🕵️♀️ 网页跟踪大揭秘:那些网站的小秘密,嘿嘿嘿 🕵️♂️
广告如影随形 👻:你是不是有过这种体验:前脚刚在淘宝看了个包包 👜,后脚打开新闻网站,满屏都是包包广告!🤯 这就是网页跟踪的典型表现!网站通过 Cookie 记录你的浏览历史,然后精准投放广告,让你不知不觉就剁手!💸💸💸
“猜你喜欢”太懂你 🤨:网购的时候,是不是经常被“猜你喜欢”的商品戳中心巴?💖 别怀疑,这可不是什么心灵感应,而是网站根据你的浏览、搜索、购买记录,分析你的喜好,然后推荐你可能感兴趣的东西。虽然很贴心,但也暴露了你在被跟踪的事实!😏
登录信息自动填充 🤖:还记得第一次在某个网站登录后,下次访问时用户名和密码就自动填好了吗?😮 方便是方便,但这意味着网站在你的电脑上存储了你的登录信息,存在一定的安全风险!⚠️
网页链接暗藏玄机 🧐:你有没有注意到,有些网页链接特别长,还包含一些奇怪的字符?🤫 这可不是网站设计师手滑,而是用来跟踪你的访问来源、搜索关键词等信息的。🔍
隐私政策藏着掖着 🤐:正规网站都会有隐私政策,说明他们如何收集和使用你的信息。但很多网站的隐私政策写得又臭又长,故意让你看不下去!😵 所以,下次浏览网站时,记得花点时间研究一下他们的隐私政策,保护好自己的信息安全!💪
有两种主要的跟踪方法:有状态(基于 Cookie)和无状态(基于指纹)。Cookie 是存储在浏览器中的小块信息,具有用于识别您身份的唯一 ID。浏览器指纹识别是一种高度准确的方法,可以识别和跟踪用户上网的任何地方。收集的信息非常全面,通常包括浏览器详细信息、操作系统、屏幕分辨率、支持的字体、插件、时区、语言和字体首选项,甚至硬件配置。
| 建议 | 描述 |
| 屏蔽广告 | 使用广告拦截器可以阻止广告实施的跟踪器,从而帮助改善您的隐私。uBlock Origin[1]是一款非常高效的开源浏览器插件,由 Raymond Hill 开发。当第三方广告显示在网页上时,它们能够跟踪您,收集有关您和您的习惯的个人信息,然后出售这些信息,或用来向您展示更有针对性的广告,有些广告是纯粹恶意或虚假的。屏蔽广告还可以使页面加载速度更快、使用更少的数据并提供更简洁的体验。 |
| 使用尊重隐私的浏览器 | Firefox[2](经过一些调整)和Brave[3]是安全且尊重隐私的浏览器。两者都是快速、开源、用户友好的浏览器,并且适用于所有主流操作系统。您的浏览器可以访问您在线进行的所有操作,因此如果可能的话,请避免使用 Google Chrome、Edge 和 Safari,因为(如果没有正确配置)这三种浏览器都会收集使用数据、呼叫总部并允许侵入性跟踪。Firefox 需要进行一些更改才能实现最佳安全性,例如 - arkenfox[4]或12byte[5]的 user.js 配置。 |
| 使用私人搜索引擎 | 使用隐私保护、不跟踪的搜索引擎将降低您的搜索词不被记录或对您不利的风险。考虑使用DuckDuckGo[6]或Qwant[7]。谷歌实施了一些极具侵入性的跟踪政策,并且有显示[8]有偏见的搜索结果[9]的历史。因此,谷歌以及 Bing、百度、雅虎和 Yandex 与任何希望保护隐私的人都不相容。建议将浏览器的默认搜索[10]更新为尊重隐私的搜索引擎。 |
| 删除不必要的浏览器插件 | 扩展程序能够查看、记录或修改您在浏览器中执行的任何操作,而一些看似无害的浏览器应用程序却有恶意。网站可以看到您安装了哪些扩展程序,并可能利用这些信息来增强您的指纹,以便更准确地识别/跟踪您。Firefox 和 Chrome 网上商店都允许您在安装扩展程序之前检查其[11]需要哪些权限/访问权限。查看评论。只安装您真正需要的扩展程序,并删除那些您有一段时间没用过的扩展程序。 |
| 保持浏览器为最新版本 | 浏览器漏洞不断被发现[12]和修补,因此保持浏览器更新非常重要,以避免零日漏洞。您可以在此处查看您正在使用的浏览器版本[13],或按照本指南[14]了解如何更新。某些浏览器会自动更新到最新的稳定版本。 |
| 检查 HTTPS | 如果您在非 HTTPS 网站上输入信息,这些数据将以未加密的形式传输,因此任何拦截它的人都可以读取这些数据。不要在非 HTTPS 网站上输入任何数据,但也不要让绿色挂锁给您一种虚假的安全感,仅仅因为网站有 SSL 证书,并不意味着它是合法或值得信赖的。HTTPS -Everywhere[15](由EFF[16]开发)曾经是一个浏览器扩展/插件,可自动在网站上启用 HTTPS,但自 2022 年起现已弃用。EFF 在其公告文章中解释说,大多数浏览器现在都集成了此类保护。此外,它还为[17]Firefox[18] 、Chrome、Edge 和 Safari 浏览器提供了有关如何启用其 HTTPS 安全保护的说明。 |
| 使用 DNS-over-HTTPS | 传统 DNS 以纯文本形式发出请求,供所有人查看。它允许通过中间人攻击窃听和操纵 DNS 数据。而 DNS-over-HTTPS 通过 HTTPS 协议执行 DNS 解析,这意味着您和 DNS 解析器之间的数据是加密的。一个流行的选项是CloudFlare[19]的1.1.1.1[20],或者比较提供商 - 在浏览器中启用它很简单。请注意,DoH 有其自身的问题,主要是阻止网络过滤。 |
| 多账户配置 | 划分区域对于将浏览的不同方面分开非常重要。例如,使用不同的配置文件进行工作、常规浏览、社交媒体、在线购物等将减少数据代理可以链接回您的关联数量。一种选择是使用专为此目的而设计的Firefox Containers 。或者,您可以使用不同的浏览器执行不同的任务[21]。 |
| 使用隐身模式 | 使用他人的机器时,请确保您处于私人/隐身会话中。这将阻止浏览器历史记录、cookie 和某些数据被保存,但并非万无一失 - 您仍然可能被跟踪。 |
| 了解您的浏览器指纹 | 浏览器指纹识别是一种非常准确的跟踪方法,网站可以根据您的设备信息识别您。您可以在 amiunique.org 上查看您的指纹 - 目的是尽可能地不具唯一性。 |
| 管理 Cookie | 定期清除 Cookie 是减少网站跟踪您的一个方法。Cookie 还可能存储您的会话令牌,如果被捕获,则允许某人在没有凭据的情况下访问您的帐户。为了缓解这种情况,您应该经常清除 Cookie。 |
| 阻止第三方 Cookie | 您正在访问的网站以外的网站在您的设备上放置的第三方 Cookie。这会带来隐私风险,因为第三方实体可以从您当前的会话中收集数据。本指南介绍了如何禁用第三方 Cookie,您可以在此处检查以确保此操作有效。 |
| 阻止第三方追踪器 | 拦截跟踪器将有助于阻止网站、广告商、分析等在后台跟踪您。Privacy Badger[22]、DuckDuckGo Privacy Essentials[23]、uBlock Origin[24]和 uMatrix(高级版)都是非常有效的开源跟踪器拦截器,适用于所有主流浏览器。 |
| 谨防重定向 | 虽然有些重定向是无害的,但其他重定向(例如未经验证的重定向)则用于网络钓鱼攻击,它会让恶意链接看起来合法。如果您不确定重定向 URL,可以使用 RedirectDetective 等工具检查其转发到的位置。 |
| 不要登录你的浏览器 | 许多浏览器允许您登录,以便跨设备同步历史记录、书签和其他浏览数据。然而,这不仅允许进一步收集数据,而且还为恶意行为者提供了另一种获取个人信息的途径,从而增加了攻击面。 |
| 禁止预测服务 | 某些浏览器允许使用预测服务,您可以收到实时搜索结果或 URL 自动填充。如果启用此功能,则每次按下键盘按键时数据都会发送到 Google(或您的默认搜索引擎),而不是在您按下 Enter 键时。 |
| 避免使用翻译网页 | 当您访问用外语编写的网页时,系统可能会提示您安装 Google 翻译扩展程序。请注意,Google 会收集所有数据(包括输入字段)以及当前用户的详细信息。请使用未链接到浏览器的翻译服务。 |
| 禁用 Web 通知 | 浏览器推送通知是犯罪分子鼓励您点击其链接的常用方法,因为很容易伪造来源。请注意这一点,有关禁用浏览器通知的说明,请参阅本文。 |
| 禁用自动下载 | 驱动下载是将有害文件下载到用户设备上的常见方法。可以通过禁用自动文件下载来缓解这种情况,并警惕那些提示您意外下载文件的网站。 |
| 禁止访问传感器 | 移动网站无需询问即可访问您的设备传感器。如果您向浏览器授予这些权限一次,则所有网站都可以使用这些功能,无需许可或通知。 |
| 禁止位置 | 位置服务可让网站询问您的实际位置,以改善您的体验。该功能应在设置中禁用。请注意,还有其他方法可以确定您的大致位置。 |
| 禁止访问摄像头/麦克风 | 检查浏览器设置,确保没有网站被授予网络摄像头或麦克风的访问权限。使用网络摄像头盖和麦克风阻断器等物理保护措施也可能有益。 |
| 禁用浏览器密码保存 | 不要让浏览器存储用户名和密码。这些信息很容易被查看或访问。请使用密码管理器。 |
| 禁用浏览器自动填充 | 关闭自动填充任何机密或个人信息的功能。如果您的浏览器以任何方式受到攻击,此功能可能会造成危害。请考虑使用密码管理器的 Notes 功能。 |
| 防止外泄攻击 | CSS Exfiltrate 攻击是一种仅使用纯 CSS 即可窃取凭据和其他敏感详细信息的方法。使用CSS Exfil Protection[25]插件,您可以保持安全。 |
| 停用 ActiveX | ActiveX 是 Microsoft IE 内置的浏览器扩展 API,默认情况下启用。它现在已不常用,但由于它为插件提供了私密的访问权限,并且可能很危险,因此您应该禁用它。 |
| 禁用 WebRTC | WebRTC 允许直接从浏览器进行高质量的音频/视频通信和点对点文件共享。然而,它可能会造成隐私泄露。要了解更多信息,请查看本指南。 |
| 恶搞 HTML5 Canvas 签名 | Canvas 指纹识别可让网站非常准确地识别和跟踪用户。您可以使用 Canvas-Fingerprint-Blocker 扩展程序来伪造您的指纹或使用Tor[26]。 |
| 欺骗用户代理 | 用户代理会告诉网站您正在使用什么设备、浏览器和版本。定期切换用户代理是您可以采取的一个小步骤,以减少独特性。 |
| 忽略 DNT | 启用“禁止跟踪”的影响非常有限,因为许多网站不尊重或遵循此设置。由于很少使用,它也可能添加到您的签名中,使您更加独特。 |
| 防止 HSTS 跟踪 | HSTS 旨在帮助保护网站安全,但由于它允许网站运营商植入超级 cookie,因此引发了隐私问题。在基于 Chromium 的浏览器中,可以通过访问 chrome://net-internals/#hsts 来禁用它。 |
| 防止浏览器自动连接 | 即使您不使用浏览器,它也可能回拨电话报告使用活动、分析和诊断。您可能希望禁用其中的一些功能,这可以通过设置来实现。 |
| 启用隔离 | 隔离[27]意味着所有标识符源和浏览器状态都使用 URL 栏域进行范围界定,这可以大大减少跟踪。 |
| 从 URL 中删除跟踪参数 | 网站通常会将额外的 GET 参数附加到您点击的 URL 中,以识别来源/引荐来源等信息。您可以手动清理,也可以使用ClearURLs[28]等扩展程序自动从 URL 中删除跟踪数据。 |
| 首次启动安全 | 安装网络浏览器后,第一次启动时(在配置其隐私设置之前),大多数浏览器都会呼叫主页。因此,安装浏览器后,您应该先禁用互联网连接,然后配置隐私选项,然后再重新启用互联网连接。 |
| 使用 Tor 浏览器 | Tor[29]项目提供了一种浏览器,它可以加密并通过多个节点路由您的流量,从而保护用户免受拦截和跟踪。主要缺点是速度和用户体验。 |
| 禁用 JavaScript | 许多现代网络应用都是基于 JavaScript 的,因此禁用它会大大降低你的浏览体验。但如果你真的想全力以赴,那么它会真正减少你的攻击面。 |
往期精彩内容
参考资料
Origin: https://github.com/gorhill/uBlock
Firefox: https://www.mozilla.org/zh-CN/firefox/
Brave: https://brave.com/
arkenfox: https://github.com/arkenfox/user.js/wiki
12byte: https://12bytes.org/firefox-configuration-guide-for-privacy-freaks-and-performance-buffs/
DuckDuckGo: https://duckduckgo.com/
Qwant: https://www.qwant.com/
极具侵入性的跟踪政策,并且有显示: https://hackernoon.com/data-privacy-concerns-with-google-b946f2b7afea
有偏见的搜索结果: https://www.businessinsider.com/evidence-that-google-search-results-are-biased-2014-10
浏览器的默认搜索: https://duckduckgo.com/install
其: https://awesome-privacy.xyz/essentials/browsers/firefox
发现: https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=browser
在此处查看您正在使用的浏览器版本: https://www.whatismybrowser.com/
本指南: https://www.whatismybrowser.com/guides/how-to-update-your-browser/
-Everywhere: https://www.eff.org/https-everywhere
EFF: https://www.eff.org/
公告文章中解释说,大多数浏览器现在都集成了此类保护。此外,它还为: https://www.eff.org/
Firefox: https://awesome-privacy.xyz/essentials/browsers/firefox
CloudFlare: https://developers.cloudflare.com/1.1.1.1/setup/
1.1.1.1: https://developers.cloudflare.com/1.1.1.1/setup/
Firefox Containers 。或者,您可以使用不同的浏览器执行不同的任务: https://addons.mozilla.org/en-US/firefox/addon/multi-account-containers/
Badger: https://privacybadger.org/
DuckDuckGo Privacy Essentials: https://duckduckgo.com/app
uBlock Origin: https://github.com/gorhill/uBlock
CSS Exfil Protection: https://www.mike-gualtieri.com/css-exfil-vulnerability-tester
Tor: https://www.torproject.org/
隔离: https://awesome-privacy.xyz/security-tools/browser-extensions/first-party-isolation
网站通常会将额外的 GET 参数附加到您点击的 URL 中,以识别来源/引荐来源等信息。您可以手动清理,也可以使用ClearURLs: https://gitlab.com/ClearURLs/ClearUrls
Tor: https://www.torproject.org/
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...