谷歌到底怎么绕过浏览器的隐私设定
- - 月光博客 剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争. 为什么叫神仙战争,因为你根本看不懂这五篇报道. 1,《 谷歌被曝绕过Safari隐私设定追踪用户浏览记录》. 2,《 谷歌因Safari隐私问题遭用户起诉侵权》. 3,《 微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”》.
谷歌到底怎么绕过浏览器的隐私设定
标签:
谷歌
浏览器
隐私
| 发表时间:2012-02-21 22:14 | 作者:投稿 (guest)
出处:http://www.williamlong.info/
剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争。为什么叫神仙战争,因为你根本看不懂这五篇报道。
2,《 谷歌因Safari隐私问题遭用户起诉侵权》
3,《 微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”》
4,《 微软宣称谷歌秘密记录IE用户》
在前几篇文章中,笔者介绍了网络信息收集,广告流通手段,以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以,专业人士可以无视它。
我们就来看看这些和外交辞令没什么区别的新闻,到底在说什么。
报道-1:
图1,Google Plus同时使用Google Analytics与Doubleclick收集用户信息
在最早一起报道中,有人指责当使用Apple Safari访问Google Plus服务时,谷歌绕过了Safari的Cookie策略,进行了追踪用户的行为。
事实:
Google是最大的互联网广告商,它通过Google Analytics,Doubleclick,Google Adsense,Google Admob等一系列业务进行广泛的用户兴趣爱好收集,和相应的广告投放业务。
使用浏览器访问Google Plus时,会从一系列域名请求不同的内容,以组成Google Plus的网页,其中,有两个域名对达成Google Plus本身的页面,功能而言是完全不必要的:它们分别是doubleclick.com和google-analytics.com。
google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联,但不等同),并收集该网站(这里就是Google Plus)的用户行为;doubleclick.com的作用也类似,但侧重于让谷歌的广告系统在别的网站上也能认出该用户,以投放精准广告。这些编号存储在cookie中。然而,Safari默认不允许第三方网站设置cookie,也就是说,在本例中,只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的,谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下------这就是所谓的“绕过Safari隐私设置”。
图2,Apple Safari默认不允许来自第三方域名的内容设置cookie
报道没有提到(隐瞒)的事实:
1,所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于,有的浏览器是借助IE核心运行的,它们往往和IE使用同一个Cookie配置设定)。
2,谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的
报道-2:
没过几天,微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范”
事实:
在IE6刚推出的时候,浏览器往往支持一个由W3C设立的,基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”,它要求第三方网站在需要跟踪用户时,向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别,当双方不一致时,浏览器就会提醒用户是否愿意接受网站的条款,若用户不愿意,则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而,事实上浏览器最多只能在Cookie的程度支持P3P。
P3P的本意是想达到一种“明码标价”的作用,一方面通过网页代码让浏览器识别,另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情,目前只有IE系列(6,7,8,9)浏览器强制开启了P3P,并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性,当网站给出的精简隐私政策不符合规范时,IE依然会允许该网站读写Cookie。
因此,和Apple的不同,当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时,谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。
另一方面,事实上P3P是普遍不被接受的,但是为了与IE保持兼容,广告公司可能会给出P3P条款,但其它网站通常会“伪造”一份P3P协议,类似于Flash使用跨域名内容时必需的crossdomain.xml,这些“伪造”的协议只包括了浏览器能阅读的部分,并没有可供人阅读的正式文本。
不被(第三方)浏览的浏览器
微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’,拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动”
笔者在之前的文章中提到过IE追踪保护功能的亮点:自动识别用于收集信息的第三方内容,并加以阻止。
更好的选择
和P3P一样,现在W3C又推出了一个”Do Not Track”的标准,允许用户在不希望网站记录用户行踪时,向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说,如果你真的想控制信息的流出,你就应该在你的主场,也就是你的浏览器上下手,而不是像慈禧太后那样“量中华之物力,结与国之欢心”,把责任推给对方。
真正有用的,是跟踪保护,以及各种形形色色浏览器扩展所提供的功能。特别是后者,它们不站在大公司的角度,是真正的接受用户“用脚投票”的工具,自然会卖力地帮助用户减少信息泄漏。当然,其中的大部分又是业余时间的兴趣之作,没有质保。
这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。
事实
UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能):通过代理服务器将网页重新排版、压缩,使得页面适应手机屏幕,并减少流量消耗。对于一般的明文连接,这没有问题。但是这项功能不兼容加密的HTTPS连接,唯一的方法是让代理服务器负责与目标网站进行HTTPS握手,这样代理服务器才能知道HTTPS连接中被加密的内容,从而将其重排版、压缩而转交给用户。
这么做有巨大风险:
1,HTTPS保证了只要服务方和证书提供方没有问题,则只有用户和服务方本身才能知晓双方通讯的内容,有很高的保密性。UC浏览器破坏了这套安全系统,导致信息在UC方的代理服务器与用户之间的传递变成明文,如同公厕。
2,用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的),光是这一点就已是涉嫌犯罪的行为了。
报道没有提到的事实:
UC强调“ 因访问钓鱼WIFI”,却有意忽略了问题的本质:UC浏览器本身破坏了HTTPS连接的安全性,导致了原本即便经过钓鱼WIFI热点传输,也依然安全的连接,变成了明文的,谁都可以看到的无线数据。
我们知道,公共WIFI热点一般都是不加密的,这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子,完全不需要辛苦地钓鱼,只要拿一台笔记本电脑,在有公共WIFI热点的地方坐上几个小时,就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。
为什么UC会“ 本末倒置”?
如果UC要确保用户的安全,就必须放弃对HTTPS网页进行云端加速,站在UC的角度,这也许是不可接受的。同样的,千方百计地通知用户:进行云端加速则会失去HTTPS页面的安全性,同样也可能是无法接受的。如同最近的熊胆事件一样,如果你把一生都放在熊胆提取上,你会允许别人“说三道四”吗?
笔者认为,应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页,直到这些软件提供明确的说明。这样,在保护自己的同时,也不会触犯任何一方的利益。
原则
第一方记录你的浏览历史是无可非议的,当然你总是可以不提供任何信息(通常而言,这总是意味着你无法使用该服务)
所有第三方内容都可以被阻止,只要不影响你的正常使用(第三方需要为自己负责)
但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中,以便均衡负载压力,分类不同内容,或是因为确实需要由第三方向用户提供服务。这个时候,用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。
有人觉得,因为国情,大家都不注重个人隐私,以上内容都是空谈。
事实:所有你的信息最初一定都是由你提供的,除非碰到病毒(其实,病毒也是你‘不小心’,或这是‘默认地’请进来的)或者是刑侦需要,所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义,广告商往往需要为某一项具体行为付出一定的责任,用户在提交信息时更有信心;而在这里,你更需要依靠自己。
无论在哪里,早起的鸟儿有果子吃。如果不愿意早起,还是等天上的掉下的馅饼更好。
Google在一份声明中说“需要强调的是,这些广告Cookie不会收集个人信息,这一点很重要”。
那么笔者也学着“强调”一下:只要是收集信息的内容,不管它和个人有多深的关联,用户总是可以阻止,这一点很重要。
来源:fcerebel投稿。
相关文章:
微博: 新浪微博 - 腾讯微博
QQ群:186784064
月光博客投稿信箱:williamlong.info(at)gmail.com
Created by William Long www.williamlong.info
相关 [谷歌 浏览器 隐私] 推荐:
谷歌浏览器使用全攻略
- - 慕容鱼吐的新闻泡简单介绍一下 chrome 浏览器,chrome首个版本在2008年9月8日问世 版本号为0.2.149 2008年12月11日公布首个稳定版 版本号为1.0.154 多的不说了 这种介绍在网上一搜一大票. 本帖子本着通俗 由浅入深 让新手会用chrome 让老手找资源更加方便的理念编写 希望大家能够喜欢.
如何防范浏览器泄露上网隐私
- - IE浏览器中文网站随着竞争的日益加剧,各大浏览器都拥有了自己独特的隐私策略与安全机制,不论是火狐、谷歌、IE、SAFARI还是其它的浏览器,都不断的提升着自己的安全标准与隐私策略来服务于用户. 即便如此,但是隐私被泄露的风险还是存在,作为用户我们也有必要了解一下关心浏览器与隐私方面的知识,以便更好的保护您自己的上网隐私.
详解浏览器cookie和浏览隐私之间的关系
- - IE浏览器中文网站本文所说的"cookie",指的是浏览器相关的 cookie(也叫"HTTP cookie"). 浏览器 cookie 的主要功能是:帮助网站保存一些小片段的信息. 比如,你曾经在自己的浏览器上登录过某个论坛,下次你再打开论坛的登录页面,你会发现用户名已经帮你填好 了,你只需要输入口令即可. 那么,这个登录页面是如何知道你上次登录用的账户名捏.
亚马逊Kindle Fire的Silk浏览器存在暴露隐私风险
- Bourne - 36氪亚马逊昨天宣布了最新的Kindle产品Fire,一款基于Android操作系统的平板电脑,并且亚马逊对其界面进行了定制. 人们的焦点似乎放在了丰富的媒体消费体验上. 但真正的新闻在于另一部Android平板电脑,而是上面的浏览器Silk. 亚马逊的Silk浏览器在上网速度和电池待机时间方面进行了提升.
互联网时代如何保护隐私(浏览器扩展篇)
- - 望月的博客Google在3月1日起就要开始 实行新的隐私政策了,而之前众多的知名网站用户密码泄露问题也让我们心惊胆战, 那么,在隐私政策越来越倾向于广告商,个人资料越来越可能被泄露被出卖的时候,我们能怎么做呢. 一些优秀的工具、插件和扩展以及良好的使用习惯能有效的减少隐私被泄露的机会,本文将介绍几个保护互联网隐私的浏览器扩展,没有特殊说明的情况下,都是使用于Firefox、Chrome、Opera等浏览器的.
中科院报告称360浏览器Gmail等存泄露隐私风险
- - TechWeb 今日焦点 RSS阅读 昨日,南都记者独家获悉,中国科学院信息工程研究所主办了一场主题为“隐私保护”的闭门学术研讨会,同时发布了一份由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》(下称报告). 内容显示,目前网民日常使用的许多网络服务都存在泄露隐私的风险;国内外许多知名互联网公司榜上有名,包括360浏览器、微软的Hotmail、谷歌的Gmail等.
浏览器设置阻止第三方Cookie保护自己隐私
- - 月光博客 当我们在某些大型网站上搜索一些东西时,在另外的一些网站出现了你搜索的东西的相关广告,这种现象的出现说明我们的隐私已经被跟踪. 这种侵犯我们用户隐私现象的出现,要归功于第三方cookie所带来的副作用(隐私泄露风险). 为了防止用户隐私被跟踪,保护用户网络隐私,一些主流浏览器版本都已经设置了Do not Track不要跟踪这一选项.
什么是浏览器指纹?它是如何泄露我们的隐私?
- - IE浏览器中文网站之前跟大家分享了 防范浏览器泄露上网隐私的基本技巧,对于“隐私要求不高并且技术水平也不高”的同学,看完这篇文章基本上够了. 下面继续谈谈浏览器方面的问题, 面向的是那些“对隐私要求较高,同时也具有一定折腾能力”的同学. 今天这篇文章将详解浏览器的“指纹”是如何暴露你的隐私,顺便分享一些防范技巧. 说到“指纹”可能大家都知道是手指头的纹理,而且每个人的指纹都是唯一的.
用谷歌浏览器来当手机模拟器
- satan - 乱弹琵琶playit很多网站都通过User-Agent来判断浏览器类型,如果是3G手机,显示手机页面内容,如果是普通浏览器,显示普通网页内容. 谷歌Chrome浏览器,可以很方便地用来当3G手机模拟器. 在Windows的【开始】–>【运行】中输入以下命令,启动谷歌浏览器,即可模拟相应手机的浏览器去访问3G手机网页:.