此文章适用于非 IT 人士,原文由我发表于知乎:有哪些简单易行的方法教会用户加强自己的隐私保护?

 

我更倾向于认为 cookie 这个东西其本身不会导致用户的隐私或个人信息泄露,而尤其是门户网站,其页面中代码众多,他们应该加强第三方代码的管理,或者根本不让他们直接在自己的页面中嵌入代码,而改用封装好的 API 平台来供广告商投放广告。

借题介绍一下 cookie。

举个例子,来讨论一下 cookie 到底是什么东西。
设想一个情景:你去了某餐馆,办了一张他们的会员卡,放在了卡夹里,下次去了他们凭这张卡就知道你是老客户,给你一定的折扣和其他服务。
浏览器作为我们上网的统一工具,为网站提供了一种临时保存少量用于标记用户的功能,即 cookie:它有如我们的卡夹,它可以放置我们去过的各种商家给我们发放的各种卡片。

 

那 cookie 里一般有什么,怎么才会泄露 cookie 呢,泄露了有什么后果?
坦白地说,cookie 中可以由网站方存储任何信息,甚至也可能是用户的用户名与密码。不过不必为此担心,我们日常所访问的作为商业项目,即使出于他们自己项目的安全考虑也不会做出如此不负责任的行为来。一般来说, cookie 里放置的是经加密处理后的用户标记、一些常规设置(如语言和时间区域偏好)、是否要求自动登录、最后一次访问本站的时间等数据;而真正与用户属性相关的信息,则被存储于网站数据库中,是安全的。

IT 技术,尤其是互联网技术相对来说是开放的科学,国内网站不论是提供服务还是普通的大众资讯站点,少有运用安全性更好的安全连接,因此如果站点不当地在 cookie 中存储了用户的个人信息,确实是容易被人窃取的
与餐馆会员卡一样,cookie 也是分网站的,不同网站之间不能相互访问 cookie,这给 cookie 的安全性提供了一定程度的保障。默认情况下,cookie 可以被脚本访问。所有页面中嵌入的脚本(比如嵌入在门户网站的第三方广告商的脚本)都将可以访问用户在这个网站的 cookie。此外,由于我们平常上网与服务器之间的通信都是不经过加密的,就像在街上对着路中间的美女喊话可能被旁边她男友听见一样,我们在上网时的数据也可能被恶意侦听者获取到。
我倾向于 cookie 不存在泄露一说,它本来就是用于特定网站的临时数据,不属于我们自己记录到笔记本中的私密信息,网站一般也不会用它来明文保存用户的个人信息。同时我们需知,我们每一次网络访问都可能在 cookie 里有所体现,但请勿担心,其中并不会存储您的姓名这类敏感信息。

最近(2013/3/15)央视的报道中称,「可以通过 cookie 来收集用户的年龄、收入水平」等情况,可能是真的。不过,我们发现报道中并未声称能够获得用户的姓名、住址和手机号等;报道中称可以获得用户的QQ密码,我认为不实:除非腾讯在其网页登录页面的安全处理不足;不过获取到QQ号码是有可能的。
那年龄、收入水平 与 姓名、住址有什么不同呢?
年龄、收入水平只是一种猜测估计的结论,并不一定准确:类似于我们通过人的长相来猜测他的年龄;通过人说话口音业判断他来自哪里等。这些网站可能只是利用了一些类似于社会工程学的方法来论证用户的特征。
而姓名、住址这些东西则是精确的个人信息,不容泄露。通常并不能通过 cookie 来获得这些真正私密的信息。

 

最后回到话题,如何保护自己不受恶意 cookie 跟踪呢?
从上面的介绍,相信您认同,cookie 生来并非用于被泄露的,而是有其用处:它可以让网站记住我们,从而为我们提供更贴心的服务。因此完全禁用 cookie 是比较极端的做法,会让我们无法正常使用大量网站的服务。

推荐的做法是,信任内容专一、负责任的网站,而对一些特殊站点,则采取特殊态度来对待。比如,我信任微软、Google 和苹果公司的站点,不信任国内一些软件下载站和论坛(恕不点名)。另外,cookie 在在线广告和电商推荐中也应用广泛。比如您一次不经意出于了解制作工艺的目的在百度中搜索「情趣内衣」,您可能会在浏览许多网站时郁闷地发现很多网站都向您推荐情趣内衣,不禁令人大跌眼镜。在这种情况下,您根本不希望搜索动作被记录。
如果不信任某网站,或者根本不希望被记录,可以使用浏览器隐私浏览的功能。
IE 浏览器在 IE8 版本中加入了这一功能,通过打开任意 IE 窗口,在工具菜单中找到「InPrivate 浏览」,在新建的标签页也可以找到功能入口。

InPrivate

 

InPrivateWindow

 

打开 InPrivate浏览窗口之后,您在这个窗口中的浏览行为,将在关闭窗口时被清除。
如果使用 Chrome 浏览器,可以在右上角的菜单中找到「打开新的隐身窗口」,在隐身窗口中的浏览行为会在关闭浏览器时被清除。

PrivateBrowse

如果已经被记录了,也可以使用浏览器中清除 cookie 的功能来避免被继续跟踪。具体操作步骤,网上有大量的介绍,请自行搜索。
关于题主所提的跟踪保护功能,IE10中添加了(图1中有对应功能的菜单项)。我用的不多,大抵是前段时间讨论的「Do-Not-Track」声明,这种协议在业界中目前并未得到重视,也少有主动遵守的网站,我估计设置了也形同虚设。

附:
IE10:使用 Internet Explorer 10 为你提供保护
Chome:管理 Cookie 和网站数据