虎嗅注:上周早些时候,外媒Reuters报道称部分美国用户发起集体诉讼,将谷歌告上法庭。原因是有用户发现,Chrome在“无痕模式”下,他们的网络浏览行为仍然是被追踪的,而且估计有百万用户的个人隐私存在暴露的风险。根据提交给法院的诉讼文件,谷歌最终可能要面临总额50亿美金的索赔(按照每个受害用户赔偿5000美金的标准)。
那么这个“无痕浏览”模式到底是个什么原理?它到底能不能保护用户的隐私?
文章来自:少数派,作者:广陵止息,题图来自:视觉中国
我曾经看到一条新闻是这样说的:调查发现网民以为隐私模式能完全避免被跟踪。
看到这个标题,再结合之前剑桥分析数据泄露的新闻,让我不由地感觉到很多人对隐私保护认识的不足,以及过于信任浏览器的隐私模式。
浏览器的隐私模式真的能完全保护我们的隐私吗?在这篇文章中,我将解释用户的浏览行为、互联网公司的追踪方式、隐私模式的意义,来帮助大家更好地理解浏览器隐私模式的用途,以及到底哪些浏览记录会被互联网公司追踪到。
浏览 & 跟踪
用户浏览网站的过程
当一位用户浏览网页时,一般会进行以下操作:
打开浏览器,输入网址。这时候浏览器就会默默将此过程保留在历史记录中;
连接请求通过用户家中的网线,层层递进,到达互联网供应商的主干网络,再接着连接到用户请求的网站地址。这个时候就网站就能拿到用户的 IP 地址了;
网站返回数据给用户,网页大部分的内容作为临时文件被暂存在用户电脑中;
用户如果进行注册/登录,则会将用户信息保存/更新在服务器端。将 Cookie 保留在本地作为验证用户一种方式,避免用户多次反复的登录。当然进行注册时填写的手机号、邮箱、家庭住址也会被浏览器记录,方便用户下次调用。
可以看到整个过程一般而言有 3 种数据是保存在用户的电脑上的,那就是浏览记录、临时文件与 Cookie 和表单填写的内容。而有 1 种或 2 种的数据被保留在了网站那边,就是 IP 地址和用户填写的注册信息。
当然现在绝大多数的网站都很喜欢让用户使用手机注册,原因自然是手机号实名,这样能够更方便连续的描绘出用户画像。
互联网企业是怎么对用户进行追踪的?
最简单的,也是最通用的方法,就是通过 Cookie。
前面我也解释了 Cookie 的一个作用——记忆用户的身份,避免用户反复的登录,说明了 Cookie 有个很明显的特点就是“记忆性”。一般而言网站没有资源,也不可能用这个资源去追踪用户的这个 IP 地址到底浏览了我们这个网站的哪些网页,自然就需要在用户电脑中写下一小段加密后的纯文本文件作为标记,来帮助网站来更好的对用户进行优化。比如亚马逊、京东、淘宝首页的推荐,很大程度上都是通过收集到的 Cookie 再加工处理而成的。
如果广告商想要收集,比如你最常浏览哪些网页、什么时候来浏览 XX 的网页、停留多久等等,无形中用户画像就被填上了一部分,甚至还可以推断出你的收入等等。最后进行适当的广告推送,Google、Facebook、百度都是那么干的。
此外 Cookie 还有个重要的特点——“专属性”,也就是某个网站发出 Cookie 那个网站能读,这是浏览器控制的,它只能放置自己的Cookie,在需要时读取,没有其他任何网站能够读取。
但是需要注意的是,并不是一个网站只能拥有自己网站的 Cookie,网站还能使用第三方的 Cookie 来验证用户身份,比如司空见惯的通过 QQ 登录、通过微博登录,使用的时候都会加载第三方的 Cookie,这时候你的数据就会被第三方进行追踪了。
贩卖用户数据的 Cookie 也可以通过插入第三方 Cookie 实现的,广告跟踪商在受用户欢迎、被广泛访问的网页上放置一个一像素大小的透明图片,这样用户看不到这张图片,但是他还是被加载了,这样广告跟踪商就可以通过这张图片进行 Cookie 插入,不断地追踪用户的浏览记录。
浏览器隐私模式能做的 & 不能做的
隐私模式只是保护你在本机的活动。
浏览器的隐私模式作为一种附加运行在本地浏览器上的一种模式,它到底阻止了哪些东西呢?从 Google Chrome 的无痕模式中可以清楚地看到 Chrome 不会保存:
你的浏览记录;
Cookie 和网站数据;
表单中填写的信息。
这 3 样都是用户浏览网页过程中存储在本地的数据。而这样做的好处就是避免了同样使用这台电脑的人看到你的浏览记录,甚至绕过账户以及密码登录你的账户,查看窃取你的个人信息以及财产。或是通过填写的表单信息进一步的了解到你的家庭住址等等。
遇此同时无痕模式的窗口也非常明显的告诉了你,还是有人能够看到你的网络活动:
你访问的网站:用户在访问网站的时候,用户的 IP 地址直接暴露给了网站,所以网站还是能够知道你这个人访问了该网站。甚至当用户登录了该网站的账户以后,你所浏览的与该网站相关一切都将被记录下来。
你的雇主或你所在的学校:现在非常多的公司和学校建立了专有的网络环境,对外只显示 1 个 IP,数据返回的时候再发送到相应的内网 IP 上。雇主和学校有心想看的话还是能够知道内网的某个人浏览了什么。对于 HTTP 网站链接,雇主和学校能够完整的了解用户浏览了哪些网站,用户看了哪些内容,停留了多久,针对哪些网站进行了点击跳转等等;
对于 HTTPS 网站链接,由于证书的存在和相应的验证机制,一般而言 HTTPS 解密(中间人攻击)很难发动,所以只能够了解到用户浏览了哪些网站而已。同时不恰当的网络环境也会将自己的浏览记录暴露在他人的视野中,比如免费公用的 Wi-Fi。
你的互联网提供商:同样对于网站相应的请求最少都要发送到运营商那边,通过运营商进行转发,发送到网站那边,所以互联网提供商有心了解也是能够了解到的。
部分浏览器插件:对于很多甚至绝大多数的浏览器插件都能即时读取用户浏览了哪些网页,如果插件想要收集用户数据的话,隐私模式下开启插件,也同样存在泄露用户数据的风险。尤其是国内浏览器提供商提供的类 Chromium 浏览器,隐私模式下,浏览器插件没有一个是关闭的,用户数据岌岌可危。
隐私模式也并不是一无是处
上文已经提到了一个比较重要的用途,就是能够在多人共用电脑的时候保护自己的浏览记录不被其他公用的人看到,以及保护自己的账户不被恶意登录。此外隐私模式还能保护我们不被恶意广告所困扰。
我相信不少人会被这样的广告所困扰,在淘宝或者京东看完某件商品以后,在其他有广告的地方统统都显示着这样的商品,不断的提示你该买了,折扣了……诸如此类的提示语。这些广告就是互联网公司通过 Cookie 追踪到你的最近浏览的东西进行投放的,让人难以忍受,明明我就想浏览一下某个商品,感受到了恶意窥视的感觉。
而通过隐私模式即可抑制这类广告的存在,因为 Cookie 和临时文件都将在关闭整个浏览界面的时候被删除。
总结
很多互联网公司,收集你的个人数据只是为了更好地为你提供服务。但同时也有以出售数据为生的数据公司,他们通过加载第三方,甚至第一方的 Cookie 来追踪用户数据,然后上传,最后贩卖,获取暴利。
对于一般用户来说,无法完全隐藏在互联网背后,IP 地址、不恰当的网络环境、隐私模式下登录的网站账户、甚至居心不良的浏览器插件都在默默地监视着用户的隐私。这需要的不只是用户自身的小心谨慎,同时也需要协议乃至政策(例如《欧盟一般数据保护条例》GDPR)对互联网公司的约束。
文章来自:少数派,作者:广陵止息