過去,我在工作中完成了一個“匿名”調查,結果發現我的雇主能夠從該調查中收集到很多非匿名信息。位置,經理姓名等。調查中未提供這些信息。這使我相信網站以某種方式能夠識別某種形式的用戶信息。
網頁是否可以讀取用戶或其他與系統相關的信息?該網站包含aspx和js元素。
我想不出其他任何方式來識別用戶。鏈接看起來不是唯一的。瀏覽器是IE,環境是Citrix上的Win7。
過去,我在工作中完成了一個“匿名”調查,結果發現我的雇主能夠從該調查中收集到很多非匿名信息。位置,經理姓名等。調查中未提供這些信息。這使我相信網站以某種方式能夠識別某種形式的用戶信息。
網頁是否可以讀取用戶或其他與系統相關的信息?該網站包含aspx和js元素。
我想不出其他任何方式來識別用戶。鏈接看起來不是唯一的。瀏覽器是IE,環境是Citrix上的Win7。
如果站點基於ASPX文件,則很有可能這是一個ASP.NET應用程序-最有可能託管在IIS上。
IIS具有一個非常簡單的複選框,可以啟用Windows集成身份驗證。
在Windows 7上,IE默認情況下會將您的憑據發送到本地Intranet中的任何Web服務器。 (不用擔心,這不是您的密碼,但這是基於Windows的身份驗證-Kerberos或NTLM)。
這非常簡單,可以將您的Windows域帳戶與您的調查答案相關聯...
這簡直是難以置信的簡單,而且是個很老套的技巧。
為每個部門創建不同的調查,即使調查有相同的問題。 >
然後,您只需要匯總結果就可以了!
僅此一項就足以進行大量信息收集,而無需任何特殊技巧。
巴西的銀行在紙質調查中做了類似的事情-每個經理都將調查的副本分發給他的下屬。但是,每個經理都將他的複印件用不同顏色的紙張打印-因此,回答黃色副本的每個人都來自RH,回答藍色副本的每個人都來自Finances,回答粉色副本的每個人都來自Sales,等等。即使您不詢問員工部門,姓名或註冊號,您也知道他來自何處以及在哪個部門工作。
網站將記錄您的IP地址。公司的網絡分配您的IP地址。只需將兩者關聯...
從調查中取消身份識別是統計中的一個大問題,因為人們通常認為匯總時並不認為匿名數據。
即使您擁有完全安全的匿名輸入數據方式,並且某人無法訪問輸入內容的日誌,那麼調查中的回答通常足以識別您。
請考慮以下示例調查:
- 你的性別是什麼?男性/女性
- 您的年齡段是?
- < 25
- 25-<35
- 35-<45
- > 45
- 您的工作區域是?
- HR
- 管理
- IT支持
- 銷售
- 規模1-10的人中您喜歡在這里工作多少? ____
ol>
每個問題都是沒有用的,但是使用前三個問題,即使是一家大公司,您也可以很容易地弄清楚每個人對組織的看法。
考慮:鮑勃(男性,人力資源部門37位)和簡(女性,人力資源部門37位),僅使用我們上面的字段,我們就可以清楚地識別他們的反應。
此外,由於人力資源已經可以訪問性別,年齡和工作區域的列表,他們可以交叉引用兩個數據集以直接獲得每個人的得分。總是有發生衝突的可能性,但是隨著身份(如身份)數量的增加,發生衝突的機會將大大減少。
一種針對特定用戶的方法是從列表中創建調查。該列表將包括員工姓名,電子郵件,ID等。然後,您可以發送帶有唯一鏈接的調查問卷,該鏈接指向該員工的每個電子郵件地址,並將其稱為匿名。雖然這是不道德的(說調查實際上不是匿名的),但我看到它是在幾個不同的實例中完成的,並且還使用PHP / JS來完成。
一個例子就是您的電子郵件,其中包含諸如 https://example.com/survey.php/id=bm90LWFub255bW91cy1zdXJ2ZXk=的鏈接。 id變量可以保存在列表中找到且對員工唯一的編碼信息。公司還使用它來收集有關特定人在上述調查中所說的信息。
如果您擔心自己的IP地址,則可能需要在Tor瀏覽器中填寫調查表。當然,您可能需要啟用Javascript,這可能會給您帶來麻煩。
此外,由於調查是匿名的,因此,如果您覺得調查不是真正的匿名,則甚至可能只想忽略它。 。理想情況下,如果調查網址不是唯一的,並且不需要登錄,他們將無法知道您尚未填寫調查。