​菜鸟贴:浏览器和隐私的那点事儿

浏览器的江湖

浏览器只是互联网庞大体系中一个工具,并非只有这个工具才能接入互联网。比如,上QQ聊天,通过手机上的应用程序发布和获取网络信息,都不必使用浏览器。但目前浏览器对每个用户仍是不可或缺的,只是使用频率高低的问题。因此,浏览器乃兵家必争之地。

互联网早期,微软通过免费和捆绑策略,将收费的浏览器Netscape Navigator(网景)干掉,IE(Internet Explorer)曾一统天下。此后Firefox(火狐)通过部分优越的特性顽强抗争,谷歌的Chrome成后起之秀,另还有苹果占领着自家地盘的Safari,以及苟且生存的Opera。

咦!奇怪,怎么没有我们熟悉的奇虎360、搜狗等浏览器?

他们早期都只是一个山寨壳,里面套的主要是IE内核或者Chrome内核。后来才逐步增加了直接在webkit和trident内核上开发的版本。

我们为什么不直接使用原装进口兼且免费的浏览器,非要用山寨品?因为他们总有理由让我们相信,只有山寨的才是最好的。他们的壳要么添加一些中国用户特别需要的功能(至少他们宣传我们应该需要),要么干脆预装到我们电脑里,让我们认为浏览器就这样子的。

因为对于绝大多数用户来说,上网除了使用IM(即时通讯工具),就打开浏览器,所以浏览器就成了连接互联网世界的“门”,只要控制了这道“门”,也就很大程度控制用户的流向,滚滚的人流都是白花花的银子。所以这山寨产业链支撑着**小小多家公司的估值。

隐私的那点事儿

无论是原装进口,还是山寨品,道理都一样。我们使用浏览器敲入的网址,访问的内容,输入的帐号密码,都可能被浏览器记录,甚至被上传到他们的服务器。理论上,浏览器提供方都能掌握我们所有的举动。

有几个标准可区分他们是否作恶或者尽职:

1,记录和上传信息,用户是否知道或者应当知道。如果故意将私货夹带在一堆内容中,然后让用户确认,我并不认为用户是知情。

2,是否提供彻底清理的功能并且如实执行。

3,浏览器自身是否方便地被用户彻底卸载。

4,记录和上传的信息,是否有加密处理。因为这些数据,既要防止万一泄漏后被人直接解读,也要防止自己内部员工窃取。

5,该信息是否被用于用户所不知情或者无法预期的用途。

问题是,绝大多数用户,无从判断一款浏览器(包括山寨的壳)是否作恶或者尽职。即使爆发了一些问题,也会在各公司水军的飞沫中迷失掉。

迫使这些公司不作恶并且尽职,要靠严明的法律以及市场的竞争,让公司威慑于一旦作恶或者失职,会遭受灭顶之灾。

但如果在法律和市场都经常失灵的环境里,大家要么就别太在乎隐私,要么就选择理论上更可靠的产品。(@梁剑 发表于 @雪球
雪球转发:27回复:36喜欢:15

精彩评论

全部评论

sherry2012-11-23 18:00

原来如此!~

xusikang2012-10-16 17:34

梁剑2012-10-16 14:56

转。

sylvan2012-10-16 14:52

读书期间写过webkit的开发,研究过webkit内核的改进。当时为了安全浏览,开发了一个系统,把所有javascript放到代理服务器执行,安全执行后给用户返回他能看到的DOM结构,保证用户安全浏览网页。当时纯粹学术研究,发表在安全会议NDSS上,为的是毕业。

我自己对webkit解析网页有一定的了解,在浏览器的DOM和javascript解析引擎那边,用户的任何行为浏览器理论上都能做的,包括得到网页DOM的全部内容,用户鼠标的位置,用户填写在table中的数据。技术上,如果你打算发表一篇weibo,即使sina还没得到你的内容,浏览器公司理论上就能得到。

浏览器公司基本都会拿到用户全部数据,包括:

1. 早期UC浏览器省流量功能,就是将用户的DOM结构根据你手机屏幕配置,进行重新编排。即使这些是你很敏感的数据,比如银行个人页面,浏览器公司还能会拿到改写帮你省流量。甚至在DOM里面,加一个自己的frame的广告页也很正常。

2. 360或者sogou,基本都会拿用户访问浏览器的URL去优化他们的搜索引擎,所以搜索引擎不需要太大的索引量(等同于不需要太大的服务器资本投入,如baidu或者人民搜索去爬去海量数据)。只要这个地球上有用搜狗或者360浏览器的一个人看了一个网页,他们的搜索引擎就能索引这个网页(当然这个不会从用户浏览器DOM直接提取,毕竟每个人银行主页的Money数都是不一样的)。所以其他用户搜关键字的时候,10分钟不到就能到得到结果。这个也是人民搜索招了很多牛人,投了很多钱去建数据中心,也被360在搜索上短期赶超的原因的。

3. 浏览器公司能看到的数据非常多,包括用户的Cookie等身份信息,基本中国用户在互联网的使用行为都能知道。但是我们只看到CNZZ或者baidu去发表用户行为报告,没有看到浏览器公司去发布类似报告。实际上,我知道的情况是,360,sogou只提取了用户网页地址为他们搜索引擎优化服务,并没有去采集用户平时细化的浏览行为。技术上反向工程基本能做到知道浏览器采集了用户何种信息,我敢肯定360或者sogou没有也不敢采集我浏览我自己银行网页时候的DOM的信息,然后进行上传,不然百度或者做空机构完全可以雇一个技术团队把数据反向出来,发布报告,引起舆论哗然。