TechTok #5:我能信任它吗?
我们继续发布 TechTok 系列,解答关于广告拦截、VPN 和科技产品的各类疑问。在前四期中,我们探讨了广告拦截程序、VPN 和 DNS 相关问题。本期我们将聚焦一个看似抽象却至关重要的话题:信任机制。当我们通过无数应用程序、软件和浏览器扩展与网络交互时,如何确保这些工具值得信任?从即时通讯到网页浏览,从金融支付到日常消费,数字信任已成为现代生活的基石。
可以说,您数字武器库中最重要的工具是您的浏览器,因为它是您大多数在线活动的门户。您需要确信可以信任它,或者至少在向其提供个人信息之前了解它可能对隐私造成的潜在危险。这个问题来自一位自称 AdGuard lover 的用户 👀:
Chrome 浏览器明明没有追踪器,为何能追踪用户?而号称隐私保护的 Firefox 却检测到4个追踪器,连其衍生版本也不例外,这是为什么?
我们需要在回答前说明,问题中提到的数字有些误导性。我们只能猜测这些数字来自类似 Exodus 的服务,该服务分析 Android 应用中的追踪器。确实,Exodus 显示 Chrome 移动版有 0 个追踪器,而 Android 版 Firefox 有 3 个追踪脚本。然而,这些数字不应该被视为绝对正确。首先,它们只反应移动应用的情况,但这就是它们根本不能代表实际情况的主要原因。Exodus 只查看第三方脚本,而 Chrome 移动版确实没有(或者至少没有 Exodus 已知的任何脚本)。相反,Chrome 依赖其自身的第一方追踪机制。它直接收集用户数据并发送到 Google 服务器,从而绕过 Exodus 的检测算法。那么,Chrome、Firefox 和其他浏览器到底在多大程度上追踪您,哪些最值得您信任?
第三方 Cookie
尽管逐渐被新型追踪技术取代,第三方 Cookie 仍是当前重要追踪手段。Chrome 不仅推迟了弃用 Cookie 的计划,更默认保持其启用状态。Edge 在隐私策略上亦步亦趋。而 Firefox、Safari 和 Brave 等浏览器则默认拦截第三方 Cookie,本轮胜出。
第一方追踪
现在让我们转向集成到浏览器中的第一方追踪。Chrome 再次在这里领先:隐私沙盒是其旨在取代 Cookie 的头号计划,表面上看似对隐私友好,但实际上并非如此。当您深入研究 Topics API 和 Protected Audience API 等技术时(它们是隐私沙盒的两个重要组成部分),很明显它们存在许多缺陷,对用户几乎没有什么好处。Microsoft Edge 针对 Cookie 的解决方案 Ad Selection API,与隐私沙盒惊人地相似,这本身就令人担忧。这两种浏览器都让用户难以(甚至不可能)完全退出所有追踪,这使得它们不适合注重隐私的人士。
Firefox 和 Safari 传统上被视为比 Chrome 更私密和可信的替代品,这是有充分理由的。它们没有被发现公然追踪用户,并且都默认提供拦截第三方追踪的工具。然而,我们需要提到,近几个月来,Firefox 背后的公司 Mozilla 发出了混杂的信号。例如,Mozilla 最近更新了隐私 FAQ,删除了长期以来的承诺“永远不会出售用户数据”,而他们在去年 11 月收购广告指标公司 Acronym 也引起了很多人的质疑。多年来,Mozilla已经积累了足够大的“信任缓冲”,让我们暂时不要急于下结论,但火狐的风向正在变化。
Brave 和 DuckDuckGo 等以隐私为核心的浏览器则始终践行承诺:默认拦截第三方 Cookie、禁用追踪器,并提供丰富的隐私增强功能。
最终选择权在您手中,但建议参考我们的浏览器隐私设置指南进行优化。
下个问题来自用户 PR:
作为闭源程序,如何保证 AdGuard 的可信度?Windows/Android 版 AdGuard 能查看所有网络流量,包括 HTTPS 加密内容。
另一位 unnamed 用户也提出类似疑问:
启用 HTTPS 过滤意味着 AdGuard(如 Mac 版)能读取所有数据。凭什么信任你们?如何确认数据不会上传至你们的服务器?
我们将分两部分解答。首先说明 AdGuard 如何保障数据安全,再探讨如何甄别可信应用。
那么,当您在设备上安装并启动 AdGuard 时会发生什么?确实,独立的 AdGuard 广告拦截程序(Windows、Mac 和 Android 版,与浏览器扩展和 iOS 版有所不同)在网络层面上工作。当然,它们之间存在差异,但核心基本原理是相似的。为了过滤您的互联网流量,AdGuard 首先将其通过自身,检查是否存在任何广告或追踪请求。最重要的部分是过滤过程完全在您的设备上进行。AdGuard 从不将您访问哪些网站的信息发送到其服务器。偶尔我们可能会发送诸如您的操作系统版本或应用程序语言之类的信息。我们这样做是为了检查更新版本、验证许可证状态、发送崩溃报告等。您可以在每个操作系统的隐私声明中查看 AdGuard 在所有可能情况下发送的内容:Windows、Mac、Android(其他隐私声明的链接可在页面底部找到)。
关于 AdGuard 如何管理 HTTPS 过滤并保持一切安全的一些说明。通常情况下,当浏览器尝试连接到一个网站时,该网站会出示一个安全证书作为证明它确实是其所声称的身份。重要的是,网站使用的证书是由您的浏览器信任的证书颁发机构(CA)颁发的。这样的 CA 保证 SSL 证书确实是颁发给网站所有者的。现在让我们把 AdGuard 加入这个场景。对于浏览器的每个网络请求,AdGuard 会建立两个安全连接:一个与浏览器,另一个与您要连接的网站。但是浏览器必须像在常规情况下信任网站一样信任 AdGuard,为此 AdGuard 会生成自己的证书并将其安装到系统中。
当然,连接仍然是安全的。在检查网页请求内容是否存在广告和追踪器后,AdGuard 会重新加密并将其转发到网络服务器。由于浏览器无法再查看网站的证书并验证其有效性,AdGuard 会自行执行该检查,并且我们采取了额外的安全措施。您可以在我们的知识库中阅读更多关于 HTTPS 过滤的工作原理。
现在,让我们来解答每个注重隐私的用户都会问的核心问题:我凭什么相信这些? 如何确保这些应用(包括 AdGuard)不会表面光鲜,背地里却在窃取我的数据?老实说,世上没有万全之法。每个安装的应用都可能暗藏风险:窃取数据、植入病毒,这样的例子我们见得还少吗?就连那些看起来最可靠的应用,也可能在背后搞些见不得人的勾当。不过,掌握以下技巧能帮您大大降低踩坑的几率:
- 查查它是否开源。开源不等于绝对安全,但至少光明磊落。要是能在 GitHub 上找到源码仓库,那可信度就能加分不少,毕竟整个开发过程都摊在阳光下。
- 摸清开发者的底细。正经团队通常都有像样的官网,旗下也不止一款产品。要是遇到那种只有一个简陋网站、连联系方式都找不到的“神秘开发者”,还是绕道为妙。
- 权限申请要较真。别嫌麻烦,安装时务必瞪大眼睛看看它要哪些权限。要是某个阅读器 APP 非要获取您的通讯录权限。
- 隐私政策必须看
没有隐私政策是最危险的信号,这类应用最好直接避开。就算有隐私政策,如果只是单页 PDF 文件也好不到哪去。即便看起来正规可信,也建议花五分钟快速浏览,说不定就会发现里面藏着“惊喜”。 - 使用网络监控工具(适合高级用户),例如 PC 端的 WireShark 或 Android 端的 NetGuard。借助这些工具,您可以检测新安装的应用是否向可疑域名发送请求。
如您所见,没有一个神奇的按钮可以告诉您是否可以信任某个应用程序,即使是 AdGuard 也没有。但如果您做好调查工作,不吝啬隐私检查,就可以大大降低个人数据被窃取或发生更糟情况的风险。
请大家通过此表单向我们发送更多关于任何技术相关话题的问题,您可能会在下一期 TechTok 中看到它们被解答!
