中国数字时代: 编程随想 | 如何保护隐私[1]：关于软件和服务的选择

中国数字时代 － 在这里，了解祖国

The Next Generation in Online Meetings GoTo Webinar is a new, affordable, do-it-yourself Web event service that doesn't require a consultant. Get $10 off after your complimentary trial. From our sponsors

编程随想 | 如何保护隐私[1]：关于软件和服务的选择 Oct 28th 2013, 05:45, by Chinese Netizens ★IT 机构的类型 　　本节所说的”IT 机构”指的是跟软件相关或者跟互联网相关的组织或机构（包括”商业公司”和”非营利组织”）。 ◇提供服务 VS 提供软件 　　根据这个维度，可以分为如下三类。 　　第1类 　　仅仅提供基于互联网的服务，不提供软件。 　　因为不提供软件，所以这类 IT 机构提供的服务往往是纯 Web 服务（比如专门提供恶意软件扫描的 VirusTotal）。 　　第2类 　　仅仅提供应用软件，不提供基于互联网的服务（比如某些开发单机游戏的公司） 　　第3类 　　两者都提供（比如 Google、Apple、微软、等等） 　　按照收集信息的能力排序：第3类 > 第2类 > 第1类 　　为啥 第2类 大于 第1类？因为软件是安装到你的操作系统中的，（从技术上讲）不但可以访问你的文件系统，而且可以获取你操作系统中的很多信息。相对而言，纯 Web 的应用就安全得多。 　　所以，能用纯 Web 搞定的，尽量不要装软件。 　　举例： 　　比如俺用微软的 Sky Drive 网盘分享电子书。SkyDrive 网盘同时支持客户端软件和纯 Web。因为有了纯 Web 支持，所以俺从来不装微软的网盘客户端。 ◇非商业（非盈利性） VS 商业（盈利性） 　　如果某个商业公司具有很大的用户群，那么该公司很有可能会收集用户的行为。 　　原因在于：数据挖掘技术已经非常成熟，收集大量用户的行为，有可能带来商业利益，这对商业公司具有很大的诱惑力。 　　举例——Netflix 　　可能很多国内的网友没听说过这家公司。它是世界上最大的在线影片租恁服务商。 　　Netflix 很擅长数据收集，也很擅长数据挖掘。它不光记录每一个用户看了哪些影片，而且会记录用户看某个影片时，在哪个时间点按了”暂停”，在哪个时间点按了”快进”。 　　因为它的用户数足够多，再加上它有足够好的数据挖掘算法。就可以预测某个还没有上映的美剧是否会火爆。 　　比如 Netflix 的管理层连视频的内容都没看到，就砸下1亿美元购买《纸牌屋》的版权。因为 Netflix 的数据挖掘算法预测，此片必火（如果你觉得很神奇，可以看《Wired》的详细报道）。 　　说了这么多，就是想表明一点：商业公司有盈利压力，所以对收集用户信息具有天然的偏好。相对而言，非营利组织就好很多——它们或许也会收集，但肯定没商业公司这么大的热情。 　　所以，尽量用非营利机构的软件和服务。 　　有些读者可能有一个错觉——以为非营利机构搞出来的东西不如商业公司。 　　其实这是不一定滴！ 比如非营利组织 Mozilla 开发的 Firefox 在功能上要好于微软的 IE。 比如非营利的维基百科是全球最好的在线百科（远远好于百度百科，百度百科的很多内容是抄袭维基百科）。 ◇国外 VS 国内 　　再来说说最后一个维度。 　　俺博客的大部分读者都是天朝网民。所以大伙儿还需要考虑 IT 机构是国内还是国外。 　　大伙儿都知道，天朝是个一党专制的国家。所以，国内的 IT 机构会受到朝廷的胁迫。朝廷让他们干啥，他们就必须干啥（否则就别想在天朝混）。 　　而且咱们朝廷搞了一个金盾工程（维基百科的词条在”这里“）。这个金盾工程会收集并监控国内网民的各种网络行为（比如：论坛、邮件、聊天、网盘、等等）。 　　举例——QQ聊天 　　腾讯作为 IM 市场的长期垄断者，早就被朝廷盯上了。据说腾讯的聊天服务器上部署了专门的监控模块。如果你经常在 QQ 群中发布一些不和谐的言论，就会被朝廷盯上。 　　顺便插一句：经常有读者来信，询问俺的 QQ 号。在此郑重声明：俺一直不用 QQ 的。像俺这种长期抹黑党国的危险分子，用 QQ 简直是找死。 　　有些读者会反问：那几个美国大公司不是也卷入到”棱镜门”丑闻吗？ 　　俺的观点是：如果你是天朝的网民，你不用担心美国政府的监控。 　　首先，美国政府对你没有司法管辖权；其次，美国政府关注的重点是不同的——对于天朝网民发表的敏感政治言论，美国政府通常不感兴趣。 （引申阅读《中美政府信息监控的差异——”棱镜门”丑闻随想》） 　　显然，国内 IT 机构的危险性远远大于国外的。 ◇小结 　　根据上述的对比，可以得出如下结论——尽量使用国外的、非营利的 IT 机构提供的软件和服务 　　举例： 　　比如选浏览器的话，Firefox（在隐私保护方面）比 Chrome 和 IE 要靠谱，因为 Mozilla 是非营利机构，而 Google 和 微软是商业公司。 ★应用软件的类型 　　刚才说了，如果某个功能可以用纯 Web 搞定，就尽量不要装软件。但是有很多东西是纯 Web 搞不定，你不得不装软件。这时候如何防范捏？请看如下的对比。 ◇开源软件 VS 闭源软件 　　所谓的”开源”（洋文叫 Open Source），就是说该软件的源代码是公开的，可以被网民获取。 　　通常而言，”开源软件”好于”闭源软件”。因为源代码公开，如果软件带有后门或偷窥隐私的行为，就比较容易被发现。（但是也有例外，曾经发生过开源软件的后门长期未被发现的案例，比如 Borland 的 InterBase 后门） 　　相对而言，”闭源软件”由于没有公开源代码，要发现其后门或偷窥隐私的行为，就比较难（只能通过监控软件行为来发现）。 　　所以，尽量使用”开源软件”以防止后门和偷窥隐私。 　　对比举例——磁盘加密软件 　　俺拿两款比较有名的磁盘加密工具（TrueCrypt 和 BitLocker）来说事儿。 　　TrueCrypt 是开源软件，而 BitLocker 是微软提供的商业软件（不开源）。由于 BitLocker 不开源，是不是内置了后门，就说不清楚啦。微软自己肯定不承认有后门。但是 N 年前就有安全专家怀疑，NSA（美国国安局）已经在微软的加密工具中设置了后门。 　　显然，TrueCrypt 在保护隐私方面要好于 BitLocker。 　　对 TrueCrypt 感兴趣的读者，可以看俺写的扫盲教程《TrueCrypt——文件加密的法宝》。 ◇单机软件 VS 网络软件 　　所谓的”单机软件”就是说：该软件不访问网络，使用该软件不需要联网；反之，”网络软件”在使用的时候会访问网络。 　　在保护隐私方面，单机软件好于网络软件。 　　对比举例——输入法 　　早期的输入法，大都是单机软件；如今的输入法很多都成为网络软件（一个很流行的功能是”在线同步词库”）。 　　那些在线同步词库的输入法就会泄露你的隐私。因为输入法的提供商可以根据词频分析，推测你平时经常输入哪些内容。如果他们愿意，还可以进一步分析你的职业、你的喜好、等等。 　　反之，单机版的输入法，软件提供商就无法拿到你的”词频”信息。 　　所以，如果软件本身的用途跟网络无关，那就尽量选”单机软件”。 ◇绿色软件 VS 非绿色软件 　　所谓的”绿色软件”，就是无需安装，也无需依赖管理员权限的软件。 　　反之，”非绿色软件”要么需要安装，要么需要管理员才可以运行。 　　前几年写过一个《如何防止黑客入侵》的系列，第一篇的标题就是《避免使用高权限用户》。在那篇博文中，俺详细介绍了”高权限用户的危害”，此处就不再啰嗦了。 　　要避免使用高权限用户，技巧之一就是：尽量用绿色软件。 ◇小结 　　根据上述的对比，可以得出如下结论：优先使用开源的，绿色的软件。如果软件本身的用途跟网络无关，那就尽量选”单机软件”。 ★上网的类型 　　说完了 IT 机构类型和应用软件类型，再来说说上网的类型。 ◇有中心——C/S 型（Client-Server） 　　所谓的 C/S 型，也就是你的电脑充当 Client，你通过跟 Server 通讯来进行信息的交互。大部分互联网行为都属于这一类。 　　举例： 浏览网页，Server 就是网站的 Web 服务器 收发邮件，Server 就是邮件提供商的邮件服务器 传统 VPN 翻墙，Server 就是 VPN 服务器 …… 　　C/S 型的缺点在于，中央服务器知道太多用户的信息。 ◇无中心——P2P 型（Peer to Peer） 　　自从 P2P 下载普及之后，很多网友都开始听说 P2P 一词。P2P 和 C/S 的主要差别在于——不需要固定的中央服务器。所以 P2P 又可以称为”无中心”或”去中心化”。 　　举例： 　　最近两年开始流行的比特币（BitCoin）就是典型的无中心化。它把所有的货币交易历史都存储在每一个客户端上。 　　相比 C/S 过度依赖中央服务器，”去中心化”的好处在于，你的信息分散在许许多多不同的网络节点中——这就增加了收集隐私的难度。 ◇半中心——P2P 与 C/S 混合型 　　所谓”半中心”的混合型，就是既有 P2P 也有 C/S。 　　举例： 　　Skype 聊天。当你登录的时候，是基于 C/S 型（需要从 Skype 的服务器上验证你的帐号）。在语音聊天的时候是基于 P2P 型（可以直接跟对方进行语音传输，无需经过 Skype 的服务器）。 ◇小结 　　按照收集信息的能力排序：”有中心” > “半中心” > “无中心”。 　　对比举例——翻墙工具 　　传统的 VPN 翻墙和代理翻墙是”有中心”的。假设你长期使用同一个 VPN 提供商，万一该提供商记录你的上网历史，你的隐私就泄露啦。 　　而 TOR 跟 I2P 是无中心的。而且中转节点会随着时间频繁变化。因此，即使中转节点偷窥你的网络流量，看到的也是残缺不全的片段。 　　顺便补充一下：TOR 和 I2P 本身都是多重代理。只有最后一个节点（术语叫”出口节点”）可以看到你的访问的网站；其它节点看到的都是强加密的流量。 　　虽然”无中心”很好，而且也很符合互联网精神（互联网当初的设计，就是”去中心化”的）。可惜的是，如今的很多网络服务（尤其是 SNS）缺乏成熟的”无中心”替代品。 　　”棱镜门”丑闻曝光之后，某热心老外搞了个”粉碎棱镜“的网站，里面列举了不少”去中心化”的网络服务（包括：Email、IM、SNS、等）。有兴趣的同学可以去瞧一瞧。 回到本系列的目录 本文由自动聚合程序取自网络，内容和观点不代表数字时代立场 Loading… 墙外新闻实时更新 欢迎订阅数字时代 © Chinese Netizens for 中国数字时代, 2013. | Permalink | No comment | Add to del.icio.us Post tags: 公共知识分子 订靠谱新闻 获穿墙捷径 请发电邮(最好用gmail)至：sub@chinadigitaltimes.net

You are receiving this email because you subscribed to this feed at blogtrottr.com. If you no longer wish to receive these emails, you can unsubscribe from this feed, or manage all your subscriptions