我参加了最近在美国拉斯维加斯(Las Vegas)举办的DEFCON黑客黑帽大会。以下是我对数场演说的思考笔记,也许会对广大互联网用户有所帮助。以下两位主讲者都讨论到互联网及社交网络中的隐私问题。
你的浏览器有多特别?
主讲人:Peter Eckersley
讲演的主题是关于如何利用大多数浏览器来识别具体用户身份。在浏览器之间移动的特定数据,可在用户进入网页时被用来识别用户。主讲人将这类数据分成三种:特定浏览器,侦测JavaScript,和Flash/Java。JavaScript手法包括了记录系统时钟,以及浏览器处理特定JavaScript指令的差异。
Eckersley准备了一份网页说明他如何能够在数个月的时间里,识别出大量访问用户。在这段时间内,他辨识出高达90%的访问用户。当搭配使用NoScript插件或使用移动浏览器时,唯一能够提供合理匿名隐私保护的平台是Firefox。
他也提到指纹也会有所变动(每几天就会改变),因此通常并不适合长时间使用指纹来做识别。不过他写了一则表达式可将变化列入考虑。利用这则表达式,他可以准确地辨识出前一名访客。
他归纳说,就浏览器而言,在互联网上保持匿名已是一种错觉了。除了搭配NoScript和使用移动版Firefox以外,如果网站想要追踪用户,他们办得到。我觉得这场演讲相当有趣,追踪与识别可用于不同的目的(包括含恶意的目的),这给大多数网民敲响了警钟,在互联网上匿名浏览时,你的隐私其实并不“匿名”。这个主题相当有意思,Eckersley的研究与解说也做的非常好。
“搞定”Facebook隐私
主讲人:Chris Conley
Facebook的隐私近来常受到关注,这也导致第三方开发人员企图利用自己的程序代码来解决此问题。Conley称之为“入侵Facebook”,也就是本场讲演的主题。他举了数个目前的应用程序为例,如Green Safe会保护你的数据,只让你的朋友观看而其它应用程序则无法看到。另一个例子是Anti-Social,会防堵其它网站的cookies,让它们无法从Facebook取得数据。这个主要是针对安装了Facebook插件的第三者网站。
Conley着重指出,用户可利用第三方工具对Facebook施加压力,也因此凸显了一些现有问题的严重性,诸如隐私设定,以及难以删除个人账户。Conley立场是,“这些黑客”存在的积极意义有两点:让Facebook认清问题成因,让用户明白什么才是要害问题。我同意Conley的看法,这或许是唯一一个逼迫Facebook为用户隐私问题采取行动的方式。
注:作者David Sancho现为趋势科技资深分析师。
