美國普林斯頓大學的資訊技術政策中心(Center for Information Technology Policy,,CITP)上周公布一項研究報告,指出在全球前5萬個流量最大的網站中,有482個會利用「期間重播」(Session replay)服務來紀錄使用者的行為,包含鍵盤敲擊、滑鼠的移動、瀏覽行為、所停留的網頁內容,並將這些紀錄傳送到第三方伺服器上。
研究人員選擇了7家最受歡迎的「期間重播」服務供應商,調查Alexa全球網站流量排行榜前5萬個網站的採用情形,發現有482個網站採用了相關服務。即使該報告沒有揭露網站名稱,但BBC報導,包括Telegraph、路透社與CBS News等新聞網站,以及三星電子都採用了「期間重播」服務。
這些「期間重播」服務供應商雖然藉由手動與自動編輯功能來過濾使用者所輸入的機密資訊,卻仍然不夠完善。測試發現,有些服務仍然可紀錄使用者的密碼,機密資料的編輯能力也不完整,自動顯示用戶身份的網頁照樣完整呈現,研究人員還擔心服務供應商無法妥善保護使用者的資料,例如其中3家業者在傳送重播內容時使用的是未加密的HTTP協定。
此外,研究人員目前只確定有一家「期間重播」服務供應商允許使用者關閉追蹤與紀錄功能,其他使用者則必須主動利用廣告封鎖程式來杜絕業者的追蹤。
張貼留言