如何保护隐私之关于软件和服务的选择

安全
本文作者主要介绍了选择"软件"和"服务"的一般性原则。

本文作者主要介绍了选择"软件"和"服务"的一般性原则。

一、IT 机构的类型

本节所说的"IT 机构"指的是跟软件相关或者跟互联网相关的组织或机构(包括"商业公司"和"非营利组织")。

◇提供服务 VS 提供软件

根据这个维度,可以分为如下三类。

第1类

仅仅提供基于互联网的服务,不提供软件。

因为不提供软件,所以这类 IT 机构提供的服务往往是纯 Web 服务(比如专门提供恶意软件扫描的 VirusTotal)。

第2类

仅仅提供应用软件,不提供基于互联网的服务(比如某些开发单机游戏的公司)

第3类

两者都提供(比如 Google、Apple、微软、等等)

按照收集信息的能力排序:第3类 > 第2类 > 第1类

为啥第2类大于第1类?因为软件是安装到你的操作系统中的,(从技术上讲)不但可以访问你的文件系统,而且可以获取你操作系统中的很多信息。相对而言,纯 Web 的应用就安全得多。

所以,能用纯 Web 搞定的,尽量不要装软件。

举例:

比如俺用微软的 Sky Drive 网盘分享电子书。SkyDrive 网盘同时支持客户端软件和纯 Web。因为有了纯 Web 支持,所以俺从来不装微软的网盘客户端。

◇非商业(非盈利性) VS 商业(盈利性)

如果某个商业公司具有很大的用户群,那么该公司很有可能会收集用户的行为。

原因在于:数据挖掘技术已经非常成熟,收集大量用户的行为,有可能带来商业利益,这对商业公司具有很大的诱惑力。

举例——Netflix

可能很多国内的网友没听说过这家公司。它是世界上最大的在线影片租恁服务商。

Netflix 很擅长数据收集,也很擅长数据挖掘。它不光记录每一个用户看了哪些影片,而且会记录用户看某个影片时,在哪个时间点按了"暂停",在哪个时间点按了"快进"。

因为它的用户数足够多,再加上它有足够好的数据挖掘算法。就可以预测某个还没有上映的美剧是否会火爆。

比如 Netflix 的管理层连视频的内容都没看到,就砸下1亿美元购买《纸牌屋》的版权。因为 Netflix 的数据挖掘算法预测,此片必火(如果你觉得很神奇,可以看《Wired》的详细报道)。

说了这么多,就是想表明一点:商业公司有盈利压力,所以对收集用户信息具有天然的偏好。相对而言,非营利组织就好很多——它们或许也会收集,但肯定没商业公司这么大的热情。

所以,尽量用非营利机构的软件和服务。

有些读者可能有一个错觉——以为非营利机构搞出来的东西不如商业公司。

其实这是不一定滴!

比如非营利组织 Mozilla 开发的 Firefox 在功能上要好于微软的 IE。

比如非营利的维基百科是全球最好的在线百科(远远好于百度百科,百度百科的很多内容是抄袭维基百科)。

◇国外 VS 国内

再来说说最后一个维度。

俺博客的大部分读者都是天朝网民。所以大伙儿还需要考虑 IT 机构是国内还是国外。

大伙儿都知道,天朝是个一党专制的国家。所以,国内的 IT 机构会受到朝廷的胁迫。朝廷让他们干啥,他们就必须干啥(否则就别想在天朝混)。

而且咱们朝廷搞了一个金盾工程(维基百科的词条在"这里")。这个金盾工程会收集并监控国内网民的各种网络行为(比如:论坛、邮件、聊天、网盘、等等)。

举例——QQ聊天

腾讯作为 IM 市场的长期垄断者,早就被朝廷盯上了。据说腾讯的聊天服务器上部署了专门的监控模块。如果你经常在 QQ 群中发布一些不和谐的言论,就会被朝廷盯上。

顺便插一句:经常有读者来信,询问俺的 QQ 号。在此郑重声明:俺一直不用 QQ 的。像俺这种长期抹黑党国的危险分子,用 QQ 简直是找死。

有些读者会反问:那几个美国大公司不是也卷入到"棱镜门"丑闻吗?

俺的观点是:如果你是天朝的网民,你不用担心美国政府的监控。

首先,美国政府对你没有司法管辖权;其次,美国政府关注的重点是不同的——对于天朝网民发表的敏感政治言论,美国政府通常不感兴趣。

(引申阅读《中美政府信息监控的差异——"棱镜门"丑闻随想》)

显然,国内 IT 机构的危险性远远大于国外的。

◇小结

根据上述的对比,可以得出如下结论——尽量使用国外的、非营利的 IT 机构提供的软件和服务

举例:

比如选浏览器的话,Firefox(在隐私保护方面)比 Chrome 和 IE 要靠谱,因为 Mozilla 是非营利机构,而 Google 和 微软是商业公司。#p#

二、应用软件的类型

刚才说了,如果某个功能可以用纯 Web 搞定,就尽量不要装软件。但是有很多东西是纯 Web 搞不定,你不得不装软件。这时候如何防范捏?请看如下的对比。

◇开源软件 VS 闭源软件

所谓的"开源"(洋文叫 Open Source),就是说该软件的源代码是公开的,可以被网民获取。

通常而言,"开源软件"好于"闭源软件"。因为源代码公开,如果软件带有后门或偷窥隐私的行为,就比较容易被发现。(但是也有例外,曾经发生过开源软件的后门长期未被发现的案例,比如Borland 的 InterBase 后门)

相对而言,"闭源软件"由于没有公开源代码,要发现其后门或偷窥隐私的行为,就比较难(只能通过监控软件行为来发现)。

所以,尽量使用"开源软件"以防止后门和偷窥隐私。

对比举例——磁盘加密软件

俺拿两款比较有名的磁盘加密工具(TrueCrypt 和 BitLocker)来说事儿。

TrueCrypt 是开源软件,而 BitLocker 是微软提供的商业软件(不开源)。由于 BitLocker 不开源,是不是内置了后门,就说不清楚啦。微软自己肯定不承认有后门。但是 N 年前就有安全专家怀疑,NSA(美国国安局)已经在微软的加密工具中设置了后门。

显然,TrueCrypt 在保护隐私方面要好于 BitLocker。

对 TrueCrypt 感兴趣的读者,可以看俺写的扫盲教程《TrueCrypt——文件加密的法宝》。

◇单机软件 VS 网络软件

所谓的"单机软件"就是说:该软件不访问网络,使用该软件不需要联网;反之,"网络软件"在使用的时候会访问网络。

在保护隐私方面,单机软件好于网络软件。

对比举例——输入法

早期的输入法,大都是单机软件;如今的输入法很多都成为网络软件(一个很流行的功能是"在线同步词库")。

那些在线同步词库的输入法就会泄露你的隐私。因为输入法的提供商可以根据词频分析,推测你平时经常输入哪些内容。如果他们愿意,还可以进一步分析你的职业、你的喜好、等等。

反之,单机版的输入法,软件提供商就无法拿到你的"词频"信息。

所以,如果软件本身的用途跟网络无关,那就尽量选"单机软件"。

◇绿色软件 VS 非绿色软件

所谓的"绿色软件",就是无需安装,也无需依赖管理员权限的软件。

反之,"非绿色软件"要么需要安装,要么需要管理员才可以运行。

前几年写过一个《如何防止黑客入侵》的系列,第一篇的标题就是《避免使用高权限用户》。在那篇博文中,俺详细介绍了"高权限用户的危害",此处就不再啰嗦了。

要避免使用高权限用户,技巧之一就是:尽量用绿色软件。

◇小结

根据上述的对比,可以得出如下结论:优先使用开源的,绿色的软件。如果软件本身的用途跟网络无关,那就尽量选"单机软件"。#p#

三、上网的类型

说完了 IT 机构类型和应用软件类型,再来说说上网的类型。

◇有中心——C/S 型(Client-Server)

所谓的 C/S 型,也就是你的电脑充当 Client,你通过跟 Server 通讯来进行信息的交互。大部分互联网行为都属于这一类。

举例:

浏览网页,Server 就是网站的 Web 服务器

收发邮件,Server 就是邮件提供商的邮件服务器

传统 VPN 翻墙,Server 就是 VPN 服务器

......

C/S 型的缺点在于,中央服务器知道太多用户的信息。

◇无中心——P2P 型(Peer to Peer)

自从 P2P 下载普及之后,很多网友都开始听说 P2P 一词。P2P 和 C/S 的主要差别在于——不需要固定的中央服务器。所以 P2P 又可以称为"无中心"或"去中心化"。

举例:

最近两年开始流行的比特币(BitCoin)就是典型的无中心化。它把所有的货币交易历史都存储在每一个客户端上。

相比 C/S 过度依赖中央服务器,"去中心化"的好处在于,你的信息分散在许许多多不同的网络节点中——这就增加了收集隐私的难度。

◇半中心——P2P 与 C/S 混合型

所谓"半中心"的混合型,就是既有 P2P 也有 C/S。

举例:

Skype 聊天。当你登录的时候,是基于 C/S 型(需要从 Skype 的服务器上验证你的帐号)。在语音聊天的时候是基于 P2P 型(可以直接跟对方进行语音传输,无需经过 Skype 的服务器)。

◇小结

按照收集信息的能力排序:"有中心" > "半中心" > "无中心"。

对比举例——翻墙工具

传统的 VPN 翻墙和代理翻墙是"有中心"的。假设你长期使用同一个 VPN 提供商,万一该提供商记录你的上网历史,你的隐私就泄露啦。

而 TOR 跟 I2P 是无中心的。而且中转节点会随着时间频繁变化。因此,即使中转节点偷窥你的网络流量,看到的也是残缺不全的片段。

顺便补充一下:TOR 和 I2P 本身都是多重代理。只有最后一个节点(术语叫"出口节点")可以看到你的访问的网站;其它节点看到的都是强加密的流量。

虽然"无中心"很好,而且也很符合互联网精神(互联网当初的设计,就是"去中心化"的)。可惜的是,如今的很多网络服务(尤其是 SNS)缺乏成熟的"无中心"替代品。

"棱镜门"丑闻曝光之后,某热心老外搞了个"粉碎棱镜"的网站,里面列举了不少"去中心化"的网络服务(包括:Email、IM、SNS、等)。有兴趣的同学可以去瞧一瞧。

责任编辑:蓝雨泪 来源: 博客
相关推荐

2019-05-31 08:24:19

Linuxshell命令别名

2013-08-16 17:50:13

2022-06-17 12:05:25

微服务注册

2011-05-03 17:36:07

iPad谷歌苹果

2009-03-19 08:48:22

CRM客户关系管理微软

2023-06-19 11:49:03

2011-03-25 17:30:02

Nagios

2014-05-28 15:24:59

台湾Teradata大数据

2010-03-29 14:56:36

云计算

2013-08-16 17:10:56

2023-07-30 22:34:56

隐私保护检索

2013-04-17 10:55:34

虚拟化

2023-11-02 17:52:30

架构模式微服务服务治理

2019-09-19 09:03:13

Docker负载均衡服务

2010-08-26 10:01:50

DHCP服务器

2017-01-20 18:01:35

Avaya

2017-10-24 15:25:46

微服务架构.识别

2013-08-16 17:25:59

2010-08-26 14:03:23

隐私保护

2013-10-25 14:09:33

SAP
点赞
收藏

51CTO技术栈公众号