青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 移动开发中HTML5能否替代本地程序?UC浏览器被指明文传输用户密码 »

谷歌到底怎么绕过浏览器的隐私设定

  剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争。为什么叫神仙战争,因为你根本看不懂这五篇报道。

  1,《谷歌被曝绕过Safari隐私设定追踪用户浏览记录

  2,《谷歌因Safari隐私问题遭用户起诉侵权

  3,《微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”

  4,《微软宣称谷歌秘密记录IE用户

  5,《Google回应微软称P3P隐私策略已不适用

  在前几篇文章中,笔者介绍了网络信息收集,广告流通手段,以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以,专业人士可以无视它。

  我们就来看看这些和外交辞令没什么区别的新闻,到底在说什么。

  报道-1:

谷歌到底怎么绕过浏览器的隐私设定

图1,Google Plus同时使用Google Analytics与Doubleclick收集用户信息

  在最早一起报道中,有人指责当使用Apple Safari访问Google Plus服务时,谷歌绕过了Safari的Cookie策略,进行了追踪用户的行为。

  事实:

  Google是最大的互联网广告商,它通过Google Analytics,Doubleclick,Google Adsense,Google Admob等一系列业务进行广泛的用户兴趣爱好收集,和相应的广告投放业务。

  使用浏览器访问Google Plus时,会从一系列域名请求不同的内容,以组成Google Plus的网页,其中,有两个域名对达成Google Plus本身的页面,功能而言是完全不必要的:它们分别是doubleclick.com和google-analytics.com。

  google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联,但不等同),并收集该网站(这里就是Google Plus)的用户行为;doubleclick.com的作用也类似,但侧重于让谷歌的广告系统在别的网站上也能认出该用户,以投放精准广告。这些编号存储在cookie中。然而,Safari默认不允许第三方网站设置cookie,也就是说,在本例中,只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的,谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下------这就是所谓的“绕过Safari隐私设置”。

谷歌到底怎么绕过浏览器的隐私设定

图2,Apple Safari默认不允许来自第三方域名的内容设置cookie

  报道没有提到(隐瞒)的事实:

  1,所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于,有的浏览器是借助IE核心运行的,它们往往和IE使用同一个Cookie配置设定)。

  2,谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的

  报道-2:

  没过几天,微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范”

  事实:

  在IE6刚推出的时候,浏览器往往支持一个由W3C设立的,基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”,它要求第三方网站在需要跟踪用户时,向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别,当双方不一致时,浏览器就会提醒用户是否愿意接受网站的条款,若用户不愿意,则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而,事实上浏览器最多只能在Cookie的程度支持P3P。

谷歌到底怎么绕过浏览器的隐私设定

  P3P的本意是想达到一种“明码标价”的作用,一方面通过网页代码让浏览器识别,另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情,目前只有IE系列(6,7,8,9)浏览器强制开启了P3P,并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性,当网站给出的精简隐私政策不符合规范时,IE依然会允许该网站读写Cookie。

  因此,和Apple的不同,当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时,谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。

  另一方面,事实上P3P是普遍不被接受的,但是为了与IE保持兼容,广告公司可能会给出P3P条款,但其它网站通常会“伪造”一份P3P协议,类似于Flash使用跨域名内容时必需的crossdomain.xml,这些“伪造”的协议只包括了浏览器能阅读的部分,并没有可供人阅读的正式文本。

  不被(第三方)浏览的浏览器

  微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’,拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动”
笔者在之前的文章中提到过IE追踪保护功能的亮点:自动识别用于收集信息的第三方内容,并加以阻止。

  更好的选择

  和P3P一样,现在W3C又推出了一个”Do Not Track”的标准,允许用户在不希望网站记录用户行踪时,向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说,如果你真的想控制信息的流出,你就应该在你的主场,也就是你的浏览器上下手,而不是像慈禧太后那样“量中华之物力,结与国之欢心”,把责任推给对方。

  真正有用的,是跟踪保护,以及各种形形色色浏览器扩展所提供的功能。特别是后者,它们不站在大公司的角度,是真正的接受用户“用脚投票”的工具,自然会卖力地帮助用户减少信息泄漏。当然,其中的大部分又是业余时间的兴趣之作,没有质保。

  UC浏览器访问HTTPS网页的泄漏问题

  这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。

UC浏览器

  事实

  UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能):通过代理服务器将网页重新排版、压缩,使得页面适应手机屏幕,并减少流量消耗。对于一般的明文连接,这没有问题。但是这项功能不兼容加密的HTTPS连接,唯一的方法是让代理服务器负责与目标网站进行HTTPS握手,这样代理服务器才能知道HTTPS连接中被加密的内容,从而将其重排版、压缩而转交给用户。

  这么做有巨大风险:

  1,HTTPS保证了只要服务方和证书提供方没有问题,则只有用户和服务方本身才能知晓双方通讯的内容,有很高的保密性。UC浏览器破坏了这套安全系统,导致信息在UC方的代理服务器与用户之间的传递变成明文,如同公厕。

  2,用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的),光是这一点就已是涉嫌犯罪的行为了。

  报道没有提到的事实:

  UC强调“因访问钓鱼WIFI”,却有意忽略了问题的本质:UC浏览器本身破坏了HTTPS连接的安全性,导致了原本即便经过钓鱼WIFI热点传输,也依然安全的连接,变成了明文的,谁都可以看到的无线数据。

  我们知道,公共WIFI热点一般都是不加密的,这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子,完全不需要辛苦地钓鱼,只要拿一台笔记本电脑,在有公共WIFI热点的地方坐上几个小时,就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。

  为什么UC会“本末倒置”?

  如果UC要确保用户的安全,就必须放弃对HTTPS网页进行云端加速,站在UC的角度,这也许是不可接受的。同样的,千方百计地通知用户:进行云端加速则会失去HTTPS页面的安全性,同样也可能是无法接受的。如同最近的熊胆事件一样,如果你把一生都放在熊胆提取上,你会允许别人“说三道四”吗?

  笔者认为,应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页,直到这些软件提供明确的说明。这样,在保护自己的同时,也不会触犯任何一方的利益。

  原则

  第一方记录你的浏览历史是无可非议的,当然你总是可以不提供任何信息(通常而言,这总是意味着你无法使用该服务)

  所有第三方内容都可以被阻止,只要不影响你的正常使用(第三方需要为自己负责)

  但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中,以便均衡负载压力,分类不同内容,或是因为确实需要由第三方向用户提供服务。这个时候,用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。

  有人觉得,因为国情,大家都不注重个人隐私,以上内容都是空谈。

  事实:所有你的信息最初一定都是由你提供的,除非碰到病毒(其实,病毒也是你‘不小心’,或这是‘默认地’请进来的)或者是刑侦需要,所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义,广告商往往需要为某一项具体行为付出一定的责任,用户在提交信息时更有信心;而在这里,你更需要依靠自己。

  无论在哪里,早起的鸟儿有果子吃。如果不愿意早起,还是等天上的掉下的馅饼更好。

  Google在一份声明中说“需要强调的是,这些广告Cookie不会收集个人信息,这一点很重要”。

  那么笔者也学着“强调”一下:只要是收集信息的内容,不管它和个人有多深的关联,用户总是可以阻止,这一点很重要。

  来源:fcerebel投稿。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3005.html
  • 文章排行:
  • 1.真的金龙
  • 我也吐槽一下uc,它的问题不止一个。我因为懒,有时候不想去不定时处理一些web的内容,就单做了一个隐藏的页面,访问一下这个页面,就自动处理相应的内容。但是使用uc使用了这个页面几次后,发现即使我没有访问,这个页面也会定时的被uc访问。
    lyl 于 2014-6-29 1:02:47 回复
    哈哈
  • 2012/2/22 9:31:12   支持(52)反对(26) 回复
  • 3.AAA
  • 为啥谈谷歌非得扯上国内厂商
    转移话题么?
    意思是 你看 谷歌这么做不算啥 国内厂商更疯狂窃取你的隐私?
    国内公司能做谷歌就能做?
    谷歌堕落如此么
    root 于 2012-2-25 5:30:32 回复
    Google比起很多公司强太多,不要以事论人。
  • 2012/2/21 22:43:00   支持(25)反对(20) 回复
  • 4.信息鸡尾酒
  • 好,我觉得该收藏你的博客了
  • 2012/2/22 11:27:38   支持(16)反对(11) 回复
  • 5.tiger7651
  • 说真的,真的没看懂这篇在说什么,
    如果不是收集我的密码,偷看我的邮箱,准备利用隐私加害于我,我想没必要钻这个牛角吧。网络本身是为生活服务的,每天被电视强迫看了那么多广告,走在街上被那么招牌强迫广告了,也没影响什么的吧。
    如果想当隐士,上网干嘛
    微软一向把自已的标准当成行业标准,成为标准垄断者,然后坐享其成,它发表这些东西,无非是打击对手而已,创新和产品上比不过,就搞些阴谋诡计,收安卓专利费这么搞笑的主意都想得出来,还有什么想不出来的
    站长村 于 2012-2-24 10:53:32 回复
    说的好、、
  • 2012/2/22 22:45:57   支持(26)反对(21) 回复
  • 6.把你的鼠标拿开
  • 能通俗的讲一下吗
  • 2012/2/22 0:12:01   支持(14)反对(12) 回复
  • 7.CaoK
  • 现在谁相信google不作恶谁就是sb了
    乱语啊 于 2012-2-22 9:58:35 回复
    小心,这里狗粉是很多的....在他们眼里,谷歌的一切都是对的
  • 2012/2/22 8:37:40   支持(21)反对(19) 回复
  • 8.砂丶仁
  • 干脆不看了~~谁感兴趣谁来看
  • 2012/2/21 23:02:54   支持(16)反对(16) 回复
  • 12.为旺仔带盐
  • 晕 就因为那些使用safari浏览器的隐私设定 我的提成少了不少 不能统计网站流量来源.Boss就不为转化买单.
  • 2013/5/27 18:44:20   支持(8)反对(9) 回复
  • 13.waiting的无限博客
  • 原来又是各大巨头内斗
  • 2012/2/21 23:40:36   支持(8)反对(10) 回复
  • 14.贾国清_Frank
  • Google,Apple,Microsoft的神仙战争
  • 2012/2/22 9:09:09   支持(12)反对(15) 回复
  • 15.大撒旦
  • 不知道Opera会不会泄露,Opera也有云端加速功能。没测试过。还是手机上的所有浏览器都会出现UC这种情况?
  • 2012/2/22 8:38:33   支持(13)反对(19) 回复
  • 16.blackanger
  • 不让google记录cookie, google吃什么? 你还想享受google的免费服务?
  • 2012/2/24 17:26:07   支持(11)反对(17) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.