बुधवार, फ़रवरी 21, 2024

Top 5 This Week

spot_img

Related Posts

Google टैग प्रबंधक में छिपे हुए डेटा लीक और कमजोरियाँ हैं।


शोधकर्ताओं ने Google टैग मैनेजर (जीटीएम) में डेटा लीक के साथ-साथ सुरक्षा कमजोरियों, मनमाने ढंग से स्क्रिप्ट इंजेक्शन और डेटा संग्रह के लिए सहमति के उदाहरणों को उजागर किया। एक कानूनी विश्लेषण ईयू डेटा संरक्षण कानून के संभावित उल्लंघनों की पहचान करता है।

ऐसे कई परेशान करने वाले खुलासे हैं कि सर्वर-साइड जीटीएम “नियामकों, डेटा सुरक्षा अधिकारियों और शोधकर्ताओं द्वारा अनुपालन ऑडिटिंग प्रयासों में बाधा डालता है…”

जोखिम के संबंध में, शोधकर्ताओं ने लिखा:

“इस खोज से पता चलता है कि वेब कंटेनर सैंडबॉक्स में लागू जीटीएम अनुमति प्रणाली टैग को मनमानी, अनियंत्रित स्क्रिप्ट डालने की अनुमति देती है, जिससे वेबसाइट पर संभावित सुरक्षा और गोपनीयता जोखिम खुल जाते हैं।

हमने इस खोज का खुलासा Google को उनके बग बाउंटी ऑनलाइन सिस्टम के माध्यम से किया।”

प्रकाशकों को तृतीय-पक्ष जावास्क्रिप्ट स्क्रिप्ट लागू करने में मदद करने के लिए 2012 में Google द्वारा विकसित GTM, वर्तमान में 28 मिलियन वेबसाइटों पर उपयोग किया जाता है। शोध अध्ययन 2020 में पेश किए गए जीटीएम के क्लाइंट-साइड और नए सर्वर-साइड दोनों संस्करणों की जांच करता है।

विश्लेषकों और कानूनी विशेषज्ञों द्वारा किए गए विश्लेषण से जीटीएम वास्तुकला के साथ कई मुद्दों का पता चला।

78 क्लाइंट-साइड टैग, 8 सर्वर-साइड टैग और दो सहमति प्रबंधन प्लेटफ़ॉर्म (सीएमपी) की जांच से छिपे हुए डेटा लीक का पता चला, स्क्रिप्ट को इंजेक्ट करने के लिए जीटीएम अनुमति प्रणाली को बायपास करने वाले टैग के उदाहरण, और डिफ़ॉल्ट रूप से सहमति सेट करना सक्षम करने के लिए सेट है। कोई भी उपयोगकर्ता इंटरैक्शन.

एक महत्वपूर्ण खोज सर्वर-साइड जीटीएम से संबंधित है। सर्वर-साइड जीटीएम रिमोट सर्वर पर टैग लोड करके काम करता है, जो वेबसाइट पर तीसरे पक्ष की अनुपस्थिति का भ्रम पैदा करता है।
हालाँकि, अध्ययन में पाया गया कि यह आर्किटेक्चर सर्वर-साइड टैग को ब्राउज़र प्रतिबंधों और सामग्री-सुरक्षा-नीति (सीएसपी) जैसे सुरक्षा उपायों को दरकिनार करते हुए गुप्त रूप से उपयोगकर्ता डेटा को तीसरे पक्ष के साथ साझा करने की अनुमति देता है।

जीटीएम डेटा झीलों पर अनुसंधान में प्रयुक्त पद्धति

शोधकर्ता सेंटर इनरिया डे ल’यूनिवर्सिटी, सेंटर इनरिया डी’यूनिवर्सिटी कोटे डी’ज़ूर, सेंटर इनरिया डी ल’यूनिवर्सिटी और यूट्रेक्ट यूनिवर्सिटी से हैं।

शोधकर्ताओं द्वारा उपयोग की जाने वाली प्रक्रिया एक डोमेन खरीदना और एक लाइव वेबसाइट पर जीटीएम स्थापित करना था।

शोध पत्र में विस्तार से वर्णन किया गया है:

“जीटीएम बुनियादी ढांचे का प्रयोग और स्थापना करने के लिए, हमने एक डोमेन खरीदा – जिसे हम यहां example.com कहते हैं – और एक सार्वजनिक वेबसाइट बनाई जिसमें टेक्स्ट के पैराग्राफ और एक HTML लॉगिन फॉर्म के साथ एक मूल वेब पेज शामिल है। .. हमने एक जोड़ा है सेनोल एट अल के बाद से लॉगिन फॉर्म…हाल ही में पाया गया कि उपयोगकर्ता इनपुट अक्सर फॉर्म से लीक हो जाता है, इसलिए हमने यह परीक्षण करने का निर्णय लिया कि क्या इस तरह के टैग लीक के लिए जिम्मेदार हो सकते हैं

वेबसाइट और सर्वर-साइड GTM इन्फ्रास्ट्रक्चर को एक वर्चुअल मशीन पर होस्ट किया गया था जिसे हमने EU में एक डेटा सेंटर में स्थित Microsoft Azure क्लाउड कंप्यूटिंग प्लेटफ़ॉर्म पर किराए पर लिया था।

…हमने कुकीज़, स्थानीय भंडारण और अन्य तकनीकों से मुक्त स्थिति बनाए रखने के बजाय, प्रत्येक अनुभव को एक ताज़ा वातावरण में लॉन्च करने के लिए ब्राउज़र की ‘प्रोफ़ाइल’ कार्यक्षमता का उपयोग किया।

वेबसाइट तक पहुंचने वाला ब्राउज़र ईयू में एक संस्थागत नेटवर्क के माध्यम से इंटरनेट से जुड़े कंप्यूटर पर चलाया गया था।

क्लाइंट और सर्वर-साइड GTM इंस्टॉलेशन बनाने के लिए, हमने एक नया Google खाता बनाया, लॉग इन किया और आधिकारिक GTM दस्तावेज़ में अनुशंसित चरणों का पालन किया।

विश्लेषण के परिणामों में कई महत्वपूर्ण निष्कर्ष शामिल थे, जिसमें यह भी शामिल था कि “Google टैग” ने सहमति के बिना विभिन्न प्रकार के उपयोगकर्ता डेटा के संग्रह की सुविधा प्रदान की और विश्लेषण के समय सुरक्षा जोखिम प्रस्तुत किया।

डेटा संग्रह प्रकाशकों से छिपा हुआ है।

एक अन्य खोज “Pinterest टैग” के माध्यम से डेटा संग्रह की सीमा थी, जिसने प्रकाशक को बताए बिना उपयोगकर्ता डेटा की एक महत्वपूर्ण मात्रा को कैप्चर किया।

कुछ लोगों को परेशान करने वाली बात यह लग सकती है कि इन टैगों को तैनात करने वाले प्रकाशक न केवल डेटा लीक से अनभिज्ञ होंगे, बल्कि जिन उपकरणों पर वे भरोसा करते हैं वे उनके डेटा संग्रह की निगरानी करते हैं। वे उन्हें इन समस्याओं से अवगत नहीं कराते हैं।

शोधकर्ताओं ने अपने निष्कर्षों का दस्तावेजीकरण किया:

“हम ध्यान दें कि Pinterest टैग के माध्यम से भेजा गया डेटा Pinterest की वेबसाइट पर प्रकाशक को दिखाई नहीं देता है, जहाँ हमने एकत्र किए गए डेटा के Pinterest के प्रकटीकरण को देखने के लिए लॉग इन किया था।

इसके अतिरिक्त, हम ध्यान दें कि फॉर्म इंटरैक्शन के बारे में Google टैग द्वारा एकत्र किया गया डेटा Google Analytics डैशबोर्ड में प्रतिबिंबित नहीं होता है।

इस खोज से पता चलता है कि ऐसे टैग के लिए, प्रकाशकों को उनके द्वारा चुने गए टैग द्वारा एकत्र किए गए डेटा के बारे में जानकारी नहीं होती है।

तृतीय-पक्ष स्क्रिप्ट का इंजेक्शन

Google टैग प्रबंधकों के पास टैग प्रबंधित करने की एक सुविधा है, जिसमें तृतीय-पक्ष टैग भी शामिल हैं, जिन्हें वेब कंटेनर कहा जाता है। टैग सैंडबॉक्स के अंदर चल सकते हैं जो उनकी कार्यक्षमता को सीमित करता है। सैंडबॉक्स inject_script नामक अनुमति के साथ एक अनुमति प्रणाली का भी उपयोग करता है जो स्क्रिप्ट को वेब कंटेनर के बाहर किसी भी (मनमानी) स्क्रिप्ट को डाउनलोड करने और चलाने की अनुमति देता है।

इंजेक्ट_स्क्रिप्ट अनुमति टैग को सभी ब्राउज़र एपीआई और डीओएम तक पहुंचने के लिए जीटीएम अनुमति प्रणाली को बायपास करने की अनुमति देती है।

स्क्रिप्ट इंजेक्शन का चित्रण करने वाला स्क्रीनशॉट

Google टैग प्रबंधक स्क्रिप्ट इंजेक्शनGoogle टैग प्रबंधक स्क्रिप्ट इंजेक्शन

शोधकर्ताओं ने 78 आधिकारिक तौर पर समर्थित क्लाइंट-साइड टैग का विश्लेषण किया और 11 टैग की खोज की जिनके पास inject_script अनुमति नहीं है लेकिन मनमानी स्क्रिप्ट इंजेक्ट कर सकते हैं। इन ग्यारह टैगों में से सात Google द्वारा प्रदान किए गए थे।

वह लिखता है:

78 आधिकारिक क्लाइंट-साइड टैग में से 11 GTM अनुमति प्रणाली को दरकिनार करते हुए, DOM में तृतीय-पक्ष स्क्रिप्ट इंजेक्ट करते हैं। और जीटीएम “सहमति मोड” उपयोगकर्ता द्वारा सहमति बैनर के साथ इंटरैक्ट करने से पहले डिफ़ॉल्ट रूप से सहमति के कुछ उद्देश्यों को सक्षम करता है।

स्थिति और भी बदतर है क्योंकि यह न केवल गोपनीयता के लिए खतरा है, बल्कि सुरक्षा के लिए भी खतरा है।

शोध पत्र बताता है कि उन्होंने क्या खोजा:

“इस खोज से पता चलता है कि वेब कंटेनर सैंडबॉक्स में लागू जीटीएम अनुमति प्रणाली टैग को मनमानी, अनियंत्रित स्क्रिप्ट डालने की अनुमति देती है, जिससे वेबसाइट पर संभावित सुरक्षा और गोपनीयता जोखिम खुल जाते हैं। हमने इस खोज का खुलासा Google को उनके बग बाउंटी ऑनलाइन सिस्टम के माध्यम से किया था। “

यह सभी देखें: Google टैग मैनेजर के 4 विकल्प

सहमति प्रबंधन प्लेटफ़ॉर्म (सीएमपी)

सहमति प्रबंधन प्लेटफ़ॉर्म (सीएमपी) यह प्रबंधित करने की एक तकनीक है कि उपयोगकर्ताओं ने अपनी गोपनीयता के संदर्भ में क्या सहमति दी है। यह विज्ञापन वैयक्तिकरण, उपयोगकर्ता डेटा संग्रहण, एनालिटिक्स डेटा संग्रहण इत्यादि को प्रबंधित करने का एक तरीका है।

गूगल का सीएमपी उपयोग के लिए दस्तावेज़ीकरण कहा गया है कि सहमति मोड डिफ़ॉल्ट सेट करना विपणक और प्रकाशकों की जिम्मेदारी है जो जीटीएम का उपयोग करते हैं।

उदाहरण के लिए, डिफ़ॉल्ट रूप से विज्ञापन व्यक्तित्व को अस्वीकार करने के लिए डिफ़ॉल्ट सेट किया जा सकता है।

दस्तावेज़ीकरण बताता है:

सहमति डिफ़ॉल्ट सेट करें.
हम अनुशंसा करते हैं कि आप अपने द्वारा उपयोग की जा रही प्रत्येक प्रकार की सहमति के लिए एक डिफ़ॉल्ट मान निर्धारित करें।

इस आलेख में सहमति स्थिति मान केवल उदाहरण हैं। आप यह सुनिश्चित करने के लिए जिम्मेदार हैं कि आपके प्रत्येक माप उत्पाद के लिए डिफ़ॉल्ट सहमति मोड आपके संगठन की नीति के अनुरूप है।

शोधकर्ताओं ने जो पाया वह यह है कि क्लाइंट-साइड जीटीएम के लिए सीएमपी वेब पेज को अपरिभाषित स्थिति में लोड करता है और यह तब समस्याग्रस्त हो जाता है जब सीएमपी डिफ़ॉल्ट वैरिएबल (जिसे अपरिभाषित वैरिएबल कहा जाता है) लोड नहीं करता है।

समस्या यह है कि जीटीएम अपरिभाषित चर को यह मानता है कि उपयोगकर्ताओं ने सभी अपरिभाषित चर के लिए अपनी सहमति दे दी है, भले ही उपयोगकर्ता ने किसी भी तरह से सहमति नहीं दी है।

शोधकर्ताओं ने बताया कि क्या हो रहा था:

“आश्चर्यजनक रूप से, इस मामले में, जीटीएम ऐसे सभी अपरिभाषित चर को अंतिम उपयोगकर्ता द्वारा स्वीकार किए जाने पर विचार करता है, भले ही अंतिम उपयोगकर्ता ने अभी तक सीएमपी सहमति बैनर के साथ बातचीत नहीं की है।

परीक्षण किए गए दो सीएमपी में (देखें §3.1.1), हमने कंसेंटमैनेजर सीएमपी के लिए इस व्यवहार का पता लगाया।

यह सीएमपी केवल दो सहमति चर के लिए डिफ़ॉल्ट मान सेट करता है – एनालिटिक्स_स्टोरेज और एड_स्टोरेज – तीन जीटीएम सहमति चर को छोड़कर – सुरक्षा_स्टोरेज, वैयक्तिकरण_स्टोरेज कार्यक्षमता_स्टोरेज – और इस सीएमपी के लिए विशिष्ट सहमति चर – जैसे कि सीएमपी_प्रयोजन_सी56 जो “के उद्देश्य के अनुरूप है” मीडिया।” अनिर्दिष्ट अवस्था में.

इसलिए इन अतिरिक्त चरों को जीटीएम द्वारा प्रदान किया गया माना जाता है। परिणामस्वरूप, इन चार सहमति चर पर निर्भर सभी टैग उपयोगकर्ता की सहमति के बिना निष्पादित किए जाते हैं।

कानूनी निहितार्थ

शोध पत्र में कहा गया है कि संयुक्त राज्य अमेरिका के गोपनीयता कानून जैसे कि यूरोपीय संघ जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) और ई-प्राइवेसी डायरेक्टिव (ईपीडी) उपयोगकर्ता डेटा के प्रसंस्करण और ट्रैकिंग प्रौद्योगिकियों के उपयोग को नियंत्रित करते हैं, और इन कानूनों के उल्लंघन पर महत्वपूर्ण दंड लगाते हैं। , जैसे कुकीज़ और अन्य ट्रैकिंग प्रौद्योगिकियों के भंडारण के लिए सहमति की आवश्यकता।

क्लाइंट-साइड जीटीएम फोरेंसिक विश्लेषण ने कुल सात संभावित उल्लंघनों की पहचान की।

डेटा सुरक्षा कानूनों के सात संभावित उल्लंघन

  • संभावित उल्लंघन 1. सीएमपी स्कैनर अक्सर लक्ष्य चूक जाते हैं।
  • संभावित उल्लंघन 2. जीटीएम सहमति चर के साथ सीएमपी उद्देश्यों की मैपिंग के साथ संगत नहीं है।
  • संभावित उल्लंघन 3. GTM उद्देश्य क्लाइंट-साइड स्टोरेज तक सीमित हैं।
  • संभावित उल्लंघन 4. जीटीएम के उद्देश्य विशिष्ट और स्पष्ट नहीं हैं।
  • संभावित उल्लंघन 5. सहमति चर को “स्वीकृत” पर सेट करने का मतलब है कि टैग सहमति के बिना चलते हैं।
  • संभावित उल्लंघन 6. Google टैग उपयोगकर्ता की सहमति के निर्णयों से स्वतंत्र रूप से डेटा भेजता है।
  • संभावित उल्लंघन 7. जीटीएम टैग प्रदाताओं को ऐसी स्क्रिप्ट इंजेक्ट करने की अनुमति देता है जो अंतिम उपयोगकर्ताओं को सुरक्षा कमजोरियों से अवगत कराती है।

सर्वर-साइड जीटीएम का कानूनी विश्लेषण

शोधकर्ताओं ने लिखा है कि ये निष्कर्ष वर्तमान स्थिति में जीटीएम के बारे में वैध चिंताएं बढ़ाते हैं। वे इस बात पर जोर देते हैं कि सिस्टम समाधानों की तुलना में अधिक कानूनी चुनौतियां पेश करता है, अनुपालन प्रयासों को जटिल बनाता है और नियामकों के लिए प्रभावी ढंग से निगरानी करने की चुनौती पेश करता है।

यहां कुछ कारक हैं जो नियमों का अनुपालन करने की क्षमता के बारे में चिंता का कारण बनते हैं:

  • प्रकाशकों के लिए डेटा विषय अधिकारों का अनुपालन करना कठिन है।
    किसी प्रकाशक के लिए क्लाइंट-साइड और सर्वर-साइड जीटीएम दोनों के लिए जीडीपीआर के अनुच्छेद 15 के अनुसार एकत्र किए गए डेटा तक पहुंच के अनुरोध का अनुपालन करने का कोई आसान तरीका नहीं है। इस कानूनी अनुरोध का अनुपालन करने के लिए प्रकाशक को प्रत्येक डेटा संग्राहक को मैन्युअल रूप से ट्रैक करना होगा।
  • अंतर्निहित सहमति विश्वास के मुद्दों को जन्म देती है।
    अंतर्निहित सहमति के साथ टैग का उपयोग करते समय, प्रकाशकों को यह भरोसा करने के लिए मजबूर किया जाता है कि टैग प्रदाता वास्तव में कोड के भीतर पहले से ही सहमति लागू करते हैं। प्रकाशक के लिए यह सत्यापित करने के लिए कोड की समीक्षा करने का कोई आसान तरीका नहीं है कि टैग प्रदाता वास्तव में सहमति की अनदेखी कर रहा है और उपयोगकर्ता की जानकारी एकत्र कर रहा है। Gtm.js स्क्रिप्ट के अंदर सैंडबॉक्स किए गए आधिकारिक टैग के लिए कोड समीक्षा असंभव है। शोधकर्ताओं का कहना है कि अनुपालन के लिए कोड की समीक्षा करने के लिए “भारी रिवर्स इंजीनियरिंग की आवश्यकता है”।
  • सर्वर-साइड जीटीएम नियामक निगरानी और ऑडिटिंग के लिए अदृश्य है।
    शोधकर्ता लिखते हैं कि सर्वर-साइड जीटीएम ब्लॉक अनुपालन ऑडिटिंग में बाधा डालते हैं क्योंकि डेटा संग्रह सर्वर पर दूरस्थ रूप से होता है।
  • GTM सर्वर कंटेनरों पर सहमति कॉन्फ़िगर करना कठिन है।
    जीटीएम सर्वर कंटेनरों में सहमति प्रबंधन उपकरण गायब हैं, जो सीएमपी को नियमों के अनुसार उद्देश्यों और डेटा संग्रहकर्ताओं का खुलासा करने से रोकता है।

ऑडिटिंग को बेहद कठिन बताया गया है:

इसके अतिरिक्त, जीटीएम सर्वर कंटेनर की कॉन्फ़िगरेशन तक पहुंच प्रदान करने के लिए प्रकाशक से संपर्क करके ही ऑडिटिंग और निगरानी प्राप्त की जा सकती है।

इसके अतिरिक्त, प्रकाशक किसी भी अनुपालन जांच को छुपाते हुए किसी भी समय (उदाहरण के लिए, किसी भी नियामक जांच से पहले) जीटीएम सर्वर कंटेनर की कॉन्फ़िगरेशन को बदलने में सक्षम है।”

निष्कर्ष: जीटीएम में खामियां और कमियां हैं।

शोधकर्ताओं ने जीटीएम को सुरक्षा और गैर-अनुपालन चूक के लिए खराब अंक दिए, यह कहते हुए कि यह नियमों के अनुपालन को जटिल बनाकर और नियामकों के लिए अनुपालन की निगरानी करना कठिन बनाकर हल करने की तुलना में अधिक कानूनी समस्याएं पेश करता है।

शोध पत्र पढ़ें:

Google टैग प्रबंधक: यूरोपीय संघ डेटा संरक्षण कानून के तहत छिपे हुए डेटा लीक और संभावित उल्लंघन

शोध पत्र का पीडीएफ यहां से डाउनलोड करें।.

शटरस्टॉक/प्रनीट द्वारा प्रदर्शित छवि

ibnkamal
ibnkamalhttps://iseotools.me
Wasim Ibn Kamal | founder of iseotools.me, newslike.site and healtinfo.space | A developer and UI/UX designer. Cluster-notes.blogspot.com and tsbdu.blogspot.com are two of my blogs.

कोई जवाब दें

कृपया अपनी टिप्पणी दर्ज करें!
कृपया अपना नाम यहाँ दर्ज करें

Popular Articles