本网站内容收集互联网网站在美国( 网站跟踪的侵略性要远远超过大多网络用户的想象！)

　　本网站内容收集互联网网站在美国(

网站跟踪的侵略性要远远超过大多网络用户的想象！)

　　经常上网的人应该知道，很多网站都会记录他们的访问和浏览过的页面。例如，如果您在零售商的网站上搜索某双鞋，它会记录您对它感兴趣。第二天，当您访问社交媒体网站时，您会看到同一双鞋的广告。

　　网站跟踪用户并不是什么新鲜事，但普林斯顿大学上周发表的一项研究表明，在线跟踪比大多数互联网用户想象的要激进得多。普林斯顿大学信息技术政策中心的三位研究人员在一份研究报告中指出，在全球许多流行网站上运行的第三方脚本会跟踪您的每一次按键操作，然后将这些信息发送到第三方服务器。

　　一些高流量的网站会运行软件来记录你的每一次点击和你输入的每一个字。据研究人员称，如果你访问一个网站，开始填写表格，然后丢弃它，你输入的每一个字仍然会被记录下来。如果您不小心将复制到剪贴板的内容粘贴到表格中，这些内容也会被记录下来。2013 年，Facebook 被发现对用户状态更新采取了类似的方法——它记录用户输入的任何内容，即使内容最终没有发布。此举引起了用户的强烈不满。

　　“会话重播”脚本

　　网站运行的这些脚本称为“会话重放”脚本。公司使用会话重放脚本来了解用户如何使用他们的网站。但这些脚本不只是采集

普通数据，它们还可以记录和回放个人浏览会话。它们并不是在每个页面上都运行，而是经常放置在用户输入密码和医疗状况等敏感信息的页面上。

　　该研究的研究人员之一史蒂夫·恩格尔哈特（Steve Englehardt）指出，“除非你深入研究了用户隐私政策，否则用户很难知道这一切。我们希望用户注意这一点。”

　　在研究人员眼中，最令人不安的是，会话回放脚本采集

的信息并不是匿名的。FullStory 等公司和其他提供此类软件的公司设计的跟踪脚本甚至可以让网站将采集

到的信息与用户的真实身份相关联。企业可以在后台看到用户与特定的电子邮件地址或名称相关联。

　　为了开展这项研究，几位研究人员探索了七家最流行的会话回放脚本公司，包括 FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar 和*敏*感*词*最流行的搜索引擎 Yandex。他们创建了一个测试页面，并在其上安装了来自六家公司的会话回放脚本。他们发现全球 50,000 个最受欢迎的网站中有 482 个（根据 Alexa 的排名）使用这些脚本。

　　使用这些脚本的知名公司包括男装零售商、美国最大的连锁药店和金融投资公司。还值得指出的是，482 可能是一个被低估的数字。据研究人员称，这些脚本可能不会记录每个网站访问者的信息。因此，他们在测试的时候，可能会因为没有激活而检测不到一些脚本。

　　自从普林斯顿大学的研究人员宣布他们的结果后，Bonobos 和 Walgreens 都表示他们将停止使用会话回放脚本。“我们非常重视用户数据的保护，目前正在调查昨天发表的研究中指出的问题。出于谨慎，我们已停止与 FullStory 共享数据。” 沃尔格林上周四在一封电子邮件中说。

　　Bonobos 没有回应置评请求，但它向《连线》杂志表示，它“已停止与 FullStory 共享数据，以评估我们的协议及其服务的运行情况。我们将继续评估和加强我们的系统和程序，以保护我们的用户数据。”

　　Fidelity 没有声明将停止使用会话重播脚本。

　　销售会话回放脚本的公司还提供多种编辑工具，以允许网站从记录的信息中排除敏感内容。一些工具甚至明确禁止采集

用户数据。但是，全球如此多的流行网站都使用会话重放脚本，这仍然会带来严重的隐私影响。

　　信息泄露风险

　　“第三方会话播放脚本采集

页面内容的行为可能会导致页面上显示的敏感信息，例如医疗状况、*敏*感*词*详细信息和其他个人信息泄露给第三方。” 研究人员指出。

　　密码经常意外地收录

在记录的信息中，尽管它们需要从这些脚本的设置中排除。研究人员发现，其他个人信息通常不会被编辑，或者只是部分编辑，至少是部分脚本。其中两家公司 UserReplay 和 SessionCam，默认情况下会阻止所有用户输入（他们只跟踪用户的点击活动），这样更安全。

　　然而，重要的不仅仅是用户输入的信息。当您登录网站时，屏幕上显示的内容也可能是敏感的。研究人员发现，“默认情况下，这些脚本公司似乎都不会自动编辑显示的内容；因此，屏幕上显示的所有内容都会泄露。”

　　例如，研究人员测试了一个以前使用 FullStory 脚本的网站。他们发现，尽管 Walgreens 使用了 FullStory 提供的许多编辑功能，但会话播放脚本仍会采集

诸如医疗状况、处方和用户真实姓名等信息。

　　最后，该研究的作者担心会话脚本公司可能容易受到黑客的针对性攻击，尤其是考虑到它们可能是有价值的目标。例如，这些公司中的许多公司都有控制面板供客户重放采集

到的信息。但是 Yandex、Hotjar 和 Smartlook 的控制面板运行的是未加密的 HTTP 页面，而不是更安全的加密 HTTPS 页面。

　　“有人可能会在播放页面插入脚本来提取所有记录的数据。” 该研究的作者写道。

　　Yandex 发言人在一封电子邮件声明中表示，该公司正试图在任何可能的地方使用 HTTPS，并且即将升级其产品以不再使用 HTTP。

　　跟踪您在 Internet 上的一举一动的不仅仅是会话脚本。今年早些时候的一项研究发现，全球 1,000 个最受欢迎的网站中，近一半使用相同的跟踪软件以各种方式跟踪您的在线行为。