几年@@,从@@“网页访问热力图@@@@”、“网站用户画像@@@@”到所谓@@“千人千网@@”这些政府@@网站@@新应用层出不穷@@,其实这些应用的核心技术就是@@“网站用户行为@@分析@@”。网站用户行为@@分析@@按照获取@@数据@@的方式看@@,可分为两大技术路线@@,第一种是传统的@@“网站日志统计分析@@”模式@@;另一种是最近十年流行的@@“页面@@嵌入代码@@@@”模式@@。

“日志分析@@模式@@@@”顾名思义就是通过@@WebServer的日志来获取@@访客行为数据@@@@;而@@“嵌入代码@@”模式@@则通过在网站页面@@上嵌入代码@@@@,将@@访客信息转发到服务商处@@,统计访客行为@@。两种模式@@简单对比如下@@: 

https://mmbiz.qpic.cn/mmbiz_jpg/VWQTN0PpiaOthUpKjPc2Y71KJZ1yWrWtqmXubVuNBDNnjSXq9LRcwPczeowbjMeck7z5dx8oHibmHyMJ5MV29zdA/640?wx_fmt=jpeg

从@@商业角度@@,由于后者可以记录更多@@的访客行为@@,目前在商业市场明显已经占了上风@@。比如目前国内流行的免费网站统计工具@@“CNZZ”、“nikki-club.com”、“百度统计@@”等@@,站长之家上类似的免费服务也有一大堆@@。可是很奇怪的是@@,“嵌入代码@@”模式@@的访问行为分析在政府@@网站@@领域一直没有流行起来@@。虽然很多企业雄心勃勃前仆后继地开拓这个市场@@,政府@@网站@@负责人对此却一直无动于衷@@,有些网站用了这个服务没几年@@又主动撤下嵌入的代码@@@@,又重新走回@@“日志分析@@”老路@@。究其原因@@,编者认为@@“嵌入代码@@模式@@@@”与生俱来的安全硬伤是政府@@网站@@负责人一直心存纠结所在@@。有读者会问@@“嵌入脚本代码@@”有什么问题@@?答案是@@“有问题@@!而@@且问题超级大@@!”,嵌入代码@@的目的是为了@@“获取@@Cookie”,而@@Cookie上可以记录着每个上网者全部操作轨迹@@。最著名的当属@@2013年中央台@@315晚会上曝光的@@“大数据@@公司@@”买卖访问者@@Cookie事件@@。

当天首先被@@315节目曝光的是北京品友互动@@。央视@@记者在北京市朝阳区一幢写字楼找到品友互动@@,该公司大客户总监透露@@,品友互动就像一个蜘蛛网一样@@,不管用户在哪里@@,都可以抓到用户@@。据张杰介绍@@,品友互动目前可以捕捉到互联网@@上@@5.7亿@@的@@Cookie。

接下来被曝光的易传媒则号称拥有@@3亿@@多互联网@@用户@@Cookie数据@@;悠易互通@@、艾维邑动号称拥有@@5亿@@网民@@Cookie数据@@;传漾公司和@@亿@@玛在线均号称拥有@@9亿@@Cookie;与品友互动一样@@,这些公司获取@@用户@@Cookie,基本都是通过在别的网站加代码来实现@@。 

精硕世纪科技有限公司销售人员告诉央视@@@@315暗访人员@@,“只要拿到@@Cookie,包括用户的手机号码@@,用户是谁@@,电话多少都可以知道@@。”

央视@@315曝光的事件@@把@@“嵌入代码@@”模式@@网站访问分析的硬伤放到舆论的风口浪尖@@,这两年@@“泄露用户个人隐私@@”已经成为刑事罪@@。面对两种网站访问统计分析技术@@,政府@@网站@@管理者们的纠结可想而@@知@@,一方面希望得到诸如@@“用户点击热力图@@精准营销@@”这样酷炫的效果@@,另一方面又担心不知哪天自己网站的客户数据@@被@@“大数据@@服务商@@”们拿去兜售@@。如果因为@@被公安局通知去配合调查取证@@,那可真百口莫辩@@。  更要命的是泄露个人隐私其实还是小事@@,如果嵌入的代码@@具有安全隐患@@,导致自己网站有安全漏洞那才更衰@@。因为@@“嵌入的代码@@”是指向第三方访问统计企业的服务器地址@@,政府@@网站@@的安全防护一般都非常强@@,但是那个提供@@“嵌入代码@@”的企业服务器安全性就说不好啦@@,一旦@@“嵌入的代码@@”有问题@@,黑客顺着这个绳子爬进政府@@网站@@内部@@,大肆篡改页面@@是可能的@@。举个引火烧身的例子@@:政府@@网站@@A的首页@@嵌入了某企业提供的一条做统计分析的脚本代码@@,链向服务器@@B,现在黑客攻击了服务器@@B,将@@B改成了赌博色情网站@@。网民看到的结果很简单@@:政府@@网站@@A链接了一个赌博色情网站@@。

随着近年国办普查的深入@@,很多政府@@网站@@开始清理@@“嵌入代码@@”和@@“外部链接@@”、“外部非可控地址@@”。相当一部分政府@@网站@@负责人放弃@@“嵌入代码@@”模式@@访问统计分析的原因也是基于此@@。那么@@“嵌入代码@@”模式@@的访问分析系统还能不能用呢@@?编者的态度是@@

“安全有隐患@@、嵌入请谨慎@@”

政府@@网站@@特殊性决定了@@“安全可信@@”始终是政府@@网站@@使用一切产品服务的前提@@,在嵌入代码@@模式@@@@不能自证安全@@、自证其数据@@无泄露隐患之前不应在政府@@领域大规模应用@@,政府@@网站@@也没必要追求那些绚丽夺目的精准营销功能@@,老老实实完成国办指引的要求@@,把基本的用户统计分析做好@@,就算完成目的@@。

“日志分析@@”模式@@虽然技术上稍显落后@@,但是政府@@网站@@的基本统计分析要求都可以实现@@,一些厂商甚至@@“基于日志分析@@的网页热力图@@@@”功能也可以提供@@,更重要的是@@“日志分析@@”软件是安装在政府@@内网的@@,没有任何安全隐患@@。

以上是编者关于对政府@@网站@@网访问统计分析应用的一些思考@@,不足之处还请同行指正@@。

投稿人@@:wx_1517196360