一部のウェブサイトは「送信」ボタンが押される前からデータを送信している

一部のウェブサイトはフォームに入力された文字列を「送信」ボタンが押される前から送信していることが、複数の大学の研究グループによる調査でわかった。言うまでもなく、プライバシー上問題がある。

研究グループは上位10万のウェブサイトを巡回し、数千のウェブサイトがメールアドレスを同意なく収集したり何らかのかたちで記録していることを突き止めた。

データが収集されるタイミングとしては、別のフォームをクリックしたタイミングで入力済みのデータを取得する場合が多いが、キー入力を逐一記録する例も存在した。

このデータ収集はウェブサイト側も意図していない場合が多く、マーケティングや分析のために導入した外部サービスの動作が原因の場合が多いようだ。

しかし、ユーザーは「送信」ボタンが押される前にデータが送信されているとは考えておらず、この動作には問題がある。

チャットによるカスタマーサポート

チャットによるカスタマーサポートで、チャット欄に入力した文字列が「送信」ボタンを押す前から送信されていることも数年前の時点で判明している。

一部の企業は「Real-time typing view (リアルタイムタイピングビュー)」や「Message sneak-peek (メッセージスニークピーク)」などの名前で、顧客が入力した文字列をリアルタイムにサポート担当者に送信する機能を発表している。

これらの機能は発表している企業は、この機能は会話のスピードを上げるためのものと説明している。以下に説明を抜粋する。

  • Real-time typing view (リアルタイムタイピングビュー) – …agents to preview the text a customer is typing at the moment. (…担当者は顧客が入力中の文字列をプレビューできます。)
  • Message sneak-peek (メッセージスニークピーク) – …you see what the visitor is typing before they send it over. (…訪問者が入力した内容を送信前に確認できます。)

これらの機能も多くのユーザーは存在すら認知しておらず、プライバシー上問題がある。(余談だが、一部の電話によるカスタマーサポートでは保留中も顧客の声を担当者が聞ける例があるらしい。)

対策

上記の問題への対策を考えた結果、以下のようなものを思いついた。

  • 安易にフォームに文字列を入力しない: 詐欺サイト対策としても有効。必要性をよく検討してからフォームに入力するようにする。
  • テキストエディタで文章を書きそれをフォームに貼り付ける: 入力中の文字列が送信されることを防げる。同時に入力中に誤ってページ更新などをしてしまい入力していた文字列が消える事態も防げる。
  • uBlock Origin や NoScript などのブラウザアドオンを使う: uBlock Origin などのブロッカーが上記のデータが収集を阻止できるかは不明だが少なくともトラッカーをブロックすることでプライバシーを保護でき、必要に応じて JavaScript もブロックできる。

参考