论文部分内容阅读
无论IE、Firefox还是Chrome都强调你的隐私可以得到保证,它们提供的隐私保护功能也都越来越强。但是,事实确实如此吗?你真能够实现匿名冲浪、不在互联网上留下任何痕迹吗?下面让CHIP来为你揭示事实的真相。
浏览器开发商一直以来的表现令用户满意,无论是用户希望浏览器能够更快地加载网页、更有组织地打开更多的页面,还是用户希望能够提供更多的扩展插件,浏览器开发商基本上都做到了。不过,现如今用户的要求已经转变,人们需要的是能够更好地保护自己的隐私。为此,IE9、Firefox4等新一代浏览器无不加入了相关的功能,并大张旗鼓地加以宣传。但它们真的有效吗?下面我们就将仔细研究主流浏览器的隐私保护功能,并告诉你它们能够为你提供什么样的保护,又有什么是它们无法做到的。
现状:自我约束或许是更好的方法
首先,在开始研究各种浏览器的隐私保护功能之前,你必须清楚,当前各种浏览器为我们提供的工具并不是为了保护IP地址不被侦测以让我们可以匿名冲浪,也不是和Adblock Plus之类的插件一样为了过滤网络广告。在主流的浏览器开发商中,谷歌的商业模式基于广告,微软同样是一个成功的广告营销者,除此以外,网络广告也是其他许多互联网公司赖以为生的盈利工具,浏览器开发商没有理由去“摧毁”它。
浏览器开发商要做的是,让用户可以控制自己的信息,避免泄漏用户的个人隐私。为了获得更好的广告效果,大部分广告商都会收集和跟踪用户的网络行为,并据此调整显示在用户页面上的广告。例如,当你在一个购物网站上查看某品牌打印机产品的信息后,你会发现在接下来的浏览过程中,该品牌打印机或其他打印机产品的广告将频繁出现在页面上,这就是商家收集信息后所做的事情,他们希望显示更多相关的广告来说服你购买。
很明显,此类跟踪行为并不绝对是一件坏事、除了你将获得更多自己感兴趣的信息外,如果你是一位女士,或许共用一台电脑的他还会乐于购买你感兴趣的香水送给你。但是,关键是这件事存在不确定性,广告商收集的数据会如何处理是一个问题,其次,你或许并不希望有任何人知道自己对什么感兴趣。因而,除了浏览器开发商应该提供足够的功能,让用户可以自行决定是否允许收集个人信息之外,网络广告商即使收集用户个人信息的目的确实只是为了给用户提供更好的网络体验,那也应该让用户可以选择自己是否需要个性化的广告。
对于后者,谷歌已经提供了一个解决方案,用户可以访问“广告偏好”(www.google.com/ads/preferences)网站,根据自己的需要选择自己感兴趣的广告类型或者停用个性化广告。另外,一些大的广告商,例如“nugg.ad”(www.nugg.ad/en/index)也提供了一个“Opt-out”选项,用户在选择后将收到一个Cookie,该广告商的广告将不再试图跟踪浏览器带有该Cookie的用户,只有在用户删除该Cookie之后,广告商才继续提供个性化广告。我们有理由相信,类似的自我规管能够让用户和广告商都获得最大的利益,
Firefox:告诉网站我不希望被追踪
Mozilla保护用户个人隐私的新方法是提供一个“告诉网站我不希望被追踪”选项,在Firefox4.0中用户通过“选项|高级|常规|浏览”设置该选项,浏览器将在用户访问网站时,向每一个网站发送用户拒绝被跟踪的信息。
评价:这一功能并不是强制性的,网站可以选择尊重你的选择,停止追踪行为,也可能根本不拿你的意愿当回事。很明显,在没有一个强制性执行准则的情况下,无法要求所有的网站都按照用户的要求停止追踪,但是,Mozilla的开发人员仍旧比较看好该功能,该功能可以帮助他们成功地将是否尊重用户个人隐私的球踢给了广告商。Mozilla的开发人员还认为,由于监管美国广告产业的FTC(联邦贸易委员会)已经通过官方文件明确表态支持网站应按照用户的意愿停止跟踪,所以来自FTC的压力应该会让这一解决方案获得成功。
其他:通过附加组件NoScript(noscript.net),Firefox不仅可以封锁广告商,甚至可以删除不需要的脚本和插件。利用JonDoFox(anonymous-proxy-servers.net/en/jondofox.html)配置文件,你可以通过代理服务器或服务软件匿名地浏览网络。
IE浏览器:跟踪保护
微软在IE9中完善了隐私保护功能,使用户可以比较轻松地摆脱广告商的追踪。该功能在以往的版本中已经出现,但它有一个不太容易让人明白的名称,叫“InPrivate过滤”,在IE9中微软将其更名为“跟踪保护”,并完善了该功能的设计。
微软的跟踪保护功能有两种不同的模式,第一种模式基于浏览器对于网站的检测,浏览器将检测你浏览网站过程中来自其他内容供应商的信息,自动生成一个个性化跟踪保护列表,阻止第三方广告商。根据微软的介绍,用于分析的浏览数据存储在用户的电脑上,并不会发送到微软。并且用户通过“工具|安全|跟踪保护|你的个人列表”可以管理和设置保护列表。
第二种模式,用户可以通过“工具|安全|跟踪保护|联机获取跟踪保护列表”获取和添加在线的跟踪保护列表(简称TPL),这些TPL是那些希望帮助用户保护隐私的公司和组织创建的,它们由列表的创建者负责维护。添加列表后,浏览器将阻止列表中所有被列为“阻止”的第三方网络内容,通过限制调用这些内容来避免这些网站收集你的信息。同时,列表中也包含部分被设置为“允许”的网站,此类网站可以调用,但在调用的时候浏览器将向网站发送“不跟踪”的信息,非强制性地要求网站尊重你的意愿停止跟踪。
评价:微软新的隐私保护功能非常出色,既提供了自动化的保护模式,又提供了可以借助其他公司和组织力量的保护列表模式,并且各项功能用户都可以自行设置管理。不过,基于黑名单的跟踪保护模式对列表的覆盖率与更新频率要求非常高,广告商只需简单地修改内容存储的网址,列表就可能失效。
其他:浏览器的新功能相当强大,暂时没有其他的浏览器扩展工具可以帮上忙,不过,通过“Internet选项|常规|浏览历史记录|退出时自动删除浏览历史记录”可以自动删除Cookie等信息,这对于保护用户的个人信息有一定帮助。
Chrome:扩展程序
谷歌提供了一个扩展组件Keep My Opt-Outs(https://code.google.com/p/chrome-opt-out-extension/)帮助用户规避跟踪,谷歌声称该软件能够帮助用户摆脱所有遵循行业自我规管标准(aboutads.info)的广告跟踪,据谷歌的介绍,大部分广告商都遵循相关的标准,仅有一小部分没有包括其中。
评价:实际上,目前只有美国公司加入自我规管协议,包括欧洲在内其他地区的公司并不支持这一标准。其次,这是一个有关广告跟踪方面的自我规管标准,并不能够约束其他的跟踪行为。不过,对于谷歌浏览器的用户来说,通过“选项|高级选项|内容设置|Cookie”进行设置,Chrome可以完全阻止第三方内容提供商的Cookie。
其他:对于同样具有跟踪功能的谷歌Analytics(分析)服务,通过专用的浏览器扩展程序(tools.google.com/dlpage/gaoptout),即可使谷歌Analytics服务停止收集用户的浏览数据。该扩展程序提供适用于IE、Firefox、谷歌浏览器的版本。
结论:保护得不够完善
Firefox和谷歌浏览器所提供的保护措施并不够完善,只有微软的IE9为用户提供了比较完善的跟踪保护功能,但是它也不能够完全阻止跟踪用户的行为。可以说所有的浏览器都已经努力地提供了跟踪保护的功能,但是如果一个广告商希望跟踪用户,仍然可以为所欲为。
除了Cookie等常规的跟踪手段,可以识别用户收集信息的方法还有许多,例如,在浏览器激活JavaScript的情况下,网站设计者可以通过JavaScript在用户的电脑上获取很多信息,甚至能够读取电脑上安装的字体。而停用JavaScript对于浏览器来说,不仅降低了许多网站通过脚本程序实现的便利与友好性,部分功能与菜单还可能无法操作。另外,通过CSS,网站设计者同样能够从浏览器中获取信息,并发现和跟踪鼠标移动,因而,完全阻止跟踪行为,对于用户来说仍然只是一厢情愿的想法。
隐私保护功能对此无能为力
浏览器透露给网站的信息非常多,即使用户已经使用了浏览器提供的隐私保护功能,但是许多信息也仍然无法有效地受到保护。
浏览器窗口大小
即使停用了JavaScript,网站仍然可以通过层叠样式表(Cascading Style Sheets,简称CSS)获取当前窗口的尺寸。
Cookie
在控制功能仍不足的情况下,虽然自动删除Cookie能够在一定程度上提高安全性,但该功能只有在会话结束之后才能执行。
时间
使用JavaScript,网页上可以轻松地显示当前用户电脑的时间,获得本地时间自然可以锁定用户所在的地区。
字体
浏览器上执行的Flash、Java、JavaScript和CSS都可以调用字体显示文本,系统上安装的字体一览无余。
插件和文件类型
使用JavaScript,简单的脚本即可分析和检查插件的版本,也还可以获得文件类型等信息。
鼠标移动
通过CSS和JavaScript,网站甚至能够跟踪用户鼠标的移动,这对于许多用户来说或许是匪夷所思的。
HTTP签名
浏览器在访问网站时,将发送HTTP签名信息,这当中包含浏览器类型等信息,而用户无法对此进行修改。
什么是隐身模式?
主流的浏览器都提供隐身模式,在该模式下浏览网页,将限制浏览器存储会话过程中的数据,例如Cookie、Internet临时文件、历史记录等。对于与其他人共用电脑的人来说该功能非常有价值。但是,该功能并不是以防止跟踪用户为目的的。用户浏览过程中的数据只是在浏览器会话结束后被删除,而并不是在浏览过程中完全不产生,在整个会话的过程中,网站仍然可以像在普通模式下一样为所欲为地跟踪用户。
匿名上网的缺点
希望在互联网上保持匿名的用户必须清楚,匿名上网虽然能够有效地保护自己的隐私,但是这样除了无法使用网站提供的个性化服务之外,有些服务还可能因此而无法使用。例如网上银行等一些对于安全性要求较高的服务,有可能在用户不知情的情况下,通过检测用户的打字速度或鼠标的移动来创建一个用户的指纹,或者判断试图登录的是否是一个破解软件。如果无法从用户端获取相应的信息,用户可能无法登录使用服务。
“光掩饰IP地址是不够的”
匿名上网服务“JonDonym”的开发商
Rolf Wendolsky
人们在互联网上是匿名的吗?
不是,除了网络提供商可以轻松地跟踪用户以外,网站经营者、广告和分析服务也可以通过用户的IP地址跟踪用户。
浏览器能够提供一些保护吗?
浏览器将提供保护功能,但是,对于用户来说这没有什么不同,技术上来讲仍然可以跟踪用户,这没有什么困难。
这么说浏览器的措施没作用?
现在的Web浏览器在访问网站时发送大量的信息,这些数据是可以被识别的,平常人们只关心Cookie,但实际上那只是冰山一角。
另外还有什么地方会有问题?
Web浏览器不独立于操作系统,不当地启用JavaScript及连基本的设置控制功能都没有的Flash和Java,都会产生问题。
浏览器制造商应该采取什么措施,才能够让用户真正匿名上网?
设计一个标准的匿名环境,用户可以像使用隐身模式一样,在需要时激活使用,或许是一个不错的办法。
浏览器开发商一直以来的表现令用户满意,无论是用户希望浏览器能够更快地加载网页、更有组织地打开更多的页面,还是用户希望能够提供更多的扩展插件,浏览器开发商基本上都做到了。不过,现如今用户的要求已经转变,人们需要的是能够更好地保护自己的隐私。为此,IE9、Firefox4等新一代浏览器无不加入了相关的功能,并大张旗鼓地加以宣传。但它们真的有效吗?下面我们就将仔细研究主流浏览器的隐私保护功能,并告诉你它们能够为你提供什么样的保护,又有什么是它们无法做到的。
现状:自我约束或许是更好的方法
首先,在开始研究各种浏览器的隐私保护功能之前,你必须清楚,当前各种浏览器为我们提供的工具并不是为了保护IP地址不被侦测以让我们可以匿名冲浪,也不是和Adblock Plus之类的插件一样为了过滤网络广告。在主流的浏览器开发商中,谷歌的商业模式基于广告,微软同样是一个成功的广告营销者,除此以外,网络广告也是其他许多互联网公司赖以为生的盈利工具,浏览器开发商没有理由去“摧毁”它。
浏览器开发商要做的是,让用户可以控制自己的信息,避免泄漏用户的个人隐私。为了获得更好的广告效果,大部分广告商都会收集和跟踪用户的网络行为,并据此调整显示在用户页面上的广告。例如,当你在一个购物网站上查看某品牌打印机产品的信息后,你会发现在接下来的浏览过程中,该品牌打印机或其他打印机产品的广告将频繁出现在页面上,这就是商家收集信息后所做的事情,他们希望显示更多相关的广告来说服你购买。
很明显,此类跟踪行为并不绝对是一件坏事、除了你将获得更多自己感兴趣的信息外,如果你是一位女士,或许共用一台电脑的他还会乐于购买你感兴趣的香水送给你。但是,关键是这件事存在不确定性,广告商收集的数据会如何处理是一个问题,其次,你或许并不希望有任何人知道自己对什么感兴趣。因而,除了浏览器开发商应该提供足够的功能,让用户可以自行决定是否允许收集个人信息之外,网络广告商即使收集用户个人信息的目的确实只是为了给用户提供更好的网络体验,那也应该让用户可以选择自己是否需要个性化的广告。
对于后者,谷歌已经提供了一个解决方案,用户可以访问“广告偏好”(www.google.com/ads/preferences)网站,根据自己的需要选择自己感兴趣的广告类型或者停用个性化广告。另外,一些大的广告商,例如“nugg.ad”(www.nugg.ad/en/index)也提供了一个“Opt-out”选项,用户在选择后将收到一个Cookie,该广告商的广告将不再试图跟踪浏览器带有该Cookie的用户,只有在用户删除该Cookie之后,广告商才继续提供个性化广告。我们有理由相信,类似的自我规管能够让用户和广告商都获得最大的利益,
Firefox:告诉网站我不希望被追踪
Mozilla保护用户个人隐私的新方法是提供一个“告诉网站我不希望被追踪”选项,在Firefox4.0中用户通过“选项|高级|常规|浏览”设置该选项,浏览器将在用户访问网站时,向每一个网站发送用户拒绝被跟踪的信息。
评价:这一功能并不是强制性的,网站可以选择尊重你的选择,停止追踪行为,也可能根本不拿你的意愿当回事。很明显,在没有一个强制性执行准则的情况下,无法要求所有的网站都按照用户的要求停止追踪,但是,Mozilla的开发人员仍旧比较看好该功能,该功能可以帮助他们成功地将是否尊重用户个人隐私的球踢给了广告商。Mozilla的开发人员还认为,由于监管美国广告产业的FTC(联邦贸易委员会)已经通过官方文件明确表态支持网站应按照用户的意愿停止跟踪,所以来自FTC的压力应该会让这一解决方案获得成功。
其他:通过附加组件NoScript(noscript.net),Firefox不仅可以封锁广告商,甚至可以删除不需要的脚本和插件。利用JonDoFox(anonymous-proxy-servers.net/en/jondofox.html)配置文件,你可以通过代理服务器或服务软件匿名地浏览网络。
IE浏览器:跟踪保护
微软在IE9中完善了隐私保护功能,使用户可以比较轻松地摆脱广告商的追踪。该功能在以往的版本中已经出现,但它有一个不太容易让人明白的名称,叫“InPrivate过滤”,在IE9中微软将其更名为“跟踪保护”,并完善了该功能的设计。
微软的跟踪保护功能有两种不同的模式,第一种模式基于浏览器对于网站的检测,浏览器将检测你浏览网站过程中来自其他内容供应商的信息,自动生成一个个性化跟踪保护列表,阻止第三方广告商。根据微软的介绍,用于分析的浏览数据存储在用户的电脑上,并不会发送到微软。并且用户通过“工具|安全|跟踪保护|你的个人列表”可以管理和设置保护列表。
第二种模式,用户可以通过“工具|安全|跟踪保护|联机获取跟踪保护列表”获取和添加在线的跟踪保护列表(简称TPL),这些TPL是那些希望帮助用户保护隐私的公司和组织创建的,它们由列表的创建者负责维护。添加列表后,浏览器将阻止列表中所有被列为“阻止”的第三方网络内容,通过限制调用这些内容来避免这些网站收集你的信息。同时,列表中也包含部分被设置为“允许”的网站,此类网站可以调用,但在调用的时候浏览器将向网站发送“不跟踪”的信息,非强制性地要求网站尊重你的意愿停止跟踪。
评价:微软新的隐私保护功能非常出色,既提供了自动化的保护模式,又提供了可以借助其他公司和组织力量的保护列表模式,并且各项功能用户都可以自行设置管理。不过,基于黑名单的跟踪保护模式对列表的覆盖率与更新频率要求非常高,广告商只需简单地修改内容存储的网址,列表就可能失效。
其他:浏览器的新功能相当强大,暂时没有其他的浏览器扩展工具可以帮上忙,不过,通过“Internet选项|常规|浏览历史记录|退出时自动删除浏览历史记录”可以自动删除Cookie等信息,这对于保护用户的个人信息有一定帮助。
Chrome:扩展程序
谷歌提供了一个扩展组件Keep My Opt-Outs(https://code.google.com/p/chrome-opt-out-extension/)帮助用户规避跟踪,谷歌声称该软件能够帮助用户摆脱所有遵循行业自我规管标准(aboutads.info)的广告跟踪,据谷歌的介绍,大部分广告商都遵循相关的标准,仅有一小部分没有包括其中。
评价:实际上,目前只有美国公司加入自我规管协议,包括欧洲在内其他地区的公司并不支持这一标准。其次,这是一个有关广告跟踪方面的自我规管标准,并不能够约束其他的跟踪行为。不过,对于谷歌浏览器的用户来说,通过“选项|高级选项|内容设置|Cookie”进行设置,Chrome可以完全阻止第三方内容提供商的Cookie。
其他:对于同样具有跟踪功能的谷歌Analytics(分析)服务,通过专用的浏览器扩展程序(tools.google.com/dlpage/gaoptout),即可使谷歌Analytics服务停止收集用户的浏览数据。该扩展程序提供适用于IE、Firefox、谷歌浏览器的版本。
结论:保护得不够完善
Firefox和谷歌浏览器所提供的保护措施并不够完善,只有微软的IE9为用户提供了比较完善的跟踪保护功能,但是它也不能够完全阻止跟踪用户的行为。可以说所有的浏览器都已经努力地提供了跟踪保护的功能,但是如果一个广告商希望跟踪用户,仍然可以为所欲为。
除了Cookie等常规的跟踪手段,可以识别用户收集信息的方法还有许多,例如,在浏览器激活JavaScript的情况下,网站设计者可以通过JavaScript在用户的电脑上获取很多信息,甚至能够读取电脑上安装的字体。而停用JavaScript对于浏览器来说,不仅降低了许多网站通过脚本程序实现的便利与友好性,部分功能与菜单还可能无法操作。另外,通过CSS,网站设计者同样能够从浏览器中获取信息,并发现和跟踪鼠标移动,因而,完全阻止跟踪行为,对于用户来说仍然只是一厢情愿的想法。
隐私保护功能对此无能为力
浏览器透露给网站的信息非常多,即使用户已经使用了浏览器提供的隐私保护功能,但是许多信息也仍然无法有效地受到保护。
浏览器窗口大小
即使停用了JavaScript,网站仍然可以通过层叠样式表(Cascading Style Sheets,简称CSS)获取当前窗口的尺寸。
Cookie
在控制功能仍不足的情况下,虽然自动删除Cookie能够在一定程度上提高安全性,但该功能只有在会话结束之后才能执行。
时间
使用JavaScript,网页上可以轻松地显示当前用户电脑的时间,获得本地时间自然可以锁定用户所在的地区。
字体
浏览器上执行的Flash、Java、JavaScript和CSS都可以调用字体显示文本,系统上安装的字体一览无余。
插件和文件类型
使用JavaScript,简单的脚本即可分析和检查插件的版本,也还可以获得文件类型等信息。
鼠标移动
通过CSS和JavaScript,网站甚至能够跟踪用户鼠标的移动,这对于许多用户来说或许是匪夷所思的。
HTTP签名
浏览器在访问网站时,将发送HTTP签名信息,这当中包含浏览器类型等信息,而用户无法对此进行修改。
什么是隐身模式?
主流的浏览器都提供隐身模式,在该模式下浏览网页,将限制浏览器存储会话过程中的数据,例如Cookie、Internet临时文件、历史记录等。对于与其他人共用电脑的人来说该功能非常有价值。但是,该功能并不是以防止跟踪用户为目的的。用户浏览过程中的数据只是在浏览器会话结束后被删除,而并不是在浏览过程中完全不产生,在整个会话的过程中,网站仍然可以像在普通模式下一样为所欲为地跟踪用户。
匿名上网的缺点
希望在互联网上保持匿名的用户必须清楚,匿名上网虽然能够有效地保护自己的隐私,但是这样除了无法使用网站提供的个性化服务之外,有些服务还可能因此而无法使用。例如网上银行等一些对于安全性要求较高的服务,有可能在用户不知情的情况下,通过检测用户的打字速度或鼠标的移动来创建一个用户的指纹,或者判断试图登录的是否是一个破解软件。如果无法从用户端获取相应的信息,用户可能无法登录使用服务。
“光掩饰IP地址是不够的”
匿名上网服务“JonDonym”的开发商
Rolf Wendolsky
人们在互联网上是匿名的吗?
不是,除了网络提供商可以轻松地跟踪用户以外,网站经营者、广告和分析服务也可以通过用户的IP地址跟踪用户。
浏览器能够提供一些保护吗?
浏览器将提供保护功能,但是,对于用户来说这没有什么不同,技术上来讲仍然可以跟踪用户,这没有什么困难。
这么说浏览器的措施没作用?
现在的Web浏览器在访问网站时发送大量的信息,这些数据是可以被识别的,平常人们只关心Cookie,但实际上那只是冰山一角。
另外还有什么地方会有问题?
Web浏览器不独立于操作系统,不当地启用JavaScript及连基本的设置控制功能都没有的Flash和Java,都会产生问题。
浏览器制造商应该采取什么措施,才能够让用户真正匿名上网?
设计一个标准的匿名环境,用户可以像使用隐身模式一样,在需要时激活使用,或许是一个不错的办法。