Mittschnitt

Hätten Sie es gerne, wenn Ihnen beim Surfen im Internet über die Schulter geschaut wird? Genau das passiert ohne Ihr Wissen, wenn auf Internetseiten ein Skript zum Session-Replay verwendet wird.

Vielleicht ist es Ihnen bekannt, dass viele Internetseiten analysieren, welche Seiten Sie besuchen, oder welche Inhalte Sie besonders interessieren. Weniger bekannt ist es, dass in letzter Zeit Session-Replay-Skripte mehr und mehr Anwendung finden. Diese Skripte zeichnen neben Tastaturanschlägen ebenfalls Mausbewegungen und Scrollverhalten auf und das im Kontext sämtlicher Inhalte der besuchten Internetseite. Diese Informationen werden dann an die Server von Drittanbietern übermittelt, die diese Skripte als Dienst zur Analyse des Benutzerverhaltens der Webseitenbesucher anbieten. Das Ergebnis ist mit einem Video zu vergleichen, welches beliebig oft abgespielt werden kann.

Forscher der Universität Princeton in den USA haben versucht herauszufinden, auf wie vielen Webseiten diese Skripte bereits zum Einsatz kommen und stellten dabei auch fest, dass einige der Anbieter die erhobenen Daten nicht per SSL/TLS verschlüsseln. So können Informationen aus eigentlich komplett verschlüsselten Verbindungen nach außen dringen. Dies ist als sehr kritisch zu bewerten, da ein solcher Sicherheitsmangel ein lohnendes Ziel für potentielle Angreifer darstellt, die auf Jagd nach Benutzerdaten sind.

Sicherheitsbewussten Nutzern des Internets bleibt nur die Möglichkeit, sich mit Skript-Blockern vor der Ausführung von Session-Replay bei Ihrem nächsten Besuch der Webseite zu wehren. Eine Liste der Webseiten, die Session-Replay verwenden, haben die Forscher aus Princeton unter folgendem Link veröffentlicht: https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

Weitere interessante Beiträge zum Thema Session-Replay finden Sie hier:

Bildquellen