全球近 500 個知名網站暗中紀錄用家鍵盤操作行為

| Siu Yeung | 23-11-2017 20:05 |
全球近 500 個知名網站暗中紀錄用家鍵盤操作行為

互聯網已成為生活不可分割的一部份,但隨之來,也出現種種侵犯私隱的問題。早前,美國普林斯頓大學的資訊技術政策中心(Center for Information Technology Policy,CITP)便公布一項研究報告,調查全球 5 萬個最多流量的網站,發現當中近 500 個,會利用 Session replay(紀錄行為重播),將用戶的使用行徑紀錄,並傳送到第三方伺服器上。

全球近 500 個知名網站暗中紀錄用家鍵盤操作行為

【網絡熱話】

【生活情報】

全球近 500 個知名網站暗中紀錄用家鍵盤操作行為

所謂 Session replay,意思是指網站會紀錄使用者的行為,包含:鍵盤敲擊、滑鼠移動、瀏覽行為、所停留的網頁內容等,原因通常為了進行各種分析,改善使用用者的體驗,又或用於各種研究。CITP 因應 7 間提供 Session replay 服務的公司,包括:FullStory、Hotjar、Yandex、Smartlook 等,再根據 Alexa 的流量排行榜,調查前 5 萬個網站,發現其中 482 個,有使用相關服務。這些網站包括:Telegraph、路透社、CBS News、Samsung、Microsoft、Adobe、ASUS、League of Lengends 等,完整名單可按這裏。

全球近 500 個知名網站暗中紀錄用家鍵盤操作行為

按理說,提供 Session replay 服務的供應商,應該要過濾使用者輸入的各種機密資訊。不過測試發現,部分仍然可紀錄使用者的密碼、用戶身份資料、信用卡後 4 碼、醫療狀況等,當中有 3 間供應商,在傳送重播內容時,更使用的是未加密的 HTTP 協定。在 7 間供應商之中,亦只有一間,允許使用者關閉追蹤與紀錄功能。用家即使用廣告攔截軟體、瀏覽器內的防追蹤保護功能,亦不一定能完全阻擋。

Source:freedom-to-tinker、webtap

Page 1 of 9