瀏覽器隱私等級排行榜：微軟 Edge 排名墊底，Cookie 是罪魁禍首？

技術編輯：徐九丨發自 北京
SegmentFault 思否報道丨公衆號：SegmentFault

---

圖片上的這個梗你們應該都不陌生，做爲老大哥的 IE 瀏覽器很早就成爲了你們的調侃對象。

在 IE 逐漸退場的今天，瀏覽器產品競爭日趨激烈。最開始瀏覽器競爭的是速度，後來是總體性能，如今則是爲了爭論睡的用戶隱私保護能力更強，基於此，業內甚至還出了一個隱私等級排行榜...

瀏覽器隱私等級排行榜

近日，愛爾蘭都柏林聖三一大學計算機科學和統計學院教授道格拉斯·萊思（Douglas Leith）發佈了一篇針對網絡瀏覽器隱私安全的行業報告《Web Browser Privacy:What Do Browsers Say When They Phone Home?(網絡瀏覽器的隱私：瀏覽器在給家裏打電話的時候會說什麼？)》

報告中對六個比較主流的瀏覽器進行了測評，測評對象包含谷歌的 Chrome 瀏覽器、Mozilla 的 Firefox 瀏覽器、蘋果的 Safari 瀏覽器、Brave 瀏覽器、微軟的 Edge 瀏覽器和 Yandex 瀏覽器。

根據測評結果顯示，隱私等級最高的瀏覽器是 Brave；第二梯隊的有 Chrome、Firefox、Safari；Edge 和 Yandex 則排在榜單末尾。

「咱們詢問了用戶是否經歷了完整的受權過程，是否有通暢的匿名瀏覽渠道，同時調查了各瀏覽器數據收集的具體步驟。」萊斯教授稱團隊嚴格按照 GDPR（歐盟通用數據保護條例）進行調研，因此這一排名結果具備可參考性。

之因此將 Edge 和 Yandex 排在最後，是由於研究報告指出，Edge 和 Yandex 會向後端服務器發送設備硬件的標識符，且用戶難以更改或刪除。

熟悉計算機原理的朋友都知道，設備硬件標識符具備惟一性和不可更改性，即便從新安裝，憑藉設備標識符，瀏覽器仍可從新識別用戶身份，還可將同一設備上運行的不一樣應用聯繫起來。

好比對用戶進行大數據畫像時，對於同一公司生產的多個應用程序，若是用戶數據與設備標識符創建聯繫，不一樣應用間的數據將被打通，畫像會越發豐富和精準。

所以，將設備標識符傳輸到後端服務器對隱私保護來講是極爲不利的。

排在第二梯隊的 Chrome、Firefox 和 Safari 三款瀏覽器雖然不會獲取設備標識符，但它們自身會設置惟一標識符，這些標識符在瀏覽器關閉重啓時不會改變，但在從新安裝時發生變化。

而本次榜單中隱私保護作得最好的 Brave，所使用的標識符則會在每次重啓瀏覽器時發生改變。

該份報告在發佈以後迅速在社交網站上引發討論。有用戶指出，Brave 瀏覽器有着強大的廣告攔截功能，而 Chrome、Firefox 等瀏覽器也將相繼屏蔽第三方 cookie 以保護用戶隱私。但也有一部分用戶認爲和其餘瀏覽器相比，Edge 使用體驗更好，而且從用戶我的角度難以發現其隱私漏洞。

對於 Edge 這次陷入的「隱私風波」，微軟官方也給出了簡單的迴應：「Edge 瀏覽器向後臺發送數據，目的是爲了進行產品的改進和優化，以便讓咱們進行下一次升級，徵用的數據的確包括設備標識符，但這不是爲了檢測用戶的瀏覽記錄。」

該內部人士表示，在 Windows 系統上，用戶能夠在任什麼時候候刪除與設備 ID 相關的任何數據。不過有用戶指出，在 MacOS，Android 等系統上操做，想要刪除數據就顯得有些困難。

小衆瀏覽器的崛起

對於隱私安全這件事，除了瀏覽器巨頭們在作着努力地嘗試，不少小衆瀏覽器也在默默的坐着努力，甚至憑藉着自身的安全性能，從巨頭們的身上分到了一倍羹。

Vivaldi 是基於Chromium 的一款瀏覽器，最先的公開版本發佈於 2016 年（在這以前至關長的一段時間內處於測試版中），其根基能夠追溯到 Opera 瀏覽器。Vivaldi 最大的優點就是對於瀏覽器的設置和選項很是多，這也讓其擁有了一批「死忠粉」。

在今年三月份美國分析公司 Net Applications 的報告中，Vivaldi 的市場份額爲 0.1%，不到 opera的十分之一，差很少是 Safari 的三十六分之一。

之因此介紹 Vivaldi，是由於它是一個比較典型的尋求逆襲的小衆瀏覽器。上週它發佈了 3.0 版本，增長了反追蹤和反廣告工具。

該工具能夠在「首選項」-「隱私」窗格中選擇三種不一樣的屏蔽策略：

• 不屏蔽
• 只屏蔽跟蹤器
• 屏蔽廣告和跟蹤器

此外，Vivaldi 還尋求 DuckDuckGo 的幫助，來爲其反追蹤防護打下基礎。DuckDuckGo 是一款互聯網搜索引擎，特色就是注重用戶隱私。它與其餘搜索引擎不一樣的地方在於其不會分析本身的用戶、對全部使用同一組關鍵詞的用戶顯示一樣的結果。它也強調返回最佳結果，而不是最多網站連接之結果。

但對於 Vivaldi 這類小衆瀏覽器來講，這種嘗試確實是他們在巨頭環伺的市場環境中尋求生存的最佳方式了。而大企業加持下的瀏覽器，則由於揹負了更多的商業需求，不得不承擔相應的後果。

相信小衆瀏覽器憑藉安全隱私問題愈發嚴重的狀況慢慢崛起以後，巨頭們必定會想出相應的隱私解決方案，只不過如今優先級沒那麼高罷了。

瀏覽器泄露隱私，Cookie 是罪魁禍首？

前面咱們提到了，Chrome、Firefox 等瀏覽器相繼提出要屏蔽第三方 cookie 以保護用戶隱私。其實呢，蘋果、微軟和 Mozilla 在很早以前就已經採起行動禁用第三方 Cookie，這次市場份額最大的 Chrome 也提出了相同的舉措，Cookie 真的那麼「罪大惡極」麼？

首先，咱們先要知道 Cookie 的背景用途。

由於 HTTP 協議是無狀態的，即服務器不知道用戶上一次作了什麼，這嚴重阻礙了交互式 Web 應用程序的實現。在典型的網上購物場景中，用戶挑選完東西最後結賬時，因爲 HTTP 的無狀態性，不經過額外的手段，服務器並不知道用戶到底買了什麼，因此 Cookie 就是用來繞開 HTTP 的無狀態性的「額外方法」之一。服務器能夠設置或讀取 Cookies 中包含信息，藉此維護用戶跟服務器會話中的狀態。

在剛纔的購物場景中，當用戶選購了第一項商品，服務器在向用戶發送網頁的同時，還發送了一段 Cookie，記錄着那項商品的信息。當用戶訪問另外一個頁面，瀏覽器會把 Cookie 發送給服務器，因而服務器知道他以前選購了什麼。用戶繼續選購第二件商品，服務器就在原來那段 Cookie 裏追加新的商品信息。結賬時，服務器讀取發送來的Cookie就好了。

Cookie 另外一個典型的應用是當登陸一個網站時，網站每每會請求用戶輸入用戶名和密碼，而且用戶能夠勾選「下次自動登陸」。若是勾選了，那麼下次訪問同一網站時，用戶會發現沒輸入用戶名和密碼就已經登陸了。這正是由於前一次登陸時，服務器發送了包含登陸憑據（用戶名加密碼的某種加密形式）的 Cookie 到用戶的硬盤上。第二次登陸時，若是該 Cookie 還沒有到期，瀏覽器會發送該 Cookie，服務器驗證憑據，因而沒必要輸入用戶名和密碼就讓用戶登陸了。

雖然 Cookie 沒有中電腦病毒那麼危險，但它確實包含了不少的敏感消息，好比：用戶名、密碼、電腦名、使用的瀏覽器和曾經訪問的網站。這些信息一旦被濫用，會對 Web 安全和用戶隱私形成極大的傷害。

正由於 Cookie 存在不少風險因素，如今已經出現了不少 Cookie 的替代技術和方法，好比 已經中止開發的 Brownie 方案、P3P 協議和不少本地網絡存儲技術，但 Cookie 仍因其強悍的兼容性成爲最通用的客戶端數據存儲手段。

此外，隨着大數據技術的發展，收集和記錄了大量信息的 Cookie 已經成爲了不少企業的「數據資產」，經過 Cookie 對數據進行收集，從而進行用戶行爲分析、個性化推薦和精準營銷等商業行爲，從而提升用戶粘性和轉化效果。

雖然這些操做的目的是爲用戶帶來便利，但若是 Cookie 中包含的信息被企業濫用，可能也是個得不償失的事情。

爲了防止濫用 Cookie 蒐集用戶隱私，不少組織、機構都相繼出臺過一些政策，好比 2018 年推出的《GDPR》隱私保護法案，就是要求公司在收集哪些信息以及爲何收集這些信息等問題上保持透明，並讓用戶享有數據的使用權和控制權。

但在現在這樣的互聯網時代，爲了獲取網絡的使用便利、提高得到的服務質量，不可避免的要對隱私作出相應的讓步。但隱私和便利的邊界在哪裏？在這道分配題中，你給出的答案又會是什麼？

---

掃描下方二維碼關注 SegmentFault 官方公衆號，回覆關鍵詞「瀏覽器」，便可獲取《Web Browser Privacy:What Do Browsers Say When They Phone Home?》完整報告