■本报记者 武晓莉
北京消费者刘女士对记者说:“太奇怪了,我帮朋友在淘宝网上搜了一下狗粮,结果这几天我不管上哪个网站,都会给我发关于狗粮的广告,好像谁都知道我要买狗粮似的,真可怕。”刘女士怀疑,出现这种现象是自己用的浏览器有问题。
当用户发现根本没登录过的网站也会推荐自己曾经搜索过的信息时,难免会产生怀疑。在互联网背后隐藏着一只可以翻云覆雨的“手”,用户们正被悄悄跟踪着。
最近,奇虎360公司宣布,360安全浏览器推出了“禁止跟踪”功能。通过此功能,用户能够检测到跨站跟踪、Cookies跟踪等行为。此举再次将互联网用户的隐私保护问题推到了风口浪尖上。
浏览器是无辜的
“前两天我帮一个朋友搜索了美国旅店,结果这两天不管我打开什么网站,它都给我推广有关旅店的广告,给我感觉非常不好。”360副总裁齐向东说。
网上有条微博说:“我为什么在度娘里搜了点东西,之后我浏览的网页都有相同的产品,更可怕的是,我微博关注的人也收到了相关的广告链接,这到底是怎么回事?是百度关键词广告还是360浏览器锁定了我的用户习惯?”
“浏览器是无辜的。”齐向东说,“浏览器在这个过程中既没有做任何跟踪用户的动作,也没有泄露用户隐私。”
那这到底是怎么回事?
2012年11月19日,美国联邦贸易委员会FTC以侵犯隐私为由,对谷歌罚款250万美金。FTC认定,谷歌在秘密跟踪用户的上网行为。当用户往搜索框里填入搜索词搜索时,谷歌跟踪了用户的行为。这也是导致用户在什么地方去干什么事都会被弹出相应的广告的原因之一。齐向东说:“这叫精准广告投放,是通过跟踪用户的上网行为来实现的。”
用户被悄悄跟踪了
据业内人士介绍,跟踪用户的上网行为有两种方法,一种是跨站跟踪,就是第三方网站向某些网站嵌入一些代码,当用户访问这些带有嵌入代码的网站时,用户上网的数据就会上传到嵌入代码的第三方网站里,该用户的上网内容就会被记载在其他服务器里,第三方网站通过数据挖掘用户行为,分析其个人习惯、喜好,从而得出其最近在互联网上的行为,然后给其弹出相应的广告;另一种跟踪技术是写或者存储Cookies。Cookies本身是一种标准的文本格式文件,它可以写入用户上网后ID密码浏览过的网页、停留的时间等信息,这些信息的Cookies文本文件存在用户的电脑里。有的网站会把这些Cookies数据上传到自己的服务器里进行永久保存,也有网站会通过读取这个Cookies记录来分析用户的上网行为,对用户进行上网跟踪。
用户上网习惯被跟踪后,又是怎样被各个网站知道的呢?齐向东说,主要是通过各种联盟类网站的跨站跟踪行为实现的。比如,一个狗粮供应商要把狗粮广告发到1万个网站上去,就要事先把一串代码嵌入到这些网站中。假设天涯网嵌入了某广告联盟的代码,用户访问了天涯,实际上天涯并没有跟踪用户的行为,但天涯网页上嵌入的这一段第三方网站的代码会跟踪用户的行为,再把跟踪的结果发布到联盟的成员网站上去,从而导致了上文中刘女士那样的感受。
齐向东表示,写进Cookies里的数据对于用户来说是非常危险的,因为很多用户登录的密码和账号会被一些网站存放到Cookies里,一旦木马黑客侵入用户的电脑,就能轻松将存有重要信息的TXT格式文件拿走,造成用户的账号、密码丢失。
用户同意写Cookies了吗
一打开邮箱就会自动登录、再次登录某个网站时发觉用户名和密码都还在、有时候正在用着QQ却被告知已经在另一台机器上登录、社区登录好像被串号……所有这些问题可能很多用户都经历过。记者在论坛、微博上也看到不少这样的疑问和担忧,这是怎么回事?齐向东说,这可能有几种情况,但都和网站跟踪用户的行为有关。比如用户在使用Web邮箱时,在登录框下面都有一句话“是否下一次自动登陆”,再下面有一个框钩选框。用户一旦钩选“是”后,下次再登录邮箱时就不用填用户名和密码了,能自动登录。
这个功能是怎么实现的?就是通过往用户的Cookies里写入一个代码,这个代码可能把用户的用户名和密码写在里面。但这些都是明码,未必加密,稍有电脑常识的人都可能把这个TXT格式的文件拷出来,换到另外一台电脑上去实现自动登录。也有一些不负责任的网站,在没有经过用户主动确认的情况,只要用户登录过一次就把其用户名和密码记录上。所有的串号都和这样的行为有关。
用户有权“禁止跟踪”
“禁止跟踪”是W3C(国际互联网联盟)最新提出的网络隐私保护标准,微软和欧盟相继宣布支持该标准,谷歌也宣布将于2012年底支持该标准。继微软IE10(浏览器)之后,360浏览器成为第二家支持“禁止跟踪”功能的浏览器。
跨站跟踪和Cookies跟踪是网站普遍采用的,而且绝大多数是用户完全不知情的,过度搜集此类数据无疑侵犯了用户的隐私。
今年10月2日,W3C发布了“禁止跟踪”(DNT)的最新标准草案,用户可以选择禁止被网站跟踪。W3C认为,该标准有利于改善用户在互联网上的体验,减少用户网络隐私被侵犯或遭泄露的可能性。而对于包含用户个人信息的Cookies,早在今年5月,欧盟就开始实施Cookie法案,规定了Cookie可以记录的内容限制,并且规定,所有网站在使用Cookies时必须得到用户授权。
记者试用后发现,通过360浏览器的跟踪监测功能,用户可以很明白地看到自己被跨站跟踪和Cookies跟踪的情况,可以选择禁止跟踪,同时也为维权提供了取证渠道。
据了解,除了跟踪检测外,360浏览器还提供了“云服务日志”功能。用户可以清晰地看到360浏览器与服务器间的各种类型通信记录,并可以根据自身需要,选择开启或关闭不同类型的云服务。通过浏览器行为的透明化,用户和行业都可以对浏览器进行随时监督。
●记者手记
够了别再跟踪我
■武晓莉
精准广告一直是互联网广告的一大卖点,因为互联网就像“雪地”,只要走过就会留下“足迹”。而对这些“足迹”进行收集分析,就能得出很多惊人的材料,其中涉及到个人隐私。
尽管如何界定个人隐私、如何防止互联网个人隐私泄露等方面的细节一直有争议,但用户一直在网上“裸奔”几乎是人所共知的事实,这表现在用户的密码除了可能被恶意破解外,还可能被非恶意地记录。此外,用户的浏览痕迹、搜索关键词等也有可能被有意识地记录下来。这些记录大部分会被用于商业目的,也不乏会被用于犯罪。
“禁止跟踪”的监控功能为用户揭开了互联网“裸奔”的真相:点开一个用户信息使用日志就能看到,当一个普通用户点开百度、网易、凤凰、淘宝等网站时,一些第三方网站就开始通过嵌入的代码进行跨站跟踪了。同时,用户也可能发现自己电脑中的Cookies文件非常多,甚至有很多闻所未闻的网站也收集了用户信息放在Cookies里。关键是,这一切动作是在绝大多数用户不知情、未同意的情况下进行的。因为他们对这些技术根本不懂,所以不易察觉。
除此之外,用户的一些使用习惯也让其设置的密码形同虚设。比如很多用户经常用到的“十天内免登录”,这实际上就是用户或明白或糊涂地允许网站记录了自己的密码、登录名等。这还算不错的,因为不少网站是询问后才记录了,也算是方便用户的一种手段。但也有不少网站根本就不会跟用户打招呼,很“主动”地记录了这一切,这其中不乏一些知名大网站。这一做法的危险性不言而喻。
国际互联网联盟的 “禁止跟踪”标准旨在给用户一个更透明的互联网,以确保厂商不会侵犯用户隐私,并能有效地约束网站对用户隐私突破的程度。另外,它还将对广告业产生影响,因此包括美国广告协会在内的业界强烈反对“禁止跟踪”标准,而欧盟的官员则对广告界的反对持不同的看法。他们认为,广告业不能光为了赚钱而肆意践踏用户隐私。
并不是每个上网行为都怕泄露,也并非精准广告完全不能做。但最重要的是,网民应有权清楚地知道谁在跟踪他,也应有权或有能力自由地选择是否允许第三方网站的跟踪行为。
有了具备“禁止跟踪”功能的浏览器,就意味着用户随时可以跟第三方网站说:“够了,别再跟踪我!”