• 發布單位:TWCERT/CC
• 更新日期:2022-09-12
• 點閱次數:256

資安廠商 Norton 旗下研究單位 Norton Labs 的資安專家，近期發表研究報告指出，有超過 80% 的大型網站，會將網友在其網站上搜尋站內資訊時輸入的關鍵字，透露給如 Google 之類的網路廣告業者；這種行為可能造成用戶隱私侵害問題。

Norton Labs 為研究用戶瀏覽網站受到阻礙的情形，開發出一個網頁爬蟲程式，首先模擬真人用戶進行站內搜尋，並在搜尋框內輸入「JELLYBEANS」當做搜尋關鍵字，然後收集網站所有網路流量進行分析，結果發現分析目標的 100 萬個網站中，有高達 81.3% 網站與第三方網站之間的連線要求的後續傳送資料中出現了「JELLYBEANS」這個關鍵字，足證用戶輸入的站內搜尋關鍵字，被傳送到第三方網站中；而這些第三方網站中，絕大多數都是網路廣告相關業者的伺服器。

藉由分析這些連線要求封包標頭中的資訊，Norton Labs 可以掌握取得「JELLYBEANS」關鍵字的，是哪些第三方網站；Norton 同時也發現用戶輸入的站內搜尋關鍵字，有 75.8% 透過 Referer header 來傳送，也有高達 71% 透過 URL 的後綴參數來傳送。

Norton 指出，雖然各大網站都備有大篇幅的隱私保護政策，但真正有在其隱私保護政策中明確說明會將用戶的搜尋內容傳給第三方的網站，僅佔 13%；其他 75% 網站都只用概括性的描述「與第三方分享用戶相關資料」輕輕帶過。

針對網站把用戶輸入的關鍵字傳送給第三方網站的做法，目前沒有太多防範措施；不過為了避免這些輸入資訊與個人可追蹤身分連結起來，導致用戶隱私進一步的侵害，建議用戶可使用工具來阻擋網頁中埋入的跨站追蹤機制，或使用具備跨站追蹤阻擋功能的瀏覽器，例如 Safari、Firefox 等。