是誰在偷窺我們的網路隱私

  1993年7月5日,彼得·施泰納在《紐約客》上發表了一幅著名的漫畫《在網上,沒人知道你是一條狗》。用以描述互聯網的匿名特性。

  可是,即便在十年前說這句話,也已經是不負責任的了。

  當然,這篇文章不是討論如何防禦病毒的,更不可能教授特工技能。但是,不要拿“國情”、“大家都沒有隱私觀念”之類當藉口,只要是你的東西,在離開電腦以前,都是你的。

圖1 《在網上,沒人知道你是一條狗》

圖1,《在網上,沒人知道你是一條狗》

  精準廣告(也叫定向廣告)

  廣告主絕對不是為了收集用戶信息而收集用戶信息的,他們日夜思念著的是錢。 10前的互聯網廣告商就已經在收集用戶信息,以推送最接近用戶需求的信息。這使得互聯網產業如此發達。

  所以,有關隱私的概念,其實是因人而異的。任何與你有關的內容,都可能是隱私,無非那些能直接關聯到你身份信息的內容,更為重要而敏感。

  現在的廣告商已經能整合大量的用戶信息,以進行最優的猜測。一個著名的例子是,Gmail會根據用戶郵箱中的內容,通過自動算法展示最相關的廣告。現在這樣的廣告已經比比皆是。

  實際例子

圖2,IE9跟踪保護中的“個人列表”

圖2,IE9跟踪保護中的“個人列表”

  我們拿IE9為例:

  微軟在IE8中悄悄地提供了一個叫InPrivate Filter的工具;在IE9裡面,它被大張旗鼓地重命名為Tracking Protect List(跟踪保護列表),用戶可以永久啟用它。

  先做一個小實驗:

  在TPL中開啟“個人列表”,不導入任何定制的TPL列表,也不使用隱私瀏覽模式(InPrivate瀏覽)。

  1,打開一個導航網站,把其首頁上的每個網站鏈接都打開一遍。

  2,再回到TPL的“個人列表”,原本的空白變成了一串黑名單:

  左側有51yes,alimama,baidu,cnzz, doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating

  右側則頻頻出現log,stat,ads,beacon等詞彙,以及like,followbutton

  只要你學過點英文,就猜得出這些內容多多少少和統計、廣告有點關係。而且,你好像在什麼地方也見到過“喜歡”按鈕。

  等等,這個列表中的大部分網站剛才可沒有訪問過,何況你很可能都不認識它們。 IE怎麼會知道它們的存在,而且還要信誓旦旦地告訴你,這些內容被“自動阻止”了?

圖3,IE9阻止了第三方收集信息

圖3,IE9阻止了第三方收集信息

  打開IE自帶的開發工具,以新浪首頁為例,看看發生了什麼:

  開發者工具顯示,跟踪保護阻止了向這些第三方(即不是新浪的)網站發送數據。

  這樣一個請求被阻止了,鏈接裡面有這麼一段s=1920x1080x32&l=zh-cn

  這句話就是說,筆者當前的顯示器設置是1920×1080像素,32位色深,語言是zh-cn(中國大陸的簡體中文)。

  這是什麼意思呢

  按照業界常用的做法(這一點可以在各個統計服務、廣告聯盟的業務內容中看到),當你進入新浪首頁的同時,你還會告訴Wrating(萬瑞數據)、Imrworldwide(尼爾森)、Mediav(聚勝萬合)以及Google Analytics(谷歌統計)這些內容:

  1,你從哪裡來(ip地址),用的是什麼語言,從哪個頁面跳轉來的

  2,你在新浪首頁待了多久,關注了哪些部分(最近很流行的熱力圖)

  3,你接下來會去哪裡(點擊了頁面上哪個鏈接)

  4,你的顯示器分辨率設置是什麼

  5,你的瀏覽器安裝了哪些插件(plugin,注,非瀏覽器擴展–extension)

  然後,這四家公司都會在你的瀏覽器裡留下各自的標記,這樣以後只要你訪問了使用到它們業務的網站,它們就能認出你。這種標記叫作Cookie,是一種很小的數據片段,網站通過在瀏覽器中保存cookie來識別用戶,Mozilla曾經稱之為“精緻的美味”。

  當你訪問的每一個網站都使用了相同的統計服務商時,就意味著他已經完整地知道了你的上網習慣。在全球範圍裡,Google Analytics正是這樣的統計服務商。

  僅僅這樣還不太容易將你的上網習慣與現實中的你關聯在一起。因此有人(往往是收集信息的一方)覺得這不是個人隱私。

  社交網絡

  如果前面的第三方統計只是過家家的話,這可就不得了:

  首先,你心甘情願地告訴它你是誰,就讀於哪個學校,家住哪裡,在什麼地方上班;然後,為了防止被盜號,你又告訴了它你的手機號碼;為了維持和你的老同學之間的聯繫,你還上傳了通訊錄。關鍵的是,這一切都是你心甘情願的。

  ——什麼,你說人家有隱私條款?

  ——筆者:……

  潑出去的水是收不回來的。

  “分享”按鈕

  你不點擊,人家至少知道現實的你訪問了這個網站;一旦你點擊了,人家還能知道現實的你很在意這個頁面。其價值不可估量。

  這種“分享”按鈕方式要比悄悄地蒐集信息人性化地多,無論如何,用戶總是明確地知道他訪問的網頁上有第三方內容。當然,你同樣不能拒絕這種信息收集,除非使用特製的工具。

圖4,分享按鈕

圖4,分享按鈕

  舉個例子:

  情人節剛剛過去,MOMO看到藍星人各種秀恩愛,心裡不平衡了,於是也在網上瀏覽各種汪星人的照片。

圖5,MOMO:“它怎麼知道汪是汪星人,怎麼知道汪想徵婚?”

圖5,MOMO:“它怎麼知道汪是汪星人,怎麼知道汪想徵婚? ”

  ——MOMO: “麻麻,好多照片,汪都要數不過來了。 ”

  ——麻麻:……

  ——MOMO:“麻麻,它怎麼知道汪是想徵婚的?汪不過看了幾張照片而已。 ”

  ——麻麻:……

  實際上MOMO在瀏覽汪星人照片的過程中,發生了這麼多事情。

圖6,MOMO是這樣收到精準廣告的

圖6,MOMO是這樣收到精準廣告的

  第三方服務商記錄了MOMO的瀏覽歷史,從而推測出他可能在找對象,於是,MOMO就收到了征婚廣告。

  如何抑制提交個人信息

  向第一方信息提交是不可避免的,畢竟你也在使用人家的服務;然而向第三方提供信息,通常是不必要的,可以在這一點上出手。

  可惜的是,大部分旨在保護此類信息洩漏的工具都是Mozilla Firefox與Google Chrome獨占的。如果你在使用國內的三大天王(IE6、IE8、360安全瀏覽器,只有它們的佔有率超過20%,數據由CNZZ提供),大多數時候你只好望洋興嘆了。

  自動化工具:

  1,跟踪保護(TPL),適用於Microsoft Internet Explorer 9(8)

  前面提到的跟踪保護就是一個很方便的隱私保護工具。它是自動化的,只要啟用“個人列表”,它就會在後台默默地阻斷向第三方上傳信息。在IE8中使用InPrivate Filter可能需要修改註冊表。

  TPL實際上是一個設置內容策略的工具,因此也能導入定制好的列表。

  用戶可以在微軟官方提供的TPL訂閱處獲得幾種常見的過濾配置,如EasyPrivacy,以更有效地阻止向第三方發送你的瀏覽歷史。有些地方還提供了適用與TPL的廣告過濾配置,然而,受到TPL性能的限制,你不能指望TPL在這一方面可以達到在Adblock Plus的效果。

  TPL“個人列表”的原理是:

  當IE9在多個(默認是3)網站的頁面上發現相同的來自第三方的內容時,TPL就會將該內容自動加入“個人列表”。當該內容再次以第三方形式出現時,IE9就會阻止對其的訪問,從而防止不必要的信息洩漏。

  2,Do Not Track Plus

  跟踪保護工具在阻止社交網絡追踪時出現了問題,你不能在某些站點使用“喜歡”按鈕的同時,阻止另外網站上社交網絡的第三方信息收集行為。

  這個Firefox擴展程序解決了以上問題。你可以輕易地為不同網站設定規則,讓社交網絡、廣告公司只能在限定的網站上記錄你的信息。

圖7,Do Not Track Plus

圖7,Do Not Track Plus

  3,Adblock(適用於Google Chrome),Adblock plus(適用於Firefox,Google Chrome),以及其它本是用於過濾廣告的工具

  某種意義上,阻止追踪和阻止廣告是一回事。

  這兩個瀏覽器擴展程序其實更為專業,它們本是用於過濾廣告的。實際上,除了沒有類似於“個人列表”的功能以外,它們是遠比TPL強大的內容策略管理工具。在訂閱這類模式中,它們的效果是最好的。

  其實Adblock Plus是地球上用戶數量最多的瀏覽器擴展,僅在Firefox上就擁有幾乎達到一千五百萬的日均活躍用戶。而Adblock在Chrome Web Store上,也是除了幾個google官方的”快捷方式”以外,最流行的擴展程序。

  Easylist、EasyPrivacy、Chinalist等列表從一開始就是為Adblock Plus設計的。至於那些提供過濾功能的殺毒、安全軟件,你也可以通過一些自動化工具,將這些列表翻譯成兼容的版本以使用。

  4,Noscript(適用於Firefox),ScriptNo(適用於Google Chrome)

  第三方在蒐集用戶信息時,主要依靠在用戶瀏覽器中執行一些javascript程序實現的。這兩個瀏覽器擴展都能讓用戶決定瀏覽器可以執行來自哪些域名的javascript代碼,瀏覽器插件等元素。當出現不必要的第三方成分時,這兩個擴展就會給出提示,由用戶決定是否阻止它們運行。這兩個工具各自還有一些獨有的功能,供進階者使用。正確使用它們需要一定的互聯網知識。

圖8,NoScript

圖8,NoScript

  5,RequestPolicy

  還是Firefox擴展,它適合專業的、或有明確需要(如抵禦CSRF)的用戶。它通過約束網絡請求的來源及目標,以控制一切內容的訪問。這是一個大殺器,提供了非常嚴格的控制,作為日常使用的話,開銷很大。

圖9,RequestPolicy

圖9,RequestPolicy

  6,瀏覽器的隱私模式,限制瀏覽器記錄cookie

  瀏覽器在開啟隱私模式後,將不會向外發送已有的cookie信息。在登錄特定的互聯網服務的賬戶以前,統計商、廣告商將難以知道你的身份。限制cookie記錄也能達到類似效果。作為代價,用戶需要付出喪失瀏覽歷史等代價。

  7,有一些廣告公司組成聯盟,允許用戶設定為“不要追踪”的狀態。大部分讀者就別指望了,這份名單中只有google analytics在國內是有業務的。

  為什麼“三大天王”瀏覽器不行?

  你根本找不到適用它們的工具,即便有用於廣告過濾的擴展,也是語法不通用,且沒有人撰寫、翻譯相應的規則。
IE8的InPrivate Filter的功能與IE9的跟踪保護(TPL)完全相同。然而你必須修改註冊表才能讓它保持運行,此外,它不兼容TPL的過濾規則。

  幾乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。

  值得一提的是,市面上有很多的Chromium”克隆版”,它們往往能兼容Chrome的擴展。至於如何判斷”克隆”Chromium,這裡引用一句來自《蘋果APP審核指南》的話:“最高法院的法官曾有言:‘它出現時我自然心中有數’。 ”

  阻斷第三方信息記錄的代價:

  如果MOMO真的徹底阻斷了廣告商記錄你的信息,就會發生這樣的事情:

圖10,阻斷向第三方提供信息後,MOMO收到了不合適的廣告

圖10,阻斷向第三方提供信息後,MOMO收到了不合適的廣告

  雖然抑制了信息洩漏,但MOMO卻也是自找苦吃;對於廣告商、廣告主,則是浪費。對誰都不討好。

  另一方面,用戶多少要在操控這些隱私保護工具上,總要浪費一些時間;因為設計缺陷或者可能會導致網頁的正常運行;同時,這些工具大多又是用javascript寫的,執行效率普遍不高(即便有JIT),會拖慢瀏覽器的速度。其次,它們往往是開發者在業餘時間編寫的,代碼質量沒有保證,也不太可能進行大規模的穩定性測試(除了非常流行的工具以外),比一般軟件更有可能會帶來新的漏洞。

  筆者的觀點

  互聯網離不開第三方的信息收集,但你總是可在能力範圍之內,阻止不必要的部分。

  現在的網絡不太可能是匿名的,但是,獲得個人信息應是有成本。

  版權說明

  1,漫畫《在網上,沒人知道你是一條狗》是1993年7月5日彼得·施泰納在《紐約客》上發表的,在本文中出現屬合理使用。

  2,感謝bearsun@weibo提供了文中的薩摩狗MOMO的照片。

  3,如”Mozilla Firefox”等某些圖標、名稱可能是商標等有版權的。

  附錄:Chromium”克隆版”:

  指那些基於Chromium源代碼進行二次開發,並且與Chromium有相似界面的瀏覽器。它們的擴展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的擴展程序。

  Chromium是Google主導開發的開源瀏覽器,因為它所使用的開源條款(BSD等)相對寬鬆,加上Google Chrome的流行,因此有很多的“克隆”Chromium。

  Google Chrome是Google在Chromium的基礎上,加入了一些私有的代碼後的產品。

  瀏覽器插件(plguin)與擴展(extension)

  文中擴展(Extension)指那些利用瀏覽器的底層能力,並加以擴展的瀏覽器輔助程序。插件(Plugin)往往指使用了瀏覽器本身並不具備能力的輔助程序。比方說Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API對內容進行攔截,是擴展;Adobe Flash Player則通過ActiveX/NPAPI/PPAPI接口為瀏覽器提供了播放Flash內容的能力,是插件。正文中提到的所有輔助工具都是擴展,或瀏覽器本身俱備的能力。

  來源:fcerebel投稿。

特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,文章转自月光博客

Comments are closed.