Skutki bezpieczeństwa korzystania z oprogramowania do przechwytywania ekranu w celu monitorowania aktywności użytkownika [zamknięte]

1

Głęboko w Polityce prywatności firmy świadczącej usługi finansowe oparte wyłącznie na chmurze (bez oprogramowania pobieranego na urządzenie użytkownika) znajduje się następujące oświadczenie:

„Używamy oprogramowania do przechwytywania ekranu, aby przeglądać i analizować wykorzystanie indywidualnych klientów…”.

Czy technicznie możliwe jest, aby firma korzystająca z tego oprogramowania przechwytywała jakąkolwiek część ekranu klienta inną niż treść wyświetlanej strony? Na przykład, czy firma może:

(a) przeglądać informacje peryferyjne w przeglądarce klienta - np. zakładki, rozszerzenia, otwarte karty itp .; lub

(b) wyświetlić części ekranu klienta, które nie są związane z przeglądarką - np. dokument lub obraz Word z boku przeglądarki?

TechnoCat
źródło
„Oparty na chmurze” nie oznacza „nie pobrano żadnego oprogramowania”, jeśli używa Java lub Flash… Podejrzewam jednak, że odnoszą się one po prostu do monitorowania własnej strony internetowej, takiej jak arstechnica.com/tech-policy/2017/ 11 /…
grawity
Dzięki grawitacji, to bardzo przydatny link. Dziękuję również za odniesienie do Javy lub Flasha (choć w tym przypadku nie używam żadnego, dlatego uważam, że to tajemnica). Dobra odpowiedź.
TechnoCat
Myślę, że to pasuje lepiej security.stackexchange.com . Oni są ekspertami.
cdlvcdlv
Dzięki cdlvcdlv; Użyję innej strony następnym razem, gdy mam pytanie bezpieczeństwa.
TechnoCat

Odpowiedzi:

1

Najprawdopodobniej klauzula odnosi się do skryptów analitycznych rejestrujących samą stronę internetową , takich jak opisane w tym artykule Ars Technica .

Zwykle strony internetowe nie widzą reszty ekranu, chociaż od niedawna mogą prosić o to zezwolenie za pośrednictwem WebRTC .

grawitacja
źródło
-1

W odniesieniu do „naruszenia” prywatności lub bezpieczeństwa klienta jest to pytanie oparte na opinii lub pytanie prawne. Ale zdrowy rozsądek mówi, że firma prawdopodobnie ma warunki usługi do zaakceptowania lub odrzucenia, które pozwalają im na korzystanie z pewnych swobód w zakresie bezpieczeństwa lub prywatności.

Reszta jest prosta do odpowiedzi.

Jeśli nie pobrałeś ani nie zainstalowałeś oprogramowania na swoim komputerze, firma ta nie może zrobić żadnej z rzeczy, o które prosiłeś.

Jeśli pobrałeś i zainstalowałeś oprogramowanie tej firmy na swoim komputerze, mogą oni potencjalnie wykonać dowolną z rzeczy, o które prosiłeś lub więcej.

To jest wybór dokonywany przez wszystkich podczas instalacji oprogramowania. Ponownie, jeśli nie jest to złośliwe oprogramowanie, prawdopodobnie jest to określone w umowie użytkowania, która musi zostać zaakceptowana lub odrzucona.

Bez kontekstu w polityce lub firmie, podejrzewam, że terminologia jest zła, źle interpretujesz tekst lub czytasz więcej w nim, niż mówi. Firma nie może zrobić nic więcej niż śledzić własną interakcję z witryną.

Uwaga: „Instalowanie” oprogramowania może być tak proste, jak kliknięcie przycisku tak lub zaakceptowanie, w niewyraźnym monicie na stronie internetowej.

Appleoddity
źródło
Pozwól mi potwierdzić kilka problemów. Po pierwsze, nie, nie pobrałem żadnego oprogramowania. Jak zauważono w moim pytaniu, jest to firma usług finansowych ściśle oparta na chmurze. Po drugie, zadaję pytanie ściśle techniczne, a nie prawne. Po trzecie, najwyraźniej nie jest to „proste pytanie, na które należy odpowiedzieć”, inaczej bym tego nie zadał.
TechnoCat
Ostatnie zdanie twojego pytania można odczytać jako pytanie ściśle prawne. Jeśli nie zainstalowałeś oprogramowania, nie mogą zrobić tego, co mówią, ani niczego, o co zapytałeś, czy mogą. To, co jest trudne dla jednej osoby, może nie być dla innej.
Appleoddity,
Jako ktoś, kto spędził ponad 25 lat zarówno w dziedzinie technologii, jak i prawa (od kodowania po CIO i CEO), wiem, co jest normalnie technicznie możliwe, a co niezwykłe. Niektórzy z moich klientów - którzy są użytkownikami tej usługi handlu finansowego (np. Podobni do eTrade) - znaleźli tę klauzulę. Korzystanie z oprogramowania do przechwytywania ekranu w firmie opartej na chmurze jest oczywiście niezwykłe, dlatego zadałem to pytanie na forum technicznym, mając nadzieję uzyskać odpowiedź od kogoś z zaawansowaną wiedzą techniczną w tej dziedzinie.
TechnoCat
Nie jestem pewien, gdzie się tu pomyliliśmy. Jako CIO / CEO jestem pewien, że doceniasz zwięzłe odpowiedzi. Nie ma powodu, aby było to skomplikowane. Bez oprogramowania do przechwytywania ekranu zainstalowanego na komputerze klienta nie ma absolutnie żadnej możliwości, aby strona internetowa mogła „użyć oprogramowania do przechwytywania ekranu do przeglądania i analizowania użytkowania poszczególnych klientów”. To naprawdę takie proste. Terminologia jest nieprawidłowa lub jest wyjęta z kontekstu. Wszystko, co robią, nie jest „przechwytywaniem ekranu”. Nie może być niczym więcej niż śledzeniem własnej interakcji z witryną.
Appleoddity,