研究显示众多知名网站会记录用户的点击和移动操作
近期美国普林斯顿大学的安全研究人员针对桌面端以及移动端网站的隐私安全策略进行了非常有意思的调查。
研究结果表明很多知名的网站会记录用户用的各种行为,例如在网站上进行的鼠标移动或者是点击操作等等。
有的网站甚至完全会完整记录用户自访问开始所有的操作记录,直到用户关闭页面后记录操作才会完全停止。
合法记录下的各种隐私操作:
值得注意的是这类记录本身不区分用户是否已经注册,即只要是用户进行了浏览那么系统都会自动进行记录。
而且这些记录通常已经在网站的隐私策略里进行了注明,因此用户如果没有详细阅读隐私政策那么也不知道。
所以整体来说这类记录至少不算是违反相关法律法规的行为,但对于用户来说似乎会产生某种被监视的感觉。
收集此类信息用于优化用户体验:
在国内绝大多数网站统计工具同样会记录这些操作,只不过这些记录不针对某个用户而是全体用户进行综合。
这些信息经过汇总分析后网站所有者可以知道哪些区域是用户经常点击的、哪些用户基本上没有用户去点击。
国外的网站则是基于隐私考虑通常自有此类跟踪系统,所以数据方面有的则是会单独保存在某个注册用户里。
超出安全范围的隐私记录:
值得注意的是并不是所有网站收集这些信息都能妥善处理,有的网站甚至会超出安全范围记录用户们的行为。
这类超出范围的记录主要指的是系统会记录用户的输入内容,这部分内容可能会泄露用户们的私密信息等等。
例如按规定任何交易网站均不得保存用户信用卡的CVV安全码,因为CVV安全码泄露那么信用卡就不再安全。
举个栗子国内的某程票务网站就曾经违规记录用户的CVV码,结果还存在漏洞被安全研究人员直接挖了出来。
在某程服务器直接保存着用户信用卡的卡号、有效期、CVV码等关键信息,任何人拿到都可以直接进行盗刷。
人为刀俎我为鱼肉:
对于用户来说这些超出安全范围的隐私记录就是非常危险的了,但似乎人家即使超出范围记录用户也不知道。
毕竟像某程那样恰好服务器存在个漏洞被人家发现才知道违规记录CVV安全码的事件发生概率实在是太低了。
比较坑爹的是即使大型网站也可能会超出范围记录隐私内容,所以并不是说选择口碑更好的网站就能避免掉。
所以说这种情况就是典型的人为刀俎我为鱼肉了,在使用任何服务的时候好好看看隐私政策还是很有必要的。