一項(xiàng)新的研究發(fā)現(xiàn)，包括microsoft.com、adobe.com和godaddy.com在內(nèi)的數(shù)百個(gè)網(wǎng)站，正默默地記錄著你在網(wǎng)站頁(yè)面中的所有操作，包括每一次通過(guò)鍵盤的按鍵、實(shí)時(shí)的鼠標(biāo)移動(dòng)或者滾動(dòng)操作以及訪問(wèn)過(guò)什么網(wǎng)頁(yè)內(nèi)容、搜索過(guò)什么內(nèi)容等等。此外，這還不是最重要的，重要的是這些網(wǎng)站將這些數(shù)據(jù)發(fā)送給了第三方服務(wù)器。

這一切都源于這些網(wǎng)站開始使用一種新的第三方分析服務(wù)——會(huì)話回放腳本。與提供匯總統(tǒng)計(jì)信息的典型分析服務(wù)不同，這些腳本旨在用于單個(gè)瀏覽會(huì)話的錄制和回放。這就好比你在網(wǎng)吧玩游戲的時(shí)候，后面站了一排小學(xué)生在看著你。

這些由第三方分析服務(wù)商提供的腳本，原本旨在幫助網(wǎng)站運(yùn)營(yíng)商更好地了解訪問(wèn)者如何與其網(wǎng)絡(luò)媒體資源進(jìn)行交互，并識(shí)別出混淆或損壞的特定網(wǎng)頁(yè)。顧名思義，腳本允許網(wǎng)站管理員重新制定單獨(dú)的瀏覽會(huì)話。每次鍵盤按鍵、輸入和鼠標(biāo)移動(dòng)、滾動(dòng)都可以被記錄下來(lái)，然后再回放。

研究來(lái)自于普林斯頓大學(xué)計(jì)算機(jī)科學(xué)系的安全專家Steven Englehardt，Gunes Acar和Arvind Narayanan組成的安全小組。他們分別對(duì)7家分析服務(wù)商提供的會(huì)話回放腳本（Yandex、FullStory、Hotjar、UserReplay、Smartlook、Clicktale和SessionCam）進(jìn)行了研究分析，并且發(fā)現(xiàn)在Alexa排名前5萬(wàn)的網(wǎng)站中，有482個(gè)網(wǎng)站采用了這樣的服務(wù)。

當(dāng)然，這就包含了我們?cè)谖恼伦铋_始提到的microsoft.com（微軟官網(wǎng)）、adobe.com（Adobe官網(wǎng)）和godaddy.com（世界知名互聯(lián)網(wǎng)域名注冊(cè)商GoDaddy官網(wǎng)）。

Englehardt解釋說(shuō)：“通過(guò)第三方會(huì)話回放腳本收集頁(yè)面內(nèi)容可能會(huì)導(dǎo)致網(wǎng)站訪問(wèn)者敏感信息泄露給第三方分析服務(wù)商，如醫(yī)療條件、信用卡詳細(xì)信息和其他個(gè)人信息。這就使得網(wǎng)站訪問(wèn)者可能會(huì)遭到身份盜用、在線詐騙和其他不良行為的侵害。”

Englehardt安裝了6款使用最廣泛的會(huì)話回放腳本，發(fā)現(xiàn)它們都在不同程度上暴露了網(wǎng)站訪問(wèn)者的個(gè)人敏感信息。例如，在創(chuàng)建一個(gè)帳戶的過(guò)程中，Englehardt輸入的字符至少有一部分被腳本所收集。

來(lái)自FullStory、Hotjar、Yandex和Smartlook的腳本是最具侵入性的，因?yàn)槟J(rèn)情況下，它們會(huì)記錄訪問(wèn)者輸入的所有字符，包括到姓名、電子郵箱地址、電話號(hào)碼、地址、社會(huì)安全號(hào)碼和出生日期等。

研究人員強(qiáng)調(diào)，目前還沒(méi)有針對(duì)性的辦法來(lái)阻止此類數(shù)據(jù)收集行為。如果非要說(shuō)有的話，那就是某些廣告攔截器，可以過(guò)濾一些但不是全部的會(huì)話回放腳本。