与否,总计爬梳了全球前10万个网站的280万个网页。

调查显示,从欧盟执行的爬虫程序发现有1844个网站在用户填入表单,但尚未提交之前,就让追踪器搜集用户所填入的电子邮件,自美国执行的爬虫程序则发现了2950个网站拥有同样的行为,当中有60%的网站是一样的。

此外,研究人员还发现有41个追踪器的域名是未知的。

除了电子邮件,还有52个网站意外地让行为重播供应商(Session Replay Provider)搜集了用户所填入的密码。上述的电子邮件或密码的搜集行为,都是在用户填入资料,但尚未提交的情况下就发生的。

搜集这些网站未提交表单的第三方追踪器来自于不少知名企业,包括Adobe、Oracle、Salesforce、Meta与TikTok等。

其中比较特别的是Meta与TikTok,因为它们的追踪器都具备自动进阶比对(Automatic Advanced Matching)功能,可自动从网络上的表单中搜集杂凑的用户标识符,以用来推送个性化广告,而且它们并无法辨识“提交”键,而是在用户执行任何点击时,也许是其它按键或链接,就会自动搜集用户已输入的信息。

值得注意的是,不管是自欧洲或美国造访,在用户尚未提交电子邮件就外泄的前十大网站中,有不少为新闻网站,包括USA Today、英国的Independent、News Week、Business Insider、Time、Fox News与The Verge等,不过它们都已在接到通知后,于今年2月修补了此一臭虫。

在发现此事之后,研究人员再针对这10万个网站执行了额外的爬虫程序,以检查哪些外泄是因为无关的按键而造成,结果分别有8438个(美国)及7379个(欧盟)网站会将用户资料传送给Meta,也分别有154个(美国)及147个(欧盟)网站会将用户资料传送给TikTok。

外泄密码的52个网站中,最知名的是俄罗斯最大搜寻引擎Yandex,研究人员相信这类的搜集行为都是意外,而且已通知相关企业。

本文源自iDoNews

相关推荐

Java培训机构,你选对了吗?(java培训机构官网)

如今IT行业发展迅速,不仅是大学生,甚至有些在职的员工都想学习java开发,需求量的扩大,薪资必定增长,这也是更多人选择java开发的主要原因。不过对于没有基础的学员来说,java技术不是一两天就能...

产品经理MacBook软件清单-20个实用软件

三年前开始使用MacBookPro,从此再也不想用Windows电脑了,作为生产工具,MacBook可以说是非常胜任。作为产品经理,值得拥有一台MacBook。MacBook是工作平台,要发挥更大作...

RAD Studio(Delphi) 本月隆重推出新的版本12.3

#在头条记录我的2025#自2024年9月,推出Delphi12.2版本后,本月隆重推出新的版本12.3,RADStudio12.3,包含了Delphi12.3和C++builder12.3最...

图解Java垃圾回收机制,写得非常好

什么是自动垃圾回收?自动垃圾回收是一种在堆内存中找出哪些对象在被使用,还有哪些对象没被使用,并且将后者删掉的机制。所谓使用中的对象(已引用对象),指的是程序中有指针指向的对象;而未使用中的对象(未引用...

Centos7 初始化硬盘分区、挂载(针对2T以上)添加磁盘到卷

1、通过命令fdisk-l查看硬盘信息:#fdisk-l,发现硬盘为/dev/sdb大小4T。2、如果此硬盘以前有过分区,则先对磁盘格式化。命令:mkfs.文件系统格式-f/dev/sdb...

半虚拟化如何提高服务器性能(虚拟化 半虚拟化)

半虚拟化是一种重新编译客户机操作系统(OS)将其安装在虚拟机(VM)上的一种虚拟化类型,并在主机操作系统(OS)运行的管理程序上运行。与传统的完全虚拟化相比,半虚拟化可以减少开销,并提高系统性能。虚...

HashMap底层实现原理以及线程安全实现

HashMap底层实现原理数据结构:HashMap的底层实现原理主要依赖于数组+链表+红黑树的结构。1、数组:HashMap最底层是一个数组,称为table,它存放着键值对。2、链...

long和double类型操作的非原子性探究

前言“深入java虚拟机”中提到,int等不大于32位的基本类型的操作都是原子操作,但是某些jvm对long和double类型的操作并不是原子操作,这样就会造成错误数据的出现。其实这里的某些jvm是指...

数据库DELETE 语句,还保存原有的磁盘空间

MySQL和Oracle的DELETE语句与数据存储MySQL的DELETE操作当你在MySQL中执行DELETE语句时:逻辑删除:数据从表中标记为删除,不再可见于查询结果物理...

线程池—ThreadPoolExecutor详解(线程池实战)

一、ThreadPoolExecutor简介在juc-executors框架概述的章节中,我们已经简要介绍过ThreadPoolExecutor了,通过Executors工厂,用户可以创建自己需要的执...

navicat如何使用orcale(详细步骤)

前言:看过我昨天文章的同鞋都知道最近接手另一个国企项目,数据库用的是orcale。实话实说,也有快三年没用过orcale数据库了。这期间问题不断,因为orcale日渐消沉,网上资料也是真真假假,难辨虚...

你的程序是不是慢吞吞?GraalVM来帮你飞起来性能提升秘籍大公开

各位IT圈内外的朋友们,大家好!我是你们的老朋友,头条上的IT技术博主。不知道你们有没有这样的经历:打开一个软件,半天没反应;点开一个网站,图片刷不出来;或者玩个游戏,卡顿得想砸电脑?是不是特别上火?...

大数据正当时,理解这几个术语很重要

目前,大数据的流行程度远超于我们的想象,无论是在云计算、物联网还是在人工智能领域都离不开大数据的支撑。那么大数据领域里有哪些基本概念或技术术语呢?今天我们就来聊聊那些避不开的大数据技术术语,梳理并...

秒懂列式数据库和行式数据库(列式数据库的特点)

行式数据库(Row-Based)数据按行存储,常见的行式数据库有Mysql,DB2,Oracle,Sql-server等;列数据库(Column-Based)数据存储方式按列存储,常见的列数据库有Hb...

AMD发布ROCm 6.4更新:带来了多项底层改进,但仍不支持RDNA 4

AMD宣布,对ROCm软件栈进行了更新,推出了新的迭代版本ROCm6.4。这一新版本里,AMD带来了多项底层改进,包括更新改进了ROCm的用户空间库和AMDKFD内核驱动程序之间的兼容性,使其更容易...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表