解析网络跟踪暴露搜索引擎的价值风险

　　【神州乐器网讯】不久前，Google刚刚宣布其浏览器产品Chrome具有反跟踪功能，但此次却又因秘密跟踪用户的行为而被判罚，从而使网络跟踪这个概念引起了网民的关注。不过，对于国内网民来说，又有多少人真正明白什么是跟踪呢?

　　近日，美国旧金山地方法院因Google秘密跟踪用户上网习惯而对Google开出了高达2250万美元的罚单。法院认为，Google蒙骗 Safari浏览器用户，让他们误以为只要不修改该浏览器的隐私设置，上网活动就不会被谷歌跟踪。但实际上，谷歌采用了特殊的技术方法绕过Safari浏览器的隐私设定，追踪用户的上网习惯。

　　不久前，Google刚刚宣布其浏览器产品Chrome具有反跟踪功能，但此次却又因秘密跟踪用户的行为而被判罚，从而使网络跟踪这个概念引起了网民的关注。不过，对于国内网民来说，又有多少人真正明白什么是跟踪呢?

　　本文希望通过对网络跟踪技术的详细介绍，让大家充分的了解网络跟踪的存在姓和危险姓。提高上网安全意识。

　　那么，究竟什么是网络跟踪呢?简单说，网络跟踪就是一种用于用户行为特征分析的跨域访问技术。要想说清楚什么是跟踪，还得先从跨域访问说起。

　　跨域访问

　　域指的是网站域名，而所谓跨域访问，就是说当我们访问一个网站时，返回的页面内容中会包含对另一个网站的访问请求。比如说，您在Yahoo上浏览新闻时，页面中的一段代码可能会指令浏览器在后台向Google的服务器发出访问请求，并将我们访问Yahoo网页的某些操作记录上传到Google的服务器。如下图所示：

　　那么，为什么一个网站的页面中会包含对其他网站的访问请求呢?是不是这个网站被黑了?当然，黑客确实可以在入侵的网页中写下很多跨域访问的请求，很多钓鱼网站和挂马网站也确实会利用植入跨域代码的方式来进行恶意推广。不过，在绝大多数情况下，跨域访问代码的植入是网站自愿的。这是为什么呢?

　　跨域访问的第一个用途是进行流量统计。比如，我们通过搜索引擎点开一个网页，那么网页上的跨域代码就会通知搜索引擎服务商，这个网站有一条点击量是从搜索引擎过来的。由于跨域代码是由网站和搜索引擎协商确定的，因此，由跨域代码确定的流量信息双方都能认可。除了搜索引擎，很多提供流量服务的其他公司也会在网站中嵌入自己的跨域代码。CNZZ等权威的流量统计机构，实际上也是通过跨域访问来实现网站流量统计的。

　　由于流量服务对各家网站是有益处的，而流量统计是流量服务提供者获取收入的主要来源，因此，很多网站愿意在自己的网页上嵌入流量服务商的跨域代码。

　　跨域访问的第二个用途是第三方广告。某些网站会将自己的页面广告位售出，之后由购买广告位的商家自己来维护广告内容。购买广告位的商家实际上只是在自己的网站上更新自己的广告，而售出广告位的网站则是在页面中嵌入一段跨域访问获取广告的代码。当用户访问这个网页时，就会即显示该网页内容，也会显示来自第三方网站的广告。对于两个商家来说，显然也是一个互惠互利的合作。

　　除了上述两个用途之外，跨域访问技术还有其他一些应用场合。网络跟踪就是其中之一。

　　网络跟踪

　　跨域访问是不是就等于网络跟踪呢?并非如此。因为如流量统计这样的功能，虽然是通过用户电脑的中转来实现的，但只是获得了某些网站的统计信息，不会涉及用户的个人信息。第三方广告则更不牵涉个人信息的问题。但是，如果跨域访问上传的信息中包含足以识别用户个人身份的信息时，那么这种跨域访问就构成了跟踪。

　　被跟踪，就意味着您在不同网站上的活动记录最终都会上传到同一个第三方网站上，并且被鉴别为同一个用户的行为。由于上传的信息中包括足以识别个人身份的内容(一般为电脑硬件信息或Cookie信息等)，因此，尽管您在不同的网站使用不同的账户和密码登录，甚至根本不登录，但您的上网活动还是会被跟踪者以相同的身份进行记录。这就是网络跟踪一词的含义所在。

　　那么，网络跟踪的目的又是什么呢?这就不得不提到一个商业概念：广告联盟。在欧美国家，最大的广告联盟就是Google广告联盟，而在国内，最大的广告联盟就是百度广告联盟。广告联盟中的每一个成员都会在自己的网页上部署大量“盟主”的跟踪代码，从而使用户在这些网站上的活动记录都汇聚到盟主的服务器上。盟主会根据用户监控结果对其行为特征分析，获得用户的上网习惯和消费喜好等分析结果，之后将分析结果全部或部分的与联盟成员分享，从而可以实现联盟成员对用户精准的广告投放。

　　广告的精准定向投放，可以显著提高广告效率，并为商家带来可观的利润，这也是网络跟踪技术应用的主要商业目的。

　　但此次Google被罚事件，暴露出网络跟踪技术潜在的法律风险。

　　网络跟踪的风险

　　精准的广告投放，在很多人看来也许是一件好事。只让我看到我感兴趣的产品广告，免得浪费我的时间，这有什么不好呢?可问题在于，网络跟踪本身涉及用户的账户信息、上网习惯、个人喜好等大量的隐私信息，但目前却还缺少法律法规的约束，因此存在巨大的安全风险。

　　首先，跟踪者的身份是不受约束的，谁有本事建立联盟，谁就可以跟踪用户;第二，用户的哪些信息可以采集，哪些信息不可以采集，也是没有明确规范的;第三，跟踪者本身不承担任何法律义务和保密责任，一旦跟踪数据或分析结果被泄露，用户将无法追究跟踪者的法律责任;第四，广告联盟的成员会分享数据分析的结果，这就很有可能造成用户隐私信息的二次泄露，三次泄露。事实上，以联盟的形式分享分析结果，某种程度上说，就是贩卖用户个人信息。

　　此次Google因秘密跟踪用户被判罚2250万美元，某种程度上表明了美国司法界对跟踪行为的法律定性。而国内对此问题目前还么有任何行动或举措，甚至也没有引起业界的足够关注。

　　事实上，不论是在西方还是在国内，搜索引擎都是网络跟踪技术的主要部署者和组织者，这是搜索引擎的商业模式所决定的。实际上，也只有那些具有支配地位的搜索引擎，才有可能与各大网站建立广告同盟关系，并广泛部署自己的跟踪代码。

　　国内搜索局巨头百度是否会受到Google被罚事件的影响，还需拭目以待。

　　反跟踪

　　有没有什么技术手段可以阻止网络跟踪呢?当然有。最简单的方法就是禁止跨域访问，即通过浏览器设置，禁止页面中的跨域访问代码被下载和执行。目前，包括IE，Chrome在内的所有宣称具有反跟踪功能的浏览器，实际上采用的都是这种简单的技术方法。

　　不过，简单有简单的好处，但也有误杀的风险。如前所述，跨域访问不等于网络跟踪。如果强行禁止所有的跨域访问行为，将可能导致某些网页不能正常显示，一些正常的流量统计也可能无法进行。因此，实际上，很多浏览器在推出反跟踪功能时，都会为自己的其他服务或重要的网络客户开一些后门。

　　真正合理的反跟踪技术应当对对跨域访问有所甄别，并将防护重点放在个人身份信息上传的环节上。具体来说，有以下几种方法：

　　第一， 如果浏览器在跨域代码中发现采集电脑硬件信息或Cookie信息的内容，则禁止下载，禁止执行，而对其他形式的跨域代码则可予以放行;

　　第二， 禁止网页内容采集个人电脑的硬件信息;

　　第三， 禁止跨域访问上传电脑硬件信息或Cookie信息。

　　中国乐器|乐器培训

　　更多新闻请登录神州乐器网网站：https://www.chinayq.com/