[轉]是誰在偷窺我們的網絡隱私

是誰在偷窺我們的網絡隱私


1993年7月5日,彼得·施泰納在《紐約客》上發表了一幅著名的漫畫《在網上,沒人知道你是一條狗》。用以描述互聯網的匿名特性。
可是,即便在十年前說這句話,也已經是不負責任的了。
當然,這篇文章不是討論如何防禦病毒的,更不可能教授特工技能。但是,不要拿「國情」、「大家都沒有隱私觀念」之類當藉口,只要是你的東西,在離開電腦以前,都是你的。
图1 《在网上,没人知道你是一条狗》
圖1,《在網上,沒人知道你是一條狗》
精準廣告(也叫定向廣告)
廣告主絕對不是為了收集用戶信息而收集用戶信息的,他們日夜思唸著的是錢。10前的互聯網廣告商就已經在收集用戶信息,以推送最接近用戶需求的信息。這使得互聯網產業如此發達。
所以,有關隱私的概念,其實是因人而異的。任何與你有關的內容,都可能是隱私,無非那些能直接關聯到你身份信息的內容,更為重要而敏感。
現在的廣告商已經能整合大量的用戶信息,以進行最優的猜測。一個著名的例子是,Gmail會根據用戶郵箱中的內容,通過自動算法展示最相關的廣告。現在這樣的廣告已經比比皆是。
實際例子
图2,IE9跟踪保护中的“个人列表”
圖2,IE9跟蹤保護中的「個人列表」
我們拿IE9為例:
微軟在IE8中悄悄地提供了一個叫InPrivate Filter的工具;在IE9里面,它被大張旗鼓地重命名為Tracking Protect List(跟蹤保護列表),用戶可以永久啟用它。
先做一個小實驗:
在TPL中開啟「個人列表」,不導入任何定製的TPL列表,也不使用隱私瀏覽模式(InPrivate瀏覽)。
1,打開一個導航網站,把其首頁上的每個網站鏈接都打開一遍。
2,再回到TPL的「個人列表」,原本的空白變成了一串黑名單:
左側有51yes,alimama,baidu,cnzz,doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating
右側則頻頻出現log,stat,ads,beacon等詞彙,以及like,followbutton
只要你學過點英文,就猜得出這些內容多多少少和統計、廣告有點關係。而且,你好像在什麼地方也見到過「喜歡」按鈕。
等等,這個列表中的大部分網站剛才可沒有訪問過,何況你很可能都不認識它們。IE怎麼會知道它們的存在,而且還要信誓旦旦地告訴你,這些內容被「自動阻止」了?
图3,IE9阻止了第三方收集信息
圖3,IE9阻止了第三方收集信息
打開IE自帶的開發工具,以新浪首頁為例,看看發生了什麼:
開發者工具顯示,跟蹤保護阻止了向這些第三方(即不是新浪的)網站發送數據。
這樣一個請求被阻止了,鏈接裡面有這麼一段s=1920x1080x32&l=zh-cn
這句話就是說,筆者當前的顯示器設置是1920×1080像素,32位色深,語言是zh-cn(中國大陸的簡體中文)。
這是什麼意思呢
按照業界常用的做法(這一點可以在各個統計服務、廣告聯盟的業務內容中看到),當你進入新浪首頁的同時,你還會告訴Wrating(萬瑞數據)、 Imrworldwide(尼爾森)、Mediav(聚勝萬合)以及Google Analytics(谷歌統計)這些內容:
1,你從哪裡來(ip地址),用的是什麼語言,從哪個頁面跳轉來的
2,你在新浪首頁待了多久,關注了哪些部分(最近很流行的熱力圖)
3,你接下來會去哪裡(點擊了頁面上哪個鏈接)
4,你的顯示器分辨率設置是什麼
5,你的瀏覽器安裝了哪些插件(plugin,注,非瀏覽器擴展--extension)
然後,這四家公司都會在你的瀏覽器裡留下各自的標記,這樣以後只要你訪問了使用到它們業務的網站,它們就能認出你。這種標記叫作Cookie,是一種很小的數據片段,網站通過在瀏覽器中保存cookie來識別用戶,Mozilla曾經稱之為「精緻的美味」。
當你訪問的每一個網站都使用了相同的統計服務商時,就意味著他已經完整地知道了你的上網習慣。在全球範圍裡,Google Analytics正是這樣的統計服務商。
僅僅這樣還不太容易將你的上網習慣與現實中的你關聯在一起。因此有人(往往是收集信息的一方)覺得這不是個人隱私。
社交網絡
如果前面的第三方統計只是過家家的話,這可就不得了:
首先,你心甘情願地告訴它你是誰,就讀於哪個學校,家住哪裡,在什麼地方上班;然後,為了防止被盜號,你又告訴了它你的手機號碼;為了維持和你的老同學之間的聯繫,你還上傳了通訊錄。關鍵的是,這一切都是你心甘情願的。
——什麼,你說人家有隱私條款?
——筆者:……
潑出去的水是收不回來的。
「分享」按鈕
你不點擊,人家至少知道現實的你訪問了這個網站;一旦你點擊了,人家還能知道現實的你很在意這個頁面。其價值不可估量。
這種「分享」按鈕方式要比悄悄地蒐集信息人性化地多,無論如何,用戶總是明確地知道他訪問的網頁上有第三方內容。當然,你同樣不能拒絕這種信息收集,除非使用特製的工具。
图4,分享按钮
圖4,分享按鈕
舉個例子:
情人節剛剛過去,MOMO看到藍星人各種秀恩愛,心裡不平衡了,於是也在網上瀏覽各種汪星人的照片。
图5,MOMO:“它怎么知道汪是汪星人,怎么知道汪想征婚?”
圖5,MOMO:「它怎麼知道汪是汪星人,怎麼知道汪想徵婚?」
——MOMO: 「麻麻,好多照片,汪都要數不過來了。」
——麻麻:……
——MOMO:「麻麻,它怎麼知道汪是想徵婚的?汪不過看了幾張照片而已。」
——麻麻:……
實際上MOMO在瀏覽汪星人照片的過程中,發生了這麼多事情。
图6,MOMO是这样收到精准广告的
圖6,MOMO是這樣收到精準廣告的
第三方服務商記錄了MOMO的瀏覽歷史,從而推測出他可能在找對象,於是,MOMO就收到了徵婚廣告。
如何抑制提交個人信息
向第一方信息提交是不可避免的,畢竟你也在使用人家的服務;然而向第三方提供信息,通常是不必要的,可以在這一點上出手。
可惜的是,大部分旨在保護此類信息洩漏的工具都是Mozilla Firefox與Google Chrome獨佔的。如果你在使用國內的三大天王(IE6、IE8、360安全瀏覽器,只有它們的佔有率超過20%,數據由CNZZ提供),大多數時候你只好望洋興嘆了。
自動化工具:
1,跟蹤保護(TPL),適用於Microsoft Internet Explorer 9(8)
前面提到的跟蹤保護就是一個很方便的隱私保護工具。它是自動化的,只要啟用「個人列表」,它就會在後台默默地阻斷向第三方上傳信息。在IE8中使用InPrivate Filter可能需要修改註冊表。
TPL實際上是一個設置內容策略的工具,因此也能導入定製好的列表。
用戶可以在微軟官方提供的TPL訂閱處獲得幾種常見的過濾配置,如EasyPrivacy,以更有效地阻止向第三方發送你的瀏覽歷史。有些地方還提供了 適用與TPL的廣告過濾配置,然而,受到TPL性能的限制,你不能指望TPL在這一方面可以達到在Adblock Plus的效果。
TPL「個人列表」的原理是:
當IE9在多個(默認是3)網站的頁面上發現相同的來自第三方的內容時,TPL就會將該內容自動加入「個人列表」。當該內容再次以第三方形式出現時,IE9就會阻止對其的訪問,從而防止不必要的信息洩漏。
2,Do Not Track Plus
跟蹤保護工具在阻止社交網絡追蹤時出現了問題,你不能在某些站點使用「喜歡」按鈕的同時,阻止另外網站上社交網絡的第三方信息收集行為。
這個Firefox擴展程序解決了以上問題。你可以輕易地為不同網站設定規則,讓社交網絡、廣告公司只能在限定的網站上記錄你的信息。
图7,Do Not Track Plus
圖7,Do Not Track Plus
3,Adblock(適用於Google Chrome),Adblock plus(適用於Firefox,Google Chrome),以及其它本是用於過濾廣告的工具
某種意義上,阻止追蹤和阻止廣告是一回事。
這兩個瀏覽器擴展程序其實更為專業,它們本是用於過濾廣告的。實際上,除了沒有類似於「個人列表」的功能以外,它們是遠比TPL強大的內容策略管理工具。在訂閱這類模式中,它們的效果是最好的。
其實Adblock Plus是地球上用戶數量最多的瀏覽器擴展,僅在Firefox上就擁有幾乎達到一千五百萬的日均活躍用戶。而Adblock在Chrome Web Store上,也是除了幾個google官方的」快捷方式」以外,最流行的擴展程序。
Easylist、EasyPrivacy、Chinalist等列表從一開始就是為Adblock Plus設計的。至於那些提供過濾功能的殺毒、安全軟件,你也可以通過一些自動化工具,將這些列表翻譯成兼容的版本以使用。
4,Noscript(適用於Firefox),ScriptNo(適用於Google Chrome)
第三方在蒐集用戶信息時,主要依靠在用戶瀏覽器中執行一些javascript程序實現的。這兩個瀏覽器擴展都能讓用戶決定瀏覽器可以執行來自哪些域名 的javascript代碼,瀏覽器插件等元素。當出現不必要的第三方成分時,這兩個擴展就會給出提示,由用戶決定是否阻止它們運行。這兩個工具各自還有 一些獨有的功能,供進階者使用。正確使用它們需要一定的互聯網知識。
图8,NoScript
圖8,NoScript
5,RequestPolicy
還是Firefox擴展,它適合專業的、或有明確需要(如抵禦CSRF)的用戶。它通過約束網絡請求的來源及目標,以控制一切內容的訪問。這是一個大殺器,提供了非常嚴格的控制,作為日常使用的話,開銷很大。
图9,RequestPolicy
圖9,RequestPolicy
6,瀏覽器的隱私模式,限制瀏覽器記錄cookie
瀏覽器在開啟隱私模式後,將不會向外發送已有的cookie信息。在登錄特定的互聯網服務的賬戶以前,統計商、廣告商將難以知道你的身份。限制cookie記錄也能達到類似效果。作為代價,用戶需要付出喪失瀏覽歷史等代價。
7,有一些廣告公司組成聯盟,允許用戶設定為「不要追蹤」的狀態。大部分讀者就別指望了,這份名單中只有google analytics在國內是有業務的。
為什麼「三大天王」瀏覽器不行?
你根本找不到適用它們的工具,即便有用於廣告過濾的擴展,也是語法不通用,且沒有人撰寫、翻譯相應的規則。
IE8的InPrivate Filter的功能與IE9的跟蹤保護(TPL)完全相同。然而你必須修改註冊表才能讓它保持運行,此外,它不兼容TPL的過濾規則。
幾乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。
值得一提的是,市面上有很多的Chromium」克隆版」,它們往往能兼容Chrome的擴展。至於如何判斷」克隆」Chromium,這裡引用一句來自《蘋果APP審核指南》的話:「最高法院的法官曾有言:『它出現時我自然心中有數』。」
阻斷第三方信息記錄的代價:
如果MOMO真的徹底阻斷了廣告商記錄你的信息,就會發生這樣的事情:
图10,阻断向第三方提供信息后,MOMO收到了不合适的广告
圖10,阻斷向第三方提供信息後,MOMO收到了不合適的廣告
雖然抑制了信息洩漏,但MOMO卻也是自找苦吃;對於廣告商、廣告主,則是浪費。對誰都不討好。
另一方面,用戶多少要在操控這些隱私保護工具上,總要浪費一些時間;因為設計缺陷或者可能會導致網頁的正常運行;同時,這些工具大多又是用 javascript寫的,執行效率普遍不高(即便有JIT),會拖慢瀏覽器的速度。其次,它們往往是開發者在業餘時間編寫的,代碼質量沒有保證,也不太 可能進行大規模的穩定性測試(除了非常流行的工具以外),比一般軟件更有可能會帶來新的漏洞。
筆者的觀點
互聯網離不開第三方的信息收集,但你總是可在能力範圍之內,阻止不必要的部分。
現在的網絡不太可能是匿名的,但是,獲得個人信息應是有成本。
版權說明
1,漫畫《在網上,沒人知道你是一條狗》是1993年7月5日彼得·施泰納在《紐約客》上發表的,在本文中出現屬合理使用。
2,感謝bearsun@weibo提供了文中的薩摩狗MOMO的照片。
3,如」Mozilla Firefox」等某些圖標、名稱可能是商標等有版權的。
附錄:Chromium」克隆版」:
指那些基於Chromium源代碼進行二次開發,並且與Chromium有相似界面的瀏覽器。它們的擴展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的擴展程序。
Chromium是Google主導開發的開源瀏覽器,因為它所使用的開源條款(BSD等)相對寬鬆,加上Google Chrome的流行,因此有很多的「克隆」Chromium。
Google Chrome是Google在Chromium的基礎上,加入了一些私有的代碼後的產品。
瀏覽器插件(plguin)與擴展(extension)
文中擴展(Extension)指那些利用瀏覽器的底層能力,並加以擴展的瀏覽器輔助程序。插件(Plugin)往往指使用了瀏覽器本身並不具備能力的 輔助程序。比方說Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API對內容進行攔截,是擴展;Adobe Flash Player則通過ActiveX/NPAPI/PPAPI接口為瀏覽器提供了播放Flash內容的能力,是插件。正文中提到的所有輔助工具都是擴展,或 瀏覽器本身具備的能力。
來源:fcerebel投稿。




除非註明,月光博客文章均為原創,轉載請以鏈接形式標明本文地址

本文地址:http://www.williamlong.info/archives/3001.html

留言

本月最夯

偷用電腦,怎知?事件檢視器全記錄!(開機時間、啟動項時間...)

楓之谷洋蔥4.1.2 - 最後更新日期04/03