许多人发现Google服务有用且易于使用,但它们至少具有一项重要功能。我们正在谈论对用户的持续监控,关于对用户活动的密集收集和发送数据。并非所有用户都能想象公司收集什么样的数据以及收集多少数据。但是,许多信息从根本上关系到其机密性,甚至在发送包含纯技术信息的日志时,有些信息也已经准备好感知侵犯隐私权的行为。但是,有时真正的高级用户会选择与Google对抗。2018年5月25日,GDPR 通用数据保护条例生效,这是欧洲议会通过的一项法律,收紧和统一了用户数据保护规则。欧盟做出此决定的原因是,由Google和Facebook等IT巨头收集的大量个人数据泄露事件越来越多。但是,实际上,这项法律不仅影响了欧盟公民,而且也影响了世界其他地区。但是,在不同国家/地区工作的许多Internet服务都试图满足最严格的隐私要求。因此,GDPR已成为事实上的世界标准。所以谷歌在那里
2020年2月4日,星期二,基于Chromium的Kiwi浏览器的开发人员Arno Granal 提出了传递Google Chrome在安装过程中生成的所谓“唯一标识符” 的问题。Granal建议至少Google本身可以使用它。他和其他一些用户建议这是一个后门,她可以将其用于自己的目的。在这种情况下,我们可以谈论违反GDPR法律的问题,因为可以将这个唯一标识符视为允许您唯一地建立用户身份的数据。Google尚未对此问题发表评论。并且公司的正式文件和其他消息不允许完全澄清情况。怎么运行的
当浏览器从服务器请求网页时,它将发送一个HTTP请求,该请求包含一组标头,这些标头是用冒号分隔的键值对。这些标头还确定应以哪种格式发送数据。例如,accept: text / html
早些时候(至少自2012年以来),Chrome发送了一个名为“ X-client-data”(也称为“ X-chrome-variations”)的标头,以测试正在开发的功能。安装浏览器时,Google会激活其中一些功能。当您在Chrome地址栏中输入chrome:// version时,将显示有关它们的信息。Variations: 202c099d-377be55a
在Chromium源文件的第32行,X-client-data标头发送当前Chrome用户的Google Field Trials信息。“ Chrome变量(X-client-data)标头将不包含任何个人身份信息,只会描述Chrome本身的安装选项,包括活动版本以及可能影响安装的服务器端实验数据。” ,《Google Chrome功能指南》。但是,事实并非如此。对于每次安装,Google Chrome浏览器都会随机生成一个0到7999(最大13位)的数字。该数字对应于一组随机激活的实验功能。空位数越多,创建具有高度唯一性的浏览器指纹就越困难,反之亦然。但是,如果将这些数据与默认情况下启用的使用情况统计信息和崩溃报告结合使用,那么对于大多数Chrome用户而言,您仍然可以获得相当准确的指纹。Granal解释说:“指纹是由您的IP地址,操作系统,Chrome版本和其他参数以及您的安装参数确定的。”例如,如果您访问YouTube,标题将包含以下格式的行:X-client-data: CIS2yQEIprbJAZjBtskBCKmdygEI8J/KAQjLrsoBCL2wygEI97TKAQiVtcoBCO21ygEYq6TKARjWscoB
如果您在Google Chrome中打开开发者控制台,然后在“网络”标签中打开,然后转到youtube.com或doubleclick.net,则可以自己进行检查。据Granal称,只有youtube.com,google.com,doubleclick.net,googleadservices.com和其他一些Google服务可以访问此类标识符。但仅当浏览器未处于隐身模式时。最佳防守
如果只有Google可以访问X客户端数据,则可能表明该公司保护用户数据免受除自身以外的所有人的侵害。独立研究人员和个人数据保护顾问Lukash Oleinik认为,此功能可以用于个人目的,尽管创建该功能很有可能是为了跟踪技术问题。“我相信大多数用户都不知道该标识符,其用途以及使用时间。可能的问题是,当用户清除浏览器数据时,标识符保持不变并且不会重置。从这个意义上讲,它可以被视为一个烙印。[到目前为止]主要风险是数据发送到仅由一个组织管理的站点。”
Granal指出,这种数据传输机制可以视为漏洞。Chromium的源代码仅实现对Google域预定义列表的验证,但不检查其他域。因此,攻击者可以购买一个域名(例如youtube.vg),然后在其上部署一个网站来收集X客户端数据标头。未记录的功能
2017年8月,卡巴斯基实验室专家在NetSarang中发现了一个后门程序,NetSarang是一种用于管理公司服务器的流行软件。通过分析最大的安装软件公司之一的公司网络中的可疑DNS查询,发现了ShadowPad后门。通过后门,攻击者可以使用NetSarang访问组织的机密数据。这家开发公司表示,对此一无所知,恶意代码是由未知攻击者引入其产品中的。但是,在发现后门之后,NetSarang专家可疑地迅速消除了该漏洞。公司是否经常对这种无证的机会视而不见?