形影不离:谁在互联网上追踪我们

一旦用户浏览类似于笔记本电脑或炖锅等商品,以后每次打开浏览器,相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广:大量追踪用户在线活动的合法方式。今天,我们将教会您如何摆脱这些最常见的已知追踪者。 谁在监视我们? 这个问题的答案即简单又复杂:基本上来说,每一个人都有嫌疑。 用户受到几乎所有流行资源的追踪,但广告网络服务首当其冲;最流行的广告网络服务包括:Google关键字广告(双击)、Oracle Bluekai、Atlas Solutions(隶属于Facebook的一个事业部)以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。 社交网络同样不甘落后。流行的视频分享网站(例如:YouTube)、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动;如今,所有网站均采用流行网络服务提供的按键或窗体小部件,从而实现对用户的进一步追踪。 追踪方法 追踪的方法有许多。许多网站均具备获取基础用户数据的能力:浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后,广告商完全能仅凭这些信息为用户量身定制广告方案。 Cookies是在浏览会话结束后保存的小文件,里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符,重复最多的Cookies被用于追踪用户并收集相关数据。 正如我们所注意到的,社交网络按键是一种功能强大且使用方便的追踪工具:此外,与普通网页恰恰相反的是,社交网络是通过你的名字了解到你,因此能够收集到很大一部分的额外数据。 另外还有一些不太常见的追踪方法,且适用范围有限。例如,Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。 追踪对于用户而言有何危害性? 我们对广告商所积累的数据类型和容量几乎一无所知;你永远无法弄清其中的真相,而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。 在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视,但依然有一个始终缠绕心头的问题摆在我们面前:谁可能想要得到互联网公司苦心收集(无论是出于善意的还是恶意的)的庞大数据量? 没有任何证据表明这些信息被安全地保存:成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来,抵制互联网公司再如此肆无忌惮地收集您的信息。 保护方法 其实也有一种万无一失的方法:关闭自己的PC电脑并将它锁在一个安全的箱子里。 首先,更改一些浏览器的设置。你可以有效避免被追踪;如此,浏览器将会通知网络资源你不想共享用户数据,并打上一个大大的”标题”:请勿追踪。这一方法的前提是追总代理足够诚实,因此其有效性依然打上了一个问号:许多网站通常都会忽略”请勿追踪”。 此外,用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能,并对SSL证书强制检查。 阻止第三方cookies(广告网络cookies,而非你的网站cookies)也同样非常重要。考虑到这一点,你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies,因此需要启用一次性验证且保持不变。 如今的浏览器均提供单独窗口的无痕浏览功能:一旦被关闭后,会话上的所有数据均会被清除,因此大大加大了追踪的难度。使用这一模式,你可以轻松浏览所有网站而无需任何验证。 此外,还可通过请求式的插件激活功能摆脱追踪(通过点击启动Adobe Flash等)。当然也不要忘了清除浏览器中的高速缓存内容。 另外,最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。

一旦用户浏览类似于笔记本电脑或炖锅等商品,以后每次打开浏览器,相关的网店广告将从此形影不离。这正是所谓的”上下文广告”推广:大量追踪用户在线活动的合法方式。今天,我们将教会您如何摆脱这些最常见的已知追踪者。

谁在监视我们?

这个问题的答案即简单又复杂:基本上来说,每一个人都有嫌疑。

用户受到几乎所有流行资源的追踪,但广告网络服务首当其冲;最流行的广告网络服务包括:Google关键字广告(双击)、Oracle Bluekai、Atlas Solutions(隶属于Facebook的一个事业部)以及AppNexus等等。这些网络服务都受到类似于存取计算器和其它网页分析工具的追踪。

社交网络同样不甘落后。流行的视频分享网站(例如:YouTube)、AddThis社会性书签服务以及评论Disqus插件同样也在密切追踪用户。而社交网络并不仅仅只追踪你在评论墙上的活动;如今,所有网站均采用流行网络服务提供的按键或窗体小部件,从而实现对用户的进一步追踪。

追踪方法

追踪的方法有许多。许多网站均具备获取基础用户数据的能力:浏览器会自动泄露你的IP地址、软件版本信息或所用显示器分辨率等内容。将所有各种看似无关的信息整合到一起后,广告商完全能仅凭这些信息为用户量身定制广告方案。

Cookies是在浏览会话结束后保存的小文件,里面含有验证信息、系统预设以及经常访问的网站板块等。凭借每一名用户的唯一识别符,重复最多的Cookies被用于追踪用户并收集相关数据。

正如我们所注意到的,社交网络按键是一种功能强大且使用方便的追踪工具:此外,与普通网页恰恰相反的是,社交网络是通过你的名字了解到你,因此能够收集到很大一部分的额外数据。

另外还有一些不太常见的追踪方法,且适用范围有限。例如,Adobe Flash插件部署了能存储可追踪的”局域对象”的系统。一台PC电脑还可通过高速缓存浏览器内容被识别出来。其实这样的方法还有很多。

追踪对于用户而言有何危害性?

我们对广告商所积累的数据类型和容量几乎一无所知;你永远无法弄清其中的真相,而用户协议的真实法律效力也无从考量。对此你只能大概地去猜测。

在线追踪根本与其表面看似的无关联性可谓大相径庭。尽管在互联网上的一举一动都受到监视,但依然有一个始终缠绕心头的问题摆在我们面前:谁可能想要得到互联网公司苦心收集(无论是出于善意的还是恶意的)的庞大数据量?

没有任何证据表明这些信息被安全地保存:成千上万用户登陆凭证遭泄的大型隐私外泄事件常常成为各大报刊的头版头条。这也是为什么每一名用户都应该行动起来,抵制互联网公司再如此肆无忌惮地收集您的信息。

保护方法

其实也有一种万无一失的方法:关闭自己的PC电脑并将它锁在一个安全的箱子里。

首先,更改一些浏览器的设置。你可以有效避免被追踪;如此,浏览器将会通知网络资源你不想共享用户数据,并打上一个大大的”标题”:请勿追踪。这一方法的前提是追总代理足够诚实,因此其有效性依然打上了一个问号:许多网站通常都会忽略”请勿追踪”。

此外,用户必须禁用自动扩展安装并启用阻止可疑网站和弹出窗口的功能,并对SSL证书强制检查。

阻止第三方cookies(广告网络cookies,而非你的网站cookies)也同样非常重要。考虑到这一点,你应该能想到广告网络正是凭借几种成熟的追踪技巧转移第一方cookies,因此需要启用一次性验证且保持不变。

如今的浏览器均提供单独窗口的无痕浏览功能:一旦被关闭后,会话上的所有数据均会被清除,因此大大加大了追踪的难度。使用这一模式,你可以轻松浏览所有网站而无需任何验证。

此外,还可通过请求式的插件激活功能摆脱追踪(通过点击启动Adobe Flash等)。当然也不要忘了清除浏览器中的高速缓存内容。

另外,最后请拒绝一切搜索面板、搜索助手和安装浏览器时提供的其它扩展–这些是需要用户同意后才能安装的合法间谍软件。

量子塑料卡片:洞察未来信用卡趋势

在我们最近的一篇博文《银行卡欺诈:针对ATM机的犯罪活动》中,我们介绍了”盗读者”们如何通过其独特的犯罪手段轻松窃取我们的卡内资金。这一犯罪活动之所以依然猖獗的主要原因是:银行仍然使用的是上世纪70年代的银行卡安全系统技术。卡内磁条上的数据以’纯文本’的形式编写,而PIN码只是一段很短的安全数字,因此非常容易被盗。而最关键的问题是,这是唯一保护您银行账户的安全措施。 毋庸置疑的是,金融业每天都因各种欺诈活动而遭受巨额的资金损失,因而他们正不遗余力地部署更为先进的交易安全技术。 到目前为止,最成功的技术非启用芯片的银行卡(或被称为EMV卡)技术莫属。随着欧洲和加拿大大范围采用这一技术,这些地区和国家的复制卡犯罪案数量得以大幅下降。使用读卡器的”盗读者”们不得不转战EMV卡还未普及使用的美国和亚洲地区,以寻求作案机会。 然而,先进的EMV系统可能会对银行卡保护起到一定作用,但并非是理想选择也无法保护任何所能想象到的威胁—假设盗读技术依然不断得到发展和进步。在不久的将来,最大的可能性是我们使用不同类型的银行卡。 那未来到底会有哪些类型的银行卡呢?让我们共同一探究竟。 密码和回答 最先想到的解决方案是再加一层安全保护—比如广泛运用于互联网的双重认证方法。 当在线支付时,除了银行卡背面的CVV2安全代码以外,持卡人还需输入随即生成的密码:以短信形式发送到手机的、ATM打印的或由银行授权硬件工具生成的代码。如果涉及金额很大的话,双重认证还可以被用于离线交易。 带集成显示屏的银行卡就部署了类似的认证方法。此类情况下,常规信用卡也可配备内置微型计算机(包括LCD显示屏和数字键盘)。除了生成一次性密码以外,还可显示账户余额和历史交易记录等内容。 尽管首张交互式银行卡早在5年多前就已问世,但仅有欧洲、美国和亚洲发达国家的特定几家银行可向客户提供。 按需”生成”磁条 一家美国公司Dynamics研究出了一项更为奇特的解决方案。就表面意思来说,该卡内的确没有固定的磁条。所谓的”磁条”由该卡内的硬件按需动态生成,而用户首先需要通过卡上集成键盘输入密码。 如果你碰巧忘记了密码,则磁条将无法生成,造成交易也无法进行。此外,该卡也没有通常的16位数卡号:一部分位数并未直接印刻在塑料卡片上,而在输入密码后显示在卡上的微型显示屏上。 指纹确认交易 密码可能是保护自己银行卡的强大武器,但对于健忘且无法保密的人而言几乎毫无用处。我们都听说过这样的故事:”聪明过头”持卡人将PIN码写在卡片上,随后就连卡一起丢失了。 基于生物统计的验证方法可以彻底解决这一问题。一家总部位于挪威的公司Zwipe与万事达卡合作,目前正在试验以确定在信用卡上集成指纹扫描器的可能。一旦成功推广的话,以后确认交易只需将手指按在卡上接触片即可确认交易。 量子技术将大有可为 尽管已研究了数十载,但完全可操作量子计算机仍然遥不可及。但希望依然存在:量子技术的某些功能可用来创建无法伪造的标识符。 来自屯特大学和埃因霍芬理工大学的荷兰研究人员计划将基于量子的安全系统理念运用于信用卡和个人证件上。尽管这项技术依然停留在实验室试验阶段,但基于量子的安全系统的模型目前正在开发之中并有了正式的名字-量子安全认证(QSA)。 一张普通塑料卡片的一小部分涂有一层非常薄的氧化锌(又称”锌白)。随后再小心地对该部分进行激光光子扫射。当射到纳米粒子时,光子会在氧化锌层内部随意反射。这一过程能够改变粒子层的光学性质,进而形成一个独一无二的秘钥。 任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 如果有人对此类银行卡发射一系列激光脉冲(例如:’提问’),他们会收到一个确定的反射模式(例如:’回答’)。独一无二的’提问-回答’组合包被保存在银行数据系统内,并被用于验证秘钥。 犯罪分子将无法在交易过程中拦截提问-回答组合包。任何尝试潜入系统的其它探测器将破坏至少一部分光子的量子状态,并导致攻击者的整个入侵过程以失败而告终。 无论采用何种方式入侵该安全系统,伪造的银行卡必须大小完全一样,此外也必须满足位置和纳米粒子其它参数上的一致,如此才能保持和原卡的精确一致。但由于工艺实在过于复杂因此在实际操作中根本不可行。 QSA开发人员表示,尽管这一技术理念看似复杂,但完全可以利用现有的技术和方法,因此要部署这一技术相对简单且价格低廉。 快中有慢 银行立刻部署上述安全系统的可能性很小。金融业通常都相当保守,且真正大规模部署该项新技术需要耗费巨额成本。 考虑到这一点,我们相当确定支付方法创新将首先出现在非银行类的服务中:例如,类似于已为人们熟知的Apple Pay或Google Wallet的新支付系统;或像Coin、Wocket和Plastc这样前途光明的”黑马”(我们将在以后与您分享有关它们的故事)。

提示