關於 iOS Safari 傳送瀏覽數據及 IP 到騰訊的事情,有些新聞和網站標題寫得太過偏離事實,以下解釋:
【你可能產生的解讀】
我的 IP 和我瀏覽過的網站都被騰訊/中國政府監控了。
【事實 簡單版】
除非你國家/地區的設定選擇中國,不然不需要太過擔心。
【事實 詳細版】
⋯⋯雖是詳細版,但我的朋友大多跟我一樣沒資訊背景,我就用簡單語言解釋
1.
Google 的資料庫內有一堆惡意網站的網址
2.
Google 把這些網址都轉成亂碼 (SHA-256),變成另一個清單
3.
iPhone 會定期去下載這份清單,但為了節省空間,每組亂碼只拿開頭一小段
4.
你在 iPhone 瀏覽的網址也會先用同一方式轉換成一組亂碼,然後看開頭的一小段跟下載下來的清單有沒有對到,這就是 iPhone 說明裡所謂「從網站位址計算出的資訊」的意思
5.
如果有對到,就去跟 Google 要完整的亂碼來進一步比對,真的中了就警告你這是惡意網站
6.
這過程中你的 IP 有可能也提供給 Google
7.
地區設定為中國的使用者,請把 Google 換成騰訊
所以:
1.
以這個方式 (Update API),Google 不太能知道你到底看了什麼網站,因為先轉亂碼才比對、比對也在你的手機內完成,真的送去進一步比對也是開頭一段不完整的資訊,最後,也不是每一筆都會送去比對
2.
理論上 (但可行性不高) 可以從你過去送出檢查用的一堆亂碼,累積久了慢慢地推敲出瀏覽習慣,然後在他們系統裡找出有同樣瀏覽習慣的使用者,確切得知你是誰,但我不太相信他們有這麼無聊,因為多得是其他途徑可以直接取得你的完整瀏覽紀錄和偏好,更簡單又更詳細
【結論】
這類的新聞引起使用者關注自己的隱私是好事,但如果看到新聞不藉此機會好好地管理自己的資料,只是沒頭沒腦地關掉警告設定就以為自己沒事了,這樣可能反而帶來更大風險,因為判斷惡意網站並不容易,中獎了代價也更昂貴——而且別忘了,現在設定被你自己關掉了。
【補充與延伸閱讀】
1.
翟本喬 指出另一個可能更嚴重的隱憂:
https://www.facebook.com/ben.jai/posts/10158113669054113
2.
安全瀏覽詳細機制解釋
https://blog.cryptographyengineering.com/…/dear-apple-safe…/
同時也有10000部Youtube影片,追蹤數超過2,910的網紅コバにゃんチャンネル,也在其Youtube影片中提到,...
safari亂碼iphone 在 Z9 的看板 Facebook 的最佳貼文
關於 iOS Safari 傳送瀏覽數據及 IP 到騰訊的事情,有些新聞和網站標題寫得太過偏離事實,以下解釋:
【你可能產生的解讀】
我的 IP 和我瀏覽過的網站都被騰訊/中國政府監控了。
【事實 簡單版】
除非你國家/地區的設定選擇中國,不然不需要太過擔心。
【事實 詳細版】
⋯⋯雖是詳細版,但我的朋友大多跟我一樣沒資訊背景,我就用簡單語言解釋
1.
Google 的資料庫內有一堆惡意網站的網址
2.
Google 把這些網址都轉成亂碼 (SHA-256),變成另一個清單
3.
iPhone 會定期去下載這份清單,但為了節省空間,每組亂碼只拿開頭一小段
4.
你在 iPhone 瀏覽的網址也會先用同一方式轉換成一組亂碼,然後看開頭的一小段跟下載下來的清單有沒有對到,這就是 iPhone 說明裡所謂「從網站位址計算出的資訊」的意思
5.
如果有對到,就去跟 Google 要完整的亂碼來進一步比對,真的中了就警告你這是惡意網站
6.
這過程中你的 IP 有可能也提供給 Google
7.
地區設定為中國的使用者,請把 Google 換成騰訊
所以:
1.
以這個方式 (Update API),Google 不太能知道你到底看了什麼網站,因為先轉亂碼才比對、比對也在你的手機內完成,真的送去進一步比對也是開頭一段不完整的資訊,最後,也不是每一筆都會送去比對
2.
理論上 (但可行性不高) 可以從你過去送出檢查用的一堆亂碼,累積久了慢慢地推敲出瀏覽習慣,然後在他們系統裡找出有同樣瀏覽習慣的使用者,確切得知你是誰,但我不太相信他們有這麼無聊,因為多得是其他途徑可以直接取得你的完整瀏覽紀錄和偏好,更簡單又更詳細
【結論】
這類的新聞引起使用者關注自己的隱私是好事,但如果看到新聞不藉此機會好好地管理自己的資料,只是沒頭沒腦地關掉警告設定就以為自己沒事了,這樣可能反而帶來更大風險,因為判斷惡意網站並不容易,中獎了代價也更昂貴——而且別忘了,現在設定被你自己關掉了。
【補充與延伸閱讀】
1.
翟本喬 指出另一個可能更嚴重的隱憂:
https://www.facebook.com/ben.jai/posts/10158113669054113
2.
安全瀏覽詳細機制解釋
https://blog.cryptographyengineering.com/…/dear-apple-safe…/