网络追踪器介绍

摘要：在2020年6 月 23日的线上苹果开发者大会上，苹果介绍了为 Safari浏览器新引入的隐私报告功能。该功能能够告诉访问的网站上运行的是哪一款网络追踪器，还会给用户一个30天的报告，告知在浏览时发现的、已知的网络追踪器，另外，还会显示出这些追踪器来自哪些网站。那么什么是网络追踪器呢？这些网络追踪器又会对我们的生活产生什么样啊影响呢？下面，我们就跟随本文来了解一下吧。

        所谓的网络追踪，是一种用于记住和识别过往网站访问痕迹的技术。到目前为止，网络追踪发展出了三代技术。第一代追踪技术采用有状态的标识符（例如Cookie）来追踪网络用户。它的实现原理是利用多网站共享的Cookie来标识浏览器用户。假设用户访问了网站A，网站A通过请求第三方网络追踪器接口（如Google分析）收集用户上网行为，并将收集到的用户数据保存在第三方网络追踪器上，然后第三方网络追踪器会返回一个标识用户信息的Cookie，并保存在用户电脑上。之后，若用户访问了使用了同一个网络追踪器的网站B后，便会通过第三方网络追踪器从Cookie中读取用户标识，并向网站B提供用户的上网行为信息，从而实现网络追踪的目的。

        之后，出现了浏览器指纹识别（定义为第二代跟踪），它通过发现 IP 背后的设备，收集用户浏览器以及操作系统、硬件方面的特征信息来区分不同的用户。在该技术中，如何选择合适的特征值保证用户被正确识别是技术的关键点。与采用了有状态的标识技术的第一代技术相比，其主要区别在于识别浏览器过程中的使用无状态的用户识别技术。

        此外，为了解决同一台主机多浏览器指纹特征不同的问题，还有人提出了2.5代指纹追踪技术跨浏览器指纹识别。第三代则是人们正在研发的跨设备追踪技术。此外，有人还使用了日志追踪、Web Beacon技术等方式实现网络追踪。

        这些网络追踪器实际上很常见，被内嵌在许多人们常用的电商平台或视频APP，这些APP包括淘宝、京东、优酷视频、爱奇艺、腾讯视频等。并且，第三方追踪器主要是利用第三方提供的网络追踪接口如Google Analysis， StatCounter或者Opentracker等实现网络追踪。这些网络追踪器被大量用于各种网站中，网站可以通过在网页中加入一段特定的JS代码实现网络追踪。

        对于网站所有者和跟踪者来说，他可以通过网络追踪器达到提供个性化服务，定向投放广告，统计网站流量等目的。以优酷和淘宝为例，如果人们在淘宝上搜索某些商品后，那么下次打开优酷就会被推送与这些商品相关的广告。通过技术调研可以发现，这是由于优酷和淘宝共同指向了名为mmstat.com的网络追踪器，而mmstat.com是属于阿里巴巴提供的一个统计分析接口。

        相比于正常上网产生的Cookie，网络追踪器产生的Cookie其实本质是一样的，都是通过服务器向浏览器写入一小段文本信息用于记录用户状态的技术。它可以实现诸如用户登录，保存用户密码等功能。不过，两者还是有一些区别的。网络追踪器产生的Cookie主要是来自第三方Cookie，不是直接访问的网站产生的，而是所访问的网站引用另一个网站跨域产生的，因此第三方 Cookie又称跨域 Cookie。例如，用户在访问淘宝商品时，淘宝就会引用mmstat.com（跨域网站）分析用户信息。此时，mmstat.com不仅会在浏览器上写入标识用户身份的Cookie，还会写入一些用户分析用户行为的Cookie，而这些Cookie即为第三方网络追踪器生产的Cookie。

        对于普通用户而言，网络追踪器的出现使得网站能够实现对不同用户的标识和区分，这使得商家能够针对性地向用户推荐商品，使得用户能够有更大的可能性接收到自己所需要的广告内容，减少了大量无关广告的污染。然而，网站追踪的大量使用也给用户带来许多隐私安全方面的隐患。由于网络追踪器会大量收集用户的上网行为信息，这些信息中包含了许多和用户相关的敏感信息，若这些信息泄露或被不法分子采集，将会人们的生命财产安全造成重大威胁。甚至，通过社交账号的信息关联分析，不法分子还可以根据这些信息直接定位到具体的个人，产生更大的威胁。为了，避免网络追踪器对人们隐私的威胁。目前有的反追踪技术大概有以下几点：

1. 使用DNT 协议：它通过在HTTP请求的添加DNT header告诉服务器自己不希望被追踪。但这种技术需要浏览器和服务器双方遵守才能有效，因此多数情况下是无法保护隐私的。
2. 阻止第三方 Cookie：很多网络追踪技术要求在追踪时写入第三方Cookie，因此直接屏蔽第三方Cookie就可以避免大量网络追踪器的追踪。但这种方式会给用户带来很多不便，一些网站的功能将无法使用，比如SSO单点登录等。

以淘宝为例，如果阻止了第三方Cookie，那么mmstat.com就无法在浏览器上产生用于分析用户的Cookie，那么它的用户分析行为就无法实现。

1. 阻止网站对设备的调用：通过阻止网站在用户不知情的情况下调用设备，避免了用户的行为信息被不当地收集。

        目前，很多软件存在过度调用设备权限的问题，尤其是一些不正规的软件。这些软件通过获取权限调用硬件设备，如GPS，摄像头等，严重威胁用户隐私。

1. 智能反追踪技术：该技术使用了机器学习的方法来实现智能反追踪。首先通过机器学习分类判断各个域名是否能够跨站追踪用户。如果可以的话，那它会判断用户在过去30天是否与网站进行交互。如果没有则会立即清除网站数据和cookie，并在添加新数据后继续清除。如果用户在过去24小时内与网站进行了互动，则当该网站作为第三方时，其cookie将可用。这允许“使用我的X帐户在Y上登录”登录方案。这意味着用户只有长期的永久性Cookie和与他们实际互动的网站中的网站数据，并且在浏览网络时会主动删除跟踪数据。该技术是用于iOS的Safari上的反追踪技术。它相比于完全禁止Cookie的方法更加智能，避免了用户无法单点登录或者感兴趣内容被屏蔽等问题。

        虽然上述措施在一定程度上可以避免网络追踪器的危害。但就目前来看，本文还是认为完全避免被追踪难以实现。虽然人们可以通过各种手段避免第三方网站的网络追踪，但人们只要使用电子设备就会与服务供应商产生关联，在与之进行数据交互的同时必然会产生大量行为数据并被其收集。为了进一步避免网络追踪产生安全问题，可以从政策法律层面和个人层面两个方面来最大限度地进行规范和语法。从政策法律层面上看，国家应加快促进《数据安全法》等相关法律的颁布与落实，并提出行之有效的数据安全监督方案；积极推进数据开发利用技术和数据安全标准体系建设，规范网站追踪用户信息行为以及数据交易行为；支持高校、企业开展数据安全教育相关活动，并投入资源用于发展数据安全相关的技术，培养数据安全技术人才。同时完善数据安全相关的法律条文，对于非法获取、利用人们数据的行为给予坚决且有效的打击。从个人层面来看，人们应该避免访问一些不知名的或不正规的网站，防止信息被非法分子获取，同时应当根据自身的需求定制自己的安全策略，并在浏览器中设置该安全策略。如设置Safari的反追踪相关内容。了解相关网站的隐私政策或隐私协议，若隐私政策中含有自己无法接受的数据收集行为时拒绝访问该网站。同时，若发现网站存在非法获取、利用用户数据的非法行为时，应当及时向有关部门举报网站的非法行为，必要时应当采用法律的手段维护自身的合法权益。

     更多信息，参见作者个人主页Jianping Cai's Research Page。