游泳

Cookie是工具还是黑手技术无罪企业有

2019-10-13 05:24:36来源:励志吧0次阅读

  Cookie是工具还是黑手:技术无罪 企业有责

  A5任务 SEO诊断选学淘宝客 站长团购 云主机

  央视 3 15 晚会让一个互联专业技术名词一夜间走进了公众的视野,它就是Cookie,中文的意思 小甜饼 。由于它记录着用户上的行为以及上特点,可以让民快速使用互联服务,而无需每一次都要重新输入信息,一方面为民带来了上的便利,而另一方面却埋下了安全隐患。一些络公司通过收集用户的Cookie信息来分析用户的上行为,进而贩卖给广告商。

  对于广大民来说,Cookie到底是工具还是黑手一时间成为业界争论的焦点。为此由北京商报主办的 科技青商汇 论坛特邀请技术、行业、媒体、法律四方面人士解读Cookie引发的隐私安全风暴。

  Cookie无罪:别指摘

  Cookie就像菜刀,是厨房好帮手,但有人却拿来行凶,说到底菜刀本身是无罪的 ,知名知识产权律师、北京德和衡律师事务所合伙人姚克枫如是定义被视为 洪水猛兽 的Cookie。

  一般来讲,Cookie就是用户数据包,它记录着用户上的行为、上特点以及上输入的文字,甚至是用户名、密码,也可能包含其他隐私内容。因为央视 3 15 晚会的曝光,个别互联公司滥用Cookie,这一词汇甚至成了与络风险画等号的 洪水猛兽 。

  但北京邮电大学信息安全中心副教授辛阳认为,Cookie是无罪的。他进一步解释称, 企业采用Cookie的初衷是为了让用户更便利地使用服务,而不必每次上都重新载入个人信息 。

  对普通民来说,Cookie主要用来判定注册用户是否已经登录站,这样可以免去用户重复登录站的繁琐,试想如果用户每刷新一次微博、邮箱都需要重新登录,将极大影响用户体验,想必就没有多少人愿意再上交流了。Cookie的另外用途是上购物的 购物车 功能:民可能会在一段时间内在同一家站的不同页面中选择不同的商品,这些信息都会写入 Cookie以方便最后购结账。

  事实上,在Cookie引发争议之后,行业也在探索解决之道,有的建议 禁掉Cookie 。博客中国副总裁谷龙介绍,谷歌最新的浏览器已经提供关闭Cookie的功能,但负面效果是上变得非常慢,需要反复确认用户身份,带来了种种不便。

  Cookie禁了也没用, 辛阳说: 有心使坏的企业还会找到其他方法读取用户隐私,比如App软件的服务器端就可以进行读取。

  企业有责:别滥用

  目前Cookie引起强烈争议的就是互联企业通过分析Cookie研究用户上行为,再精准广告定位而引发的隐私泄露问题。

  很多人不了解Cookie在隐私泄露中扮演的角色,实际上是不法企业利用Cookie存储用户信息的特性,使用一种叫做 络臭虫 的方法来获取用户Cookie,分析上行为。

  譬如,在一些访问量巨大的站植入一段臭虫代码,这样 络臭虫 就可以收集访问该站民的Cookie数据。由于Cookie数据中包含着诸如页浏览器、停留时间、购物商品等个人偏好信息,因此个人信息被 络臭虫 截取,这些企业统计分析这些个人信息后,卖给其他互联公司牟取暴利。如果一个被植入 络臭虫 的站一天一个页面有1000万人访问,那么这个试图窃取的公司一天就获取了1000万份个人信息。收集Cookie这种行为在互联领域并不罕见。譬如搜索引擎服务提供商及其联盟站,每天大约跟踪1.2亿民的Cookie。如果这些Cookie被泄露,将会让互联基本信任体系崩盘。

  为此,创新工场CEO李开复建议所有站,首先要告知用户那些信息被使用,其次保证不滥用信息,最后提供 禁止跟踪 选项保护用户隐私。诸如微软、谷歌,国内的360、搜狗均已采取类似行动。

  资深媒体人、《商业价值》主编张鹏表示,企业在收集用户个人信息时要特别慎重 用户的个人信息相当于个人财产,上传个人信息的目的是换取互联服务,这必须是透明和等价的交换 。

  不道德的企业借机搜集用户数据,借口是必须使用用户位置或通讯录才能完成某项服务。辛阳担忧,普通公众很难判断一款互联服务索取那些个人信息是合理的。

  法律呼声:必先行

  其实,不仅仅在国内,络个人隐私信息的安全也是全球化的议题,包括微软、谷歌、苹果等巨头在内的众多互联公司都已经全面推出清除 跟踪Cookie 的行动。

  企业自律,也应该有行业自律,把Cookie使用规则、隐私问题上升到行业规范,把基本标准制定出来,可能是比较好的监督机制。 姚克枫坦言,国内对隐私保护的法律法规尚不健全,而具体到Cookie这样细化的法规也不太现实,行业可以先行制定行规。

  解决隐私问题要相信市场,相信竞争,谁做了坏事,用户自然会用脚投票。行业要自律,把事情说清楚和讲到位,让市场充分选择。 张鹏如是认为。

  姚克枫建议,行业自律应该涉及 个人信息什么情况下使用是妥当的,什么情况下使用是不妥当的 , 企业如何利用Cookie,不给第三方站泄露内容 也应该列入自律之列。

  另一种必不可少的方法是第三方安全认证机制和机构。企业自说自话无法让舆论信服。然而企业自律和行业自律永远是预防为主,在隐私泄露不可能完全杜绝的今天,法律层面的惩戒意义才是长远之计。据悉,国外已经有很健全的法律准则和环境去推进互联隐私保护。去年,美国联邦贸易委员会就对谷歌做出罚款2250万美元的决定,原因是谷歌涉嫌通过浏览器追踪用户。而在国内,之前发生的天涯论坛泄露4000万用户数据等事件中,当事企业并未受到来自监管部门的实质性处罚。

  我希望法律更健全一些。至少对隐私、互联隐私、隐私泄露有更明确的法律定义,这样有利于行业由此制定自律规则,也能在严重事件后保护用户知情权、同意权 ,姚克枫坦言,每年国内因互联隐私泄露宣判的案件还很少。

  观点

  Cookie泄露隐私是安全厂商集体失职

  在 3 15 晚会曝光互联公司通过Cookie泄露隐私是行业潜规则的同时,安全厂商也该集体反思自己的失职。

  实际上,Cookie中保存的用户名、密码等个人敏感信息通常经过加密,很难将其反向破解。但这并不意味着绝对安全,黑客可通过木马病毒盗取用户浏览器Cookie,直接通过偷取的Cookie骗取站信任。可以看出,木马病毒入侵用户电脑是导致用户个人信息泄露的一大元凶。

  自1993年Cookie诞生以来,其就拥有专属性原则,即A站存放在Cookie中的用户信息,B站是没有权限直接获取的。但是,现在一些第三方广告联盟的代码使用范围很广。这就造成用户在A站搜索了一个关键字,用户继续访问B站,由于B站也使用了同一家的第三方广告代码,这个代码可以从Cookie中获取用户在A站的搜索行为,进而展示更精准的推广广告。比如搜索 糖尿病 等关键词,再访问其联盟站,页面会立刻出现糖尿病治疗广告。如果并未事先告之,经用户同意,此做法有对隐私构成侵犯的嫌疑。目前这个还处在灰色地带。

  因此,跨站Cookie恰恰就是用户隐私泄露的罪魁祸首,所以限制站使用跨站Cookie,给用户提供禁止跟踪(DNT)功能选项已成为当务之急。据了解,目前IE、Chrome、360、搜狗等浏览器均可以快速清除用户浏览器页的Cookie信息。但从目前整体的隐私安全保护环境来看,安全软件仍然存在着巨大的防护缺口。所以安全软件也可以并且有必要提供定期清理站Cookie,并监测跨站Cookie使用的功能,保护用户隐私安全。

  北京商报 张绪旺/文

NBA
婚姻家庭
安全
分享到: