1993年7月5日,彼得·施泰纳在《纽约客》上发表了一幅著名的漫画《在网上,没人知道你是一条狗》。用以描述互联网的匿名特性。
可是,即便在十年前说这句话,也已经是不负责任的了。
当然,这篇文章不是讨论如何防御病毒的,更不可能教授特工技能。但是,不要拿“国情”、“大家都没有隐私观念”之类当借口,只要是你的东西,在离开电脑以前,都是你的。
精准广告(也叫定向广告)
广告主绝对不是为了收集用户信息而收集用户信息的,他们日夜思念着的是钱。10前的互联网广告商就已经在收集用户信息,以推送最接近用户需求的信息。这使得互联网产业如此发达。
所以,有关隐私的概念,其实是因人而异的。任何与你有关的内容,都可能是隐私,无非那些能直接关联到你身份信息的内容,更为重要而敏感。
现在的广告商已经能整合大量的用户信息,以进行最优的猜测。一个著名的例子是,Gmail会根据用户邮箱中的内容,通过自动算法展示最相关的广告。现在这样的广告已经比比皆是。
实际例子
微软在IE8中悄悄地提供了一个叫InPrivate Filter的工具;在IE9里面,它被大张旗鼓地重命名为Tracking Protect List(跟踪保护列表),用户可以永久启用它。
先做一个小实验:
在TPL中开启“个人列表”,不导入任何定制的TPL列表,也不使用隐私浏览模式(InPrivate浏览)。
1,打开一个导航网站,把其首页上的每个网站链接都打开一遍。
2,再回到TPL的“个人列表”,原本的空白变成了一串黑名单:
左侧有51yes,alimama,baidu,cnzz,doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating
右侧则频频出现log,stat,ads,beacon等词汇,以及like,followbutton
只要你学过点英文,就猜得出这些内容多多少少和统计、广告有点关系。而且,你好像在什么地方也见到过“喜欢”按钮。
等等,这个列表中的大部分网站刚才可没有访问过,何况你很可能都不认识它们。IE怎么会知道它们的存在,而且还要信誓旦旦地告诉你,这些内容被“自动阻止”了?
开发者工具显示,跟踪保护阻止了向这些第三方(即不是新浪的)网站发送数据。
这样一个请求被阻止了,链接里面有这么一段s=1920x1080x32&l=zh-cn
这句话就是说,笔者当前的显示器设置是1920×1080像素,32位色深,语言是zh-cn(中国大陆的简体中文)。
这是什么意思呢
按照业界常用的做法(这一点可以在各个统计服务、广告联盟的业务内容中看到),当你进入新浪首页的同时,你还会告诉Wrating(万瑞数据)、 Imrworldwide(尼尔森)、Mediav(聚胜万合)以及Google Analytics(谷歌统计)这些内容:
1,你从哪里来(ip地址),用的是什么语言,从哪个页面跳转来的
2,你在新浪首页待了多久,关注了哪些部分(最近很流行的热力图)
3,你接下来会去哪里(点击了页面上哪个链接)
4,你的显示器分辨率设置是什么
5,你的浏览器安装了哪些插件(plugin,注,非浏览器扩展--extension)
然后,这四家公司都会在你的浏览器里留下各自的标记,这样以后只要你访问了使用到它们业务的网站,它们就能认出你。这种标记叫作Cookie,是一种很小的数据片段,网站通过在浏览器中保存cookie来识别用户,Mozilla曾经称之为“精致的美味”。
当你访问的每一个网站都使用了相同的统计服务商时,就意味着他已经完整地知道了你的上网习惯。在全球范围里,Google Analytics正是这样的统计服务商。
仅仅这样还不太容易将你的上网习惯与现实中的你关联在一起。因此有人(往往是收集信息的一方)觉得这不是个人隐私。
社交网络
如果前面的第三方统计只是过家家的话,这可就不得了:
首先,你心甘情愿地告诉它你是谁,就读于哪个学校,家住哪里,在什么地方上班;然后,为了防止被盗号,你又告诉了它你的手机号码;为了维持和你的老同学之间的联系,你还上传了通讯录。关键的是,这一切都是你心甘情愿的。
——什么,你说人家有隐私条款?
——笔者:……
泼出去的水是收不回来的。
“分享”按钮
你不点击,人家至少知道现实的你访问了这个网站;一旦你点击了,人家还能知道现实的你很在意这个页面。其价值不可估量。
这种“分享”按钮方式要比悄悄地搜集信息人性化地多,无论如何,用户总是明确地知道他访问的网页上有第三方内容。当然,你同样不能拒绝这种信息收集,除非使用特制的工具。
情人节刚刚过去,MOMO看到蓝星人各种秀恩爱,心里不平衡了,于是也在网上浏览各种汪星人的照片。
——麻麻:……
——MOMO:“麻麻,它怎么知道汪是想征婚的?汪不过看了几张照片而已。”
——麻麻:……
实际上MOMO在浏览汪星人照片的过程中,发生了这么多事情。
如何抑制提交个人信息
向第一方信息提交是不可避免的,毕竟你也在使用人家的服务;然而向第三方提供信息,通常是不必要的,可以在这一点上出手。
可惜的是,大部分旨在保护此类信息泄漏的工具都是Mozilla Firefox与Google Chrome独占的。如果你在使用国内的三大天王(IE6、IE8、360安全浏览器,只有它们的占有率超过20%,数据由CNZZ提供),大多数时候你只好望洋兴叹了。
自动化工具:
1,跟踪保护(TPL),适用于Microsoft Internet Explorer 9(8)
前面提到的跟踪保护就是一个很方便的隐私保护工具。它是自动化的,只要启用“个人列表”,它就会在后台默默地阻断向第三方上传信息。在IE8中使用InPrivate Filter可能需要修改注册表。
TPL实际上是一个设置内容策略的工具,因此也能导入定制好的列表。
用户可以在微软官方提供的TPL订阅处获得几种常见的过滤配置,如EasyPrivacy,以更有效地阻止向第三方发送你的浏览历史。有些地方还提供了 适用与TPL的广告过滤配置,然而,受到TPL性能的限制,你不能指望TPL在这一方面可以达到在Adblock Plus的效果。
TPL“个人列表”的原理是:
当IE9在多个(默认是3)网站的页面上发现相同的来自第三方的内容时,TPL就会将该内容自动加入“个人列表”。当该内容再次以第三方形式出现时,IE9就会阻止对其的访问,从而防止不必要的信息泄漏。
2,Do Not Track Plus
跟踪保护工具在阻止社交网络追踪时出现了问题,你不能在某些站点使用“喜欢”按钮的同时,阻止另外网站上社交网络的第三方信息收集行为。
这个Firefox扩展程序解决了以上问题。你可以轻易地为不同网站设定规则,让社交网络、广告公司只能在限定的网站上记录你的信息。
某种意义上,阻止追踪和阻止广告是一回事。
这两个浏览器扩展程序其实更为专业,它们本是用于过滤广告的。实际上,除了没有类似于“个人列表”的功能以外,它们是远比TPL强大的内容策略管理工具。在订阅这类模式中,它们的效果是最好的。
其实Adblock Plus是地球上用户数量最多的浏览器扩展,仅在Firefox上就拥有几乎达到一千五百万的日均活跃用户。而Adblock在Chrome Web Store上,也是除了几个google官方的”快捷方式”以外,最流行的扩展程序。
Easylist、EasyPrivacy、Chinalist等列表从一开始就是为Adblock Plus设计的。至于那些提供过滤功能的杀毒、安全软件,你也可以通过一些自动化工具,将这些列表翻译成兼容的版本以使用。
4,Noscript(适用于Firefox),ScriptNo(适用于Google Chrome)
第三方在搜集用户信息时,主要依靠在用户浏览器中执行一些javascript程序实现的。这两个浏览器扩展都能让用户决定浏览器可以执行来自哪些域名 的javascript代码,浏览器插件等元素。当出现不必要的第三方成分时,这两个扩展就会给出提示,由用户决定是否阻止它们运行。这两个工具各自还有 一些独有的功能,供进阶者使用。正确使用它们需要一定的互联网知识。
还是Firefox扩展,它适合专业的、或有明确需要(如抵御CSRF)的用户。它通过约束网络请求的来源及目标,以控制一切内容的访问。这是一个大杀器,提供了非常严格的控制,作为日常使用的话,开销很大。
浏览器在开启隐私模式后,将不会向外发送已有的cookie信息。在登录特定的互联网服务的账户以前,统计商、广告商将难以知道你的身份。限制cookie记录也能达到类似效果。作为代价,用户需要付出丧失浏览历史等代价。
7,有一些广告公司组成联盟,允许用户设定为“不要追踪”的状态。大部分读者就别指望了,这份名单中只有google analytics在国内是有业务的。
为什么“三大天王”浏览器不行?
你根本找不到适用它们的工具,即便有用于广告过滤的扩展,也是语法不通用,且没有人撰写、翻译相应的规则。
IE8的InPrivate Filter的功能与IE9的跟踪保护(TPL)完全相同。然而你必须修改注册表才能让它保持运行,此外,它不兼容TPL的过滤规则。
几乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。
值得一提的是,市面上有很多的Chromium”克隆版”,它们往往能兼容Chrome的扩展。至于如何判断”克隆”Chromium,这里引用一句来自《苹果APP审核指南》的话:“最高法院的法官曾有言:‘它出现时我自然心中有数’。”
阻断第三方信息记录的代价:
如果MOMO真的彻底阻断了广告商记录你的信息,就会发生这样的事情:
另一方面,用户多少要在操控这些隐私保护工具上,总要浪费一些时间;因为设计缺陷或者可能会导致网页的正常运行;同时,这些工具大多又是用 javascript写的,执行效率普遍不高(即便有JIT),会拖慢浏览器的速度。其次,它们往往是开发者在业余时间编写的,代码质量没有保证,也不太 可能进行大规模的稳定性测试(除了非常流行的工具以外),比一般软件更有可能会带来新的漏洞。
笔者的观点
互联网离不开第三方的信息收集,但你总是可在能力范围之内,阻止不必要的部分。
现在的网络不太可能是匿名的,但是,获得个人信息应是有成本。
版权说明
1,漫画《在网上,没人知道你是一条狗》是1993年7月5日彼得·施泰纳在《纽约客》上发表的,在本文中出现属合理使用。
2,感谢bearsun@weibo提供了文中的萨摩狗MOMO的照片。
3,如”Mozilla Firefox”等某些图标、名称可能是商标等有版权的。
附录:Chromium”克隆版”:
指那些基于Chromium源代码进行二次开发,并且与Chromium有相似界面的浏览器。它们的扩展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的扩展程序。
Chromium是Google主导开发的开源浏览器,因为它所使用的开源条款(BSD等)相对宽松,加上Google Chrome的流行,因此有很多的“克隆”Chromium。
Google Chrome是Google在Chromium的基础上,加入了一些私有的代码后的产品。
浏览器插件(plguin)与扩展(extension)
文中扩展(Extension)指那些利用浏览器的底层能力,并加以扩展的浏览器辅助程序。插件(Plugin)往往指使用了浏览器本身并不具备能力的 辅助程序。比方说Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API对内容进行拦截,是扩展;Adobe Flash Player则通过ActiveX/NPAPI/PPAPI接口为浏览器提供了播放Flash内容的能力,是插件。正文中提到的所有辅助工具都是扩展,或 浏览器本身具备的能力。
转载自月光博客 本文地址:http://www.williamlong.info/archives/3001.html
可是,即便在十年前说这句话,也已经是不负责任的了。
当然,这篇文章不是讨论如何防御病毒的,更不可能教授特工技能。但是,不要拿“国情”、“大家都没有隐私观念”之类当借口,只要是你的东西,在离开电脑以前,都是你的。
精准广告(也叫定向广告)
广告主绝对不是为了收集用户信息而收集用户信息的,他们日夜思念着的是钱。10前的互联网广告商就已经在收集用户信息,以推送最接近用户需求的信息。这使得互联网产业如此发达。
所以,有关隐私的概念,其实是因人而异的。任何与你有关的内容,都可能是隐私,无非那些能直接关联到你身份信息的内容,更为重要而敏感。
现在的广告商已经能整合大量的用户信息,以进行最优的猜测。一个著名的例子是,Gmail会根据用户邮箱中的内容,通过自动算法展示最相关的广告。现在这样的广告已经比比皆是。
实际例子
图2,IE9跟踪保护中的“个人列表”
我们拿IE9为例:微软在IE8中悄悄地提供了一个叫InPrivate Filter的工具;在IE9里面,它被大张旗鼓地重命名为Tracking Protect List(跟踪保护列表),用户可以永久启用它。
先做一个小实验:
在TPL中开启“个人列表”,不导入任何定制的TPL列表,也不使用隐私浏览模式(InPrivate浏览)。
1,打开一个导航网站,把其首页上的每个网站链接都打开一遍。
2,再回到TPL的“个人列表”,原本的空白变成了一串黑名单:
左侧有51yes,alimama,baidu,cnzz,doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating
右侧则频频出现log,stat,ads,beacon等词汇,以及like,followbutton
只要你学过点英文,就猜得出这些内容多多少少和统计、广告有点关系。而且,你好像在什么地方也见到过“喜欢”按钮。
等等,这个列表中的大部分网站刚才可没有访问过,何况你很可能都不认识它们。IE怎么会知道它们的存在,而且还要信誓旦旦地告诉你,这些内容被“自动阻止”了?
图3,IE9阻止了第三方收集信息
打开IE自带的开发工具,以新浪首页为例,看看发生了什么:开发者工具显示,跟踪保护阻止了向这些第三方(即不是新浪的)网站发送数据。
这样一个请求被阻止了,链接里面有这么一段s=1920x1080x32&l=zh-cn
这句话就是说,笔者当前的显示器设置是1920×1080像素,32位色深,语言是zh-cn(中国大陆的简体中文)。
这是什么意思呢
按照业界常用的做法(这一点可以在各个统计服务、广告联盟的业务内容中看到),当你进入新浪首页的同时,你还会告诉Wrating(万瑞数据)、 Imrworldwide(尼尔森)、Mediav(聚胜万合)以及Google Analytics(谷歌统计)这些内容:
1,你从哪里来(ip地址),用的是什么语言,从哪个页面跳转来的
2,你在新浪首页待了多久,关注了哪些部分(最近很流行的热力图)
3,你接下来会去哪里(点击了页面上哪个链接)
4,你的显示器分辨率设置是什么
5,你的浏览器安装了哪些插件(plugin,注,非浏览器扩展--extension)
然后,这四家公司都会在你的浏览器里留下各自的标记,这样以后只要你访问了使用到它们业务的网站,它们就能认出你。这种标记叫作Cookie,是一种很小的数据片段,网站通过在浏览器中保存cookie来识别用户,Mozilla曾经称之为“精致的美味”。
当你访问的每一个网站都使用了相同的统计服务商时,就意味着他已经完整地知道了你的上网习惯。在全球范围里,Google Analytics正是这样的统计服务商。
仅仅这样还不太容易将你的上网习惯与现实中的你关联在一起。因此有人(往往是收集信息的一方)觉得这不是个人隐私。
社交网络
如果前面的第三方统计只是过家家的话,这可就不得了:
首先,你心甘情愿地告诉它你是谁,就读于哪个学校,家住哪里,在什么地方上班;然后,为了防止被盗号,你又告诉了它你的手机号码;为了维持和你的老同学之间的联系,你还上传了通讯录。关键的是,这一切都是你心甘情愿的。
——什么,你说人家有隐私条款?
——笔者:……
泼出去的水是收不回来的。
“分享”按钮
你不点击,人家至少知道现实的你访问了这个网站;一旦你点击了,人家还能知道现实的你很在意这个页面。其价值不可估量。
这种“分享”按钮方式要比悄悄地搜集信息人性化地多,无论如何,用户总是明确地知道他访问的网页上有第三方内容。当然,你同样不能拒绝这种信息收集,除非使用特制的工具。
图4,分享按钮
举个例子:情人节刚刚过去,MOMO看到蓝星人各种秀恩爱,心里不平衡了,于是也在网上浏览各种汪星人的照片。
图5,MOMO:“它怎么知道汪是汪星人,怎么知道汪想征婚?”
——MOMO: “麻麻,好多照片,汪都要数不过来了。”——麻麻:……
——MOMO:“麻麻,它怎么知道汪是想征婚的?汪不过看了几张照片而已。”
——麻麻:……
实际上MOMO在浏览汪星人照片的过程中,发生了这么多事情。
图6,MOMO是这样收到精准广告的
第三方服务商记录了MOMO的浏览历史,从而推测出他可能在找对象,于是,MOMO就收到了征婚广告。如何抑制提交个人信息
向第一方信息提交是不可避免的,毕竟你也在使用人家的服务;然而向第三方提供信息,通常是不必要的,可以在这一点上出手。
可惜的是,大部分旨在保护此类信息泄漏的工具都是Mozilla Firefox与Google Chrome独占的。如果你在使用国内的三大天王(IE6、IE8、360安全浏览器,只有它们的占有率超过20%,数据由CNZZ提供),大多数时候你只好望洋兴叹了。
自动化工具:
1,跟踪保护(TPL),适用于Microsoft Internet Explorer 9(8)
前面提到的跟踪保护就是一个很方便的隐私保护工具。它是自动化的,只要启用“个人列表”,它就会在后台默默地阻断向第三方上传信息。在IE8中使用InPrivate Filter可能需要修改注册表。
TPL实际上是一个设置内容策略的工具,因此也能导入定制好的列表。
用户可以在微软官方提供的TPL订阅处获得几种常见的过滤配置,如EasyPrivacy,以更有效地阻止向第三方发送你的浏览历史。有些地方还提供了 适用与TPL的广告过滤配置,然而,受到TPL性能的限制,你不能指望TPL在这一方面可以达到在Adblock Plus的效果。
TPL“个人列表”的原理是:
当IE9在多个(默认是3)网站的页面上发现相同的来自第三方的内容时,TPL就会将该内容自动加入“个人列表”。当该内容再次以第三方形式出现时,IE9就会阻止对其的访问,从而防止不必要的信息泄漏。
2,Do Not Track Plus
跟踪保护工具在阻止社交网络追踪时出现了问题,你不能在某些站点使用“喜欢”按钮的同时,阻止另外网站上社交网络的第三方信息收集行为。
这个Firefox扩展程序解决了以上问题。你可以轻易地为不同网站设定规则,让社交网络、广告公司只能在限定的网站上记录你的信息。
图7,Do Not Track Plus
3,Adblock(适用于Google Chrome),Adblock plus(适用于Firefox,Google Chrome),以及其它本是用于过滤广告的工具某种意义上,阻止追踪和阻止广告是一回事。
这两个浏览器扩展程序其实更为专业,它们本是用于过滤广告的。实际上,除了没有类似于“个人列表”的功能以外,它们是远比TPL强大的内容策略管理工具。在订阅这类模式中,它们的效果是最好的。
其实Adblock Plus是地球上用户数量最多的浏览器扩展,仅在Firefox上就拥有几乎达到一千五百万的日均活跃用户。而Adblock在Chrome Web Store上,也是除了几个google官方的”快捷方式”以外,最流行的扩展程序。
Easylist、EasyPrivacy、Chinalist等列表从一开始就是为Adblock Plus设计的。至于那些提供过滤功能的杀毒、安全软件,你也可以通过一些自动化工具,将这些列表翻译成兼容的版本以使用。
4,Noscript(适用于Firefox),ScriptNo(适用于Google Chrome)
第三方在搜集用户信息时,主要依靠在用户浏览器中执行一些javascript程序实现的。这两个浏览器扩展都能让用户决定浏览器可以执行来自哪些域名 的javascript代码,浏览器插件等元素。当出现不必要的第三方成分时,这两个扩展就会给出提示,由用户决定是否阻止它们运行。这两个工具各自还有 一些独有的功能,供进阶者使用。正确使用它们需要一定的互联网知识。
图8,NoScript
5,RequestPolicy还是Firefox扩展,它适合专业的、或有明确需要(如抵御CSRF)的用户。它通过约束网络请求的来源及目标,以控制一切内容的访问。这是一个大杀器,提供了非常严格的控制,作为日常使用的话,开销很大。
图9,RequestPolicy
6,浏览器的隐私模式,限制浏览器记录cookie浏览器在开启隐私模式后,将不会向外发送已有的cookie信息。在登录特定的互联网服务的账户以前,统计商、广告商将难以知道你的身份。限制cookie记录也能达到类似效果。作为代价,用户需要付出丧失浏览历史等代价。
7,有一些广告公司组成联盟,允许用户设定为“不要追踪”的状态。大部分读者就别指望了,这份名单中只有google analytics在国内是有业务的。
为什么“三大天王”浏览器不行?
你根本找不到适用它们的工具,即便有用于广告过滤的扩展,也是语法不通用,且没有人撰写、翻译相应的规则。
IE8的InPrivate Filter的功能与IE9的跟踪保护(TPL)完全相同。然而你必须修改注册表才能让它保持运行,此外,它不兼容TPL的过滤规则。
几乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。
值得一提的是,市面上有很多的Chromium”克隆版”,它们往往能兼容Chrome的扩展。至于如何判断”克隆”Chromium,这里引用一句来自《苹果APP审核指南》的话:“最高法院的法官曾有言:‘它出现时我自然心中有数’。”
阻断第三方信息记录的代价:
如果MOMO真的彻底阻断了广告商记录你的信息,就会发生这样的事情:
图10,阻断向第三方提供信息后,MOMO收到了不合适的广告
虽然抑制了信息泄漏,但MOMO却也是自找苦吃;对于广告商、广告主,则是浪费。对谁都不讨好。另一方面,用户多少要在操控这些隐私保护工具上,总要浪费一些时间;因为设计缺陷或者可能会导致网页的正常运行;同时,这些工具大多又是用 javascript写的,执行效率普遍不高(即便有JIT),会拖慢浏览器的速度。其次,它们往往是开发者在业余时间编写的,代码质量没有保证,也不太 可能进行大规模的稳定性测试(除了非常流行的工具以外),比一般软件更有可能会带来新的漏洞。
笔者的观点
互联网离不开第三方的信息收集,但你总是可在能力范围之内,阻止不必要的部分。
现在的网络不太可能是匿名的,但是,获得个人信息应是有成本。
版权说明
1,漫画《在网上,没人知道你是一条狗》是1993年7月5日彼得·施泰纳在《纽约客》上发表的,在本文中出现属合理使用。
2,感谢bearsun@weibo提供了文中的萨摩狗MOMO的照片。
3,如”Mozilla Firefox”等某些图标、名称可能是商标等有版权的。
附录:Chromium”克隆版”:
指那些基于Chromium源代码进行二次开发,并且与Chromium有相似界面的浏览器。它们的扩展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的扩展程序。
Chromium是Google主导开发的开源浏览器,因为它所使用的开源条款(BSD等)相对宽松,加上Google Chrome的流行,因此有很多的“克隆”Chromium。
Google Chrome是Google在Chromium的基础上,加入了一些私有的代码后的产品。
浏览器插件(plguin)与扩展(extension)
文中扩展(Extension)指那些利用浏览器的底层能力,并加以扩展的浏览器辅助程序。插件(Plugin)往往指使用了浏览器本身并不具备能力的 辅助程序。比方说Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API对内容进行拦截,是扩展;Adobe Flash Player则通过ActiveX/NPAPI/PPAPI接口为浏览器提供了播放Flash内容的能力,是插件。正文中提到的所有辅助工具都是扩展,或 浏览器本身具备的能力。
转载自月光博客 本文地址:http://www.williamlong.info/archives/3001.html
