本网站内容收集互联网网站在美(全球有近500家热门网站会自动记录你的每一次操作)

　　本网站内容收集互联网网站在美(全球有近500家热门网站会自动记录你的每一次操作)

　　编者按：本文来自网易科技，乐邦编译。36氪经授权发布。

　　据外媒Motherboard称，通过一个简单的脚本工具，我们在网页上所做的任何点击和输入都可以被记录下来。最近，普林斯顿大学的研究人员发现，全球近 500 家受欢迎的网站 公司会自动记录你的一举一动，然后将这些信息发送到第三方服务器。

　　经常上网的人应该知道，很多网站都会记录他们的访问和浏览的页面。例如，您在零售商的 网站 上搜索某双鞋，它会记录您对它感兴趣。第二天，当您访问社交媒体 网站 时，您会看到同一双鞋的广告。

　　网站跟踪用户并不是什么新鲜事，但普林斯顿大学上周发布的研究表明，在线跟踪比大多数网络用户意识到的更具侵略性。普林斯顿大学信息技术政策中心的三位研究人员在一项研究中报告说，在世界上许多最受欢迎的 网站 上运行的第三方脚本会跟踪您的每一次击键，然后将该信息发送到第三方服务器. .

　　一些高流量的网站会运行软件来记录你的每一次点击和你输入的每一个字。据研究人员称，如果您访问 网站，开始填写表格，然后将其丢弃，您输入的每个单词仍会被记录下来。如果您不小心将复制到剪贴板的内容粘贴到表格中，该内容也会被记录下来。2013 年，Facebook 被发现对用户的状态更新采取了类似的方法——它记录用户输入的任何内容，即使它最终没有被发布。此举引起了用户的强烈不满。

　　会话回放脚本

　　网站这些运行的脚本被称为“会话重放”脚本。会话回放脚本是企业使用 网站 来了解用户如何使用它们的。但这些脚本不只是采集普通数据，它们记录和回放个人浏览会话。它们不会在每个页面上运行，但通常放置在用户输入敏感信息（如密码、医疗状况等）的页面上。

　　该研究的研究人员之一史蒂夫·恩格尔哈特指出，“除非你阅读用户隐私政策，否则用户很难知道这一切。我们希望用户注意这一点。”

　　最令研究人员不安的是会话重播脚本采集的信息不是匿名的。一些提供此类软件的公司（例如 FullStory）设计的跟踪脚本甚至允许 网站 将采集的信息与用户的真实身份相关联。企业可以在后台看到用户与特定的电子邮件地址或姓名相关联。

　　在他们的研究中，几位研究人员探索了七家最受欢迎的会话回放脚本公司，包括 FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar 和*敏*感*词*最受欢迎的搜索引擎 Yandex。他们创建了测试页面并安装了其中六家公司的会话回放脚本。他们发现世界上 50,000 个最受欢迎的 网站 中有 482 个（根据 Alexa 排名）正在使用这些脚本。

　　使用这些脚本的知名公司包括男士服装零售商、美国最大的连锁药店和 . 还值得指出的是，482 可能是一个被低估的数字。研究人员说，这些脚本可能不会记录每个 网站 访问者的信息。因此，他们在测试时，可能因为没有激活而检测不到某些脚本。

　　自从普林斯顿大学的研究人员发表了他们的发现后，Bonobos 和 Walgreens 都表示他们将停止使用会话回放脚本。“我们非常重视保护用户数据，目前正在调查昨天发布的研究中发现的问题。出于谨慎考虑，我们已停止与 FullStory 共享数据，”沃尔格林周四在一封电子邮件中说。

　　Bonobos 没有回应置评请求，但它告诉《连线》杂志，它“已停止与 FullStory 共享数据，以评估我们关于其服务的协议和运营。我们将继续评估和加强我们的系统和流程以保护我们的用户数据。”

　　富达并未表示将停止使用会话回放脚本。

　　销售会话回放脚本的公司还提供了许多编辑工具，让 网站 从记录的信息中排除敏感内容，有些工具甚至明确禁止采集用户数据。尽管如此，如此多的全球热门 网站 使用会话回放脚本可能会产生严重的隐私问题。

　　信息泄露风险

　　研究人员指出：“通过第三方会话播放脚本采集页面内容的行为可能会导致敏感信息泄露，例如医疗状况、*敏*感*词*详细信息以及页面上显示的其他个人数据。”

　　密码经常被无意中收录在记录的信息中，尽管这些脚本被设置为排除它们。研究人员发现，其他个人信息通常没有被编辑，或者只是被部分编辑，至少对于某些脚本来说是这样。其中两家公司，UserReplay 和 SessionCam，默认拦截所有用户输入（它们只是跟踪用户点击活动），这样更安全。

　　然而，重要的不仅仅是用户输入的信息。当您登录网站时，屏幕上显示的内容也可能是敏感内容。“这些脚本公司似乎都没有默认自动编辑显示的内容；因此屏幕上显示的所有内容都被泄露了，”研究人员发现。

　　例如，研究人员之前使用 FullStory 的脚本测试了 网站。他们发现，虽然 Walgreens 使用了 FullStory 提供的许多编辑功能，但会话回放脚本仍会采集医疗状况、处方和用户真实姓名等信息。

　　最后，该研究的作者担心会话脚本公司可能容易受到黑客的针对性攻击，特别是考虑到它们可能是有价值的目标。例如，其中许多公司都有控制面板供客户回放他们采集的信息。但 Yandex、Hotjar 和 Smartlook 的控制面板运行未加密的 HTTP 页面，而不是更安全的加密 HTTPS 页面。

　　“有人可能会在播放页面中插入一个脚本，提取所有记录的数据，”该研究的作者写道。

　　Yandex 发言人在一封电子邮件声明中表示，该公司正在尝试尽可能使用 HTTPS，并且即将升级其产品以不再使用 HTTP。

　　跟踪您在 Internet 上的一举一动的不仅仅是会话脚本。今年早些时候的一项研究发现，全球 1000 位最受欢迎的 网站 中有近一半使用相同的跟踪软件以各种方式跟踪您的在线行为。