74 评论

如何保护隐私[3]:关于浏览器的基本防范(中)

  今天这篇,主要介绍浏览器 Cookie 方面的防范。

★什么是"cookie"?


  本文所说的"cookie",指的是浏览器相关的 cookie(也叫"HTTP cookie")。
  浏览器 cookie 的主要功能是:帮助网站保存一些小片段的信息。比如,你曾经在自己的浏览器上登录过某个论坛,下次你再打开论坛的登录页面,你会发现用户名已经帮你填好 了,你只需要输入口令即可。那么,这个登录页面是如何知道你上次登录用的账户名捏?奥妙就在于:该网站在你的浏览器端保存了一个 cookie,里面包含了你上次登录使用的帐号名称。

★Cookie 的技术实现


  本章节面向懂技术的网友。不太懂技术的读者,可以略过本节,直接进入下一章节,以免浪费时间。

◇网站如何设置 cookie(写操作)


  1
  当你在浏览器中点某个书签、或者在浏览器地址栏输入某个网址,浏览器会向对应的网站发起一个 HTTP 请求(术语是 HTTP Request)。
  2
  然后,网站的服务器收到这个 HTTP 请求之后,会把相应的内容(比如网页、图片、等)发回给浏览器(这称为 HTTP 响应,术语是 HTTP Reponse)。
  如果网站想设置 cookie,就在发回的 HTTP Response 中,包含一个设置 cookie 的指令。举例如下:
Set-Cookie: user=xxxx; Path=/; Domain=www.example.com
  上述这个例子中,设置了一个 cookie。这个 cookie 的"名"是 user;cookie 的"值"是 xxxx;cookie 绑定的域名是 www.example.com
  3
  浏览器在收到这个指令后,就会在你的电脑中存储该 cookie 的信息。

◇网站如何获取 cookie(读操作)


  假设过了几天之后,你再次访问上述的 www.example.com 网站(在上次的访问中,已经被设置过 cookie 了)。这时候,浏览器发现该网址已经有对应的 cookie,就会把 cookie 的信息放在 HTTP Request 中,然后发送到网站服务器。具体的指令如下:
Cookie: user=xxxx
  网站服务器拿到这个 HTTP Request 之后,就可以通过上述信息,知道 cookie 的"名"和"值"。

★Cookie 的特点


◇存储信息量小


  cookie 在洋文中的意思就是:小甜饼、曲奇饼。这个单词其实已经暗示了 cookie 技术所能存储的信息量是比较小滴。
  从刚才的技术实现机制可以看出,cookie 只能用来存储纯文本信息,而且存储的内容不能太长——因为 Cookie 的读写指令受限于 HTTP Header 的长度。
  但是,cookie 的信息量虽小,能耐却很大哦。请看下面的例子。

  举例
  比如某个网站上有很多网页,每个网页上有很多广告。该网站想要收集:每一个访客点击了哪些广告。
  由于这些信息量比较大,直接存储在 cookie 里可能放不下。所以,网站通常是在 cookie 中保存一个唯一的用户标识。然后把用户的点击信息(包括在哪个时间点击哪个广告)都存储在服务器上。
  下次你再访问该网站,网站先拿到 cookie 中的用户标识,因为这个标识具有唯一性,那么就可以根据该标识,从网站服务器上查出该用户的详细信息。

◇绑定到域名和路径


  从上述的实现机制可以看出,cookie 是跟 HTTP Request 对应的网址(域名和路径)相关的。
  所以,不同域名的网站设置的 cookie 是互相独立的(隔离的)。这一点由浏览器来保证,以确保安全性。
  补充一下:cookie 绑定的域名可以是小数点开头的。举例如下:
Set-Cookie: user=xxxx; Path=/; Domain=.example.com
  这个指令设置的 cookie,可以被 example.com 的所有下级域名读取(比如 www.example.com 或 ftp.example.com)。

★Cookie 的类型


◇第一方 Cookie VS 第三方 Cookie


  首先来说说"第一方"和"第三方" Cookie 的区别,因为这跟隐私的关系比较密切。
  要说清楚 "第一方 Cookie" 和 "第三方 Cookie" 的差别,俺来举个例子。

  举例
  打个比方,你上新浪去看新闻,并且新浪的网页上嵌入了阿里巴巴的广告(假设新浪的页面和嵌入的广告都会设置 cookie)
  那么,当你的浏览器加载完整个页面之后,浏览器中就会同时存在新浪网站的 cookie 和 阿里巴巴网站的 cookie
  这时候,新浪网站的 cookie 称为"第一方 Cookie"(因为你访问的就是新浪嘛)
  相对的,阿里巴巴的 cookie 称为"第三方 Cookie"(因为你访问的是新浪,阿里巴巴只是不相干的第三方)

◇内存型 VS 文件型


  根据存储方式的不同,分为两类:基于内存的 Cookie 和 基于文件的Cookie。基于内存的 cookie,当浏览器关闭之后,就消失了;而基于文件的 cookie,即使浏览器关闭,依然存在于硬盘上。和隐私问题相关的 cookie,主要是第二类(基于文件的Cookie)。

★Cookie 有啥正经用途?


  今年的315晚会,央视猛烈抨击了 cookie 的隐私问题,搞得好像 cookie 是洪水猛兽一般。CCAV 对 cookie 的妖魔化宣传,典型是用来吓唬不懂技术的外行。
  其实捏,cookie 是有利有弊的。cookie 之所以应用这么广泛,因为它本身确实是很有用的。请看下面的几个例子。

◇举例1——自动登录


  目前很多基于 Web 的邮箱,都有自动登录功能。也就是说,你第一次打开邮箱页面的时候,需要输入用户名和口令;过几天之后再来打开邮箱网页,就不需要再次输入用户名和口令了(比如 Gmail 和 Hotmail 就是这样的)。
  为啥邮箱可以做到自动登录,就是因为邮箱的网站在你的浏览器中保存了 cookie,通过 cookie 中记录的信息来表明你是已登录用户。

◇举例2——提供个性化界面


  比如某个论坛允许匿名用户设置页面的字体样式和字体大小。
  那么,该论坛就可以把匿名用户设置的字体信息保存在 cookie 中,下次你用同一个浏览器访问该论坛,自动就帮你把字体设置好了。

◇小结


  一般来说,有正经用途的 cookie,大都是"第一方 Cookie";至于"第三方 Cookie",大部分是用来收集广告信息和用户行为的。

★Cookie 如何泄漏隐私?


  cookie 就像一把双刃剑,有很多用途,但也有弊端。一个主要的弊端就是隐私问题。

◇举例1


  假如你同时使用 Google 的 Gmail 和 Google 的搜索(很多 Google 用户都这么干)。当你登录过 Gmail 之后,cookie 中会保存你的用户信息(标识你是谁);即使你在 Gmail 中点了注销(logout),cookie 中还是会有你的用户信息。
  之后,你再用 Google 的搜索功能,那么 Google 就可以通过 cookie 中的信息,知道这些搜索请求是哪个 Gmail 用户发起的。

  可能有些同学会问,Gmail 和 Google 搜索,是不同的域名,如何共享 cookie 捏?
  俺前面有介绍过,某些 cookie 绑定的域名是以小数点开头的,也就是说,这类 cookie 可以被所有下级域名读取。
  因为 Gmail 的域名是 mail.google.com,而 Google 搜索的域名是 www.google.com。所以这两者都可以读取绑定在 .google.com 的 cookie!

  注:俺拿 Google 来举例是因为俺博客的读者,大部分都是 Google 用户。其实不光 Google 存在此问题,百度、腾讯、阿里巴巴、奇虎360、等等,都存在类似问题(这几家都有搜索功能,也都有自己的一套用户帐号体系)。

◇举例2


  很多网站会利用 cookie 来追踪你访问该网站的行为(包括你多久来一次,每次来经常看哪些页面,每个页面的停留时间)
  这样一来,网站方面就可以根据这些数据,分析你的个人的种种偏好(这就涉及到个人隐私)。

  请注意:利用 cookie 收集个人隐私的把戏有很多,俺限于篇幅,仅列出上述两例。

★浏览器禁用 Cookie 的几种方法


  在本系列的前一篇, 俺已经分析了:Firefox 是主流浏览器中,隐私方面比较靠谱的(完全开源、没有商业背景)。相对于 Firefox,Chrome 只是部分开源,而且 Google 的商业模式太依赖广告,不会为隐私保护而得罪广告主;至于 IE,根本不开源,自身的安全性也不够。
  所以,本小节下面的内容,主要拿 Firefox 来说事儿。如果你是 Chrome 的粉丝,不想换 Firefox,也没关系。这两款浏览器的某些功能大同小异,你可以参考本章节的介绍,然后在 Chrome 上依样画葫芦。

◇只禁用第三方 Cookie


  前面说了,大部分"第三方 Cookie"都不是干正经事儿的。所以,最简单也是最宽松的设置,就是光禁用"第三方 cookie"。

  配置方法和截图如下:
  在 Firefox 主菜单点"工具",再点"选项"。在弹出的选项对话框中,选"隐私"标签页。
  在界面的第一个下拉框中选择"使用自定义历史记录设置"
  选完下拉框,你会看到一个复选框叫"接受第三方 Cookie",去掉这个复选框的打勾。
不见图 请翻墙

◇禁用所有 cookie,但保留例外(白名单)


  这种方式比前一种更严格。你只保留某些你信任的网站的 cookie,其它网站统统禁用。
  配置方法和截图如下:
  在 Firefox 主菜单点"工具",再点"选项"。在弹出的选项对话框中,选"隐私"标签页。
  在界面的第一个下拉框中选择"使用自定义历史记录设置"
  选完下拉框,你会看到一个复选框叫"接受来自网站的 Cookie",去掉这个复选框的打勾。
  然后到该复选框右侧,点"例外"按钮,把你信任的网站域名输入进去。
不见图 请翻墙

◇始终用隐私浏览模式


  关于"隐私浏览模式",在本系列的前一篇已经介绍过了,此处不再啰嗦。
  相比前两个招数,这招最严格。在隐私浏览模式下,浏览器关闭之后,期间所有的 cookie 都消失。
  但是,这样设置也可能带来一些不方便之处(安全性和方便性通常是截然对立)。你可能要先尝试一段时间,看看自己能否忍受这种模式。

  配置方法和截图如下:
  在 Firefox 主菜单点"工具",再点"选项"。在弹出的选项对话框中,选"隐私"标签页。
  在界面的第一个下拉框中选择"使用自定义历史记录设置"
  选完下拉框,你会看到一个复选框叫"始终使用隐私浏览模式",勾上这个复选框。
打勾之后,Firefox 会提示你重启浏览器。
不见图 请翻墙

◇小结


  刚才介绍的几招,都是针对单个浏览器 。大部分情况下是够用了。但是某些特殊情况,还是会搞不定。
  比如:你经常用 Gmail,而且依赖于 Gmail 的自动登录。这时候,你就不能禁用 .google.com 域名下的 cookie(禁用了就无法自动登录 Gmail)。
  但是,你在用 Google 搜索的时候,又不希望让 Google 知道你是谁。咋办捏?请听下回分解——如何隔离浏览器。

回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2013/07/privacy-protection-3.html

74 条评论

  1. 推荐一个擦除cookie的软件,如果已经有cookie了,可以用这个软件来擦除。WYWZ是一个保护你的计算机隐私的小型绿色软件,如果你不注册为开机自动启动以及右键关联、native启动清理等则为绿色软件,所有配置都记录在配置文件中,可以方便的在移动磁盘中保存使用。WYWZ能够全面、快速、自动地擦除WINDOWS中常用软件使用痕迹以及你自己定义的擦除,并且经过她“擦除”的数据是无法恢复的。
    [url]http://www.bannedbook.org/forum23/topic2701.html[/url]

    回复删除
    回复
    1. TO 王禁书
      多谢推荐清理工具 :)
      可惜这个(无影无踪wywz)好像不是开源的。

      删除
    2. chromium 一样有incognito mode可以浏览网页
      另外在google play也有adblock extention可以使用adblock 是一个阻挡广告的extention kit可防止第三方cookie载入

      删除
    3. 抱歉是google store

      删除
    4. TO 2单元 和 3单元
      多谢分享 Chromium 的经验 :)

      删除
  2. 可能是编程随想最后一篇能在Google Reader中被阅读的文章了. 留念一下.

    回复删除
    回复
    1. 这篇博文确实是俺在 Google Reader 上的最后一篇。
      为 GR 默哀

      删除
  3. Google Reader寿终正寝倒计时,默哀。。。

    回复删除
  4. 我刚刚在GoogleReader阅读本文.又学到了好多.

    我很喜欢Google搜索知道我是谁,这样搜索起来效率更高.

    如果哪天有些不想让它知道,就在虚拟机里用不记名的chrome.
    问题是同一台机子,不同操作系统之间的chrome是否能通过蛛丝马迹得知是同一用户,如果可以就太神秘了.

    回复删除
    回复
    1. 假如你使用的是家庭宽带,假如你没有用代理,假如 Google 的服务端足够聪明,
      那么,
      Google 或许可以判断出来,你这两个虚拟机中的 Chrome 是同一人所用。

      如果你真的想用匿名搜索,除了在虚拟机中开启一个干净的浏览器,最好还要配上代理。

      删除
  5. 好帖,浅显易懂,把深奥变简单不是一件容易的事。

    回复删除
    回复
    1. TO Fankang Chen
      多谢捧场 :)

      你说的对,“把深奥变简单不是一件容易的事”

      所以俺比较喜欢写扫盲性质的技术博文(面向技术门外汉)。
      写这种博文,挑战性更大 :)

      删除
  6. 家用的路由器、光猫都是国产的(例如光猫都是电信送的,不是中兴就是华为)会有后门监控、收集信息吗?真担心博主介绍的防护措施到底有没有用

    回复删除
    回复
    1. 光猫可以不用管它, 毕竟后面连着路由器
      只要不是什么360安全路由器就OK , 做好路由器的安全设置 , 没问题的

      删除
    2. 通过路由器连接猫, 电脑在路由器后面, 这样路由器就相当于一个简易的防火墙, 毕竟还有NAT网络地址转换, 外网是看不到内网的电脑的。

      路由器要设置高强度的登录密码 , 最好把admin也改名, 防止别人随意修改你的路由器设置。
      充分利用好路由器的防火墙功能, 设置MAC地址过滤(白名单, 只允许你的电脑、手机、平板等MAC地址连接至路由器), ip地址过滤, 绑定mac和ip, 最好关闭DHCP,设置静态ip, 不允许ping数据包通过 。 如果是无线路由器, 一定要加密无线信号, 加密模式选择WAP2, 高强度密码 ; 同时关闭SSID广播。

      我的无线路由器,除了上述的一些安全设置, 还修改了内网网关IP, 把默认的192.168.1.1改成了192.168.59.× , 这样就算别人破解了WAP2加密, 也很难连接上路由器 。

      删除
    3. 楼上说的不错,不是默认的IP,破解了加密还是很难连上

      删除
    4. 我这是带路由的光猫,不是ADSL的猫

      删除
    5. 那就在带路由功能的光猫后面再串联一个路由器, 自己买的路由更安全。
      注意网段IP的设置 ,后面一个路由器修改 LAN ip的倒数第二位 , 不要跟光猫的lan地址重合。
      光猫的lan口用网线连接至路由器的wan口, 电脑则连接至路由器即可。

      删除
    6. TO 裆中央
      不用太担心 ISP 提供的终端设备。

      如果你能确保自己的上网流量都是加密的,并且都经过代理。
      那么,即使 ISP 在 modem 上做手脚,也无法知道你的网络行为。

      俺的经验是:
      所有的上网行为都经过翻墙通道(同时具备 加密 和 代理中转)。
      另外,俺即使不用“编程随想”这个身份上网,也是全程走翻墙通道的。

      TO 1单元 和 2单元
      多谢分享你的经验 :)
      同意你说的,把 modem 后面的路由器做好安全加固。

      删除
    7. TO 5单元
      多谢分享经验 :)
      同意你的思路。
      如果对电信提供的“带路由的光猫”不放心,就串接一个自己买的路由器。
      然后在自己的路由器上做安全加固。

      删除
    8. "高强度的登录密码"要知道现在跑包很牛逼的!!!"最好把admin也改名"如果路由器有0day直接绕过也不是难事"设置MAC地址过滤(白名单, 只允许你的电脑、手机、平板等MAC地址连接至路由器)"某种强大的神器可以查看得到!!! "绑定mac和ip, 最好关闭DHCP,设置静态ip,不允许ping数据包通过"这个对某些人人来说也不是难事 改下数据包的类型绕过!!! "同时关闭SSID广播"死亡发包强制断你网 不让蹭网者上 你也别想上 然后通过某种对sssid分析的软件 分析出你ssid也很轻松的!!!

      删除
    9. 任何安全都是相对的, 不存在绝对的安全, 当然也不是绝对的危险。 我感觉楼上的思维有点转牛角尖了, 甚至还有抬杠的意味。 讨论的目的不是争个输赢。
      路由器做到了上述的防护设置 , 我可以说可以防范绝大多数“蹭网”或者通过wifi的网络嗅探。

      再说, WPA2加密方式目前还是可靠的, 只要用WPA2设置强壮密码(字母字符数字混用,12位以上), 暴力破解没那么容易。 而且, 还可以定期修改密码 。
      实在不行, 把路由器的无线功能关闭, 当有线路由器使用, 我看还怎么着? 设备的控制权在我手上, 还治不了不成?

      删除
    10. 8单元的那位看起来很流弊的样子,地球如此不安全为何不早日会火星呢?

      删除
    11. 多谢楼上两位良言 我认识到了错误

      删除
  7. 不想用国内的各种卫士来监控电脑硬件温度(CPU、显卡、硬盘、风扇转速等),有没有一些单纯的监控硬件温度的小软件?当然是无后门的信得过的。

    回复删除
    回复
    1. 试试 everest , 能监控硬件温度, 还能做硬件压力测试及各种性能测试 。

      删除
    2. TO 楼上
      感谢,还请问在哪下载everest正宗啊?是中文免费版的吗

      删除
    3. Beta版的就行 http://www.crsky.com/soft/5904.html
      网上的相关资源很多 everest绿色版的也可以用
      这个软件目标不大, 我还没碰到有“夹杂私货”的修改版本

      删除
    4. 在官网beta版好像是3.00.2522,并不是5.50

      删除
    5. 同求温度监控开源软件,还有内存释放软件。

      删除
    6. Everest 早已被收购,改名叫 AIDA64 啦。官方网站是:http://www.aida64.com/downloads

      这个软件的历史沿革,可以看维基百科:https://en.wikipedia.org/wiki/AIDA64

      删除
  8. 诚恳的问一下楼主自己用什么杀毒软件呀? 谢谢!

    回复删除
    回复
    1. 对于 Linux 系统,俺不用杀毒软件。
      对于 Windows 系统,俺用的是国外知名的杀毒软件(但不便告知具体是哪个)

      Google 系统在去年(或前年)就提醒俺,“Gmail 邮箱遭到国家资助的攻击”
      说明朝廷的走狗早就盯上俺了。

      所以,不方便透露俺使用的杀毒工具,以免被朝廷的走狗利用。

      删除
    2. 听起来好可怕,像楼主推荐两个比Gmail安全的邮箱:https://www.riseup.net/
      http://www.safe-mail.net/,另外建议楼主能定期删掉网友给您发的邮件(保护yahoo的自动回复邮箱),万一中共碰对了您的密码或者入侵了google服务器,您隐藏ip应该没事,不精通网络安全给您发邮件的网友有可能被清算

      删除
    3. 强烈建议楼主能使用多台电脑(或许您已经这么做了),一台以真实身份工作和娱乐用,一台专门用来谈论政治,后一台最好物理机用linux,虚拟机根据需要使用windows或linux。对于人肉搜索楼主如果有国内的代理服务器可以第一级国外第二级国内代理在国内外注册您的网名,发布敏感贴,让中共以为这个国内的代理ip就是您的真实ip而抓您扑个空,可以通过这样的垃圾信息扰乱维稳。

      删除
    4. 墙外真不赖

      听起来好可怕,像楼主推荐两个比Gmail安全的邮箱:https://www.riseup.net/
      http://www.safe-mail.net/,


      何以见得这两个邮箱比Gmail安全?

      删除
    5. TO 2单元的网友
      多谢提建议 :)

      TO 3单元的网友
      多谢提建议 :)
      关于“多物理机”的方案,显然比“多虚拟机”更好。
      不过“多虚拟机”对于大多数网友应该足够了。
      只有特别危险的人士(比如类似俺这种,长期散布政治敏感言论的),才需要考虑“多物理机”
      如果有空的话,俺会在《[url=http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-0.html]如何防止黑客入侵[/url]》系列中介绍一下“多物理机”的招数

      至于你提到的——(两级代理,一个国内,一个国外)。
      俺觉得:
      这么做并不会显著提升安全性。
      而且俺不信任国内的代理服务器。
      所以俺使用的多重代理,都是基于国外的(比如 TOR)

      删除
  9. 这几天我不用杀毒软件,请教,这样可以吗?平时浏览多。用goagent,感觉没什么,你们有什么提醒,谢

    回复删除
  10. 温云超说,把自己看成透明人,不用害怕。

    回复删除
    回复
    1. 有点杀软强迫症 所以特别好奇楼主用什么杀毒软件 呵呵

      删除
    2. 同求杀毒软件,上次楼主推荐的SEP在win7下安装失败,求解决办法和除此以外的其他好的杀毒软件

      删除
    3. 顺便说一下 要不楼主也开一个杀毒软件的系列吧

      删除
    4. 我也希望楼主能多讲些关于杀毒软件方面的事,不过这样就又要新挖一个坑了,博主最近已经挖了很多坑了,还是先把几个旧系列结束以后再说吧。

      删除
    5. TO 刘晋军 以及 12楼的几位网友
      关于杀毒软件,俺会在《[url=http://program-think.blogspot.com/2010/06/howto-prevent-hacker-attack-0.html]如何防止黑客入侵[/url]》系列的后续博文中介绍。

      俺个人的经验是:
      虚拟机如果使用得当,起的作用会超过杀毒软件。
      如果把两者结合,会更好。

      最后再啰嗦一下:
      千万别用国产的杀毒(尤其是 360),太不靠谱了。

      删除
  11. avast free 这一套軟件我覺得就夠用了在杀毒方面,其实更重要的是良好的计算机使用习惯,或者乾脆如博主所说的方式构建虚拟机

    回复删除
    回复
    1. 同意你的说法——“更重要的是良好的计算机使用习惯”

      关于虚拟机,俺在12楼5单元提到:
      虚拟机如果使用得当,起的作用会超过杀毒软件。
      如果把两者结合,会更好。

      删除
    2. 我建议网友直接研究 linux,以及虚拟机。一年半载就会啦
      技能长半衰期,终身受益。

      删除
    3. linux有好多版本,哪一个版本好学易用?

      删除
    4. 最流行的学,ubuntu
      其二是 linux mint 是基于 ubuntu 的精简版(美化版),界面更像 window

      删除
  12. 这个CCAV坏透顶了,三一五彻底沦为“假打联欢会”,放着黄浦江上成千上万的死猪不管,吃饱了没事干来妖魔化Cookies,有多少只菜鸟上当受骗俺不清楚。

    回复删除
    回复
    1. TO Yao Chen
      其实从好几年前开始,CCTV 的“打假晚会”就已经蜕变为“假打”

      据网友们总结,其中的奥妙在于:
      给央视足够的广告费,就不会上“假打晚会”
      被“假打晚会”狠批的,都不是央视的广告大客户。

      删除
  13. 偶然发现的网站,对我们这些菜鸟来说你简直是神人啊。。
    问个问题:在公司,如何知道我的电脑是否已经被监控??

    回复删除
    回复
    1. 你上个有色的网站或着是赌博的站 看看你们主管部门主任会不会找你谈话。。。

      删除
    2. 一般来说企业内都会做监控系统、網絡行为分析、使用防火墙过滤只允许存取被指定的端口都各种流量都经过公司网管的服务器流出,若是使用虚拟机做规避 如果你有一个USB狗建议在内部做虚拟机使用博主的方式进行翻墙动作,并使用不明的VPN(例如VPNGATE).公司内部服务器仍可能会监控到你电脑连线到其他异常的IP位址并且进行封锁,甚至是先把443PORT OR其他该软体常用的端口在服务器上进行封锁,所以 还是买支智能手机使用自己的线路做翻墙比较好,上述是指在服务端进行封锁的部份
      另外在client也就是你正在使用的公司内部电脑,可能也会被公司网管强制安装上监控软件 例如VNC或者其他的远端修护或者其他管理程序在你的电脑上,其实类似网吧上安装绿坝一样或者其他修护程序一样,且一般来说公司内部网管都会拿掉administrator权限在一般的使用者

      删除
    3. 若是小弟还有补充不够的部份就请博主补充一般常见到在公司或网吧的监控方式。
      谢谢

      删除
    4. TO 15楼的网友
      关于公司的监控,请看俺5月份写的系列
      《[url=http://program-think.blogspot.com/2013/05/howto-anti-it-audit-0.html]如何对付公司的监控[/url]》

      “监控”其实分两个层面“监视”和“控制”
      对于“控制”,你很容易就可以看出来(比如是否限制上网的端口、是否封锁某些域名、等等)
      对于“监视”,就不容易看出来了(纯粹的监视通常采用旁路嗅探,对你的上网行为没有干扰)。

      对于“只监不控”,那你只能采用社会工程学的手段(比如跟网管混熟,然后套话)
      1单元介绍的招数,也属于社会工程学(只是有点冒险)


      TO 2单元的网友
      多谢补充 :)
      在《[url=http://program-think.blogspot.com/2013/05/howto-anti-it-audit-0.html]如何对付公司的监控[/url]》系列中,有针对“网络行为审计”和“主机行为审计”分别介绍应对措施。
      俺个人觉得,“主机行为审计”比较讨厌,“网络行为审计”比较好对付

      删除
  14. 【网络版首发】《2014大崩溃》(珍贵照片清晰版),胡乔英著

    3月12日晚,中共政治局常委会召开常委扩大会议,13日晚中共政治局召开扩大会议。与会中,中共总书记习近平作出讲话,称中共正面临挑战

    的严峻性、紧迫性,并表示,今明两年是中共面临生死存亡的关键。这一消息与2013年1月1日出版的《2014大崩溃》一书披露的相关内容惊人

    一致,引强烈关注。
    《争鸣》报导,3月12日晚,中共政治局常委会召开常委扩大会议,胡锦涛、吴邦国、温家宝列席。中央军委委员、各省、部党政一把手也出席

    了13日晚的政治局扩大会议。有关讲话已在3月14日向各省区中共人大代表团党委作了传达。

    据报,习近平在会中提到,今明两年是中共面临生死存亡的关键。并称,“部份地区民怨到了沸点、民愤接近临界点。”并认为长此下去,中

    共“面临的政治危机会加剧,局部地区会爆发危机。”习近平还称,“要承认这样的痛苦现状、接受这样的严酷事实……”

    此前,《动向》2012年5月份曾报导,时任政治局常委、中央书记处书记的习近平在中共中央、国务院部委办书记、部长政治学习班上,称当前

    中共存在三大危机:政治危机、政局稳定危机、民心党心危机。

    下载地址:http://page1.yunfile.com/file/czwolf/299abef9/

    回复删除
    回复
    1. 谁下好了 换个给力点的网盘 这个网盘下得我快吐了 速度太慢了

      删除
    2. TO 16楼的网友
      多谢分享链接 :)

      这个《2014大崩溃》的电子版有点大(将近70兆),看来是清晰扫描版。
      哪位网友下好了,给俺发一份,俺就可以放到网盘上分享。

      删除
    3. 墙外真不赖

      【网络版首发】《2014大崩溃》(珍贵照片清晰版),胡乔英著

      下载地址:http://page1.yunfile.com/file/czwolf/299abef9/
      这个网盘用火狐浏览器和IDM无法下载,根本就不是速度慢不慢的问题,请各位软件高手点拨一下,究竟是怎么回事,如何做才可以下载,谢谢。

      删除
  15. SSL:今天拦截明天解密

    数百万网站和数十亿网民都依靠SSL保护敏感数据如密码、信用卡号码和个人信息的传输。但最近泄漏的机密文档显示,美国国家安全局会记录大量互联网流量,储存加密数据以用于以后的密码分析。美国当然并不是唯一一个这么做的国家,沙特、中国和伊朗都是如此。保留的加密数据可以通过各种方法解密,例如法庭命令,社会工程,网站攻击,乃至密码分析。如果得到了密钥,所有相关网站的历史流量可以一次性解密。这就像打开了潘多拉的盒子。然而,互联网实际上存在应对之策——密钥协商协议Perfect Forward Secrecy(PFS),如果SSL网站的私钥泄漏,PFS可以保护以前的加密流量不会因此受到影响,因为PFS可以为每次会话分配不同密钥加密通信。PFS需要客户端浏览器和服务器端同时支持才适用。Netcraft的测试显示,IE和Safari(虽然支持但首选非PFS)基本不支持,而 Google Chrome、Opera 和Firefox都支持。对SSL网站的分析发现,Google对部分SSL网站使用了PFS,而托管在Google App Engine上的网站多数没有使用。研究得出了一个让阴谋论者“不出所料”的结论:大部分卷入NSA PRISM计划的科技巨人如Facebook、苹果、AOL和雅虎等都没有使用PFS,而Google支持大多数浏览器的PFS协商,但奇怪的是Opera除外。换言之,如果NSA能获得密钥,它可以解密绝大部分加密流量。俄罗斯开发者开发的Web服务器nginx默认支持PFS,而俄罗斯是美国长期的监视目标。

    回复删除
    回复
    1. TO 沦陷区居民
      多谢老熟人转载普及安全性的文章 :)

      删除
    2. 墙外真不赖

      如果得到了密钥,所有相关网站的历史流量可以一次性解密。这就像打开了潘多拉的盒子。然而,互联网实际上存在应对之策——密钥协商协议Perfect Forward Secrecy(PFS),如果SSL网站的私钥泄漏,PFS可以保护以前的加密流量不会因此受到影响,因为PFS可以为每次会话分配不同密钥加密通信。PFS需要客户端浏览器和服务器端同时支持才适用。Netcraft的测试显示,IE和Safari(虽然支持但首选非PFS)基本不支持,而 Google Chrome、Opera 和Firefox都支持。


      请博主从计算机网络专业的角度,给大家深入浅出的科普一下密钥协商协议Perfect Forward Secrecy(PFS),谢谢。

      删除
    3. TO 墙外真不赖
      多谢提建议 :)
      如果要普及“密钥协商协议”,得先从 HTTPS 的实现原理开始说起。
      搞不好又是一个大坑。
      俺先把手头的《如何保护隐私》写完。
      或者考虑把 HTTPS 加密的相关话题,也放到《如何保护隐私》系列中。

      删除
    4. 墙外真不赖

      如果要普及“密钥协商协议”,得先从 HTTPS 的实现原理开始说起。
      搞不好又是一个大坑。

      这个大坑许多读者愿意跳,普及计算机网络安全知识和技能,使之用于反抗共产主义暴政,彻底打款GFW,具有非常重大的意义,任重而道远。

      删除
    5. TO 墙外真不赖
      多谢提建议 :)

      或者俺在《如何保护隐私》系列的后续博文中再增加几篇,专门谈谈加密和 HTTPS 协议

      删除
  16. 随想兄辛苦!
    我在设置禁用第三方cookie时遇到了个问题。我平时浏览器必用隐私模式,习惯用www.google.com/ncr直接进入google英文页,然后加https,免去上一步跳到hk的中文页的麻烦。但是禁用了第三方cookie后,页面只进hk的中文页,我没有办法,点右下角的"Google.com"链接,想跳转入英文页,结果页面出现提示,说我禁用了cookie云云。
    不知博主是否有办法解决这个问题,因为影响了google的使用,我只好暂时恢复了第三方cookie。。。

    回复删除
    回复
    1. 请参考本文中的
      “◇禁用所有 cookie,但保留例外(白名单)”

      删除