菜鸟贴:Cookies如何记录你的隐私信息?

因为Facebook“泄露隐私”事件,CEO扎克伯格到美国国会接收质询,多个议员非常惊讶于“即使没有注册Faceook,自己的信息也可能被Facebook收集”。小扎只是含糊的回应说,为了安全和广告投放的需要。

那么Faceobook如何实现“没注册也记录你的信息”呢?先听故事。

假设现在的超市都实现智能化了。你去逛“我儿玛”超市,门口装了人脸识别的设备,先扫脸,同时身上被贴了一张标签,详细记录你的年龄、性别、三围,以及逛了哪些摊位,买了些啥。下次你再来的时候,“我儿玛”根据你的标签信息,快速识别出你是谁,并且将你喜好的商品直接推送到你面前,不需要到处瞎逛。但是如果你换了件衣服,标签丢了,“我儿玛”可能识别不了你,你可以重新扫一次脸,这样又把标签贴回去。

这里的扫脸,可以就像互联网上的注册和登录;标签则类似Cookies。扫脸因为效率低,而且客户嫌烦,所以第一次扫脸后(登录),下次再来,“我儿玛”直接根据你身上的标签(Cookies)来识别你的身份,进去购物时,也不需要你每个摊位都再扫一次脸(登录),你在超市里面一些的行为,直接记录在标签上(Cookies)。

但有的顾客因为脸上长豆豆等各种原因,不愿意被扫脸。“我儿玛”说,也没关系,我至多没有你的脸蛋信息,但是标签照样得贴,其他信息都记录下来。扫脸的,属于注册用户;不愿意扫脸的,就是游客。注册用户无论你如何更改发型、穿着、化妆,一扫脸就能认出你;游客的话,只要换件衣服,扔掉标签(清空Cookies),超市就不知道你以前是否来过了。

某些人有洁癖,把脸蒙上,而且拒绝被贴标签(在浏览器里关闭Cookies),那怎么办呢? 有的超市可能不接待身份不明的人,拒绝你进去。也有的和你好言相劝,说有一种临时的标签,你离开后就标签就马上自动消失(无痕浏览),这样不会留下任何痕迹。

好了,现在你身上只带了“我儿玛”的标签(Cookies),如果去“嫁了夫”超市,怎么办呢?按照法规(互联网通讯规则),“嫁了夫”读取不了你“我儿玛”的标签,因此,“嫁了夫”也会重复一次“我儿玛”的事情。其他大大小小的超市和商场都类似。

回到最开始的问题,如果你从没去过“我儿玛”(Facebook),它如何收集到你的信息?

“我儿玛”动之以情、诱之以利,说服大大小小的超市,在他们门口都摆了一台“我儿玛”的机器(分享、点赞、Like等各种按钮),你逛这些地方的时候,会同时被贴好多张标签,包括“我儿玛”的。或者,某个第三方的机构,向各超市提供了诸如免费统计人流量、投放广告等诱惑,商场同意其摆放标签机。这第三方机构将收集到的信息,再出售给“我儿玛”等。

在电脑和浏览器时代,用户的信息记录、使用大致如此运行,通过Cookies(以及由Cookies获得的Session)识别身份、记录行为,再针对该用户的提供个性化服务和广告精准投放,同时一部分核心信息,写入后台数据库,因为Cookies由可能因为浏览器清理、更好电脑等各种原因而丢失。

这里涉及到几个安全和隐私的问题。

因为标签(Cookies)保存了你的身份信息,还记录了你习惯逛成人用品店,喜欢购买女性内衣。如果一旦被其他人读取,你将被赤裸裸的示众。好在基本法规(互联网规则)限定了跨商场(跨域)读取Cookies,而且各服务提供方,都对Cookies进行加密,大体是安全的——除非你的电脑被黑,或者服务提供方存在巨大漏洞,被人伪装身份,实施跨站攻击(XSS)。

为了对付那种在各个地方摆放设备,收集用户Cookies的第三方,一个叫W3C的联盟,制订了一个叫“禁止追踪”(DNT)的标准。浏览器如果开启“禁止追踪”功能,第三方在别家门口摆放的各种记录Cookies的设备将失效,这对精准广告投放造成严重影响。由于各自利益、立场的原因,虽然主流浏览器都陆续自愿增加了“禁止追踪”功能,但是有的是默认开启;有的则默认关闭,而用户很少去更改这个缺省设置。

移动互联网时代的Cookies。

由于移动设备上,大部分用户使用App而非浏览器去访问网站,传统的Cookies形式几乎被颠覆。在手机上,仅仅使用原生App(仅基于手机操作系统原生程式编写的应用),不会遇到“没有使用你的服务信息也被记录”的情况。但是有的App出于各种考虑(广告、第三方登录等),可能在App里嵌套网页请求,既实现App的部分功能,又能记录Cookies。Facebook曾经力推HTML5——就是在一个App的外壳内,全部用网页语言来实现App的所有功能。

另外,移动App即使没有通过Cookies收集用户隐私,但其本身就是个比网页和Cookies更高效的信息收集机器。总之,除非完全与世隔绝,否则每个人都知道你是一条狗,还知道你有几根毛。(艾美谷梁剑,发表于雪球)

披露:文章发表时,作者所在机构持有$Facebook(FB)$ 的多头仓位。

相关:菜鸟贴:如何隐身于网?

雪球转发:8回复:18喜欢:42

精彩评论

全部评论

GuevaraZ2018-04-23 16:34

私家侦探

绕个大弯2018-04-23 13:40

我在hackernews上看到有老外提了这个方法,而且有很多程序员点赞:"The best way I know of to combat Facebook is to poison their data. Which means taking the effort to "friend" strangers across the world, "like" random things, visit websites you don't care about and basically blur your profile to the point that Facebook can't tell who you are or what your actual interests are. It's quite an effort over years."
翻译:我所知道跟Facebook抗争的最好方法是污染他们的数据。就是跟陌生人加为好友,随机点赞,访问你不关注的网站,反正就是糊弄掉你的个人信息,让facebook无法判断你是谁,以及你真正感兴趣的。
原文:网页链接

梁剑2018-04-23 13:38

看你的目的是啥。如果不考虑安全层面,绝大部分人的隐私信息,只有广告主有兴趣。

绕个大弯2018-04-23 13:35

从保护自己隐私的角度看,不被互联网企业收集数据已经很难了。
不过反过来想,如果确定不想要账号了,能不能故意制造大量垃圾数据,把自己的信息湮没在垃圾数据里,使得互联网很难挖掘自己的信息。
比如写一个浏览器脚本,不停的发帖,点赞,浏览,转发。