二亩地专业建站/网站制作建设公司
标题:
APP和Cookie并非洪水猛兽
[打印本页]
作者:
admin
时间:
2013-4-1 13:51:48
标题:
APP和Cookie并非洪水猛兽
生活中避不开的APP
在上海,任何年轻人的身上都可能发生这样的情况:和朋友走在路上,临时起意,想要找家咖啡店坐下来喝个下午茶。第一时间打开“大众点评” 搜索附近有哪些咖啡馆。找到合适的咖啡馆之后,再打开谷歌地图,导览一下路线;到了咖啡馆坐定,看见精致的蛋糕,可口的咖啡,忍不住拍些照片上传到微博秀一秀……只要一眨眼的时间,这些位置信息先是上传到“大众点评”的服务器上,通过这一位置信息,服务器处理出符合条件的咖啡店,并以列表形式发回到手机上;紧接着,谷歌服务器也接收到了搜集并处理位置信息的请求,服务器上同时“知道”的还有接下来将要去的位置信息;或许听起来更糟糕的是,微博的服务器已经“深入”到了手机的相册,得到了读取相册的权限……
类似的使用体验大多数人都会有,但并不是所有人了解这些应用是如何搜集个人信息并使用的。回顾央视3·15晚会上点名的几款手机应用,从功能上看,难免让人有似曾相识的感觉,“重庆小面”是重庆当地一款搜索服务类APP,主要功能就是帮助用户搜索到就近的特色面店;“高德地图”是一款导航类APP,为使用者进行从起点到目的地的导航……生活中,谁都有可能会与这些APP应用狭路相逢。
从目前来看,如果用户觉得这些APP应用涉嫌侵犯隐私,唯一的做法就是,放弃安装。
拿数据:可行善,亦可作恶
赵斌,北京一网络技术有限公司深度OS部安卓开发工程师,作为一个业内人士,他认为,设备拿到的数据,可以用来做好事,也可以做坏事。“这种利用用户的部分个人信息提供服务的情形并非互联网时代的新鲜事物,比如常去的饭店、理发店、服装店,一定会对常去顾客的喜好、三围、生日,甚至家庭成员等隐秘的个人信息有一定了解,关键是用户能接受向他们公开自己的部分个人信息甚至是隐私,以换得更贴心的服务。当然你也必须承担风险,关键在于用户能否接受。”
在移动互联网时代,问题的本质是一样的,赵斌打了这样一个比方,搜狗输入法提供了一个智能通讯录的功能,用户可以输入联系人拼音的前几个字符,或首字母,输入法就能自动呈现相关联系人的名字。为了实现这个功能,输入法必须声明它需要读取手机中联系人的能力。“但是用户不一定知道,他只会简单地认为,你怎么能读取我的通讯录呢?”从某种程度上,对普通用户而言,有些主动善意地提醒,很容易被毫无区分地视为危机。“这样做,或许对用户和开发者来说,都不是最好的办法。”
业内普遍的看法是,目前,要让一半的应用程序做到在Android官方市场强制要求外再去主动告知用户权限的使用,都是不可能的。“应用程序需要通过收集用户信息,如程序的错误日志和用户喜好来改进程序,这属于拿着权限办好事。当然,另一方面,发送精确广告但不追溯到用户身份信息,也是许多免费APP应用赖以生存的主要收入来源。” 赵斌说,咨询公司报告中的不同型号手机占有率、应用软件流行度等数据其实都是这样统计得来的。
用户要承担的风险究竟有多大?
“60%的APP依旧处于行为不当的范围,毕竟他们本身不是以此目的来做软件的。”杨珉,复旦大学移动互联网数据安全技术研究中心的副教授,作为今年央视3·15晚会的被访者,从2011年开始,他们团队对安卓平台所存在的安全隐患开展研究,接触了数万款APP,并对其中在国内几家大型应用商城内最热门的数千款应用进行了精细监测,监测的内容包括对SIM卡、通讯录、短信、手机号码、定位等涉及个人信息权限的使用。
“从结果看,至少超过60%的APP存在超越权限的情况,但已经构成实际威胁的却还是集中在手机游戏类APP,游戏APP需要通过利用用户的短信账户来达到定制收费的目的,情况比较严重。”杨珉所说的也就是“恶意扣费”现象。
当记者问及,是否对腾讯、360、CNTV(中国网络电视台)等APP进行检测时,杨珉表示,“没有测,不在我们的职责范围。这次是央视主动找到我们的,提供给我几款行货手机,并对指定APP,如蓝盒子等进行监测。”
杨珉对APP监管的未来表示乐观。“目前没有机构去监察,但只要公安机关封存服务器和原始代码,总归会有痕迹留下,这个软件在设计中,文档怎么实现,有明文可以追溯,做过了总是会有人知道。”
使用Cookies隐私安全性更高
“Cookies技术并非窃取隐私的洪水猛兽,目前大部分邮箱、微博、电商网站购物等服务都是依赖Cookies这项基础网络技术进行的。”
Opera中国区总经理宋麟对《IT时报》记者表示,Cookies是用户在访问某个网站时,电脑提供给这个网站的一些简单信息,其中包含访问的时间、IP地址、用户名密码等。“即使不使用Cookies技术,被访问的网站也能轻易地对相关信息做出记录,相反使用Cookies的话,用户还可以通过浏览器等客户端进行删除,隐私安全性更高。”宋麟说道。
网页前端工程师黄明(化名)向记者介绍,比如人们在登录邮箱等时,网站会“记住登录状态”;而浏览过网络商城后,网络商城会将你感兴趣的商品列在首页,上述这些功能都是靠Cookies这个“网络标识”实现的。
另外值得注意一点的是,Cookies由创建网站独享,就像是网站在用户电脑上放了一个保险箱,每个网站只能打开各自的保险箱,却无法打开其他网站的。“不存在窃取隐私的问题。”黄明表示,有些网站自身也是广告商,从事精准广告投放。“比如Google、百度等广告服务商,也会根据自己用户账号的注册信息进行深度挖掘和分析,再针对性投放广告。”
央视网广告位也可抓取Cookies
央视3·15晚会报道中指出,如网易等门户网站,允许第三方公司在其页面上加入代码,在后台收集用户Cookies,进而投放精准广告并获利,这也被认为是“私自窃取用户隐私”。
既然知名网站都已经参与其中,那央视网能“独善其身”吗?带着这个疑问,记者联系到了央视网(CNTV网站)广告销售的一位负责人后,她表示,可以通过在央视网投放广告,并在广告展示位置中添加代码,进而抓取浏览了该广告的用户Cookies信息,但“首页不能添加,只能在新闻、经济等二级频道上挂代码。”
根据这位广告销售负责人的说法,央视网的广告营销做法与网易等网站并没有本质区别。
事实上,这种加代码抓取Cookies,并非完全是央视所说的窃取隐私。在业内,这叫“第三方Cookies”,即互联网广告企业通过在向新浪、网易、搜狐这样的大型网站中投放广告,并在广告位、图片中获取相应的Cookies。
黄明表示,挂代码并不能证明网站在出售用户数据,不能简单地将挂代码和窃取隐私画等号,在正常情况下,广告商在挂代码后,只能抓取访问了该广告页面的用户Cookies,而无法直接获取网站本身的Cookies。“一旦广告商能获得网站的Cookies,就意味着用户数据的泄露,正规的网站和广告商都不会这么干。”
“第三方Cookies仅记录网站上的用户点击了哪些广告,看了哪些网页,并判断用户的消费习惯,是没法获得用户姓名、行业、手机号等详细信息的。”MediaCross云联网络CEO江兰对记者说道,目前国内外的广告营销行业,这种通过嵌入代码,获得第三方Cookies的做法其实相当普遍,“网页广告、视频播放器广告都利用了这种方法。”
Cookies获取个人信息均为模糊值
央视3·15晚会中提到,广告公司能够获知手机号、行业、年龄,这无法不让人担心,不少消费者在斥其为“人肉搜索”的同时,也急急忙忙地开始清理和禁用Cookies。
但作为此次事件的当事人,品友互动CEO黄晓南则对记者表示,基于Cookies的数据分析和挖掘,都是在匿名的基础上进行的。“其实第三方Cookies是没法看到用户的姓名、年龄等精准信息的,只看得到点击广告、浏览网页的行为过程,再针对这些浏览习惯,投其所好显示相匹配的广告,比如说有个Cookies特别喜欢点击化妆品广告,那么后台在分析后就为其显示跟女性相关的广告。”
“通过第三方Cookies,我们仅能预测一个模糊值,而绝不是行业、年龄、手机号等精准信息。” 黄晓南强调。
易传媒公关总监汪蕊也对记者表示,“用户浏览网页的习惯和偏好会有行为轨迹,易传媒在平台上可以根据这些信息进行分析判断,但无法知道任何用户账号、密码、年龄等信息。”
这种数据分析的结果,对广告投放来说,是很有价值的。江兰表示,由于Cookies记录下了一套完整的用户行为,所以根据每个浏览习惯,会给用户打上各种不同的标签,“标签数据越多,分析会越准确。”
主流浏览器均可禁用Cookies
3·15晚会在针对利用Cookies侵犯个人隐私的报道中,援引了美国联邦贸易委员会(FTC)针对Google利用Cookies追踪用户上网的习惯,开出的一张2250万美元的罚单,并以此来证明国外对于Cookies侵犯个人隐私处罚已经开始,并称这是为日后的规范打下基础。
但事实上,此事早在去年11月份便已经有公开报道,并不是因为利用Cookies侵犯了用户隐私,真正原因是Google利用强制代码,绕开Safari浏览器的隐私设置,抓取了用户Cookies。互联网专家认为,FTC惩罚的是Google未经允许便获得用户Cookies的行为,而并非是针对Cookies侵犯隐私。
目前,浏览器厂商都在不遗余力的推动DNT(禁止追踪)协议,像IE、FireFox、Opera等浏览器均支持屏蔽来自第三方Cookies的功能,甚至像IE10、FireFox浏览器一度默认为禁止第三方Cookies。宋麟表示,Cookies技术本身并不涉及侵犯用户隐私,是否侵犯隐私的关键在于这些被记录的信息是否被滥用或盗用,可以明确立法规范非法行为,而且“相关厂商在调用Cookies应该给予用户更多的提示和询问,让用户拥有知情权以及行使选择权的机会。”
大成律师事务所高级合伙人商建刚则认为,从严格意义上来说,用户的浏览记录应该属于个人隐私范畴,而且搜集用户信息时,网站必须有着非常清晰的隐私条款跟标识,“用户信息的适用范围、具体用途都应该提前告知用户,而且网站必须合理处理这些数据,不得将其进行售卖跟扩算。”
“目前我们在联合广告业者、相关协会、政府部门等,进行互联网精准营销在用户信息利用方面的探讨,预计很快会出台相关的规范公约。”易传媒和品友互动在接受记者采访时,均表示业内在联手准备相关标准,而且其网站上均有着隐私条款,如果用户不愿意再接受到匹配广告的显示,可以通过登录他们的官网进行退订。
互联网伦理话题催生“新法律”
隐私的保护和底线是一个互联网伦理话题,恐怕未来数十年间都会继续下去。央视3·15晚会播出后,大批互联网和法律专家已经为事件定性:这些互联网公司的行为涉嫌越权,但都不违法。在这样的背景下,央视3·15晚会高举道德大棒,威武。
美国学者劳伦斯·莱斯格十年前出版了一本名叫《塑造网络空间的法律》,书中指出网络空间法律具有崭新的特点,网络技术的进化决定着“新法律”的重新界定,传统法律概念将面临革命。
网络隐私很有趣,美剧《不要对我说谎》主角拥有近乎“读心术”的能力,这样的人能在日常交际和人际关系中获得好处。目前互联网企业也正在完善他们在互联网和大数据时代的“读心术”,但同样面临侵犯隐私权的指责。在互联网时代,用户要想获得深度个性化的服务,就必须更大程度分享个人隐私,相反,消费者可以选择,留下隐私,放弃服务。
虽然央视网旗下网站也通过Cookies售卖广告,中国网络电视台Android版APP客户端照样收集用户信息,而且,就算360和腾讯间的黑白之争也尚无定论,不过,从好的一面来看,央视3·15晚会更大众化地引爆了互联网隐私话题,也诱发了全社会的关注,以帮助业界在一个无监管地带,更快地出台适合互联网的“新法律”。
欢迎光临 二亩地专业建站/网站制作建设公司 (http://www.ermudi.cn/)
Powered by Discuz! X2