V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ViggoSite
V2EX  ›  程序员

目前很多网站都存在用户操作行为的捕捉并收集,这是否涉及到隐私问题?大家如何看待?是否可以通过插件实现禁止捕捉操作?

  •  2
     
  •   ViggoSite ·
    wxbool · 2019-12-23 10:15:18 +08:00 · 2529 次点击
    这是一个创建于 1797 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前我发现有非常多的网站都存在这种 “网站用户操作行为的捕捉和收集” ,你在网站所做的任何 “事件行为” ,都会被记录下来,上传至服务器。

    如果服务商愿意的话,基于捕捉的行为数据,他甚至可以将你在网站的所有操作进行回放。

    下图是某网站“行为记录”的请求截图

    如图

    各大网站的这种行为是否涉及到个人隐私问题? 大家如何看待呢?

    我个人的问题是,这种捕捉的监控一般是怎么实现的?是否可以通过浏览器插件实现禁止网站的捕捉操作?

    8 条回复    2019-12-23 17:42:51 +08:00
    locoz
        1
    locoz  
       2019-12-23 10:29:16 +08:00   ❤️ 3
    行为记录,简单点的说白了就是请求日志,复杂点的就是鼠标轨迹、按键顺序。
    是否涉及个人隐私?还好吧,这种东西肯定会让用户画像更加精准,但是你也完全可以针对那种特殊网站进行混淆化处理(比如隐私窗口+不登录+VPN )。
    复杂的行为记录一方面是用来做反机器人,另一方面可能是用来做精准营销,具体是前者先还是后者先就不得而知了。
    实现方式主要为对鼠标事件和键盘事件的监听,通过 Hook 的方式可以做到禁止或混淆(谁先启动谁就是爸爸),但是很可能会导致你被风控误伤(浏览器指纹同理)。

    鼠标事件和键盘事件相关文档:
    https://developer.mozilla.org/zh-CN/docs/Web/API/MouseEvent
    https://developer.mozilla.org/zh-CN/docs/Web/API/KeyboardEvent
    imn1
        2
    imn1  
       2019-12-23 10:45:41 +08:00   ❤️ 1
    隐私问题一直是个长期讨论的话题,各方观点、立场不同,争议不断

    我个人的观点是,本来隐私问题不算隐私,因为“唯一确定到某个人”的数据,才算隐私
    网站、APP 也好,收集数据都可以说正常,大数据分析推测等等,只要不满足“唯一确定到某个人”,都不算侵犯隐私

    随之而来就是收集和反收集的攻防战,很难做到反捕捉,只能做到混淆数据以达到无法“唯一确定到某个人”

    问题是,一旦涉及到实名注册、实名操作,这个“实名”自然就满足“唯一确定到某个人”,所有跟随的捕捉的标的都是隐私了,实名制让很多本来不隐私的都变成隐私了 —— 只要实名登陆了,一切反收集工作都是徒劳的
    519718366
        3
    519718366  
       2019-12-23 10:46:32 +08:00 via iPhone   ❤️ 1
    我们这 b2b 小破站,用户行为通过 ga 和阿里云日志,记两份。

    ga 主要给产品用,看打开率,点击率,速度,浏览器什么的

    阿里云日志主要偏产品业务研究,核心按钮点击率,用户行为轨迹,然后指导产品设计,个性推荐什么的

    隐私的话,我们这不登陆就压根不知道什么个人信息,登陆了,当然知道你是谁,是存在隐私问题

    屏蔽的话,我们这是监听浏览器事件,你把这些事件 remove 了不就 vans 了
    shintendo
        4
    shintendo  
       2019-12-23 10:59:03 +08:00
    想起上次一个老哥说,他做的网站有个需求是记录用户输错的密码
    imn1
        5
    imn1  
       2019-12-23 11:03:08 +08:00
    @shintendo
    这个需求,20 年前就遇到过,我觉得是常态,不一定家家都这样,但有收集癖的网站一定少不了
    locoz
        6
    locoz  
       2019-12-23 11:13:31 +08:00
    @shintendo #4 这种网站的安全性一定也很弱...至少从前端就能看出来它密码明显不是 Hash 后存储的
    geelaw
        7
    geelaw  
       2019-12-23 11:20:01 +08:00 via iPhone   ❤️ 1
    第一个是认真阅读隐私条款并自行决定是否使用网站,第二个是干脆禁止这个网站使用 JavaScript,第三个是逆向工程干掉它的 tracking code。

    除非是交互性极强的 app (比如 Office ),否则一个网站应该可以在无 JavaScript 环境正常使用几乎所有无需 JavaScript 的功能。
    plasmetoz
        8
    plasmetoz  
       2019-12-23 17:42:51 +08:00   ❤️ 1
    理论上可以通过反广告插件中的反追踪器来阻止这些收集(比如 ublock o 的 EasyPrivacy 之类),更狠的可以使用 Browser Plugs 这种灌假数据的(不过导致很多网站无法正常工作)。如果是针对单一网站的话可以使用上面说的 hook 方法写个油猴脚本
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1087 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 18:47 · PVG 02:47 · LAX 10:47 · JFK 13:47
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.