读捍卫隐私04痕迹

读捍卫隐私04痕迹

1. 痕迹

1.1. 要当心你在互联网上搜索的东西

  • 1.1.1. 不只有搜索引擎会跟踪你的上网习惯

  • 1.1.2. 你访问的每一个网站都会这么做

1.2. https并不是为隐藏你访问网站的身份而设计的

1.3. DNS就像一个全球性的电话簿,可以实现主机名和你刚才请求的网站服务器的数字地址的交叉参照

2. 元数据

2.1. 几乎每一种数字技术都会产生元数据

  • 2.1.1. 浏览器也没有什么不同

  • 2.1.2. 浏览器就会暴露你的计算机配置等相关信息

  • 2.1.3. 能暴露你的计算机硬件的细节,比如屏幕的分辨率和板载内存的容量

2.2. 营销人员收集信息的目的是创建能让网站赢利的广告

  • 2.2.1. 营销人员和黑客罪犯之类的人可以通过所谓的单像素图像文件或网络信标(web bug)来了解关于网站访问者的信息

2.3. 要做到不起眼又不会被网络窃听,可以使用虚拟机(virtual machine,简称VM)​,它可以使Mac OSX等操作系统在你的Windows操作系统上作为访客运行

2.4. 可以通过指示你的浏览器不允许弹窗出现来避免这些问题(而且还能消除那些烦人的广告)​

3. 插件

3.1. Mozilla的火狐浏览器可以通过NoScript插件提供应对第三方跟踪的最佳防御

3.2. 屏蔽网页上可能有害(而且肯定会侵犯隐私)的元素将保护你的计算机不被广告生成的恶意软件攻陷

3.3. NoScript和ScriptBlock虽好,但并不能屏蔽一切

3.4. 要得到让浏览器免受威胁的完全保护,你可能需要安装Adblock Plus

  • 3.4.1. Adblock会记录所有东西:这又是一个会跟踪你的浏览历史的公司,就算你使用了隐私浏览也一样

3.5. Ghostery也是一个有用的插件,而且在Chrome和火狐上都可以使用

  • 3.5.1. 可以识别网站用来跟踪你的活动的所有网络流量跟踪器(DoubleClick和Google AdSense)​

  • 3.5.2. 和NoScript一样,Ghostery也能让你精准控制你想在每个页面上允许的跟踪器

  • 3.5.3. 屏蔽跟踪器将能阻止它们在你的浏览器中运行,这有助于控制你的行为数据被跟踪的方式

  • 3.5.4. 安装Ghostery之后,有的网站将无法工作

    • 3.5.4.1. 可以根据网站来选择禁用它

4. cookie

4.1. 与只拥有一个可识别的地址相比,拥有多个网络个人档案对隐私的影响会小得多

  • 4.1.1. 会让任何人都更难以构建出你的网络档案

4.2. 最安全的措施往往也有很大的好处:你会发现,如果不使用你的个人电子邮箱地址进行网络购物,你就不会收到大量的垃圾邮件

4.3. cookie并不会真正在你的传统个人电脑或移动设备上保存这些信息

4.4. cookie不仅能保存你个人的网站偏好,还能为它所在的网站提供有价值的跟踪数据

4.5. cookie是分开使用的,也就是说,网站A没有必要查阅网站B的cookie的内容

4.6. 广告代理商往往会将多个网站组成更大规模的网络,加载一个可以跟踪你在这些网站上的活动的cookie

  • 4.6.1. 有些广告商会使用cookie跟踪你在它们投放了广告的网站上停留的时间

4.7. 如果你一直使用常规浏览模式,你可能时不时需要手动移除过去几年累积的一些或全部cookie

4.8. 超级cookie

  • 4.8.1. 有一些cookie不会受到你在浏览上做的任何决定的影响

  • 4.8.2. 它们存储在你的计算机上,但在浏览器之外

  • 4.8.3. 超级cookie可以在你使用任何浏览器(今天用Chrome,明天用火狐)时存取网站偏好并跟踪数据

  • 4.8.4. 应该删除浏览器中的超级cookie,否则你的传统个人电脑会在你的浏览器再次访问该网站时试图从存储器中重建http cooki

  • 4.8.5. 应该删除浏览器中的超级cookie,否则你的传统个人电脑会在你的浏览器再次访问该网站时试图从存储器中重建http cookie

    • 4.8.5.1. 来自Adobe的Flash和来自微软的Silverlight

    • 4.8.5.2. 两个超级cookie都不会过期

    • 4.8.5.3. 通常删除它们是安全的

4.9. Evercookie

  • 4.9.1. 将cookie数据保存在Windows操作系统上尽可能多的浏览器存储系统中,从而实现了这种顽固性

5. 社交网站中的陷阱

5.1. 手机也躲不开企业的跟踪

5.2. 附加代码的问题在于用户未被告知相关情况

5.3. 卸载工具栏

  • 5.3.1. Facebook和谷歌一样,想要关于你的数据

    • 5.3.1.1. 可能不会正大光明地索取,而是想方设法得到

  • 5.3.2. Facebook还以“没有行业共识”为由,故意不遵守Internet Explorer发出的“请勿追踪”信号

  • 5.3.3. Facebook的跟踪器都是经典类型:cookie、JavaScript、单像素图像和iframe

    • 5.3.3.1. 能让目标广告商扫描并读取特定的浏览器cookie和跟踪器,从而在Facebook网站内和网站外提供产品、服务和广告

  • 5.3.4. Chrome的Facebook Disconnect和Adblock Plus的Facebook Privacy List

    • 5.3.4.1. 插件工具的目标是让你能控制你在Facebook和其他任何社交网络上分享的内容,而不是迫使你坐在一个次要位置上,让你使用的服务主宰你的各种事物

  • 5.3.5. 移除工具栏的最佳方法是卸载它,就像在你的传统个人电脑上卸载任何程序一样

    • 5.3.5.1. 有些最顽固的工具栏可能会要求你下载一个移除工具,而且这个卸载流程往往会留下很多信息,足以让相关的广告代理商重新安装它

  • 5.3.6. 安装新软件或更新已有的软件时,要注意所有的勾选框

    • 5.3.6.1. 如果你一开始就不同意安装这些工具栏,就能避免很多麻烦

5.4. 会泄露你永远不打算公开分享的关键个人信息的往往是一些小事物

  • 5.4.1. 在这里或那里发布的奇怪评论

  • 5.4.2. 一张照片中你身后架子上的小摆设

  • 5.4.3. 你曾经参加过的一个营地活动的T恤衫

6. 指纹跟踪

6.1. canvas指纹跟踪

  • 6.1.1. 一种让人毛骨悚然的网络跟踪工具

  • 6.1.2. 跟踪会使用HTML5 canvas元素来绘制简单图像

  • 6.1.3. 图像的这种绘制过程发生在浏览器内部,你没法看到,但发出请求的网站可以看到绘制的结果

  • 6.1.4. 当你的硬件和软件结合,组成浏览器所使用的资源时,它将以特有的方式对图像进行渲染

    • 6.1.4.1. 图像可能是一系列各种各样的彩色图像,渲染之后会被转换成一个独特的数字,大致就像密码一样

    • 6.1.4.2. 这个数字会被用于与互联网中其他网站上看到的该数字的先前案例进行匹配

  • 6.1.5. 数字就是canvas指纹,它可以在返回任意请求它的特定网站时被用于识别你的浏览器

    • 6.1.5.1. 即使你已经移除了所有cookie或屏蔽了未来的cookie安装也无济于事,因为这使用了HTML5本身内置的元素

6.2. canvas指纹跟踪是一种伴随式的过程

  • 6.2.1. 它不需要你点击或做任何事,只需看一个网页,它就会自动完成

6.3. 屏蔽它的浏览器插件

  • 6.3.1. 火狐浏览器有CanvasBlocker,谷歌Chrome有CanvasFingerprintBlock

6.4. Drawbridge、Tapad及甲骨文旗下的Crosswise这类公司将网络跟踪向前推进了一步

  • 6.4.1. 宣称拥有可以跨多台设备跟踪你的兴趣爱好的技术,能够跟踪你仅在手机和平板电脑上访问过的网站

  • 6.4.2. 不同设备之间的匹配越好,意味着越有可能是同一个人在同时使用这两台设备

  • 6.4.3. Drawbridge、Crosswise和Tapad则没有把禁用和删除过程做得那么明显,或者可能干脆就没有

7. 信用卡

7.1. 信用卡公司肯定会在网上跟踪我们

7.2. 有一种方法可以避免使用Tor时的这种麻烦,即安装torrec配置文件,以使用位于你本国的出口节点

  • 7.2.1. 能让信用卡公司满意

  • 7.2.2. 一直使用同一个出口节点可能最终会暴露你的身份

  • 7.2.3. 有一些严肃的猜测表明,某些机构可能控制着一些出口节点,所以使用不同的出口节点是合理的

7.3. 另一种不留痕迹地进行支付的方式是使用比特币,这是一种虚拟货币

8. 比特币

8.1. 比特币是一种算法,让人们可以创造他们自己的货币—用比特币的术语来说是挖矿

8.2. 在任何一天里,比特币的数量都是有限的,而这是消费者信心之外又一个影响其价值的因素

8.3. 每个比特币都有一个加密的签名,可用于确认它是原始的且独特的

8.4. 你可以与人面对面地购买比特币,也可以使用预付费礼品卡在网上匿名购买,或者找一个没有监控摄像头的比特币ATM购买

8.5. 可以将这些比特币放入所谓的混桶(tumbler)中

  • 8.5.1. 混桶会从你、我和随机选择的其他人那里各取一些比特币,将它们混合在一起

  • 8.5.2. 能留下这些币减去混合手续费之后的部分

  • 8.5.3. 与其他人的币混合后,每个币的加密签名可能不一样了

    • 8.5.3.1. 这样就在一定程度上实现了该系统的匿名化

8.6. 交易将在被称为区块链的公共账本中进行验证,并通过IP地址进行确认

8.7. 和信用卡不一样的是,比特币不允许退款或赔付

8.8. 比特币现在已经变成了互联网上标准的匿名货币

9. 硬件

9.1. 硬件方面的内容既可以用于在互联网上找到你,也可以用于在互联网上隐藏你

9.2. 最重要的是要下载最新的固件(安装在硬件设备中的软件)​

9.3. 所有无线路由器都会默认广播所谓的服务集标识符(SSID)​

  • 9.3.1. 向世界广播默认的SSID也许可以掩盖该Wi-Fi信号实际上来自某个特定家庭的事实,但也会让街上的人知道你拥有的路由器的确切品牌和型号

  • 9.3.2. 可以选择完全隐藏你的SSID

    • 9.3.2.1. 其他人就没法在无线网络连接列表中轻易看到它了

9.4. 访问路由器很容易,用你的互联网浏览器就可以

  • 9.4.1. 互联网上也发布了一个默认登录信息的列表

9.5. 关闭路由器上的WPS功能

  • 9.5.1. 为了能轻松地将任意新设备连接到家庭路由器,旨在传播Wi-Fi技术应用的组织Wi-Fi联盟(Wi-Fi Alliance)创造了Wi-Fi保护设置(Wi-Fi protected setup,简称WPS)​

  • 9.5.2. WPS的形式通常是路由器上一个可以按压的按钮

  • 9.5.3. 其他方法包括使用PIN码和近场通信(NFC)​

  • 9.5.4. 只要你激活了WPS功能,它就能与你家里或办公室的任何新设备通信,还会自动同步这些设备以使用你的Wi-Fi网络

  • 9.5.5. 即使没有实际接触,网络攻击者也可以通过暴力破解猜测你的WPS PIN码

  • 9.5.6. 被称为Pixie Dust的WPS攻击方法

    • 9.5.6.1. 一种离线攻击,而且只对几家芯片制造商的产品有效,其中包括雷凌(Ralink)​、瑞昱(Realtek)和博通(Broadcom)​

    • 9.5.6.2. Pixie Dust可以帮助黑客获取无线路由器的密码

  • 9.5.7. 应该关闭WPS,你仍然可以通过输入你设置的用于接入的密码,来将每台新的移动设备连接到你的网络

9.6. 在你的网络摄像头上贴上胶带

  • 9.6.1. 恶意软件可以很轻松地在用户不知情的情况下激活传统个人电脑上的网络摄像头和麦克风,在移动设备上也是如此

9.7. 不只是你的笔记本电脑会受害,电子邮件触发的攻击也可以作用于越狱的iPhone或安卓设备

10. 无线加密

10.1. 在默认情况下,它们通常没有被启用

  • 10.1.1. 并非所有无线加密都是平等创建的,也不是所有设备都支持这种形式

10.2. 最基本的无线加密形式是有线等效保密(WEP)

  • 10.2.1. WEP多年前就已被破解

10.3. Wi-Fi保护接入,即WPA

  • 10.3.1. WPA2还要更加安全

10.4. 启用WPA2意味着当你连接到你的笔记本电脑或移动设备时,你也需要将它们设置成WPA2

10.5. 更进一步,仅允许你指定的设备连接到Wi-Fi

  • 10.5.1. 白名单

  • 10.5.2. 通过这种方式,你可以让一些设备有访问权限,并禁止其他设备接入(设置黑名单)​

10.6. 每台设备的MAC地址都不同

  • 10.6.1. 一款名叫aircrack-ng的黑客工具可以显示当前连接用户的授权MAC地址,攻击者可以伪造这个MAC地址来连接这个无线路由器

  • 10.6.2. 和隐藏的无线SSID一样,绕过MAC地址过滤是一件轻而易举的事情

11. 欺诈

11.1. 和隐私一样,欺诈是难以量化的,标准因人而异

  • 11.1.1. 我们并不总是能识别出欺诈,即使它就发生在我们眼前

11.2. 广告商可以使用这种网络信标收集关于收件人的信息,并因此得到档案

  • 11.2.1. 攻击者则可将其用于获取他们设计下次攻击所需的技术细节,其中会包含一种进入你的计算机的方法

11.3. 鱼叉式网络钓鱼

  • 11.3.1. 专门针对特定个人设计的

  • 11.3.2. 网络钓鱼是一种试图获取用户名、密码和信用卡或银行信息等高度机密信息的犯罪欺诈过程

  • 11.3.3. 更让人担忧的网络钓鱼攻击是欺骗目标执行某个动作,这个动作会直接利用他的计算机,从而让攻击者获得完全的控制权

  • 11.3.4. 另一种流行的攻击方式是凭证采集(credential harvesting)​,其目标是获取一个人的用户名和密码,但鱼叉式网络钓鱼的真正危险是取得目标计算机系统或网络的权限

11.4. 极光行动(Operation Aurora)

  • 11.4.1. 可能是最著名的网络钓鱼案例之一了

  • 11.4.2. 在这一事件中,谷歌公司的一位中国雇员收到了一封网络钓鱼电子邮件

  • 11.4.3. 目的是感染谷歌在中国的机器,从而进入其位于加利福尼亚州芒廷维尤的全球总部的内网

  • 11.4.4. 这件事让攻击者与谷歌搜索引擎源代码的接近到了非常危险的程度

  • 11.4.5. 谷歌并不是唯一的受害者

    • 11.4.5.1. Adobe等公司也报告了类似的入侵

11.5. 不要回应任何想要你个人信息的请求,即使它们看起来值得信任

  • 11.5.1. 应该用另一个电子邮箱(如果你有其地址)或短信(如果你有其手机号码)联系该请求者

12. 勒索软件

12.1. Cryptowall就是其中一例,它会加密你的整个硬盘,将你锁在你的每个文件之外

12.2. 偷渡式(drive-by)攻击,因为你实际上并没有点击这个广告

12.3. 加密非常强,破解它需要非常强大的计算机和很多时间,这超出了大多数人的能力范围

posted @ 2025-12-12 07:10  躺柒  阅读(0)  评论(0)    收藏  举报