大家都应该有一种觉察,你刚用你手机搜索一个产品名称或者某物品的使用功效或作用。然后你访问购物网站或者新闻网站,就出现你刚搜索的相关产品或者相关内容的广告。这就是他们通过cookie收集个人信息,然后推算出你当前的需要或者购买动态。针对性的把某些商品或者广告推荐给你,这种行为看似很贴心很讨好用户。其实用户在他们后台变成了一个个小透明人,你的个人喜好、收入水平、喜好的类型等等个人隐私,都被他们了如指掌。
COOKIE定义
昨晚在Google被央视无辜引用中枪后,其旗下一个官方帐号马上介绍了Cookies的定义,依据是维基百科。根据定义 ,Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。好了下面我们要开始说人话了(注意,人话是为了便于不了解技术的人了解原理,并不像技术表达那样严谨无瑕,请懂技术的人别拿这个来攻击我)。由于我们通常访问网站所使用的HTTP协议没有记忆功能,但有些场合下网站服务器必须“记住”用户访问了哪些网页、做了哪些操作,所以需要一种中间手段去记录这些东西,这时候网站服务器就会在用户电脑中写下一小段纯文本文件作为标记,这种类似于“备忘录即时贴”的文本文件就是Cookies。
COOKIE如何收集用户信息
常用的例子是,如果你在网络上买东西,下单了一个鼠标,然后再去买键盘;这时候浏览器已经离开了鼠标商品页面,由于HTTP协议没有记忆功能,所以在你看键盘的时候,鼠标的购买记录已经被后一个访问记录冲掉了。就算你买了100件商品,最后结账时也只能看到最后一样。为了避免这种情况出现,购物网站会在每次下单后,都在你的电脑上写下一小段Cookies来记录;最后结账时,读取这些Cookies,从而汇总出你的购物清单。
按照定义和上面的例子来看,Cookies有几个特点:
第一,它具有专属性,就是谁发出的Cookies就只有谁有权限读。你去淘宝买完了东西又上京东,京东的服务器来读取Cookies时是无法读取淘宝放在你机器中的Cookies的,它只能放置自己的Cookies,在需要时读取。所以尽管你电脑上存储了淘宝京东新浪草榴等一堆网站的Cookies,但只要电脑不丢,这些Cookies本身都是安全的,没有哪个网站能主动取走。
第二个特点,Cookies的确能记录你的很多个人信息,比如你经常访问哪类网页,在网页上停留多久,通常在什么时候上网等等。这些信息有些人可能毫不在乎,但如果有广告商集中搜集过去,就能掌握这个人的上网兴趣口味,有时还能推算出收入水平等个人信息。不过,对于很多地方强调的Cookies会保存用户密码问题,在我看来倒未必是迫在眉睫的危险,因为这些密码通常会用不可逆的方式加密,泄露出去也无法还原出用户密码;这方面的话题还可以专门开一篇文章讲,我们暂时打住,还是去谈主题。
如何非正常获取Cookies
根据专属性特点,只有用户主动访问的网站,才能下发、获取属于自己的Cookies,那要收集大批用户的Cookies,只有两个途径:一个是做出一个受人欢迎的网站,有成千上万人来访问你,那你自然就能获得大批量用户的Cookies,并由此得出整个人群的访问特点。
通常这种做法虽然还存在一定争议,但熟悉互联网的人会倾向于认为这是合法的,毕竟网站需要根据每个人的不同特点提供个性化服务,比如你去亚马孙买书,一进去它就会给你推荐一批经管书,因为你此前几次购买、浏览的都是这类书籍。这给用户带来了便利,也便于提高网站出售货品的效率。
Google、网易等网站也通过这种方式来分析用户行为习惯,针对性地推送广告,并计算广告的投放效率。因此,像Google、百度、网易新浪这些超大型网站,拥有数亿甚至十几亿用户的Cookies都很正常,只要不向第三方出售这些数据,目前他们拥有这些数据还是合法的。
但在央视报道中,品友、传漾、易传媒等公司声称自己拥有数千万甚至数亿用户数据,很明显他们自己的网站没达到这种受欢迎程度,那这些数据怎么来的?如果上述公司没拿出确凿的证据来,我们倾向于相信央视的结论,这几个公司的确用非正常途径获取了大批量用户信息。而这的确是应该受到谴责甚至法律惩罚的行为。我们来看下网站怎么获取不属于自己的Cookies。
第二个获取大批量Cookies的途径,就是明买暗偷。自己做不出受人欢迎的网站,那就去跟大网站买。类似网易这样的商业性大网站出于谨慎考虑,通常不敢用这种方式出售数据,但一些个人搭建而又人气火爆的论坛,不排除以这种方式获利。暗偷的话,就是在大型网站上放置Cookies窃贼,术语叫『网络信标』或『网络臭虫』。
网络臭虫的工作原理和惯用伎俩:在受用户欢迎、被广泛访问的网页上放置一个一像素大小的图片,这样用户看不到这张图片,但它依然可以正常工作:它的工作就是通过获取Cookies来获知用户的浏览习惯。举例来说,现在窃贼公司在网易女人频道的所有网页上都放置了臭虫。当用户访问网易女人频道页面时,由于臭虫位于本网页,因此它有权下发、获得用户的Cookies;又由于臭虫中内嵌了窃贼网站的地址,因此它可以把网易女人频道访问者的Cookies搜集并回传到窃贼公司。如果网易女人频道一天有1000万人访问,则该公司一天就获取了1000万份个人信息。
网易有没有干贩卖用户Cookie这样的事?我们把上述央视视频 拉到5分3秒处播放,面对记者“网站能不能加代码”的询问,网易公司华东渠道销售经理郭兴华总监说,“如果你放得比较靠里面,比如说是女性频道,对网站影响不大的,一般还是可以申请得到”。也就是说,如果以投放广告等利益相诱惑,网易的销售人员还是可以承诺,在自己的网站上挂上网络臭虫代码的(只需要跟广告图标放在一起即可,技术上很简单)。而由于网易具有的巨大流量,一旦真的做出这种事,那所有网易用户的Cookies就会被出价购买广告的公司获取了。
而在网易公司事后的声明中,对于自己的网页是否允许加挂第三方代码只字未提,我们还注意到,这个声明是由网易邮箱发出,而非网易公司。也就是说,邮箱撇清了自己,却把具有更大嫌疑的网易门户撇在了一边。
最后要说明的是,央视引用FTC惩罚Google的案例来证明美国也反对收集Cookies,这个例子是错的。首先,是FTC(联邦通信委员会)而不是央视所说的联邦贸易委员会通过法院惩罚了Google;其次,这次罚款的罪名不是Google收集了Cookies,而是Google无视苹果电脑上safari浏览器的隐私设置(用户可以在浏览器中设置拒绝接受Cookies),直接在用户电脑上放置Cookies,引发处罚。也就是说,惩罚的是未经允许获得Cookies的行为,如果用户不反对,那网站本身获得Cookies的行为并不会受惩罚。
反思:网易可以这么明目张胆贩卖用户Cookie,那新浪、腾讯、搜狐、CNTV等网站有没有干这样的事情,网页从中部到四周所显示的广告会给我们答案的。相信事实胜于雄辩的,相信用户眼睛是雪亮的!
总结:通过正常渠道获取COOKIE是可以让用户理解的,但是贩卖或窃取用户COOKIE带来的结果只会是臭名昭著!只要干违背用户的事情,无论阳奉阴违,还是阴奉阳违,抑或是诡辩,这都是于事无补,何况某传媒公司老总还在用『带套不算QJ』的观点来狡辩,别自以为聪明把用户当傻逼!同时也给各大网站敲响警钟,别为了眼前利益放弃了大好未来,因为用户是我们的上帝!
链接:https://www.zhihu.com/question/20853596/answer/16400675
来源:知乎