本鱼拟成立工作室承接项目开发/软件定制/云设施开发运维/办公设备技术支持等,如您有相关需求,欢迎来询 | ::博客文章推荐::

关于315晚会中IT重灾区的一点碎碎念

: 网络/NET 木魚 10431℃ 24评论
话说由于国内基本上找不到啥有良心的企业,所以我并没有对315晚会产生啥兴趣,更不要说根本不明白为毛要搞一个晚会来发布了……理论上监察不应该是放在平时么?但是由于传闻在晚会上IT业成了重灾区,更有同学在群里面开始问肿么禁用Cookies,所以我带着很大的耐心围观了下晚会的完整版……
好吧,对晚会歌舞不做评价,对是不是假唱不做评价,对和IT无关的内容不做评价……整个晚会中涉及到IT的一共有三块内容,放在等号后面,分别是电信运营商的广告、安卓手机的隐私问题以及牛得一塌糊涂的Cookies。

① 运营商的广告

这个没啥好说的,确实如此,不过看地区,也不一定会很严重,有些地区会很严重。
这种广告常见的形式是,当你每隔一段时间(比如一天)第一次打开一个网站的时候 ,网站的右下角往往会有弹窗广告,内容可能会乱七八糟;或者你第一次打开这个网站的时候看到的一个标题不怎么对的网站,然后有些奇葩的行为,总之不怎么对就是了。一般的人看到的时候当然第一反应是这乃网站加的广告,于是无辜的网站躺枪。比如目前浙江这块的移动宽带基本上会挟持的是百度,其它的没怎么见干扰。

电信运营商的投放行为基本上是破坏原本的网页代码。破坏的方式主要有两种,一种是强行在原网站的页面后面或前面加上自己的广告代码(一般后面,因为前面的副作用太大。话说电信运营商的口味真重……),一种是干脆替换原网站的内容为自己的广告页面,然后把原网站的页面作为一个里面嵌入的子页面。 

对于这样的广告行为没啥好办法拦截。如果你实在受不了的话,打电话投诉,走运的话他们会把你的用户加入白名单里面 ,不再推送。
不过建议同时在自己的本机hosts里面ban掉所有常见的广告域名,这样就算被挟持也没关系,看不见广告。
怎么ban?这是个技术问题,这里不做深入。

② 安卓系统

智能手机掌握的资料越来越多后,难免会沦为个人的重灾区(当年的陈冠希修电脑修出大事儿,相信我,如果修他的iPhone一样会修出大事儿)。

但为啥安卓手机被单独拎出来说了?因为太普及了,太开放了。水果的iOS限制非常严格,软件安装限制太多,官方又有严格的审核策略,相对来说问题就不是那么多。 
在315晚会中提到的泄漏的隐私主要分为那么几类,一种是基本信息,如手机串号;一种是状态信息,比如通话状态,电源状态,GPS位置等;一种是个人资料,比如通讯录,发短信短信箱,打电话等等。

在安卓手机中,有个权限的概念, 任何应用要进行什么操作,都需要在安装时申请权限,比如要读通讯录,发短信,看短信等等,都要申请过系统才会允许。但为什么还是成为重灾区了?因为默认的申请是在安装的时候,不同意没法安装,大部分人也都不会看这些权限,更看不懂,想想安装软件的许可协议有几个人认真看过就知道了。

拥有这些权限,应用就真的可以查看联系人并上传了。不过根据我的经验,真正会申请联系人权限短信权限的应用不是那么多,所以我对央视晚会上说得那么严重还是颇为怀疑的,当然这可能和我安装的应用类型有关系。虽然我装了270+的应用,但基本上都是常用的,不会装什么乱七八糟的东西,所以不要装些莫名其妙的应用是上策啊。

只不过说起这些权限,也大可不必谈虎色变。
手机串号等基本信息通常会用来识别用户的,标记唯一用户好做统计或为你记录些数据,通常从串号也能分析出手机的厂家一些信息,但是这些和个人隐私并没有太大关系,可能可以算做是一种没有经过你同意的市场调查吧。所以这项权限,大可不必在意。
状态信息比如通话状态,往往被一些需要涉及声音的应用使用,比如播放器(视频或音频)、语音导航等等,他们往往会设计为在来电时自动静音,通话完毕后自动继续,所以大可不必紧张。想想也知道,你是不是在打电话对他们来说并没有什么意义,你又不是什么重要人物,真是重要人物应该上窃听器了不是。因此,通话状态这种权限不必太在意。
网络位置,GPS位置,这种权限……理论上来说确实是可以随时知道你的大概或精确位置,不过不用太过于担心,因为除非是你的小气男(女)友偷偷装上监视你位置的,否则这种一般不会太危及你的安全。会有这种行为的应用一般有两种,一种是确实需要用到的,比如地图软件、导航软件、团购软件(识别你的地区)、天气类应用(识别地区)、出行相关的(如查票应用等);一种是完全没有关系的,比如本身只是个讲笑话的却要识别位置,通常这是因为内部植入了广告代码,这些广告代码会根据你的地区来进行更精准的广告推送……当然,他们会不会统计地区的用户数,就只有他们自己知道了。因此,对于这项权限,根据应用的类型来决定是否允许。
读取通讯录和发送短信,这个权限比较敏感,应小心,并且绝大部分情况下应当禁止。哪些应用会需要这些权限呢?比如通讯录类的(QQ通讯录等等),系统备份类的(如同步软件),手机助手类的(如腾讯手机管家),SNS社交类的(如微信会根据通讯录推荐好友), 输入法(如百度输入法会把通讯录当词库),网银或网上购物类的(激活或读取手机号,发送验证短信等)。除此以外的都应当禁止。

好吧,上面说了一堆,怎么禁止或允许?答案是Root。
国内的山寨机实在太多。为了避免各种坑,第一项建议就是,不要买那些乱七八糟只要799的手机。然后一定要Root,卸载自带的各种乱七八糟的应用,如果有的话。第三个,就是一定要装上手机安全软件,如LBE安全管家,它会在应用要读取敏感信息的时候都通知你,并允许你选择是否允许,当然一定要配置好,虽然默认的配置可能就够用了。
这样做的好处还有附加的,就是控制后台自动运行的应用。十个安卓应用五个都会自动启动搁后台跑,耗电耗流量拖累手机速度。安全软件基本上都具有这种控制功能,所以保护你的安全的同时也能提高手机速度,节约电池,虽然宅男不怎么费电只是费纸。

值得一提的是,有很多第三方的手机系统,自带的固件是具有安全控制功能的,比如MIUI固件(小米手机用的)自带了自启动管家和隐私保护,而魅族的FLYME则自带了隐私保护。如果你不会Root或什么控制的话,购买这样的手机也许是不错的选择。

下图是MIUI固件的自带管理应用,『自启动管理』是控制允许自动运行的应用的,而『授权管理』则是控制隐私的。

 

图片

 
在授权管理中,可以看到如下的各种权限:
 

图片

 
从上图可以看到,需要手机识别码(串号)的应用真是十分之多,好在如上所说,并不需要十分在意。而定位……好吧,如今带有广告的应用实在太多了。
至于其它的敏感状态资料……比如通讯录联系人啥的,一定要小心啊~~~

魅族FLYME的呢?下图不就是咯。
 

图片

 
看到这幅截图,我突然意识到……这些个游戏为嘛儿要读取联系人?有问题……所以全部不允许。
 

图片

 
如果没有设置过,FLYME会在第一次使用的时候问你是否允许。当然你要做好选择了……
 

图片

 
LBE的控制相对来说更全面,比如它可以和MIUI中的授权管理一样管理各种权限。其实MIUI中的授权管理就是LBE提供的技术支持。
 

图片

 
LBE可以设置为允许、禁止,或每次询问。
 

图片

 
LBE询问的时候就会这样了……
 

图片

 

PS。很多人都厌恶安卓的下拉栏广告,对付这种东西呢,很多途径。一是禁止这类挂广告软件的自启动;二是用一些管理应用(如LBE)禁止这些广告;三是用辅助工具(如广告走开)从系统层面封掉这些广告网站。

考虑到智能手机基本上就是个小型电脑了,如果你要管理起来实在力不从心而又确实比较担心安全问题……个人推荐你还是最好用诺基亚的平板机吧,功能越少越安全。

③ Cookies

好吧,如果说前面两个说得还是那么回事儿,那么这个我就真的无力吐槽了……神化的Cookies。。 

什么是Cookies?是网站记录在本地用来为你记录一些信息的手段。它是网络身份证吗?当然不是,你可以随时清理,每次访问都可以不一样,不同浏览器都不一样,如此高度不统一的东西,能当身份证使吗?

Cookies里面一般记录了什么东西?一般记录了你的登录身份,一些临时的个性化资料,以及一些访问统计。一般网站会用Cookies记录你的访问痕迹,比如你在论坛哪些主题看过了。一些你的登录资料,比如你当前登录的身份标记。一些第三方资料,大多为访问统计。

在说相关问题之前,我们需要明确一个事实。就是Cookies里面到底保存了什么?我终于可以开喷了,315晚会里面的人就是在扯淡。
Cookies不可能保存你的用户名密码。这么说不确切,但是的确没有哪家网站会把你的用户名密码保存在Cookies中,这是极其危险的作法,也不可能被正规的网站所采用。Cookies记录了你的IP、MAC?不会的,IP无从记录,只要你上网服务器就知道你的IP,否则怎么给你显示网页?MAC地址则是根本和Cookies无关的东西,没有哪家网站会在Cookies里面记录这种无聊的东西。
至于你的性别文凭手机号银行卡……嗯,听起来很吓人,但我真的连喷都不知道怎么喷了,这么扯淡的玩意儿不知道怎么被编出来的。如果有人非说这个有风险,那么还请先告诉我一下,一个浏览器是怎么知道我的身份证号的。 

Cookies到底可以做什么?承接之前说的网站为你记录一些信息为你服务之外,对于第三方有什么意义吗?在这个之前,我们需要先明确在浏览器中关于Cookies的安全策略。
在浏览器中,Cookies是分站点的,这个无论是基于浏览器的还是flash的都是如此。也就是说,A网站写入的Cookies,B网站是无法读取的,这是浏览器的安全限制决定的,无法突破。flash的Cookies突破的只是禁止Cookies而已,这种安全策略是无法突破的。
有什么方法可以全局读取Cookies吗?有,电脑上的软件,比如360安全卫士神马的。

上面说的A网站和B网站,可能过于笼统。因为细化之后,涉及到一些技术细节,第三方是可以读取的。这里说的可以读取是指,第三方需要把自己的网页或脚本等程序化的东西放到A网站下运行,这时他就可以读取A网站写入的Cookies,并发送给自己。
也许有同学说,这不就对了吗,他可以读取到A网站的Cookies发送给他们自己的服务器,这不就泄漏了吗。这里的发送给他们自己的服务器是否是泄漏?这需要我们定义泄漏的含义。

这里的隐私泄漏是否指的是『我的当前浏览行为应当受保护、没有任何人知道我看过这个页面?』
可惜这只是一个伪命题,因为当你看的时候,服务器就肯定知道你看过了,服务器都会有访问记录。所以我们这里把隐私定义为,『通过连续的行为跟踪,得到日常的使用习惯,并将这种习惯明确地和个人身份绑定到一起』。

通过对Cookies的连续跟踪,他们到底能知道什么?他们可以知道这些东西:

  • 这台电脑的这个浏览器,都在当前网站上看过哪些东西,看了多久;
  • 这台电脑的IP是多少。由于IP分配有规律,因此可以知道你的大概区域;
  • 你是从哪个网站点链接过来的,比如你是从百度搜索过来的;
  • 你是什么时候看的

除此之外,任何信息都无从获得。这也是绝大部分网站统计的基本原理,统计访问量和区域分布。
而且。他们有办法把所有的访问记录和你的个人联系起来吗?这是没有办法联系的。除非你的上网IP是非常固定的(比如企业用户,IP很固定),可以把浏览行为直接和你的IP关联起来之外,针对绝大多数的宽带用户,每次上网的IP都不一样,就算同一个IP可能还有不同的用户,从A网站到B网站是毫无关联的(Cookies没记录唯一信息,无法跨网站访问,无法关联),他们无从知道这是同一个人在访问。所以,网站访问统计而已,不用太去在意,觉得上个网就把自己身份证号暴露给别人了。真要这么担心,不如去担心自己公司的网管,他们想看还更容易一点。
而且上面说的只是上网的浏览记录,身份证号手机号什么的……别开玩笑了,要是真这么简单只是一个潜规则的事情,所有公司的市场部都笑了。 那些被采访的公司的保证,不过就是个虚伪广告而已。至于镜头里面的IP地址和网址……这能代表什么吗?有本事让他们说下每个IP对应的是哪个人再说。九亿的Cookies。可惜一般一台电脑就有成百上千个Cookies,每个网站一个,难道他们以为九亿的Cookies就是九亿网民吗。说实话我还真是头回听说九亿Cookies这种概念……到底是有多外行的客户才会被这噱头蒙到。

相比而言,网警什么的这些国家控制的监察机构想查你更容易。泄露隐私?跟他们讨论去吧,在他们眼中你就是木有隐私的。315这晚会借Cookies发挥实在太外行了,不过他们本来就是外行的。 
当然,如果你觉得你看过这个网页被他们记录下来了,哪怕是个IP都很不爽的话……那你真的就只能放弃网络了,因为你这是搁台下看别人的戏还指着人家看不到你呢……

如果你真的非常纠结,一定要灭掉什么flash的Cookies的话,那么下面这幅图可以帮你。
 

图片

 
PS,第三方到底有没有办法盗窃你的个人信息?有,通过非法手段,不正当的脚本来窃取你的信息,但这已经是黑客攻击了,属于违法的事情,遇到的时候应该报警,而不是在315上投诉。那些传媒公司到底能搞什么?根据你的区域和你当前访问的网站,为你更精准地推送广告,相当于淘宝的『猜你喜欢』,完毕。

④ 网易中枪了?

没错,网易中枪了,因为他们华东销售的对着外行的门外汉大说实话,然后被扣上帽子了。

针对邮件内容的分析然后定投广告,这在商业领域其实是比较普通的事情,谷歌也是这么做的。关键在于,这个分析必须是机器分析,不得是人为的;邮件本身的内容不应该被提取或分析。有这两条保证,这其实只是一件商业上的事情,并算不得泄露隐私。当然,网易有没有做到这样,那是他商业公司的事情了,外面的人谁知道呢。

其实如果非要这样说的话,绝大部分公司的都应该被质疑。网易邮箱拦截了广告邮件,是否是因为它看了邮件内容?它拦截了病毒邮件,是否是因为它看了邮件内容?QQ邮箱会不会过滤广告?QQ邮箱会不会拦截病毒邮件?QQ邮箱还会自动帮我归类标记呢,你们咋不说了呢。你们开晚会还用微信呢。微信还会主动为我保留信息呢,腾讯到底有木有后台审查到底有木有给网警去审查,老鬼知道啊?!
QQ发信息为啥有时候会被系统拦截,是否是因为你发的每条消息都被他们看过?我发条微博,系统提示包含不合法词汇,是不是被他们扫描了?论坛发个贴子提示等待审核,类似的机器扫描太多太多了,几乎涉及到方方面面,如果你真的非常介怀,那么就放弃网络吧。

所以,这么一件普普通通的事儿,撑死了你批评网易自动附加广告不地道,也没必要把任何一个公司和网站都在做的事儿放在他那儿就算摊上大事儿了吧。难道真的是因为没交保护费?

最后PS,咋这破晚会一点食品安全都没有提到啊?这人命关天的大事儿,怎么净是些鸡毛蒜皮的事情。 
三一五打假。喂,你们从内部打起吧。 

本日志备份自 QQ 空间,原文地址:http://user.qzone.qq.com/286495995/blog/1363456899

喜欢 (2)
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(24)个小伙伴在吐槽
  1. 使用过

    360安全卫士

    金山手机卫士
    金山手机毒霸

    MIUI自带 授权管理、自启
    LBE安全大师
    飘过………………………………

    本人表示 坚决不使用 腾 讯 的 手 机 管 家

  2. 这么长,严重没耐性看完啊~~你上次帮我整的LBE和一键清理真好用~~

    果丁布冻2013-03-18 08:19 回复
  3. 就是台破晚会,你认真就败了啊,不过这晚会是越办越低下了,导演的IQ不够用了啊

    彭世兴2013-03-18 07:42 回复
  4. 值得我们学习.不要让央央忽悠了

  5. 普及知识,转载了!

    北风2013-03-17 11:00 回复
  6. 原来如此…

    观自在2013-03-17 10:40 回复
  7. 你说的黑客,我认为,一旦这种攻击是一种普遍的攻击之后,就不能直接说是攻击了,也许只能像他们口心所说的:“没有呀!以前还通知一下,现在都普遍是这样的了,都变成默认的了!”在利益面前,我宁愿相信睁一只眼闭一只眼的居多!

    王子2013-03-17 09:37 回复
    • @王子: 不会。

      木魚2013-03-17 04:31 回复
    • @王子: 想的严重了。

      木魚2013-03-17 11:21 回复
    • 嗯,可不可以有一种情况,广告商发一个Flash给网站,里面有很多收取信息的代码,网站管理者没看到或睁一只眼闭一只眼,反正收的广告费这么多,把动画挂上去了。当这种方式变成普遍了,就不再算是“偷”了。

      王子2013-03-17 11:27 回复
  8. 看了你的文章,感触挺深的。对于Cookies这一块还是有点个人看法的。像是某些电视频道的某种广告(如“高老太”),电视台这边只是卖一个时间段给对方,对方卖什么广告他们不管。也有人说“无奸不商”,这么多年的社会经历,也让我感到,他们要你的东西是挖空心思地去要,为了赚钱,不管什么手段,他们的专注程度也不得不让人惊叹。

    我会的东西不多,下面纯属猜测。一个网站上线,可以靠一些广告赚钱,也相当于卖一个广告位给你,你发什么广告我不太关注,内容过关就行,你代码怎么写我也不管。那这样就可以有机会在网页上放置了个“监视器”。我们知道,一般情况下,本站的Cookies只能由本站来访问,跨站攻击Cookies的情况也有。那这样,一个网站,一个“监视器”,对应一个或多个人,现在一人一台电脑的占多数吧,在统计时去掉一些“杂质”,就相当于一台电脑一个网站对应一个人。通过脚本获取对方电脑配置信息,注册时可能跟踪到用户姓名、手机、邮箱等信息,用户访问本站哪个栏目、频道比较多,都可以记录一下。

    当广告公司需要发广告时,可以针对这个区域类消费者的类别,如富人、穷人、都有那种消费习惯、平均收入水平等,来发放广告来达到他们的目的。还可以通过手机、邮件来作其他方面的广告营销。做广告者可以收集信息,再拉客户,说自己都掌握什么样的客户,可以再给对方发广告……有这么好的做广告的方式,对那些“奸商”来说,当然是乐此不疲的了!

    王子2013-03-17 09:30 回复
    • @王子: 正规网站是不会允许第三方放这种代码的,而且这样操作成本太高效果很差。现在盗窃个人资料都是钓鱼网站,这比通过放代码要容易的多得多。

      木魚2013-03-17 11:18 回复
    • @王子: 至于你说的消费者类别消费习惯收入水平,放心吧,他们没那能力。

      木魚2013-03-17 11:20 回复
    • 嘻嘻,多谢你的回答,心里舒坦多了!

      王子2013-03-17 11:23 回复
  9. 写的太长了,看的好辛苦,而且没看懂

  10. cookie ? 学习了 呵呵 LBE一直都在用、

    Allōńé2013-03-17 09:15 回复
  11. 呵呵,长知识啊

    小小魚2013-03-17 08:56 回复
  12. 擦!原来有比非诚勿扰更搞笑的节目!早知道我就看了!

    王君一2013-03-17 08:50 回复
  13. 虽不明但觉厉~从头看到尾记住了一句话,宅男不怎么费电只是费纸。。。

    Simple2013-03-17 04:15 回复
    • @Simple: 看了文章才知道这是怎么回事!看来你是资深宅男啊

      法尐邪2013-03-17 07:38 回复
    • @法尐邪: 额,资深宅男你是说我还是说木鱼捏~

      Simple2013-03-17 11:32 回复
  14. 原來晚上我玩游戲那會你在寫這個啊~

    2013-03-17 02:45 回复
  15. [em]e143[/em]网易和苹果躺着中枪

    niuniu2013-03-17 02:06 回复