技术编辑:徐九丨发自 北京
SegmentFault 思否报道丨公众号:SegmentFault
图片上的这个梗大家应该都不陌生,作为老大哥的 IE 浏览器很早就成为了大家的调侃对象。
在 IE 逐渐退场的今天,浏览器产品竞争日趋激烈。最开始浏览器竞争的是速度,后来是整体性能,现在则是为了争论谁的用户隐私保护能力更强,基于此,业内甚至还出了一个隐私等级排行榜...
浏览器隐私等级排行榜
近日,爱尔兰都柏林圣三一大学计算机科学和统计学院教授道格拉斯·莱思(Douglas Leith)发布了一篇针对网络浏览器隐私安全的行业报告《Web Browser Privacy:What Do Browsers Say When They Phone Home?(网络浏览器的隐私:浏览器在给家里打电话的时候会说什么?)》
报告中对六个比较主流的浏览器进行了测评,测评对象包含谷歌的 Chrome 浏览器、Mozilla 的 Firefox 浏览器、苹果的 Safari 浏览器、Brave 浏览器、微软的 Edge 浏览器和 Yandex 浏览器。
根据测评结果显示,隐私等级最高的浏览器是 Brave;第二梯队的有 Chrome、Firefox、Safari;Edge 和 Yandex 则排在榜单末尾。
“我们询问了用户是否经历了完整的授权过程,是否有通畅的匿名浏览渠道,同时调查了各浏览器数据收集的具体步骤。”莱斯教授称团队严格按照 GDPR(欧盟通用数据保护条例)进行调研,所以这一排名结果具有可参考性。
之所以将 Edge 和 Yandex 排在最后,是因为研究报告指出,Edge 和 Yandex 会向后端服务器发送设备硬件的标识符,且用户难以更改或删除。
熟悉计算机原理的朋友都知道,设备硬件标识符具有唯一性和不可更改性,即使重新安装,凭借设备标识符,浏览器仍可重新识别用户身份,还可将同一设备上运行的不同应用联系起来。
比如对用户进行大数据画像时,对于同一公司生产的多个应用程序,如果用户数据与设备标识符建立联系,不同应用间的数据将被打通,画像会愈加丰富和精准。
因此,将设备标识符传输到后端服务器对隐私保护来说是极为不利的。
排在第二梯队的 Chrome、Firefox 和 Safari 三款浏览器虽然不会获取设备标识符,但它们自身会设置唯一标识符,这些标识符在浏览器关闭重启时不会改变,但在重新安装时发生变化。
而本次榜单中隐私保护做得最好的 Brave,所使用的标识符则会在每次重启浏览器时发生改变。
该份报告在发布之后迅速在社交网站上引起讨论。有用户指出,Brave 浏览器有着强大的广告拦截功能,而 Chrome、Firefox 等浏览器也将相继屏蔽第三方 cookie 以保护用户隐私。但也有一部分用户认为和其他浏览器相比,Edge 使用体验更好,并且从用户个人角度难以发现其隐私漏洞。
对于 Edge 此次陷入的“隐私风波”,微软官方也给出了简单的回应:“Edge 浏览器向后台发送数据,目的是为了进行产品的改进和优化,以便让我们进行下一次升级,征用的数据的确包括设备标识符,但这不是为了检测用户的浏览记录。”
该内部人士表示,在 Windows 系统上,用户可以在任何时候删除与设备 ID 相关的任何数据。不过有用户指出,在 MacOS,Android 等系统上操作,想要删除数据就显得有些困难。
小众浏览器的崛起
对于隐私安全这件事,除了浏览器巨头们在做着努力地尝试,很多小众浏览器也在默默发力,甚至凭借着自身的安全性能,从巨头们的身上分到了一杯羹。
Vivaldi 是基于Chromium 的一款浏览器,最早的公开版本发布于 2016 年(在这之前相当长的一段时间内处于测试版中),其根基可以追溯到 Opera 浏览器。Vivaldi 最大的优势就是对于浏览器的设置和选项非常多,这也让其拥有了一批「死忠粉」。
在今年三月份美国分析公司 Net Applications 的报告中,Vivaldi 的市场份额为 0.1%,不到 opera的十分之一,差不多是 Safari 的三十六分之一。
之所以介绍 Vivaldi,是因为它是一个比较典型的寻求逆袭的小众浏览器。上周它发布了 3.0 版本,增加了反追踪和反广告工具。
该工具可以在「首选项」-「隐私」窗格中选择三种不同的屏蔽策略:
- 不屏蔽
- 只屏蔽跟踪器
- 屏蔽广告和跟踪器
此外,Vivaldi 还寻求 DuckDuckGo 的帮助,来为其反追踪防御打下基础。DuckDuckGo 是一款互联网搜索引擎,特点就是注重用户隐私。它与其他搜索引擎不同的地方在于其不会分析自己的用户、对所有使用同一组关键词的用户显示同样的结果。它也强调返回最佳结果,而不是最多网站链接之结果。
但对于 Vivaldi 这类小众浏览器来说,这种尝试确实是他们在巨头环伺的市场环境中寻求生存的最佳方式了。而大企业加持下的浏览器,则因为背负了更多的商业需求,不得不承担相应的后果。
相信小众浏览器凭借安全隐私问题愈发严重的情况慢慢崛起之后,巨头们一定会想出相应的隐私解决方案,只不过现在优先级没那么高罢了。
浏览器泄露隐私,Cookie 是罪魁祸首?
前面我们提到了,Chrome、Firefox 等浏览器相继提出要屏蔽第三方 cookie 以保护用户隐私。其实呢,苹果、微软和 Mozilla 在很早之前就已经采取行动禁用第三方 Cookie,此次市场份额最大的 Chrome 也提出了相同的举措,Cookie 真的那么“罪大恶极”么?
首先,我们先要知道 Cookie 的背景用途。
Cookie 指的是一个网站存储在访问者的计算机上的文件。网站会在 Cookie 中保存关于访问者活动的信息,供以后使用。例如,零售网站可能会存储我们浏览过的产品信息,以及我们的虚拟“购物车”中的内容。在随后的访问中,网站会从 Cookie 中获取这些信息。Cookie 可以帮助公司提供个性化的客户服务,并且把广告定位到每个感兴趣的访问者。他们还可以跟踪我们在许多网站上的活动,并把这些活动合并到一起。
最初,Cookie 是有争议的,因为在用户不知晓的情况下,网站在用户计算机上保存文件这个事实本身给人们带来了震惊和不安。如今,更多的人都知道了 Cookie 的存在,并且会使用工具来防止或者删除它们。作为对策,有些公司开发了更为复杂的「超级Cookie」来跟踪在线活动,它们会重新创建删除掉的 Cookie,并且使新的 Cookie 更加难以找到和删除。
Cookie 的一个典型应用场景是当用户登录一个网站时,网站往往会请求用户输入用户名和密码,并且用户可以勾选“下次自动登录”。如果勾选了,那么下次访问同一网站时,用户会发现没输入用户名和密码就已经登录了。这正是因为前一次登录时,服务器发送了包含登录凭据(用户名加密码的某种加密形式)的 Cookie 到用户的硬盘上。第二次登录时,如果该 Cookie 尚未到期,浏览器会发送该 Cookie,服务器验证凭据,于是不必输入用户名和密码就让用户登录了。
虽然 Cookie 没有中电脑病毒那么危险,但它确实包含了很多的敏感消息,比如:用户名、密码、电脑名、使用的浏览器和曾经访问的网站。这些信息一旦被滥用,会对 Web 安全和用户隐私造成极大的伤害。
正因为 Cookie 存在很多风险因素,现在已经出现了很多 Cookie 的替代技术和方法,比如 已经停止开发的 Brownie 方案、P3P 协议和很多本地网络存储技术,但 Cookie 仍因其强悍的兼容性成为最通用的客户端数据存储手段。
此外,随着大数据技术的发展,收集和记录了大量信息的 Cookie 已经成为了很多企业的「数据资产」,通过 Cookie 对数据进行收集,从而进行用户行为分析、个性化推荐和精准营销等商业行为,从而提高用户粘性和转化效果。
虽然这些操作的目的是为用户带来便利,但如果 Cookie 中包含的信息被企业滥用,可能也是个得不偿失的事情。
为了防止滥用 Cookie 搜集用户隐私,很多组织、机构都相继出台过一些政策,比如 2018 年推出的《GDPR》隐私保护法案,就是要求公司在收集哪些信息以及为什么收集这些信息等问题上保持透明,并让用户享有数据的使用权和控制权。
但在如今这样的互联网时代,为了获取网络的使用便利、提升获得的服务质量,不可避免的要对隐私做出相应的让步。但隐私和便利的边界在哪里?在这道分配题中,你给出的答案又会是什么?
扫描下方二维码关注 SegmentFault 官方公众号,回复关键词「浏览器」,即可获取《Web Browser Privacy:What Do Browsers Say When They Phone Home?》完整报告