蘋果澄清你的瀏覽資料不會傳給騰訊或Google,那麼先前說騰訊可能會記錄你的IP位址是說錯嗎?

這兩天關於蘋果是否有將使用者的瀏覽資料傳給騰訊的新聞,在全球都有著許多的報導。而根據外媒iMore的報導,蘋果則是發表了聲明,解釋使用者的瀏覽資料並不會傳給騰訊,大家不必擔心。

蘋果的聲明如下:

「蘋果透過「Safari 詐騙網站警告」來保護使用者的隱私以及保護你的資料。如果網站已知帶有危害的話,就會被標記起來。而當你的Safari開啟了「Safari 詐騙網站警告」的功能,當你瀏覽網站時,Safari就會先將這個網站的URL拿去與已知的惡意網站列表加以比對,如果發生這個URL正在拜訪疑似詐騙網站的時候,就會顯示警告訊息。

而實際上在實際運作時,對於大多數地區的用戶來說,Safari會去Google接收惡意網站的列表用來進行比對。而在中國地區的使用者,則是到騰訊去接收列表。所以,實際上你瀏覽的網站的URL是不會傳送出去的。除此之外,如果你還不放心的話,你還可以在瀏覽器端將這個功能關閉。」

蘋果說明「Safari 詐騙網站警告」資料如何處理,以及為什麼你的資料不會傳給騰訊

從蘋果的聲明來看, 「Safari 詐騙網站警告」實際上並不是把你的電腦中的資訊傳出去,而是到外面抓了一個比對清單後,在你的電腦中把這個清單與你正在連線的網站進行比對。因此從這個描述中,整個過程並不會傳送資料出去,自然也就不會有將你的資料洩漏給騰訊的問題。

不過,看到這裡你可能又疑惑了,蘋果的這個說法,是不是又與他們在iPhone中對於Safari的隱私權說明中的說明文字相違背?畢竟在iPhone上先前的說明,是寫「參訪網站前,Safari可能會將從網站位址計算出的資訊傳送給.....來檢查是否為詐騙網站。」、「這些安全瀏覽服務供應商可能也會記錄您的IP位址」。

蘋果說明「Safari 詐騙網站警告」資料如何處理,以及為什麼你的資料不會傳給騰訊

答案是,前後兩次講的話都為真。先前講的是你的「IP位址」,而這次蘋果發表的聲明內容講的則是你瀏覽網站的「URL」。 

那麼,到底整個「Safari 詐騙網站警告」流程是怎麼樣?

其中有一個關鍵在於,由於詐騙網頁非常之多,如果你要把你現在瀏覽的網頁,去比對所有已知的詐騙列表的話,每一次瀏覽網頁都做一次這樣的動作的話,那麼你瀏覽網頁的速度會非常慢。因此,事實上Google以及騰訊除了有完整的詐騙網站列表之外,另外他們還有一個詐騙網站網址前綴列表。

你可以把這個想像成是一個索引或是目錄。舉例來說,假設「https://www.123.com/11/12/fraud」是詐騙網頁,那麼我們只要先比較要去的網頁是否包含「www.123.com」,如果不是的話也就不用比對後面了。(附註,這邊的說法只是簡化過程,並非實際的狀況,實際上安全網站是將詐騙網站的資料用演算法先hash過,然後再給你其中的一部份當作索引,先hash過之後的好處是無法得知你原本瀏覽的網站是什麼)

因此,我們來還原一下整個過程:

  • Google以及騰訊他們那裡有惡意網站的網址前綴列表,如果你的裝置設定地區是在中國以外的地方,你會去跟Google拿這個列表,如果你的裝置設定在中國,你跟騰訊拿這個列表。
  • Safari 會檢查你嘗試要到達的任何網頁(的hash值),去比對這份列表。如果你要去的網站在這份列表上,就會顯示為「疑似」詐騙網站。
  • 這時,Safari 會再去跟Google或是騰訊要詐騙網站的完整列表,拿來與你正在瀏覽的「疑似」詐騙網站比對。(這就是蘋果所謂的「參訪網站前,Safari可能會將從網站位址計算出的資訊傳送給.....來檢查是否為詐騙網站。」)
  • 所以,你瀏覽網站的URL實際上是不會傳出去的。
  • 但是,因為Safari必須要從你的手機(或電腦)上跟Google以及騰訊去拿網站列表, 因此Google以及騰訊會知道這個裝置的IP位址,那麼他們如果需要的話也可以記錄你的裝置的IP位址。不過,光是知道IP位址如果沒有其他資訊的話,並沒有什麼意義。

 

 

想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@

使用 Facebook 留言

ulyssesric
1人給推

1.  ulyssesric (發表於 2019年10月15日 20:20)
小編澄清了老半天結果還是錯的。

首先用來做第一次比對的東西不是 URL 前綴而是前綴的雜湊值(Hash)。
所謂雜湊是一種數學演算法,可以把一長串資料簡化成一個數值。
這個計算是不可逆,不可能從最終結果反推回原始資料。
多個不同資料有可能會算出相同的雜湊值。
意思就是說你用一個網址算出的雜湊值,在黑名單資料庫裡可能對應一堆網站。
換句話說,伺服器端不可能知道你原本到底是要去哪裡。

這樣做的理由是因為網路黑名單太過龐雜而且又是隨時更新,
在行動裝置上建立完整黑名單還要及時更新完全不切實際。
同時用雜湊的方式也可以防止伺服器端反窺使用者到底去了哪個老司機站。
從有人類歷史以來就有密碼學,這樣常識性的問題還去懷疑他完全是在反智。

當然你在用雜湊拿即時資料時對方會有你的 IP,因為要傳資料給你。
拿這一點來說嘴實在是在做一個講廢話的動作。
問題是對方拿到的 IP 是否有意義?

以 4G 網路來說,電信商在你手機連線時會把你連同其他成千上萬個使用者一起劃分到一個 APN,
然後你連線的對外 IP 就是這個 APN 的 IP。
你實際配置的 APN 內私有 IP 以及服務基地台的對應是隨時動態變更,
其中配置與管理完全是電信商內部作業,網外不可能知道。
所以就算紀錄了你的 IP,也沒有任何意義。
伺服器頂多知道「有一個台哥大的逆名用戶查詢了一個包含三百筆資料的雜湊數字」
就只是這樣而已。
如果你認為這樣就能把你肉搜出來,你手上肯定有一個神奇海螺。

個資很重要,但是不必聽見風吹草動就起乩。

發表回應

謹慎發言,尊重彼此。按此展開留言規則