原标题:隐私泄露的祸首之一 Cookie
文/池建强
来源:MacTalk(ID:MacTalkPro)
前不久,谷歌 Chrome 官方博客发布消息称,为了提升用户隐私和安全,未来两年,谷歌将在 Chrome 浏览器上逐步淘汰第三方 Cookie。其实呢,苹果、微软和 Mozilla 在之前就已经采取行动禁用第三方 Cookie,但由于市场占比的原因,并没有激起太大的水花。现在,占据市场份额最大的 Chrome 的加入,让第三方 Cookie 退出舞台这件事排上了日程。
这是好事还是坏事呢?
其实,自 Cookie 诞生之日起,这货就成为了互联网中侵入性最强的信息跟踪器。虽然现在已经出现了多种 Local Web Storage 技术,能够比 Cookie 存储更多的数据,但 Cookie 仍然是最通用、兼容性最强的客户端数据存储手段。不过,Cookie 对用户隐私的侵犯始终为人诟病。
我估计很多读者都经历过这样的事:打开浏览器,去京东或天猫搜索 iPhone 手机,然后当我们去某个新闻网站浏览科技信息时,网页上的广告位就会给你推荐 iPhone 手机。你就疑惑了,我这是被监控了吧,“这个广告怎么这么精准呢?它怎么知道我想买 iPhone 手机?”
广告之所以能“精准推荐”,Cookie 在这个过程中发挥着举足轻重的作用。
那到底什么是 Cookie?
罗剑锋老师在他的专栏《透视 HTTP 协议》中曾对 Cookie 有过详细而有趣的阐述。众所周知,HTTP 协议是无状态的协议,这既是优点也是缺点。优点是服务器没有状态差异,可以很容易地组成集群,而缺点就是无法支持需要记录状态的事务操作。好在 HTTP 协议是可扩展的,后来发明的 Cookie 技术,给 HTTP 增加了“记忆能力”。
打个比方,不知道你有没有看过克里斯托弗·诺兰导演的一部经典电影《记忆碎片》(Memento),里面的主角患有短期失忆症,记不住最近发生的事情。电影里有个场景,某人刚跟主角说完话,大闹了一通,过了几分钟再回来,主角却是一脸茫然,完全不记得这个人是谁,刚才又做了什么,只能任人摆布。
这种情况很像 HTTP 里“无状态”的 Web 服务器,只不过服务器的“失忆症”比他还要严重,连一分钟的记忆也保存不了,请求处理完立刻就忘得一干二净。即使这个请求会让服务器发生 500 的严重错误,下次来也会依旧“热情招待”。
如果 Web 服务器只是用来管理静态文件还好说,对方是谁并不重要,把数据从磁盘或内存里读出来发走就可以了。但随着 HTTP 应用领域的不断扩大,对“记忆能力”的需求也越来越强烈。比如网上论坛、电商购物,都需要“看客下菜”,只有记住用户的身份才能执行发帖子、下订单等一系列会话事务。
那该怎么样让原本无“记忆能力”的服务器拥有“记忆能力”呢?
看看电影里的主角是怎么做的吧。他通过纹身、贴纸条、拍立得等手段,在外界留下了各种记录,一旦失忆,只要看到这些提示信息,就能够在头脑中快速重建起之前的记忆,从而把因失忆而耽误的事情继续做下去。
HTTP 的 Cookie 机制也是一样的道理,既然服务器记不住,那就在外部想办法记住。相当于是服务器给每个客户端都贴上一张小纸条,上面写了一些只有服务器才能理解的数据,需要的时候客户端把这些信息发给服务器,服务器看到 Cookie,就能够认出对方是谁了。
说到这里,你应该知道了,Cookie 就是服务器委托浏览器存储在客户端里的一些数据,这些数据通常都会记录用户的关键识别信息。一旦被滥用,会对 Web 安全和用户隐私造成极大的伤害。
其实,最开始的时候,Cookie 只是网站用来记录访问者的用户信息、历史记录、访问偏好等信息的工具,目的是想通过这些信息提升访问者的使用体验。但随着收集到的用户数据的增加,没有一个网站能忍着不去挖掘这样的数据金矿。于是,用户行为分析、个性化推荐、精准营销等应用模式随之诞生,构成了如今数字营销生态的根基。
Cookie 的问题一直在于个人信息的收集,其中对用户隐私侵犯最大的就是第三方 Cookie。这次 Chrome 宣布逐渐淘汰第三方 Cookie,至少在理论上,我们的个人隐私或偏好会不再那么容易被第三方获取。当然,这件事对于网络广告商而言打击会比较大,但相信在利益的驱使下,他们一定会找到其他方式通过合法或非法手段收集用户数据。毕竟,这种攻防游戏会一直持续下去。
其实,为了防止滥用 Cookie 搜集用户隐私,很多组织、机构都相继出台过一些政策,比如 2018 年《GDPR》在欧盟生效。该隐私保护法案旨在确保用户知晓公司在收集有关他们的数据,并让用户有机会同意共享这些数据。这要求公司在收集哪些信息以及为什么收集这些信息等问题上保持透明。
在《GDPR》生效后,许多网站都开始添加 Cookie 通知,理论上为用户提供更多的隐私控制器。然而,这并没有什么用。大多数情况下,人们只是下意识的点击“同意”并继续访问网站,就跟我们忽略烦人的在线弹出广告没有太大区别。
最近国家出台一系列政策,很多网站和 App 都在更新用户隐私协议,但是有多大用途呢,不知道。
绝大多数互联网用户没有阅读服务条款或隐私权政策信息的习惯。因此,他们也不会去阅读 Cookie 政策。毕竟,这些政策条款通常都长篇累牍,而且说的不是“人话”。
这其实反应了很多人面对隐私问题的一种矛盾心态。一方面,如果被问到是否愿意让渡部分隐私来换取便利性,相信大多数人都会说不愿意,至少主观上是不愿意的。但另一方面,在行为上,大家对于保护自己的隐私这件事又很随意。
在如今这样的互联网时代,隐私的出让是个无法避免的问题,除非你愿意断网,放弃互联网上的绝大部分功能与应用。人们在获取便利性的同时,其实也在不知不觉中一点一点地出让自己的隐私。
那么隐私和便利的边界在哪里?
其实,无论是放弃隐私去追求便利性,或者是死守隐私放弃便利性,这两个极端选择都不可取。个人隐私保护不是一个非黑即白的问题,重要的是要找到两者之间的界线。在获取便利性和个人隐私保护之间做出权衡,用一些不涉及自己根本的数据来换取便利性。
你的选择是什么?
最新评论