互联网是世界上最强大的监控工具。
或者至少这就是它的感觉。我们一直知道我们在网上被监视,但我们中的许多人认为这只是为了多卖我们。斯诺登后,世界各国**和公司都在利用他们能找到的每一滴数据来监视和描述我们。
国安局想知道我们的每一个数字行动。亚马逊和谷歌正在我们家里安装监控设备。脸谱网想勾勒和商品化我们的生活。现在,在不断扩大的名单上还有一件事要补充。成百上千的网站都想知道我们输入的所有信息,即使我们不提交给他们。
亚马逊、Facebook和谷歌都训练我们期望,如果我们搜索某样东西,它会在广告中神奇地推荐给我们。网络跟踪经常被用来建立我们访问的网站的简介,我们的兴趣是什么,最重要的是,他们如何操纵我们增加支出。我们经常不信任这种跟踪方式——尤其是因为那些为我们建立个人资料的公司无法信任这些信息。
尽管跟踪通常是为了一个更普通的原因:分析。网站开发人员希望提供一个有用的,无错误的网站给你。要做到这一点,他们需要数据来显示哪些有效,哪些无效。
用户体验问题,如“用户何时单击该按钮?”“读者在我们的网站上花了多长时间?”可以通过分析来回答。那些垂涎于商业的分析公司渴望通过他们能捕捉到多少数据来证明他们的价值。为了提高他们的数据捕获能力,业界创建了会话重放脚本。
例如,传统的分析与聚合一起工作,这样网站所有者就可以看到网站特定区域的点击量。但是,它并没有显示点击是如何进行的,花费了多长时间,或者用户在点击之前的行为是什么。会话重播脚本允许分析公司进入个人浏览会话。据称,这是为了改善客户体验,但收集的数据往往超出合理预期。
会话重播脚本类似于屏幕录制。这个网站可以看到你所做的一切,从鼠标移动,到你键入的单词。不幸的是,这还包括您键入但选择不提交的内容。想想你有多少次在搜索框中输入内容,三思而后行,并迅速删除了文本。会话重播脚本意味着该网站将已经捕捉到你现在删除,从未提交的文本。
你可能在想你以前怎么没听说过这种入侵追踪。这是因为部署会话重放的公司选择不通知您。这是一种态度,表明他们意识到人们可能不太满意所捕获的数据水平。
没有明显的迹象表明某个给定的网站正在使用会话重播——那么您如何知道哪些是会话重播呢?普林斯顿信息技术政策中心(CITP)的研究人员分析了Alexa排名前100万的网站,寻找会话录音的证据。
他们发现,近10万个网站(或Alexa前100万个网站中的10%)包含能够进行会话录制的脚本。这并不是说这些站点中的每一个都执行跟踪——每个站点都有能力禁用会话录制。然而,对于大多数分析提供商来说,禁用服务的过程相当复杂,因此很可能正在录制会话重播。
从那些有能力的分析脚本,研究人员能够产生证据,近10000人积极参与会话回放录音。在这份名单中,有一些大牌公司,包括微软、沃尔格林、英特尔和澳大利亚**。
分析本身并不坏。可以说,正是由于有了分析技术,我们才有了能够在多台设备上无缝工作的快速、快速响应的现代网站。会话重播脚本的一个主要问题是您没有意识到自己被跟踪。想象一下,有一天醒来发现家里到处都是安全摄像头,你会有多么不安。如果不披露他们的存在,就意味着这些脚本和他们记录的数据可能被用于邪恶的目的。
这对于那些必须输入机密信息(如信用卡号码和密码)的网站来说尤其麻烦,这些信息是会话回放以明文形式捕获的。这进一步使问题复杂化,因为您的机密信息现在由多家公司处理,这些公司可能无法像保护其他敏感信息那样对其进行保护。追踪的公司可能会声称这些数据的使用包含在他们的隐私政策中。
然而,期望访问者阅读网站的隐私政策、找到网站的分析公司以及阅读他们的隐私政策是不合理和不现实的。当然,不讲理并不能阻止这些公司以道德上模棱两可的方式运作。
那么,你怎么保护自己呢?可悲的是,在大多数情况下,你将不能。
会话重播脚本有两种形式:客户端和服务器端。客户端脚本可以被广告拦截器和跟踪预防外接程序阻止。无法阻止服务器端脚本,但无法执行完整录制。最常见的方法是两者的混合,即使阻止客户端脚本也不会阻止录制。
归根结底,最好的保护措施是意识到会话重播的存在,并对您在互联网上任何地方键入的内容保持警惕。
会话重播脚本公开了我们以前认为仅在浏览器中保存的私有信息。不幸的是,这并不是浏览器泄露的关于我们的唯一信息。数字经济的通货是数据,这为每家公司提供了一种激励,让他们尽可能多地收集有关你的信息。对你的数据保持谨慎,并且一定要阅读隐私政策——尽管那可能很乏味。采取预防措施和保持良好的网络卫生是您防止滥用数据的最佳防御措施。
虽然会话重播的流行令人不安,但应该将其纳入考虑范围。目前没有证据表明数据已被这种做法破坏。同样,使用会话重放也有正当理由,这将允许网站所有者继续使互联网更容易使用——即使他们的最终目标是让你花更多的钱。
你对那些监视你打字的公司有何感想?你认为互联网是一个巨大的监视工具吗?或者你认为恐惧是过分的?请在评论中告诉我们!
...d订阅中,因此请继续从您的Creative Cloud应用程序或上面的网站安装它。 ...
...之前无法装满购物车,你会尝试在亚马逊购物。当你浏览网站时,你必须记住所有你想买的东西。 ...
...似乎是一种无辜的行为,不是吗?你搜索谷歌,访问一些网站,阅读有趣的信息。你会惊讶地发现网站在你阅读时收集了大量关于你的信息吗? ...
每年在Spotify、Apple podcasts和其他几个平台上发布数千个新的播客。一个伟大的播客可以单独录制,与一个朋友,甚至与一群朋友使用各种类型的设备。 ...
跨站点请求伪造(CSRF)是利用网站漏洞的最古老方法之一。它针对通常需要登录等身份验证的服务器端web交换机。在CSRF攻击过程中,攻击者的目标是强迫其受害者代表他们发出未经授权的恶意web请求。 ...