Решён
Может ли сайт вести запись экрана пользователя без его ведома?

Cyber Knight Кибербезопасность
1.5k
6

Наткнулся на статью про session recording - оказывается некоторые сервисы типа Hotjar, FullStory, Microsoft Clarity пишут действия пользователя на сайте: движения мыши, клики, скролл и даже то, что ты вводишь в поля форм.

Вопрос: это реально работает без явного согласия? Они могут видеть что я печатаю? И как это вообще соотносится с законами о приватности?

GDPRHotjarSession recordingБезопасностьПриватность

6 ответов

Лучшие Новые Старые
Решение
90
Эксперт • 2 ответа

Да, это работает именно так как ты описал. Session replay скрипты - полноценная легальная индустрия.

По данным исследования Princeton University (2017), из топ-50000 сайтов по Alexa такие скрипты использовали тысячи ресурсов. Среди них были новостные издания, интернет-магазины, порталы госуслуг разных стран.

Что пишется: движения мыши и клики, скролл, вводимый текст (в большинстве инструментов поля с паролями маскируются по умолчанию, но не все поля - зависит от настройки владельца сайта), структура страницы и взаимодействия с ней.

По GDPR (для европейских пользователей) это требует явного согласия и упоминания в политике конфиденциальности. В России 152-ФЗ тоже теоретически применим, но правоприменение слабее. На практике большинство сайтов вешают общую плашку cookie-consent и считают что прикрылись.

Чтобы защититься: uBlock Origin блокирует большинство таких скриптов по умолчанию, Privacy Badger от EFF тоже справляется.

Аватар Cyber Knight
Cyber Knight Автор

Поставил uBlock Origin - сразу заблокировал Hotjar и Clarity на нескольких сайтах. Спасибо за конкретный совет.

42
Участник • 1 ответ

Краткий ответ: да, может. И это происходит прямо сейчас на большинстве коммерческих сайтов.

Ни о каком явном согласии речи обычно не идет - достаточно нажать "принять куки". В этом и весь фокус.

15
Эксперт • 1 ответ

Это называется keylogging через браузер и это именно то, что они не хотят чтобы ты понял. Hotjar, FullStory - это легализованные шпионские инструменты. Корпорации продают тебе "улучшение UX" а сами собирают данные для таргетированной рекламы и продают профили данных рекламным биржам. Ты думаешь почему эти сервисы бесплатны для малого бизнеса? Ты платишь данными своих пользователей.

43
Участник • 1 ответ

Важный нюанс который все упускают: технически это не "запись экрана" в прямом смысле. Эти инструменты не делают скриншоты или видео. Они пишут события DOM - то есть лог действий (куда кликнул, что ввел, как двигал мышью), а потом на стороне сервиса воспроизводят это как анимацию. Разница важна с точки зрения производительности и объема данных, но с точки зрения приватности - один черт.

46
Участник • 1 ответ

Сам разработчик, работаю с Clarity уже два года. Из опыта: по умолчанию все поля ввода маскируются звездочками, то есть текст который ты печатаешь не виден в записи. Но разработчик может намеренно отключить маскировку для конкретных полей. Добросовестные команды так не делают, но технически возможность есть.

Поля с type="password" браузер маскирует принудительно, их не прочитать никак.

7
Эксперт • 1 ответ

Поставьте Firefox + uBlock Origin + настройте режим строгой блокировки трекеров в настройках самого браузера. Это закрывает 95% таких историй без каких-либо технических знаний.

Написать ответ

Визуальный редактор (WYSIWYG)
Премодерация гостей

Вы отвечаете как гость. Ваш ответ будет скрыт до проверки модератором. Чтобы ответ появился сразу и вы получали репутацию — войдите в аккаунт.

Или войдите в систему
Будьте вежливы и соблюдайте правила платформы.