Почти каждый сайт умеет отслеживать ваши действия: вот почему это может быть опасно
Существует огромное количество сервисов, которые позволяют следить, что делал пользователь на сайте. Они помогают проанализировать поведение клиента, но представляют угрозу для конфиденциальности. Специалист по технологиям Эрик Рейвенскрафт рассказал, как пользовался одним из таких сервисов, и объяснил, в чем их недостаток.
Владелец любого сайта может посмотреть, куда вы кликали, как двигали курсором мыши и что печатали. Так устроены современные сайты: чтобы выполнять то, что хочет пользователь, они должны понимать, какие сигналы он подает.
Сама по себе эта информация не представляет особой ценности, но из нее можно собрать картину действий пользователя. В результате получится видео, которое выглядит так, будто кто-то стоял у вас за плечом, пока вы пользовались сайтом.
Сервисы для воспроизведения действий пользователя существуют уже более десятка лет и очень популярны. Среди их клиентов такие популярные сайты, как Airbnb, Reddit, Shopify и eBay. Они позиционируют себя как простые инструменты для формирования желаемого поведения клиента. Например, если много пользователей добавили товары в корзину, но в момент оформления заказа отменили покупку, то с помощью такого сервиса можно отследить, на каком шаге возникли трудности, и внести необходимые изменения в сайт, чтобы клиент довел покупку до конца.
Чтобы разобраться, как работают эти сервисы, я установил один из них — FullStory — на сайт со своим портфолио (сейчас его там нет). Это было на удивление легко: я завел бесплатный аккаунт в сервисе, а потом добавил в шапку сайта скрипт на 23 строчки — простейшая задача для любого веб-разработчика. После этого сервис сразу же начал отслеживать действия. Без какого-либо опыта в разработке я смог с легкостью увидеть, что делает каждый посетитель моего сайта.
Я открыл сайт в режиме инкогнито и провел на нем около минуты. Затем зашел в панель FullStory и увидел видео, где были показаны все мои действия на страничке. Программа записала абсолютно все движения: я словно наблюдал за цифровым языком своего тела. Сервис отслеживает даже «недовольные клики» — это когда пользователю что-то не нравится на сайте и он начинает кликать по элементам много раз.
Запись сессии
Вся эта информация может пригодиться владельцам сайта: если они заметят, что пользователь не решается кликнуть на продукт, который он ищет, или пропустил его, то многое поймут об эффективности сайта. Несомненно, инструменты полезные, но когда я посмотрел историю своей сессии на сайте, то задумался о конфиденциальности своих данных.
У многих сервисов еще подключены дополнительные инструменты для анализа данных, а это значит, что информацию о действиях пользователя получают третьи лица. Часть информации можно скрыть — например, все, что вы вводите в поле пароля или данные о кредитной карте. Но все зависит от того, правильно ли указан на сайте формат таких данных и действует ли там защита. Например, когда я добавил на свой сайт поле для ввода пароля и отметил его должным образом в коде, FullStory не показал, что я там ввел. Но когда я вставил обычное поле для текста и подписал его «пароль», то сервис демонстрировал все данные, которые там можно было указать.
В правилах пользования сервисом FullStory указано, что инструмент «не должен видеть» конфиденциальную информацию о пользователях. Но к сожалению, владельцы сайтов могут пропустить это условие или допустить ошибку, из-за которой эти данные станут видны.
Неизвестно, как FullStory и его аналоги могут заставить разработчиков позаботиться о защите подобной информации. В теории любой может написать простой скрипт и отслеживать действия пользователей на чужих сайтах без их ведома. Кстати, FullStory даже предупреждает, что сервис нельзя использовать в расширениях для браузера для сбора информации на не принадлежащих вам сайтах. А это значит, что кто-то уже так делал.
Источник: rb.ru