|
1993年7月5日���,彼得·施泰納在《紐約客》上發(fā)表了一幅著名的漫畫《在網(wǎng)上���,沒人知道你是一條狗》。用以描述互聯(lián)網(wǎng)的匿名特性��。
可是��,即便在十年前說這句話����,也已經(jīng)是不負(fù)責(zé)任的了���。
當(dāng)然,這篇文章不是討論如何防御病毒的����,更不可能教授特工技能。但是���,不要拿“國情”�、“大家都沒有隱私觀念”之類當(dāng)借口�����,只要是你的東西��,在離開電腦以前����,都是你的�。
圖1�,《在網(wǎng)上,沒人知道你是一條狗》
精準(zhǔn)廣告(也叫定向廣告)
廣告主絕對不是為了收集用戶信息而收集用戶信息的,他們?nèi)找顾寄钪氖清X����。10前的互聯(lián)網(wǎng)廣告商就已經(jīng)在收集用戶信息,以推送最接近用戶需求的信息�����。這使得互聯(lián)網(wǎng)產(chǎn)業(yè)如此發(fā)達(dá)��。
所以�,有關(guān)隱私的概念,其實是因人而異的�����。任何與你有關(guān)的內(nèi)容�,都可能是隱私,無非那些能直接關(guān)聯(lián)到你身份信息的內(nèi)容�����,更為重要而敏感����。
現(xiàn)在的廣告商已經(jīng)能整合大量的用戶信息�����,以進行最優(yōu)的猜測����。一個著名的例子是��,Gmail會根據(jù)用戶郵箱中的內(nèi)容���,通過自動算法展示最相關(guān)的廣告?�,F(xiàn)在這樣的廣告已經(jīng)比比皆是��。
實際例子
圖2���,IE9跟蹤保護中的“個人列表”
我們拿IE9為例:
微軟在IE8中悄悄地提供了一個叫InPrivate Filter的工具;在IE9里面��,它被大張旗鼓地重命名為Tracking Protect List(跟蹤保護列表)��,用戶可以永久啟用它�。
先做一個小實驗:
在TPL中開啟“個人列表”�����,不導(dǎo)入任何定制的TPL列表�,也不使用隱私瀏覽模式(InPrivate瀏覽)��。
1�����,打開一個導(dǎo)航網(wǎng)站����,把其首頁上的每個網(wǎng)站鏈接都打開一遍。
2�����,再回到TPL的“個人列表”��,原本的空白變成了一串黑名單:
左側(cè)有51yes��,alimama�,baidu,cnzz����,doubleclick��,googleadservices�����,google syndication����,imrworldwide�,qq,scorecardresearch�����,weibo���,wrating
右側(cè)則頻頻出現(xiàn)log����,stat����,ads,beacon等詞匯����,以及l(fā)ike,followbutton
只要你學(xué)過點英文���,就猜得出這些內(nèi)容多多少少和統(tǒng)計�、廣告有點關(guān)系�����。而且�,你好像在什么地方也見到過“喜歡”按鈕。
等等���,這個列表中的大部分網(wǎng)站剛才可沒有訪問過��,何況你很可能都不認(rèn)識它們�。IE怎么會知道它們的存在��,而且還要信誓旦旦地告訴你����,這些內(nèi)容被“自動阻止”了��?
圖3��,IE9阻止了第三方收集信息
打開IE自帶的開發(fā)工具��,以新浪首頁為例�����,看看發(fā)生了什么:
開發(fā)者工具顯示���,跟蹤保護阻止了向這些第三方(即不是新浪的)網(wǎng)站發(fā)送數(shù)據(jù)����。
這樣一個請求被阻止了����,鏈接里面有這么一段s=1920x1080x32&l=zh-cn
這句話就是說,筆者當(dāng)前的顯示器設(shè)置是1920×1080像素�����,32位色深,語言是zh-cn(中國大陸的簡體中文)���。
這是什么意思呢
按照業(yè)界常用的做法(這一點可以在各個統(tǒng)計服務(wù)、廣告聯(lián)盟的業(yè)務(wù)內(nèi)容中看到)�����,當(dāng)你進入新浪首頁的同時���,你還會告訴Wrating(萬瑞數(shù)據(jù))�、Imrworldwide(尼爾森)���、Mediav(聚勝萬合)以及Google Analytics(谷歌統(tǒng)計)這些內(nèi)容:
1�,你從哪里來(ip地址)�,用的是什么語言,從哪個頁面跳轉(zhuǎn)來的
2��,你在新浪首頁待了多久�,關(guān)注了哪些部分(最近很流行的熱力圖)
3,你接下來會去哪里(點擊了頁面上哪個鏈接)
4�,你的顯示器分辨率設(shè)置是什么
5,你的瀏覽器安裝了哪些插件(plugin����,注�����,非瀏覽器擴展--extension)
然后�����,這四家公司都會在你的瀏覽器里留下各自的標(biāo)記�,這樣以后只要你訪問了使用到它們業(yè)務(wù)的網(wǎng)站�����,它們就能認(rèn)出你����。這種標(biāo)記叫作Cookie,是一種很小的數(shù)據(jù)片段����,網(wǎng)站通過在瀏覽器中保存cookie來識別用戶,Mozilla曾經(jīng)稱之為“精致的美味”�。
當(dāng)你訪問的每一個網(wǎng)站都使用了相同的統(tǒng)計服務(wù)商時,就意味著他已經(jīng)完整地知道了你的上網(wǎng)習(xí)慣����。在全球范圍里�,Google Analytics正是這樣的統(tǒng)計服務(wù)商�。
僅僅這樣還不太容易將你的上網(wǎng)習(xí)慣與現(xiàn)實中的你關(guān)聯(lián)在一起。因此有人(往往是收集信息的一方)覺得這不是個人隱私�。
社交網(wǎng)絡(luò)
如果前面的第三方統(tǒng)計只是過家家的話��,這可就不得了:
首先���,你心甘情愿地告訴它你是誰�,就讀于哪個學(xué)校����,家住哪里,在什么地方上班�;然后,為了防止被盜號���,你又告訴了它你的手機號碼�����;為了維持和你的老同學(xué)之間的聯(lián)系�����,你還上傳了通訊錄�����。關(guān)鍵的是�����,這一切都是你心甘情愿的���。
——什么����,你說人家有隱私條款�����?
——筆者:……
潑出去的水是收不回來的����。
“分享”按鈕
你不點擊,人家至少知道現(xiàn)實的你訪問了這個網(wǎng)站����;一旦你點擊了��,人家還能知道現(xiàn)實的你很在意這個頁面��。其價值不可估量�����。
這種“分享”按鈕方式要比悄悄地搜集信息人性化地多,無論如何�,用戶總是明確地知道他訪問的網(wǎng)頁上有第三方內(nèi)容。當(dāng)然�����,你同樣不能拒絕這種信息收集�,除非使用特制的工具。
圖4,分享按鈕
舉個例子:
情人節(jié)剛剛過去���,MOMO看到藍(lán)星人各種秀恩愛���,心里不平衡了���,于是也在網(wǎng)上瀏覽各種汪星人的照片。
圖5����,MOMO:“它怎么知道汪是汪星人���,怎么知道汪想征婚����?”
——MOMO: “麻麻�,好多照片,汪都要數(shù)不過來了���?�!?/p>
——麻麻:……
——MOMO:“麻麻���,它怎么知道汪是想征婚的��?汪不過看了幾張照片而已��?!?/p>
——麻麻:……
實際上MOMO在瀏覽汪星人照片的過程中����,發(fā)生了這么多事情���。
圖6��,MOMO是這樣收到精準(zhǔn)廣告的
第三方服務(wù)商記錄了MOMO的瀏覽歷史����,從而推測出他可能在找對象�����,于是,MOMO就收到了征婚廣告�。
如何抑制提交個人信息
向第一方信息提交是不可避免的,畢竟你也在使用人家的服務(wù)�����;然而向第三方提供信息����,通常是不必要的,可以在這一點上出手�。
可惜的是,大部分旨在保護此類信息泄漏的工具都是Mozilla Firefox與Google Chrome獨占的�����。如果你在使用國內(nèi)的三大天王(IE6�、IE8、360安全瀏覽器�����,只有它們的占有率超過20%,數(shù)據(jù)由CNZZ提供)����,大多數(shù)時候你只好望洋興嘆了。
自動化工具:
1��,跟蹤保護(TPL)���,適用于Microsoft Internet Explorer 9(8)
前面提到的跟蹤保護就是一個很方便的隱私保護工具�����。它是自動化的�����,只要啟用“個人列表”���,它就會在后臺默默地阻斷向第三方上傳信息��。在IE8中使用InPrivate Filter可能需要修改注冊表��。
TPL實際上是一個設(shè)置內(nèi)容策略的工具��,因此也能導(dǎo)入定制好的列表����。
用戶可以在微軟官方提供的TPL訂閱處獲得幾種常見的過濾配置��,如EasyPrivacy�,以更有效地阻止向第三方發(fā)送你的瀏覽歷史�。有些地方還提供了適用與TPL的廣告過濾配置,然而���,受到TPL性能的限制�����,你不能指望TPL在這一方面可以達(dá)到在Adblock Plus的效果���。
TPL“個人列表”的原理是:
當(dāng)IE9在多個(默認(rèn)是3)網(wǎng)站的頁面上發(fā)現(xiàn)相同的來自第三方的內(nèi)容時,TPL就會將該內(nèi)容自動加入“個人列表”���。當(dāng)該內(nèi)容再次以第三方形式出現(xiàn)時���,IE9就會阻止對其的訪問,從而防止不必要的信息泄漏�����。
2,Do Not Track Plus
跟蹤保護工具在阻止社交網(wǎng)絡(luò)追蹤時出現(xiàn)了問題���,你不能在某些站點使用“喜歡”按鈕的同時����,阻止另外網(wǎng)站上社交網(wǎng)絡(luò)的第三方信息收集行為��。
這個Firefox擴展程序解決了以上問題�。你可以輕易地為不同網(wǎng)站設(shè)定規(guī)則,讓社交網(wǎng)絡(luò)�����、廣告公司只能在限定的網(wǎng)站上記錄你的信息��。
圖7��,Do Not Track Plus
3�,Adblock(適用于Google Chrome),Adblock plus(適用于Firefox��,Google Chrome)���,以及其它本是用于過濾廣告的工具
某種意義上�����,阻止追蹤和阻止廣告是一回事�。
這兩個瀏覽器擴展程序其實更為專業(yè)���,它們本是用于過濾廣告的���。實際上,除了沒有類似于“個人列表”的功能以外�,它們是遠(yuǎn)比TPL強大的內(nèi)容策略管理工具。在訂閱這類模式中���,它們的效果是最好的�。
其實Adblock Plus是地球上用戶數(shù)量最多的瀏覽器擴展����,僅在Firefox上就擁有幾乎達(dá)到一千五百萬的日均活躍用戶�。而Adblock在Chrome Web Store上��,也是除了幾個google官方的”快捷方式”以外���,最流行的擴展程序�。
Easylist�����、EasyPrivacy��、Chinalist等列表從一開始就是為Adblock Plus設(shè)計的�����。至于那些提供過濾功能的殺毒����、安全軟件,你也可以通過一些自動化工具��,將這些列表翻譯成兼容的版本以使用����。
4���,Noscript(適用于Firefox)����,ScriptNo(適用于Google Chrome)
第三方在搜集用戶信息時,主要依靠在用戶瀏覽器中執(zhí)行一些javascript程序?qū)崿F(xiàn)的����。這兩個瀏覽器擴展都能讓用戶決定瀏覽器可以執(zhí)行來自哪些域名的javascript代碼,瀏覽器插件等元素���。當(dāng)出現(xiàn)不必要的第三方成分時��,這兩個擴展就會給出提示����,由用戶決定是否阻止它們運行���。這兩個工具各自還有一些獨有的功能��,供進階者使用��。正確使用它們需要一定的互聯(lián)網(wǎng)知識�。
圖8��,NoScript
5�,RequestPolicy
還是Firefox擴展,它適合專業(yè)的�����、或有明確需要(如抵御CSRF)的用戶��。它通過約束網(wǎng)絡(luò)請求的來源及目標(biāo)�����,以控制一切內(nèi)容的訪問�。這是一個大殺器,提供了非常嚴(yán)格的控制�����,作為日常使用的話�����,開銷很大���。
圖9,RequestPolicy
6����,瀏覽器的隱私模式�����,限制瀏覽器記錄cookie
瀏覽器在開啟隱私模式后�����,將不會向外發(fā)送已有的cookie信息����。在登錄特定的互聯(lián)網(wǎng)服務(wù)的賬戶以前,統(tǒng)計商���、廣告商將難以知道你的身份��。限制cookie記錄也能達(dá)到類似效果����。作為代價,用戶需要付出喪失瀏覽歷史等代價�。
7,有一些廣告公司組成聯(lián)盟����,允許用戶設(shè)定為“不要追蹤”的狀態(tài)。大部分讀者就別指望了�����,這份名單中只有g(shù)oogle analytics在國內(nèi)是有業(yè)務(wù)的���。
為什么“三大天王”瀏覽器不行����?
你根本找不到適用它們的工具���,即便有用于廣告過濾的擴展�����,也是語法不通用�,且沒有人撰寫、翻譯相應(yīng)的規(guī)則���。
IE8的InPrivate Filter的功能與IE9的跟蹤保護(TPL)完全相同��。然而你必須修改注冊表才能讓它保持運行����,此外��,它不兼容TPL的過濾規(guī)則��。
幾乎所有的方案都集中在Mozilla Firefox����,Google Chrome上面�。
值得一提的是,市面上有很多的Chromium”克隆版”�,它們往往能兼容Chrome的擴展。至于如何判斷”克隆”Chromium����,這里引用一句來自《蘋果APP審核指南》的話:“最高法院的法官曾有言:‘它出現(xiàn)時我自然心中有數(shù)’。”
阻斷第三方信息記錄的代價:
如果MOMO真的徹底阻斷了廣告商記錄你的信息�����,就會發(fā)生這樣的事情:
圖10,阻斷向第三方提供信息后���,MOMO收到了不合適的廣告
雖然抑制了信息泄漏��,但MOMO卻也是自找苦吃��;對于廣告商�、廣告主��,則是浪費�����。對誰都不討好�����。
另一方面,用戶多少要在操控這些隱私保護工具上����,總要浪費一些時間;因為設(shè)計缺陷或者可能會導(dǎo)致網(wǎng)頁的正常運行��;同時�����,這些工具大多又是用javascript寫的�,執(zhí)行效率普遍不高(即便有JIT),會拖慢瀏覽器的速度����。其次��,它們往往是開發(fā)者在業(yè)余時間編寫的���,代碼質(zhì)量沒有保證�����,也不太可能進行大規(guī)模的穩(wěn)定性測試(除了非常流行的工具以外)��,比一般軟件更有可能會帶來新的漏洞��。
筆者的觀點
互聯(lián)網(wǎng)離不開第三方的信息收集�,但你總是可在能力范圍之內(nèi),阻止不必要的部分����。
現(xiàn)在的網(wǎng)絡(luò)不太可能是匿名的,但是���,獲得個人信息應(yīng)是有成本�����。
版權(quán)說明
1�����,漫畫《在網(wǎng)上��,沒人知道你是一條狗》是1993年7月5日彼得·施泰納在《紐約客》上發(fā)表的���,在本文中出現(xiàn)屬合理使用����。
2�����,感謝bearsun@weibo提供了文中的薩摩狗MOMO的照片����。
3,如”Mozilla Firefox”等某些圖標(biāo)�����、名稱可能是商標(biāo)等有版權(quán)的�����。
附錄:Chromium”克隆版”:
指那些基于Chromium源代碼進行二次開發(fā)����,并且與Chromium有相似界面的瀏覽器����。它們的擴展接口通常和Chromium����、Google Chrome的完全相同�,因此可以使用在Chrome webstore中提供的擴展程序。
Chromium是Google主導(dǎo)開發(fā)的開源瀏覽器�,因為它所使用的開源條款(BSD等)相對寬松,加上Google Chrome的流行�����,因此有很多的“克隆”Chromium���。
Google Chrome是Google在Chromium的基礎(chǔ)上�����,加入了一些私有的代碼后的產(chǎn)品�����。
瀏覽器插件(plguin)與擴展(extension)
文中擴展(Extension)指那些利用瀏覽器的底層能力�,并加以擴展的瀏覽器輔助程序�。插件(Plugin)往往指使用了瀏覽器本身并不具備能力的輔助程序。比方說Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API對內(nèi)容進行攔截����,是擴展�����;Adobe Flash Player則通過ActiveX/NPAPI/PPAPI接口為瀏覽器提供了播放Flash內(nèi)容的能力���,是插件。正文中提到的所有輔助工具都是擴展�����,或瀏覽器本身具備的能力�����。 諸葛諾博客:http:///toukuiyinsi/
|
