在线隐私威胁" />
在如今这个人人注重网络隐私的时代,一切可能会造成个人数据泄露的东西都会成为众矢之的,首当其冲的就是 Cookies。那 Cookies 是否就是导致隐私外泄的罪魁祸首?我们又是否需要有所提防呢?科技网站 Digital Trends 日前就对这些问题采访了安全专家。
“Cookies 只不过是互联网的基础部分,就像是 Wi-Fi、HTML 和电源一样,”网络安全公司 Silktide 的创始人 Oliver Emberton 说道,“Cookies 所做的只不过是识别你的计算机。因此,在你进行登录账户和在线购物时,它们是必不可少的。”
Cookies 是存储在计算机当中的文档文件,当中包含的信息会被网站服务器所设置和获取。在它的作用下,服务器才能识别你的身份,并记录和你相关的信息。
“问题在于,这些 Cookies 还能用来追踪用户,并用在他们不喜欢的地方上,比如投递针对性广告,”Emberton 说,“这也让许多人产生了合理的担忧。”
在欧洲,有关 Cookies 的巨大担忧使得欧盟在 2011 年颁布了一道限制法令,要求网站必须在征得用户同意之后才能使用 Cookies。这条法令目前依然存在很大争议,但在深入讨论之前,我们先来回顾一下 Cookies 的起源。
Cookies 的发展史
Cookies 的发明者名叫 Lou Montulli,它在 1991 年发明的 Lynx 是最早的网页浏览器之一。此人在 1994 年加入马赛克通讯公司,也就是网景公司的前身。Montulli 拥有多项网页技术发明,包括链接标签、服务器推送/客户端拉取、HTTP 代理和 Cookies。
根据 Montulli 本人介绍,Cookies 是以计算机科学名词“Magic Cookies”所命名的,后者被描述为一种“在程序之间传递、让接收端执行某种操作的东西”。
随后,Montulli 网景浏览器当中使用相似的系统来进行网络通讯,并沿用了 Cookies 这一名词。在 Cookies 的帮助下,网景得以率先能够辨别用户之前是否访问过自己的网站,并让网站有能力去记忆用户的偏好。Cookies 还是虚拟购物车的一种实用解决方案,可让购物网站记住用户上一次访问时感兴趣的商品。
到了 1996 年,有媒体开始报道 Cookies 对于隐私可能存在的威胁,公众第一次才意识到它们的存在。当时,人们的担忧主要集中在 Cookies 会在用户不知晓或未经用户同意的情况下在他们的计算机当中存储信息。
等到 1998 年,Cookies 引发的关注如此之大,以致美国能源部下属的计算机事件资讯中心对其展开了调查评估,并公布了相关的信息公告。该机构的评估结果是:“使用网页浏览器 Cookies 几乎不存在损坏或窥探系统的风险。Cookies 只能告诉服务器你之前是否浏览过该网站,并能够在你下一次浏览时将少量信息(比如用户号码)从网页服务器传回其本身……有关你所处位置和浏览历史的信息已经存在于网页服务器的日志文件当中,并可用来追踪用户的网页浏览习惯,Cookies 只不过把这变得更加容易了。”
Cookies 威胁都有哪些?
很显然,Cookies 有一个很重要的功能。由于无需在每一次浏览网页时重复进行身份识别,它们让网页浏览变得更加方便了。许多人并不认为 Cookies 会引发多大的问题,但它们的确具备威胁,就像 Cookie Central 所描述的那样:
“让人遗憾的是,Cookies 最初的意图已经被某些心怀不轨的网站所改变。他们会在暗中植入自己的 Cookies,并利用它们来追踪你的网络活动,包括你的兴趣、消费习惯和生活方式。”
从表面上看,这种行为似乎是无害的,并不值得大惊小怪,因为大多数人都觉得,这些信息最坏不过是用来进行目标广告投放。广告虽然惹人讨厌,但并不会具备任何威胁或破坏性。但如果你仔细思考这些包含个人偏好和私人活动的信息是如何最终被用来将我们每一个人归到特定群组当中的,那还是挺吓人的。
但请记住,网站只会知道你输入过的信息。并不是所有的 Cookies 都是坏的,它们还能提供实用的网络功能。那些注重隐私的用户的确有理由去担心 Cookies 所存在的隐私威胁,但和其他威胁相比,Cookies 实际上根本不值一提。举个例子,在斯诺登的揭露下,公众首次了解到了 NSA 和政府监控是多么得无孔不入。
更大问题的开端
“Cookies 并不是问题,”Emberton 说,“还有许多功能类似或更恶劣的技术是不为人所知的(比如本地存储和 LSO)。Cookies 只不过引起了公众的注意而已。真正的问题并不是技术,而是人们利用它们的方式,这才是难以监管的地方。”
“超过 95% 的网站都在使用 Cookies,其用途大体上都很无聊,我们从来不会去关注,比如确保网站的响应速度足够快,或是浏览次数的统计。大多数网站所保留的数据并不能用来进行个体识别,”他解释道,“但是,不少大企业——比如谷歌、Facebook 和亚马逊——所持有的数百万用户信息的确是可以进行个体识别的。举个例子,谷歌的数据可以让别人了解你的健康问题、性取向、或是政治立场。这些信息是可以和你的真名联系起来的。”
在过去几年里,美国联邦委员会(FTC)和谷歌及其他公司就在线隐私问题发生过多次交锋。在 2012 年,谷歌同意就 Safari 浏览器事件支付 2250 万美元的罚金,原因是该浏览器通常会屏蔽第三方 Cookies,而谷歌却通过修改代码的方式绕过了 Safari 的默认隐私设置,从而实现对于该浏览器用户的追踪。英国法庭最近也裁定,Safari 用户可以就 Cookies 追踪问题起诉谷歌。
在美国,公民可以通过登记自己电话号码的方式来避免接到推销电话(“谢绝来电”项目)。因此,相关机构曾经多次尝试出台“请勿跟踪”的立法。根据 FTC 网站所公布的信息,他们一直在考虑该提案,但并未投票决定是否提供支持。
从 2011 年开始,美国政府曾出台多套相关的法案,但因为标准建立多方协调方面的困难,这些法案随后要么被撤回,要么失败了。对比之下,欧盟通过了相关的立法,但它们在保护隐私方面的效果如何让人非常怀疑。
欧盟的相关法律
2011 年 5 月,欧盟电子隐私指令修改了 Cookies 相关的法规。新规出台之后,网站所有者必须向访问者说明 Cookies 的使用,并征得他们的同意。在实际执行当中,网站现在会在你首次访问时显示一个弹窗,当中包含着相关的 Cookies 政策,以及接受或拒绝的按钮。
对此,欧洲的网站所有者和在线企业都显得很不高兴,因为那些不在欧盟管辖范围之内的竞争者无需遵守这些法规,但他们一旦违规就得受罚。起初,这些法规的执行方式也并不明确。
在英国,信息专员办公室(ICO)给予了网站 1 年的宽限期。许多网站的确履行了这一法规,这在很大程度上是因为 ICO 有权对违规网站处以最高 50 万英镑的罚款,但欧盟其余国家网站的抵触情绪很快便蔓延到了英国。
Silktide 所开发的软件可以用来检测网站的品质。这家公司发布了一款免费、开源的 Cookies 许可插件,可让网站轻松地执行新的法规。但是,他们很快便改变了主意。在随后上线的 nocookielaw.com 当中,Silktide 向 ICO 发难了。打开网站之后,你便会看到“亲爱的 ICO,来告我们呀”的醒目标语。随后,这家公司宣布撤下自己所有的 Cookies 解决方案,并解释了为什么他们认为相关的法规是毫无意义的。
但 Silktide 并没有因此面临诉讼。事实上,ICO 的首席通讯官 Anya Burgess 向媒体确认,他们目前还没有就不遵守欧盟 Cookies 法规处罚过任何一家网站。
根据 ICO 的最新研究数据,网站在用户首次访问时平均会放置 34 个 Cookies,其中的 70% 是第三方 Cookies。ICO 的研究还包含着对于 Cookies 有效期的担忧,因为不少网站所设置的到期时间都是 9999 年。
“我认为法规存在误导性,但在过去的两年里,欧盟在如何执行的问题上纠结不已,且态度已有所缓和,”Emberton 说,“如果严格按照具体条款,几乎每一家网站都是不合规的,但这些法规的具体执行方式远没有规定那般严厉。随着时间的推移,法律条款最终会慢慢跟上现实,但我并不认为它们在捍卫用户隐私的问题上有任何帮助。”
“改善在线隐私是个高尚的目标,但监管 Cookies 并不是实现它的理想方式,”Emberton 说道,“Cookies 本身对于普通人是无害的,但那些公司所存储的有关你的信息(无论是否通过 Cookies)总归是人们所担忧的一个问题,且应该被妥善保护。”
相关文章
