eboer's Boat

Neboer's Blog isn't Only About Technique
dummy

拒绝追踪——保护浏览隐私
FLoC 71

Google FLoC带给了我们什么

Google新推出了一项FLoC的技术。这项技术的全名叫做“同类群组的联邦学习(Federated Learning of Cohorts)”,是一项将用户归类的技术。这项技术类似于现在的很多推荐算法所用的“用户分类”策略,通过把具有相似浏览记录的用户归结成“组”,然后给每个“组”分配ID,就可以给人群进行兴趣分类了。

谷歌推出这项技术,当然是为了它收入的大头——广告,使广告能够更加精准的投放,获得更高的关注度和点击率。在推出这项技术之前,网站往往采用“第三方cookies”的方法来对用户进行分类。在现代网站建设技术之中,cookie早就已经超越了“保存请求状态”的单纯目的,而是变得阴险狡猾——第三方cookie被大量的用在用户识别和归类上,广告商广泛的使用这项技术用来给用户画像。第三方cookie已经招来了很多人的反感,但是谷歌还要再继续“作”下去。

第三方cookie就是在用户访问一个网站A的时候,往往需要加载一些来自其他站点的网络资源。由“非A的网站”创建在用户浏览器上的cookie对于网站A来说就是“第三方cookie”。这个“非A的网站”在大多数情况下都是一些目的性不强的站点,比如验证码接口、社交网站分享按钮等等。关于这一点,知乎就是一个很有趣的笑话。

当然,这项技术也可以用在另外的一个用途中——广告追踪。

广告商把它的cookie存入你的浏览器中,这样每当你的浏览器带着这个cookie去请求它的广告的时候,广告商就可以知道你是在哪个页面中发起的广告请求,同时可以结合你这个id之前访问过的页面,对你进行画像,然后通过对大量相似用户感兴趣的页面、关键词等信息,对你实现精准的广告投放,提高广告的命中率、关注度和点击率。这样,广告服务商不需要知道你是谁,只需要知道你这个id访问过哪些网站,就可以对你进行上述操作,在法律允许的范围内对你的行为进行“盯梢”。

虽然不是违法,但是只是想想,自己浏览过的网站竟然被一个自己素未谋面的陌生人获知了,而且还根据我的浏览过程对我精准投放广告,这真的让人心里很不舒服。尤其是在看到页面右侧出现自己“感兴趣”的关键词(实际上就是你之前的搜索历史记录)的时候,我总是感到一阵恶寒,不知道你们有没有类似的想法。

advertise_recommend_example

Google FLoC

比起cookies,FLoC做的更加离谱——你在以后使用Chrome做的每一次网页浏览,只要网站没有显式的“拒绝”FLoC,你的这次浏览记录就会被谷歌拿去,成为你的个人画像的一部分,哦对,不是个人画像,谷歌不会收集你的个人信息,只是会把你进行分类学习,研究你所在的用户群体的行为模式,然后给你推广告。使用Google Ad服务的站点不需要依赖于任何第三方cookie,就可以直接让其网站中展示的广告符合你的“特征”。

是的,你的浏览器变成了一个巨大的“广告提供商”,每天专心致志记录你的浏览行为然后汇报给总部,是不是很有赛博朋克2077那味了?

谷歌还是承诺了一些所谓的“底线”,比如不收集医疗、色情、政府等敏感信息相关的浏览记录,但是要知道这东西可不是像第三方cookie一样可以被广告拦截插件给屏蔽掉,你将丧失选择的权力,甚至被追踪的网站本身也只能以在HTTP头部加入一个字段的形式来尝试阻止自己被追踪——多么可悲。

FLoC是一个实验性的特性,目前只在某些版本的Chrome里偷偷更新并且打开了这个选项。你可以去指定的网站检查自己的浏览器是否被FLoC了。不过实验地点不包括中国大陆,所以如果你能看懂这篇文章,那么你大概大概率没有被追踪。

不过谁知道呢?

谷歌是个大坏蛋

谷歌就是一个穿着好看衣服的大流氓,这一点懂的都懂。

表面上光鲜亮丽,一边遵守各国法规,一边承诺“永不作恶”,一边积极参与各种开源项目,一边投入资金进行科技前沿开发……

实际上的谷歌就是一家广告公司,内部性别歧视种族主义严重,各种侵犯用户隐私,被欧盟各种制裁依旧我行我素……

广告收入占谷歌这么大头,谷歌在“投放广告”这个问题上,把能研究到的问题都研究了一遍,你的各种行为数据都成为了谷歌用来训练自己的广告投放ai的数据集的一部分。真可谓是取之于你用之于你,你还没有丝毫办法拒绝。

你可能觉得在谷歌工作是一件很酷的事情——确实,确实是一件很酷的事情。谷歌拥有绝对一流的技术、人才和资本,工作环境和文化氛围可能也是一级棒,三点多你可能还可以饮茶先。但是即使你加入了谷歌,它的任何一个部分也都不会属于你,不会听命于你。它只会服务于资本,服务于金钱,什么可以带来金钱?广告可以带来金钱,那就继续广告,继续做恶心全世界46.6亿网民的事情。我这不是吃不着葡萄说葡萄酸,我真的为这一点感到非常悲哀,由衷的悲哀。你想让公司做不挣钱的事情?做梦去吧,万恶的资本主义(?)。

为隐私而战

用户不是傻子,标准的制定者也不会对日益嚣张的广告投放技术坐视不管。人们一直在为隐私而战

FBI OPEN THE DOOR !!!!

苹果在“隐私”这件事上,还是做的很不错的。大家都知道苹果公司拒绝向政府提供“恐怖分子iPhone解锁服务”,谷歌在此关键词的搜索结果的第一个就是 Should Apple have resisted FBI pressure to hack an iPhone?

该不该妥协?等等这个好像和广告追踪没有关系,不过好像也有点……

Safari

苹果一直以“保护隐私”为卖点,不得不说它做的挺成功的,最起码不给政府解锁iPhone这一个人设立的很好(笑)。在苹果官网上,苹果宣传自己的Safari浏览器使用“最先进的”隐私保护技术,保护用户免受跨站追踪,并且使得发送给第三方网站的信息最小化。不得不说这个还是很吸引人的,只是Safari还不够好用,最起码我认为没有Chrome体验好。而且谷歌不可能做出“保护用户浏览隐私”的承诺——要靠这个挣钱呢!比起Google,苹果的说法还是有道理的。

对比于Chrome和Firefox,Safari的Intelligent Tracking Prevention确实优秀。苹果白皮书中介绍,苹果的safari使用的技术保证数据尽可能地在本地完成处理,尽可能发送给服务器不敏感的信息,尽可能让服务器无法精确获取到你的浏览器指纹。

DO NOT TRACK

DNT没用,而且有多么没用你想想就知道了。

DNT全名“do not track”,是一个HTTP字段。用户通过在浏览器里打开这个选项,在浏览器发送的HTTP头部中就会多出一个DNT: 1。W3C指定了这些标准的目的就是为了让用户在被”深切关心“的今天,也能够保有”选择是否用隐私换取便利(而且很多时候没有便利)“的权利。

根据DuckDuckGo上的这篇文章的记载,大约23.1% (±3.7) 的人会主动修改浏览器设置中的“DNT”为“是”。但是这个行为被证实为大多数情况下没有意义,apple甚至还打算在未来的safari里移除DNT选项,理由是“在请求中明确的拒绝追踪可能会导致更精确的潜在的追踪行为”,仔细想想,真的很有道理。不知道网站会追踪自己的用户可能不聪明,但是你请求网站不要跟踪你的行为真的很靓仔。

你也知道,在HTTP头部里加入一个“别跟踪我”的字段的你在强大的广告商、网站开发者面前的声音有多么微弱。自信一点,DNT就是废物,就是没用。

所以,DNT标准已经被废弃了(难怪!)。

AdBlock

浏览器插件,Chrome的最后防线。

Web是开放的,HTML代码发给你你随便阅读,CSS样式发给你告诉你我怎么做的效果,JavaScript代码发给你告诉你我都干了啥……所以说到底,浏览器到底做了什么?浏览器做了什么,浏览器只是一个舞台而已。Web开发之所以迷人,就是因为它在你1920*1080的屏幕上(什么你是2k屏?穹人震惊)展示了无限多的可能性。你为了解决一个问题开发了一个web app,你会尽力使你这个”app“做到”最好用“,因为如果你做的不够好,就会有一堆插件冲出来帮你做好。

AdBlock就是一个例子。AdBlock的惊人的下载量和使用量都告诉了我们一个不争的事实:用户讨厌广告。

用户不但讨厌广告,而且讨厌追踪,讨厌第三方cookie,讨厌一切让自己浏览体验变得不纯粹的东西。你和我说网站开发者需要挣钱?对不起,你提供的是服务,你投放的广告不是我的目的,而且甚至会干扰我的正常”心流“,在这个意义上,你的广告只是一块黑色的、恶心人的小招贴而已,和人们所讨厌的、贴在你家大门上的”疏通下水道“的广告没有本质区别,哦对,疏通下水道的广告是无差别贴上去的,但是网站上的推荐广告则是投放广告那个人从你出门开始就一直跟着你,根据你的行动对你进行归类,精准判断你家下水道是不是堵了,然后决定给你门上贴上疏通下水道的广告还是锁王广告,还是统统贴上。

Chrome恨透了AdBlock,不,Google恨透了AdBlock。谷歌希望AdBlock死掉,死的越快越好,因为断人财路就如同杀人父母。谷歌曾经在19年一月尝试推出新的”浏览器插件安全规范“,其中备受争议的一点就是新的WebRequest API。Google尝试通过限制”同时可以生效的最大规则数量“来控制AdBlock之类的广告屏蔽软件控制页面呈现效果,虽然最后这件事不了了之——你还是可以体验到强大的AdBlock的屏蔽效果,但是现在的广告屏蔽的成本越来越高,很多广告从设计上就被做成了”难以被拦截“的效果,再加上AdBlock傻了吧唧的”允许非侵入式广告“之类的选项(去掉这个勾会影响到屏蔽列表订阅!),我只能说,大人,时代变了

何去何从

其实真的没什么,因为大家越来越关心这个问题了。

根据这个调查,84%的受访者表示自己关心自己的隐私,并且大多数人都会努力保护自己的隐私不被他人获取。

谷歌的FLoC并没有经过欧盟的隐私标准认证,同时谷歌估计也不太敢在欧盟国家做实验——罚款++,这一点说明谷歌自己还是心里懂的。在数字化生活日益发达的今天,隐私问题越来越敏感,因为获取到这些信息的成本变得低了。我们的国家会保护人们的隐私不被各种利益团体过度的侵犯和获知。因为隐私权也是人权的重要组成部分,也是宪法赋予公民的权利之一。

在目前,你使用各种技术绕过追踪,是可以“甩开”追踪者的。当然追踪者致力于笨拙的根据他们对你的一瞥进行大肆渲染,尽可能把你画的丰满——但是没有意义,因为他的画像不对,你也不关心他们画的对不对。这就好比我竭力猜测我女友不开心的原因,觉得她可能是饿了,然后给她买好吃的拼命想哄她开心——可是她根本不是饿了,而是之前我在她生日那天送给她的腕表被她摔坏了,她觉得很可惜但是不想告诉我。所以我的行为在她看来是什么?

李彦宏在中国高层发展论坛上表示(来源):

与此同时,我们越来越重视隐私问题以及数据的保护问题。在过去的几年中,中国越来越意识到这个问题,也一直在增强相关法律法规的建设。我想中国人可能会更加开放,或者说对隐私问题没有那么的敏感,如果说他们愿意用隐私交换便捷性,很多情况下也们是愿意的,那我们就可以用数据做一些事情。但我们要遵循一定的原则,也就是说如果数据会让使用者受益,同时他也愿意,我们才会去做,这是我们的基本原则,就是什么该做的,什么不该做。

放屁。

Neboer的承诺

以下内容绝对真实,具有效力:

  1. neboer.site不会收集、记录正常访问用户的任何信息,包括浏览历史、访问ip、refer等。(如果你触发了404、503等错误,那么Nginx会把这次请求的错误信息记录下来,但是对于正常访问的用户来说我不会主动记录你的任何信息)
  2. neboer.site不会设置任何第一方、第三方cookie,或者如果你发现你被设置了cookie,neboer.site也承诺不会读取、使用、保存这个cookie信息。
  3. neboer.site不会对你的浏览器进行追踪,不会获取你的任何可能能够辨认出你的浏览器特征(比如屏幕分辨率、浏览器设置)等的信息。
  4. neboer.site不会允许Chrome对本站进行追踪,禁止Google对于浏览本站的用户使用FLoC技术。neboer.site已经在response headers里明确加入Permissions-Policy: interest-cohort=()字段。
  5. neboer.site不会允许Google对用户的浏览行为进行监控。neboer.site可能会收集Google站点搜索数据进行分析,但是Neboer绝对不会把站点数据提供给任何个人、组织、团体、地方。
  6. Neboer care about your Web privacy.