當前位置：安全 → 企業動態 → 正文

外媒：在許多網站，你每一次操作都會被收集記錄

責任編輯：editor007 作者：樂邦 |來源：企業網D1Net 2017-11-21 19:50:42 本文摘自：網易科技報道

11月21日消息，據國外媒體Motherboard報道，通過簡單的腳本工具，我們在網頁上的任何一次點擊和輸入都能被記錄下來。最近普林斯頓大學的研究者發現，全球有近500家熱門網站會自動記錄你的每一次操作，然后將這些信息發給第三方服務器。

常常上網的人應該都知道很多網站會記錄他們的來訪和瀏覽過的頁面。例如，你在一家零售商的網站上搜索某雙鞋子，它就會記錄你對它有興趣。第二天，你在訪問社交媒體網站的時候就會看到同一雙鞋子的廣告。

網站跟蹤用戶并不是什么新鮮事，但上周發布的來自普林斯頓大學的研究顯示，在線跟蹤的侵略性要遠遠超過大多網絡用戶的想象。普林斯頓大學信息技術政策中心的三位研究人員在研究報告中指出，運行于眾多全球熱門網站的第三方腳本會跟蹤你的每一次按鍵輸入，然后將那些信息發送到第三方的服務器。

有的流量很高的網站會運行軟件來記錄你的每一次點擊和你輸入的每一個詞語。據研究人員發現，如果你訪問一個網站，開始填寫表格，然后棄填，你輸入過的每一個字還是會被記錄下來。如果你不小心將復制到剪貼板的東西粘貼到一個表格，那些內容也會被記錄下來。2013年，Facebook被發現對用戶的狀態更新采取類似的做法——它記錄用戶輸入過的任何內容，即便內容最終沒有發布出去。該舉引起了用戶的強烈不滿。

“會話回放”腳本

網站運行的這些腳本被稱作“會話回放”（session replay）腳本。會話回放腳本被企業用來了解用戶如何使用它們的網站。但那些腳本并不只是收集普通的數據，它們會記錄且能夠回放個人的瀏覽會話。它們不是運行于每一個頁面，但往往被置于用戶輸入密碼、醫療狀況等敏感信息的頁面。

該項研究的其中一位研究者史蒂夫·英格爾哈特（Steve Englehardt）指出，“用戶很難知道這一切，除非你有深入研讀用戶隱私政策。我們希望用戶注意這一點。”

在研究者們看來，最令人不安的是，會話回放腳本收集的信息并沒有匿名。FullStory等部分提供該類軟件的公司所設計的跟蹤腳本甚至能夠讓網站將所收集的信息與用戶的真實身份關聯起來。企業可以在后臺看到用戶與特定的郵箱地址或者姓名關聯。

為了展開研究，幾位研究人員探究了其中七家最熱門的會話回放腳本公司，其中包括FullStory、SessionCam、Clicktale、Smartlook、UserReplay、Hotjar以及俄羅斯最流行的搜索引擎Yandex。他們創建了測試頁面，然后在上面安裝了來自當中六家公司的會話回放腳本。他們發現，全球最熱門的5萬個網站中的482個（根據Alexa的排名）有使用當中的這些腳本。

使用那些腳本的知名公司包括男性服飾零售商Bonobos.com、美國最大連鎖藥店Walgreens.com和金融投資公司Fidelity.com。另外值得指出的是，482可能是一個低估的數字。研究者稱，那些腳本可能不會記錄每一個網站訪客的信息。因此，當他們在進行測試的時候，他們可能檢測不到部分腳本，因為它們沒有被激活。

自普林斯頓大學的研究人員公布他們的研究結果以來，Bonobos和Walgreens均表示它們將停止使用會話回放腳本。“我們非常重視保護用戶的數據，目前正在調查昨天發布的研究里所指出的問題。出于謹慎起見，我們已經停止與FullStory共享數據。”Walgreens上周四在郵件中表示。

Bonobos沒有回應置評請求，但它向《連線》雜志表示，它“已停止與FullStory進行數據共享，以便評估我們的協議和關于他們的服務的運營。我們正繼續評估和強化我們的系統和流程，以保護我們的用戶數據。”

Fidelity方面沒有表態要停止使用會話回放腳本。

出售會話回放腳本的公司也有提供眾多的編輯工具，來讓網站排除記錄的信息當中的敏感內容，有的工具甚至明確禁止收集用戶數據。不過，如此之多的全球熱門網站使用會話回放腳本，還是會帶來嚴重的隱私影響。

信息泄露風險

“第三方會話回放腳本收集頁面內容的行為，可能會導致醫療狀況、信用卡細節等敏感信息以及其它顯示在頁面上的個人資料泄露給第三方。”研究人員指出。

密碼往往會被不慎納入記錄的信息當中，盡管那些腳本的設定中需要排除掉它們。研究者發現，其它的個人信息也往往沒有被編輯，或者只是被部分編輯，至少部分腳本是這樣。其中的兩家公司UserReplay和SessionCam會默認攔截所有的用戶輸入信息（它們只是跟蹤用戶的點擊活動），這種做法要安全得多。

然而，重要的并不只是用戶輸入的信息。當你登陸網站的時候，顯示在屏幕上的內容也有可能是敏感內容。研究人員發現，“那些腳本公司似乎沒有一家默認自動編輯所顯示的內容；因此所有顯示在屏幕上的內容都會泄露。”

例如，研究者測試了之前使用來自FullStory的腳本的Walgreens.com網站。他們發現，雖然Walgreens有使用FullStory提供的諸多編輯功能，但醫療狀況、處方等信息以及用戶的真實姓名仍然會被會話回放腳本收集。

最后，該研究的作者擔心，會話腳本公司可能會容易遭到黑客的定向攻擊，尤其考慮到它們可能是富有價值的攻擊目標。例如，這些公司很多都有供客戶回放所收集的信息的控制面板。但Yandex、Hotjar和Smartlook的控制面板運行的是沒有加密的HTTP頁面，而不是安全得多的加密HTTPS頁面。

“可能會有人在回放頁面插入一個腳本，提取掉所有被記錄下來的數據。”該研究的作者寫道。

Yandex發言人在一份郵件聲明中表示，公司在試圖在任何可以的地方使用HTTPS，也即將升級它的產品，不再使用HTTP。