原标题：用一小段Js就能收集淘宝的统计数据？

刚刚在Hacker News上看了一篇神奇的文章：How I recorded user behaviour on my competitor’s websites

互联网发展到今天，你会认为上网应该是相当安全的。毕竟，很多现代网站都实现了全站HTTPS，浏览器地址栏的那个绿色小锁头图标告诉你：当前网站很安全。

谁能想到一个程序员，用一个小小的实验，就击碎了安全的幻觉。简直就是啪啪打脸。

看看他的神操作：

你以为这样的网站可定会被举报、处罚，可是作者这个网站存在了5年，排名还很靠前，也没人发现什么异常！

安全隐患往往发生在系统之外。我们都在想办法加固门锁，却忘了房间的窗子是开着的。

这让我想起前几天看到的一个闲鱼上的网络诈骗手段，和上面的实验有异曲同工之妙：

闲鱼惊天骗局，买卖双方竟然同时被骗？被骗率高达90%！！

我们以为有闲鱼的第三方托管，支付万无一失。没错，支付通路是很安全，但是我们忘记了在闲鱼之外，买家和卖家可以建立另一条信息通路（微信、线下交易），而这条路径是可以做中间人攻击的。真是防不胜防！

所以，不要有任何安全的幻觉，因为漏洞可能出现在任何一个你意想不到的地方。