警告！您的鼠标已被网站追踪

摘要：虽然网站本身始终可以访问原始行为数据，并且假设可以访问任一单个用户会话，使用FullStory之类的服务使第三方参与其中。信息本身并没有那么有用，但是当今许多网站都使用一种将所有这些数据汇总在一起的服务创建会话重播，重播用户的一举一动。

全文共 2210 字，预计学习时长 7 分钟

来源：Pexels

在大数据时代，隐私泄露一直最让人头疼的问题之一。

信息泄露无处不在，近期有研究表明，点击鼠标也暴露你的隐私。

当您访问任何网站时，网站所有者将知道您单击的位置，键入的内容甚至是鼠标的移动方式。网站是这样运作的：根据用户输入的内容执行相应操作，那么他们必须知道用户输入了什么。

信息本身并没有那么有用，但是当今许多网站都使用一种将所有这些数据汇总在一起的服务创建会话重播，重播用户的一举一动。结果就是网站产出一段视频，就如同站在用户的肩膀上看着他们直接使用该网站一样。而从这些追踪工具中可以搜集到哪些网站，其结果令人吃惊。

会话重播服务已经存在十多年了，目前被广泛使用。有一种会话重播服务叫作FullStory，像Zillow，TeeSpring和Jane等热门网站，都是FullStory服务的客户。另一个服务叫做LogRocket，拥有爱彼迎，Reddit和CarFax等网站客户。第三个服务叫做Inspectlet,它的客户有Shopify，ABC和eBay等网站。以上会话重播服务都标榜自己为网站设计工具，能使网站易于使用，并帮助增加所需用户行为，（例如购买商品）。例如，如果许多用户将商品添加到购物车中，但随后在结帐流程的某个阶段放弃了购买，那么会话重播服务可向网站所有者提供网站设计更改方面的建议，从而吸引用户买单。

感觉就像在观察数字化肢体语言。

来源：Pexels

为了了解这种跟踪的实际情况，我在个人投资组合网站上设置了FullStory服务（此后已将其删除）。这非常容易。注册免费试用帐户后，我只复制了一个23行的小脚本，并将其添加到我网站的标题中，用户追踪随即生效。这对于任何一位网站开发人员来说都是一项简单的任务，但对我而言，因为我的网站使用了Squarespace，所以这更加容易。几乎不需要开发或编码经验，我就能够看到我网站的每个访问者的行为。

在一个隐身窗口中，我打开了网站并浏览了一分钟。当我回到FullStory仪表板时，我发现了一个记录我刚刚每一个动作的录像。

我希望视频能够显示我单击过的链接，或者突出显示过的文本。令我惊讶的是，该软件甚至可以记录下当我确定要单击的内容并摇动鼠标时的动作。感觉就像在观察数字化的肢体语言。

FullStory甚至具有跟踪“愤怒点击”的功能。这是当用户对网站抓狂并愤怒地开始一遍又一遍的点击时。

网站所有者想要这类数据的理由很纯粹。能够看到用户何时犹豫单击或滚动浏览他们要查找的产品，这可以告诉他们很多有关其网站有效性的信息。它也可以是功能强大的客户支持工具。

除了重放之外，FullStory及其类似服务还为网站提供有关用户聚合行为和热图的分析报告，以显示用户单击的位置。例如，当用户单击图片或徽标以为它是链接时，此方法很有用。

但是在看到会话重播服务后，我对用户隐私提出了疑问。

虽然网站本身始终可以访问原始行为数据，并且假设可以访问任一单个用户会话，使用FullStory之类的服务使第三方参与其中。用户不仅与他们自认为自己所访问的网站共享数据，而且还可能与正在监视他们的分析服务共享数据。

重播服务提供了一些工具，可以有选择地从与之合作的第三方中排除或隐藏信息，例如在密码或信用卡信息框中输入的内容。但是要由网站自身来对其网站格式进行正确的格式化，并使用排除工具将敏感数据保留在记录服务中。例如，当我添加一个经过正确编码并标记为密码的盒子时，FullStory会自动从其录音中隐藏键入的信息。但是，当我添加一个基本文本字段并给它加上“密码”标签时，即使从未提交过，FullStory仍然可以看到在框中输入的任何文本。

在公司可接受使用政策中，FullStory明确概述了它“希望网站使用产品的方式”，并明确表示“绝不希望看到”敏感信息，如信用卡号或政府颁发的ID。但是，网站可能无法采取预防措施隐藏这些信息，或者犯下泄露数据的错误。

FullStory的政策还规定，网站不应使用FullStory来收集用户在框中输入的电子邮件地址，但绝不提交或者收集用户信息以共享给其他第三方。

尚不清楚FullStory和类似的应用程序是否可以主动且正确使用其工具（在对OneZero的一份声明中，FullStory表示，它“已经建立了一种完善的、尊重客户的方式，以确定[网站]使用是否可以接受”，并且停止与过去违反其政策的客户合作）。