谷歌

剧情回顾：最近几篇新闻都在讲述Google，Apple，Microsoft的神仙战争。为什么叫神仙战争，因为你根本看不懂这五篇报道。 　　1,《 谷歌被曝绕过Safari隐私设定追踪用户浏览记录 》 　　2,《 谷歌因Safari隐私问题遭用户起诉侵权 》 　　3,《 微软打击Google和苹果称IE9是“不被第三方浏览的浏览器” 》 　　4,《 微软宣称谷歌秘密记录IE用户 》 　　5,《 Google回应微软称P3P隐私策略已不适用 》 　　在前几篇文章中，笔者介绍了网络信息收集，广告流通手段，以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以，专业人士可以无视它。 　　我们就来看看这些和外交辞令没什么区别的新闻，到底在说什么。 　　报道-1： 图1，Google Plus同时使用Google Analytics与Doubleclick收集用户信息 　　在最早一起报道中，有人指责当使用Apple Safari访问Google Plus服务时，谷歌绕过了Safari的Cookie策略，进行了追踪用户的行为。 　　事实： 　　Google是最大的互联网广告商，它通过Google Analytics，Doubleclick，Google Adsense，Google Admob等一系列业务进行广泛的用户兴趣爱好收集，和相应的广告投放业务。 　　使用浏览器访问Google Plus时，会从一系列域名请求不同的内容，以组成Google Plus的网页，其中，有两个域名对达成Google Plus本身的页面，功能而言是完全不必要的：它们分别是doubleclick.com和google-analytics.com。 　　google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联，但不等同)，并收集该网站(这里就是Google Plus)的用户行为；doubleclick.com的作用也类似，但侧重于让谷歌的广告系统在别的网站上也能认出该用户，以投放精准广告。这些编号存储在cookie中。然而，Safari默认不允许第三方网站设置cookie，也就是说，在本例中，只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的，谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下——这就是所谓的“绕过Safari隐私设置”。 图2，Apple Safari默认不允许来自第三方域名的内容设置cookie 　　报道没有提到(隐瞒)的事实： 　　1，所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于，有的浏览器是借助IE核心运行的，它们往往和IE使用同一个Cookie配置设定)。 　　2，谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的 　　报道-2： 　　没过几天，微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范” 　　事实： 　　在IE6刚推出的时候，浏览器往往支持一个由W3C设立的，基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”，它要求第三方网站在需要跟踪用户时，向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别，当双方不一致时，浏览器就会提醒用户是否愿意接受网站的条款，若用户不愿意，则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而，事实上浏览器最多只能在Cookie的程度支持P3P。 　　P3P的本意是想达到一种“明码标价”的作用，一方面通过网页代码让浏览器识别，另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情，目前只有IE系列(6,7,8,9)浏览器强制开启了P3P，并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性，当网站给出的精简隐私政策不符合规范时，IE依然会允许该网站读写Cookie。 　　因此，和Apple的不同，当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时，谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。 　　另一方面，事实上P3P是普遍不被接受的，但是为了与IE保持兼容，广告公司可能会给出P3P条款，但其它网站通常会“伪造”一份P3P协议，类似于Flash使用跨域名内容时必需的crossdomain.xml，这些“伪造”的协议只包括了浏览器能阅读的部分，并没有可供人阅读的正式文本。 　　不被(第三方)浏览的浏览器 　　微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’，拥有业界最强悍的隐私保护能力，尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动” 笔者在之前的文章中提到过IE追踪保护功能的亮点：自动识别用于收集信息的第三方内容，并加以阻止。 　　更好的选择 　　和P3P一样，现在W3C又推出了一个”Do Not Track”的标准，允许用户在不希望网站记录用户行踪时，向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说，如果你真的想控制信息的流出，你就应该在你的主场，也就是你的浏览器上下手，而不是像慈禧太后那样“量中华之物力，结与国之欢心”，把责任推给对方。 　　真正有用的，是跟踪保护，以及各种形形色色浏览器扩展所提供的功能。特别是后者，它们不站在大公司的角度，是真正的接受用户“用脚投票”的工具，自然会卖力地帮助用户减少信息泄漏。当然，其中的大部分又是业余时间的兴趣之作，没有质保。 　　 UC浏览器访问HTTPS网页的泄漏问题 　　这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。 　　事实 　　UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能)：通过代理服务器将网页重新排版、压缩，使得页面适应手机屏幕，并减少流量消耗。对于一般的明文连接，这没有问题。但是这项功能不兼容加密的HTTPS连接，唯一的方法是让代理服务器负责与目标网站进行HTTPS握手，这样代理服务器才能知道HTTPS连接中被加密的内容，从而将其重排版、压缩而转交给用户。 　　这么做有巨大风险： 　　1，HTTPS保证了只要服务方和证书提供方没有问题，则只有用户和服务方本身才能知晓双方通讯的内容，有很高的保密性。UC浏览器破坏了这套安全系统，导致信息在UC方的代理服务器与用户之间的传递变成明文，如同公厕。 　　2，用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的)，光是这一点就已是涉嫌犯罪的行为了。 　　报道没有提到的事实： 　　UC强调“ 因访问钓鱼WIFI ”，却有意忽略了问题的本质：UC浏览器本身破坏了HTTPS连接的安全性，导致了原本即便经过钓鱼WIFI热点传输，也依然安全的连接，变成了明文的，谁都可以看到的无线数据。 　　我们知道，公共WIFI热点一般都是不加密的，这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子，完全不需要辛苦地钓鱼，只要拿一台笔记本电脑，在有公共WIFI热点的地方坐上几个小时，就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。 　　为什么UC会“ 本末倒置 ”？ 　　如果UC要确保用户的安全，就必须放弃对HTTPS网页进行云端加速，站在UC的角度，这也许是不可接受的。同样的，千方百计地通知用户：进行云端加速则会失去HTTPS页面的安全性，同样也可能是无法接受的。如同最近的熊胆事件一样，如果你把一生都放在熊胆提取上，你会允许别人“说三道四”吗？ 　　笔者认为，应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页，直到这些软件提供明确的说明。这样，在保护自己的同时，也不会触犯任何一方的利益。 　　原则 　　第一方记录你的浏览历史是无可非议的，当然你总是可以不提供任何信息(通常而言，这总是意味着你无法使用该服务) 　　所有第三方内容都可以被阻止，只要不影响你的正常使用(第三方需要为自己负责) 　　但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中，以便均衡负载压力，分类不同内容，或是因为确实需要由第三方向用户提供服务。这个时候，用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。 　　有人觉得，因为国情，大家都不注重个人隐私，以上内容都是空谈。 　　事实：所有你的信息最初一定都是由你提供的，除非碰到病毒(其实，病毒也是你‘不小心’，或这是‘默认地’请进来的)或者是刑侦需要，所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义，广告商往往需要为某一项具体行为付出一定的责任，用户在提交信息时更有信心；而在这里，你更需要依靠自己。 　　无论在哪里，早起的鸟儿有果子吃。如果不愿意早起，还是等天上的掉下的馅饼更好。 　　Google在一份声明中说“需要强调的是，这些广告Cookie不会收集个人信息，这一点很重要”。 　　那么笔者也学着“强调”一下：只要是收集信息的内容，不管它和个人有多深的关联，用户总是可以阻止，这一点很重要。 　　来源：fcerebel投稿。 评论《谷歌到底怎么绕过浏览器的隐私设定》的内容… 相关文章: 是谁在偷窥我们的网络隐私 京东商城账户盗刷的对策 泄密门事件背后的真相 国信办公布泄密门事件查处结果 新浪爱问用户明文密码泄露 微博： 新浪微博 – 腾讯微博 QQ群：186784064 月光博客投稿信箱：williamlong.info(at)gmail.com Created by William Long www.williamlong.info