警告！您的鼠標已被網站追蹤

摘要：雖然網站本身始終可以訪問原始行爲數據，並且假設可以訪問任一單個用戶會話，使用FullStory之類的服務使第三方參與其中。信息本身並沒有那麼有用，但是當今許多網站都使用一種將所有這些數據彙總在一起的服務創建會話重播，重播用戶的一舉一動。

全文共 2210 字，預計學習時長 7 分鐘

來源：Pexels

在大數據時代，隱私泄露一直最讓人頭疼的問題之一。

信息泄露無處不在，近期有研究表明，點擊鼠標也暴露你的隱私。

當您訪問任何網站時，網站所有者將知道您單擊的位置，鍵入的內容甚至是鼠標的移動方式。網站是這樣運作的：根據用戶輸入的內容執行相應操作，那麼他們必須知道用戶輸入了什麼。

信息本身並沒有那麼有用，但是當今許多網站都使用一種將所有這些數據彙總在一起的服務創建會話重播，重播用戶的一舉一動。結果就是網站產出一段視頻，就如同站在用戶的肩膀上看着他們直接使用該網站一樣。而從這些追蹤工具中可以蒐集到哪些網站，其結果令人喫驚。

會話重播服務已經存在十多年了，目前被廣泛使用。有一種會話重播服務叫作FullStory，像Zillow，TeeSpring和Jane等熱門網站，都是FullStory服務的客戶。另一個服務叫做LogRocket，擁有愛彼迎，Reddit和CarFax等網站客戶。第三個服務叫做Inspectlet,它的客戶有Shopify，ABC和eBay等網站。以上會話重播服務都標榜自己爲網站設計工具，能使網站易於使用，並幫助增加所需用戶行爲，（例如購買商品）。例如，如果許多用戶將商品添加到購物車中，但隨後在結帳流程的某個階段放棄了購買，那麼會話重播服務可向網站所有者提供網站設計更改方面的建議，從而吸引用戶買單。

感覺就像在觀察數字化肢體語言。

來源：Pexels

爲了瞭解這種跟蹤的實際情況，我在個人投資組合網站上設置了FullStory服務（此後已將其刪除）。這非常容易。註冊免費試用帳戶後，我只複製了一個23行的小腳本，並將其添加到我網站的標題中，用戶追蹤隨即生效。這對於任何一位網站開發人員來說都是一項簡單的任務，但對我而言，因爲我的網站使用了Squarespace，所以這更加容易。幾乎不需要開發或編碼經驗，我就能夠看到我網站的每個訪問者的行爲。

在一個隱身窗口中，我打開了網站並瀏覽了一分鐘。當我回到FullStory儀表板時，我發現了一個記錄我剛剛每一個動作的錄像。

我希望視頻能夠顯示我單擊過的鏈接，或者突出顯示過的文本。令我驚訝的是，該軟件甚至可以記錄下當我確定要單擊的內容並搖動鼠標時的動作。感覺就像在觀察數字化的肢體語言。

FullStory甚至具有跟蹤“憤怒點擊”的功能。這是當用戶對網站抓狂並憤怒地開始一遍又一遍的點擊時。

網站所有者想要這類數據的理由很純粹。能夠看到用戶何時猶豫單擊或滾動瀏覽他們要查找的產品，這可以告訴他們很多有關其網站有效性的信息。它也可以是功能強大的客戶支持工具。

除了重放之外，FullStory及其類似服務還爲網站提供有關用戶聚合行爲和熱圖的分析報告，以顯示用戶單擊的位置。例如，當用戶單擊圖片或徽標以爲它是鏈接時，此方法很有用。

但是在看到會話重播服務後，我對用戶隱私提出了疑問。

雖然網站本身始終可以訪問原始行爲數據，並且假設可以訪問任一單個用戶會話，使用FullStory之類的服務使第三方參與其中。用戶不僅與他們自認爲自己所訪問的網站共享數據，而且還可能與正在監視他們的分析服務共享數據。

重播服務提供了一些工具，可以有選擇地從與之合作的第三方中排除或隱藏信息，例如在密碼或信用卡信息框中輸入的內容。但是要由網站自身來對其網站格式進行正確的格式化，並使用排除工具將敏感數據保留在記錄服務中。例如，當我添加一個經過正確編碼並標記爲密碼的盒子時，FullStory會自動從其錄音中隱藏鍵入的信息。但是，當我添加一個基本文本字段並給它加上“密碼”標籤時，即使從未提交過，FullStory仍然可以看到在框中輸入的任何文本。

在公司可接受使用政策中，FullStory明確概述了它“希望網站使用產品的方式”，並明確表示“絕不希望看到”敏感信息，如信用卡號或政府頒發的ID。但是，網站可能無法採取預防措施隱藏這些信息，或者犯下泄露數據的錯誤。

FullStory的政策還規定，網站不應使用FullStory來收集用戶在框中輸入的電子郵件地址，但絕不提交或者收集用戶信息以共享給其他第三方。

尚不清楚FullStory和類似的應用程序是否可以主動且正確使用其工具（在對OneZero的一份聲明中，FullStory表示，它“已經建立了一種完善的、尊重客戶的方式，以確定[網站]使用是否可以接受”，並且停止與過去違反其政策的客戶合作）。