z*n
发帖数: 2893 | 1 最近果果/GG/MM又掐起来了, 发一贴来讨论讨论技术细节.
这次问题的关键是cookie. 网页提供者可以要求浏览器存储一定的信息, 这信息在下一
次在这个浏览器上再打开同样网页的时侯会自动发给网页提供者. 这信息也叫cookie.
很多重要的功能是依靠cookie实现的, 比如网页会记住你的用户名什么的. cookie本身
不是什么问题, 理论上讲网页提供者自然知道你打开他自己的哪个网页, 也没有什么更
多的privacy好泄露.
可是万恶的广告商搞出了新花样, 这就是3rd party cookie. 3rd party cookie指得是
非网页提供者在这个网页上放的cookie.比如你打开mitbbs.com, 里面的广告八成是3rd
party提供的, 他们同样可以用cookie要求浏览器存储特定信息. 这样一来你在打开
mitbbs.com的时候很可能接收了两个(或者更多)的cookie,一个是从mitbbs.com来的,
另外一个是不着四六的广告商的. 下一次你再访问mitbbs, 这两个cookie会被分别发给
mitbbs和广告商.
3rd party cookie是臭名昭著的跟踪用户的方法. 它的原理是广告商在众多网站都放上
同样的广告链接, 这样每次你打开这些网站, 同一个在你浏览器里的cookie就会被发送
给广告商, 这样广告商就能知道你访问了哪些有他们广告的网页. 如果这个广告商足够
大, 理论上讲你可能每一个访问的网页都会有他们的广告, 他们也就会知道所有你的浏
览隐私.
比如你今天上完了mitbbs, 然后顶个马甲去文学城骂人, 正好这两个网站都显示同一家
的广告, 这广告商就能通过3rd party cookie知道这两次访问是从同一个浏览器产生的
, 即便你更换或者加密网络. 如果他们再有更多的用户信息, 比如正好你用他们的
email或者有个实名account, 理论上讲这广告商就能知道这文学城的马甲是谁的.
因为3rd party cookie太臭名昭著, 浏览器都有选项过滤掉3rd party cookie,这就是
本次三巨头对掐的东西. 因为3rd party cookie还有别的用处,浏览器不能全给滤了,
现在采用的方法是网页需要有一个P3P的tag声明这个3rd party cookie是干什么
的, 如果这cookie是用来跟踪用户但用户选择了不被跟踪, 这cookie就会被过滤掉.
这是掩耳盗铃的做法, 如果真是个无良广告商他为什么会声明自己在跟踪你? P3P
是一个基于自律的协议,很多小网站都不遵守.
GG的做法是放一个不说自己跟踪也不说自己不跟踪的P3P, 链接到GG的privacy协议书
. 这个P3P因为谁都不支持, 在缺省情况下Safari/IE都让它过去了.
GG的解释是:
1, 无数人在用同样的方法跟踪用户
2, P3P协议本身就起不到防止跟踪作用,已经过时
MM/果果的观点是:
你GG故意用技术方法跟踪用户.
问题的关键还是GG从这些3rd party cookie上得到了什么信息.我猜确实GG在用这种方
法自己跟踪用户, 或者至少是对3rd party的跟踪行为睁一只眼闭一只眼. | m***l
发帖数: 1846 | 2 “如果他们再有更多的用户信息, 比如正好你用他们的email或者有个实名account, 理
论上讲这广告商就能知道这文学城的马甲是谁的.”
这句话不对,广告商通过3rd party cookie拿不到买买提/文学城本身的用户identity
。当然要是买提/学城故意透露的,或者有其他安全漏洞,那就另当别论了。
.
3rd
【在 z*n 的大作中提到】
: 最近果果/GG/MM又掐起来了, 发一贴来讨论讨论技术细节.
: 这次问题的关键是cookie. 网页提供者可以要求浏览器存储一定的信息, 这信息在下一
: 次在这个浏览器上再打开同样网页的时侯会自动发给网页提供者. 这信息也叫cookie.
: 很多重要的功能是依靠cookie实现的, 比如网页会记住你的用户名什么的. cookie本身
: 不是什么问题, 理论上讲网页提供者自然知道你打开他自己的哪个网页, 也没有什么更
: 多的privacy好泄露.
: 可是万恶的广告商搞出了新花样, 这就是3rd party cookie. 3rd party cookie指得是
: 非网页提供者在这个网页上放的cookie.比如你打开mitbbs.com, 里面的广告八成是3rd
: party提供的, 他们同样可以用cookie要求浏览器存储特定信息. 这样一来你在打开
: mitbbs.com的时候很可能接收了两个(或者更多)的cookie,一个是从mitbbs.com来的,
| z*n
发帖数: 2893 | 3 你说的不对.
当然从cookie里面不会有你文学城的马甲名字, 但通过cookie能知道你访问文学城的时
间.
稍微分析一下就会知道哪个cookie对应哪个文学城的id.
GG绝对有能力知道文学城马甲后面是你, 如果你用GG的服务. 通过gmail他能知道用同
时用gmail cookie和那个3rd party cookie的人是你, 同时这个3rd party cookie很多
次登陆文学城的时间和那个马甲吻合, 这几乎就能肯定你就是用这个马甲的.
GG也许不是evil, 但绝对是有做evil的能力的.
identity
【在 m***l 的大作中提到】
: “如果他们再有更多的用户信息, 比如正好你用他们的email或者有个实名account, 理
: 论上讲这广告商就能知道这文学城的马甲是谁的.”
: 这句话不对,广告商通过3rd party cookie拿不到买买提/文学城本身的用户identity
: 。当然要是买提/学城故意透露的,或者有其他安全漏洞,那就另当别论了。
:
: .
: 3rd
|
|
