Analýza skriptů pro zaznamenávání sezení

Abstract

Skripty pre zaznamenávanie sedenia poskytujú prevádzkovateľom webových stránok vhľad do toho, ako používatelia interagujú s ich webovými stránkami. Ich použitie je avšak spojené s rizikom nechceného zachytenia osobných údajov. Táto práca analyzuje aktuálne správanie, redakčné mechanizmy a možnosti modifikácie skriptov pre zaznamenávanie sedenia od poskytovateľov Hotjar, Fullstory, Smartlook, Yandex Metrica, Mouseflow a PostHog. Dynamická analýza, vykonaná v kontrolovanom prostredí na vlastných testovacích stránkach, odhalila zmeny v predvolenom maskovaní dát, kde skript od poskytovateľa Hotjar, spolu so skriptom poskytovateľa Smartlook, teraz predvolene rediguje aj vybrané typy zobrazovaného obsahu, rozširujúc tak pôvodné zameranie na vstupné polia. Výsledky statickej analýzy skriptov potvrdili možnosť úplne obísť tieto predvolené redakčné mechanizmy cielenými úpravami kódu zaznamenávacieho skriptu. Práca ďalej skúmala implementáciu reakcie na signály DNT/GPC a analyzovala nasadenie samotných skriptov na reálnych, verejne dostupných, webových stránkach.Session recording scripts provide website operators with insights into how users interact with their websites. However, their use is associated with the risk of unintentionally capturing personal data. This thesis analyzes the current behavior, redaction mechanisms, and modification possibilities of session recording scripts from providers Hotjar, Fullstory, Smartlook, Yandex Metrica, Mouseflow, and PostHog. Dynamic analysis, conducted in a controlled environment on custom test pages, revealed changes in default data masking behaviour, where the script from provider Hotjar, along with the script from provider Smartlook, now also redacts selected types of displayed content by default, thereby expanding the original focus on input fields. The results of static script analysis confirmed the possibility of completely bypassing these default redaction mechanisms through targeted modifications to the recording script's code. The thesis further examined the implementation of responses to DNT/GPC signals and analyzed the deployment of the scripts on real, publicly available websites.