本网站内容收集互联网网站在美(全球有近500家热门网站会自动记录你的每一次操作 )

　　本网站内容收集互联网网站在美(全球有近500家热门网站会自动记录你的每一次操作

)

　　（原标题：普林斯顿研究人员发现，世界上400多个最受欢迎的网站记录了你的每一次击键）

　　网易科技讯11月21日消息，据外媒Motherboard报道，通过一个简单的脚本工具，网页上的任何点击和输入都可以被记录下来。最近，普林斯顿大学的研究人员发现，全球有近 500 个流行的 网站 会自动记录你的每一个操作，然后将这些信息发送到第三方服务器。

　　经常上网的人应该知道，很多网站都会记录他们的访问和浏览过的页面。比如你在某零售商的网站上搜索某双鞋，就会记录你对它感兴趣。第二天，当你访问社交媒体网站时，你会看到同一双鞋的广告。

　　网站 跟踪用户并不是什么新鲜事，但普林斯顿大学上周发表的一项研究表明，在线跟踪比大多数互联网用户想象的要激进得多。普林斯顿大学信息技术政策中心的三位研究人员在研究报告中指出，运行在许多全球流行的网站上的第三方脚本会跟踪你的每一次击键，然后将这些信息发送到第三方服务器.

　　一些高流量的网站 会运行软件来记录你的每一次点击和你输入的每一个字。据研究人员称，如果您访问一个网站，开始填写表格，然后将其丢弃，您输入的每个单词仍会被记录下来。如果您不小心将复制到剪贴板的内容粘贴到表格中，这些内容也会被记录下来。2013 年，Facebook 被发现对用户状态更新采取了类似的方法——它记录用户输入的任何内容，即使内容最终没有发布。此举引起了用户的强烈不满。

　　“会话重播”脚本

　　网站 运行的脚本称为“会话重放”脚本。公司使用会话回放脚本来了解用户如何使用他们的 网站。但这些脚本不只是采集普通数据，它们还可以记录和回放个人浏览会话。它们并不是在每个页面上都运行，而是经常放置在用户输入密码和医疗状况等敏感信息的页面上。

　　该研究的研究人员之一史蒂夫·恩格尔哈特（Steve Englehardt）指出，“除非你深入研究了用户隐私政策，否则用户很难知道这一切。我们希望用户注意这一点。”

　　在研究人员眼中，最令人不安的是，会话回放脚本采集的信息并不是匿名的。一些提供此类软件的公司设计的跟踪脚本，例如 FullStory，甚至可以让 网站 将采集到的信息与用户的真实身份相关联。企业可以在后台看到用户与特定的电子邮件地址或名称相关联。

　　为了开展研究，几位研究人员探索了七家最流行的对话回放脚本公司，包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar和*敏*感*词*最流行的搜索引擎Yandex。他们创建了一个测试页面，并在其上安装了来自六家公司的会话回放脚本。他们发现全球 50,000 个最受欢迎的 网站 中有 482 个（根据 Alexa 的排名）使用这些脚本。

　　使用这些脚本的知名公司包括男装零售商、美国最大的连锁药店，以及。还值得指出的是，482 可能是一个被低估的数字。据研究人员称，这些脚本可能不会记录每个网站 访问者的信息。因此，他们在测试的时候，可能会因为没有激活而检测不到一些脚本。

　　自从普林斯顿大学的研究人员宣布他们的结果后，Bonobos 和 Walgreens 都表示他们将停止使用会话回放脚本。“我们非常重视用户数据的保护，目前正在调查昨天发表的研究中指出的问题。出于谨慎，我们已停止与 FullStory 共享数据。” 沃尔格林上周四在一封电子邮件中说。

　　Bonobos 没有回应置评请求，但它向《连线》杂志表示，它“已停止与 FullStory 共享数据，以评估我们的协议及其服务的运行情况。我们将继续评估和加强我们的系统和程序，以保护我们的用户数据。”

　　Fidelity 没有声明将停止使用会话重播脚本。

　　销售会话播放脚本的公司还提供了大量编辑工具，以允许 网站 排除记录信息中的敏感内容。一些工具甚至明确禁止采集用户数据。但是，这么多全球流行的网站使用会话回放脚本，仍然会带来严重的隐私影响。

　　信息泄露风险

　　“第三方会话播放脚本采集页面内容的行为可能会导致页面上显示的敏感信息，例如医疗状况、*敏*感*词*详细信息和其他个人信息泄露给第三方。” 研究人员指出。

　　密码经常意外地收录在记录的信息中，尽管它们需要从这些脚本的设置中排除。研究人员发现，其他个人信息通常不会被编辑，或者只是部分编辑，至少是部分脚本。其中两家公司 UserReplay 和 SessionCam，默认情况下会阻止所有用户输入（他们只跟踪用户的点击活动），这样更安全。

　　然而，重要的不仅仅是用户输入的信息。当您登录网站时，屏幕上显示的内容也可能是敏感的。研究人员发现，“默认情况下，这些脚本公司似乎都不会自动编辑显示的内容；因此，屏幕上显示的所有内容都会泄露。”

　　例如，研究人员测试了之前使用 FullStory 脚本的 网站。他们发现，尽管 Walgreens 使用了 FullStory 提供的许多编辑功能，但会话播放脚本仍会采集诸如医疗状况、处方和用户真实姓名等信息。

　　最后，该研究的作者担心会话脚本公司可能容易受到黑客的针对性攻击，尤其是考虑到它们可能是有价值的目标。例如，这些公司中的许多公司都有控制面板供客户重放采集到的信息。但是 Yandex、Hotjar 和 Smartlook 的控制面板运行的是未加密的 HTTP 页面，而不是更安全的加密 HTTPS 页面。

　　“有人可能会在播放页面插入脚本来提取所有记录的数据。” 该研究的作者写道。

　　Yandex 发言人在一封电子邮件声明中表示，该公司正试图在任何可能的地方使用 HTTPS，并且即将升级其产品以不再使用 HTTP。

　　跟踪您在 Internet 上的一举一动的不仅仅是会话脚本。今年早些时候的一项研究发现，在全球 1000 个最受欢迎的 网站 中，近一半使用相同的跟踪软件以各种方式跟踪您的在线行为。(乐邦)

　　原文链接