目前很多网站都存在用户操作行为的捕捉并收集，这是否涉及到隐私问题？大家如何看待？是否可以通过插件实现禁止捕捉操作？

行为记录，简单点的说白了就是请求日志，复杂点的就是鼠标轨迹、按键顺序。
是否涉及个人隐私？还好吧，这种东西肯定会让用户画像更加精准，但是你也完全可以针对那种特殊网站进行混淆化处理（比如隐私窗口+不登录+VPN ）。
复杂的行为记录一方面是用来做反机器人，另一方面可能是用来做精准营销，具体是前者先还是后者先就不得而知了。
实现方式主要为对鼠标事件和键盘事件的监听，通过 Hook 的方式可以做到禁止或混淆（谁先启动谁就是爸爸），但是很可能会导致你被风控误伤（浏览器指纹同理）。

鼠标事件和键盘事件相关文档：
https://developer.mozilla.org/zh-CN/docs/Web/API/MouseEvent
https://developer.mozilla.org/zh-CN/docs/Web/API/KeyboardEvent

隐私问题一直是个长期讨论的话题，各方观点、立场不同，争议不断

我个人的观点是，本来隐私问题不算隐私，因为“唯一确定到某个人”的数据，才算隐私
网站、APP 也好，收集数据都可以说正常，大数据分析推测等等，只要不满足“唯一确定到某个人”，都不算侵犯隐私

随之而来就是收集和反收集的攻防战，很难做到反捕捉，只能做到混淆数据以达到无法“唯一确定到某个人”

问题是，一旦涉及到实名注册、实名操作，这个“实名”自然就满足“唯一确定到某个人”，所有跟随的捕捉的标的都是隐私了，实名制让很多本来不隐私的都变成隐私了 —— 只要实名登陆了，一切反收集工作都是徒劳的

我们这 b2b 小破站，用户行为通过 ga 和阿里云日志，记两份。

ga 主要给产品用，看打开率，点击率，速度，浏览器什么的

阿里云日志主要偏产品业务研究，核心按钮点击率，用户行为轨迹，然后指导产品设计，个性推荐什么的

隐私的话，我们这不登陆就压根不知道什么个人信息，登陆了，当然知道你是谁，是存在隐私问题

屏蔽的话，我们这是监听浏览器事件，你把这些事件 remove 了不就 vans 了

想起上次一个老哥说，他做的网站有个需求是记录用户输错的密码

@shintendo
这个需求，20 年前就遇到过，我觉得是常态，不一定家家都这样，但有收集癖的网站一定少不了

@shintendo #4 这种网站的安全性一定也很弱...至少从前端就能看出来它密码明显不是 Hash 后存储的

第一个是认真阅读隐私条款并自行决定是否使用网站，第二个是干脆禁止这个网站使用 JavaScript，第三个是逆向工程干掉它的 tracking code。

除非是交互性极强的 app （比如 Office ），否则一个网站应该可以在无 JavaScript 环境正常使用几乎所有无需 JavaScript 的功能。

理论上可以通过反广告插件中的反追踪器来阻止这些收集（比如 ublock o 的 EasyPrivacy 之类），更狠的可以使用 Browser Plugs 这种灌假数据的（不过导致很多网站无法正常工作）。如果是针对单一网站的话可以使用上面说的 hook 方法写个油猴脚本