第三方追蹤的安全研究

張玉清，武倩如，劉奇旭，董穎

（中國科學院大學 國家計算機網絡入侵防范中心，北京 101408）

1 引言

1.1 第三方追蹤的概念及特點

早期的 Web頁面是由一個人或者組織設計部署的。隨著多樣化需求的不斷增加，Web頁面中引用越來越多的第三方應用，作為廣告、網站分析、社交網絡等用途。如圖1所示，用戶主動瀏覽的網站叫做第一方網站，即在地址欄中所顯示的網站（www.nytimes.com/pages/national/index.html）；嵌入在第一方網站中的，與第一方網站不屬于同一域或同一個公司的網站叫做第三方應用網站，當用戶瀏覽第一方網站的同時也會向第三方應用發送請求。圖1中所標識出的廣告、視頻、社交網絡都為第三方應用，其中網站分析類的第三方應用代碼在頁面中執行，但沒有顯示。除了為第一方網站提供各種各樣的服務，第三方應用還具有如下特點。

1) 第一方網站主動引入第三方應用，默認第三方應用安全可信，并授權第三方應用獲得網站的一些信息。

2) 同一個第三方應用會被多個第一方網站所使用。

3) 同一家公司可能擁有多種第三方應用，比如google analysis、google adsense、doubleclick等都是google公司的產品。

這些特點使得第三方應用在為第一方網站提供服務的同時，有能力跨多個網站追蹤、記錄用戶的個人信息及其瀏覽歷史。第三方應用的這種追蹤行為叫做第三方追蹤。第三方追蹤造成的隱私威脅問題日益嚴重，如何保護第三方追蹤帶來的隱私威脅問題成為安全領域的重要研究內容。

圖1 New York Time網站上的第三方應用

1.2 第三方追蹤安全現狀

第三方追蹤可以獲得用戶瀏覽歷史，從而得到用戶的位置、興趣、購買過的商品、就業狀況，性取向、財務狀況、醫療狀況[1,2]等用戶的隱私信息，使用戶無隱私可言[3]。收集用戶的隱私信息并不是假設的猜想，而是實際存在的。下面幾個事件，反映了第三方追蹤的安全隱患。

1) 2011年中旬，一家NAI成員的廣告公司Epic Marketplace追蹤的用戶高度敏感信息數據段被曝光，敏感信息包括：懷孕生育、更年期、修復不良信貸等信息[4]。

2) 2011年10月，一家在線約會網站OkCupid被發現向其他商家出售用戶喝酒、吸煙、吸毒的頻率等信息[5]。

3) Krishnamurthy等[6]在10個流行的健康網站輸入查詢信息，在其中9個網站中發現第三方應用收集用戶的查詢信息。

4) 2013年3月，中央電視臺3.15平臺曝光幾家網絡公司利用第三方追蹤搜集上億條 Cookie信息，使得網民在網絡上的行為成為“裸奔”。

2 第三方應用的分類及隱私威脅

本節首先介紹第三方應用的分類及其隱私威脅模型，接著總結有追蹤行為的第三方應用的隱私威脅。

2.1 第三方應用的分類

第三方應用通常以 JavaScript腳本、iframe、Web bug或媒體等方式存在于第一方網站中[7,8]。按照所提供服務的內容不同，第三方應用可以劃分為6 類[3]：分析服務（analysis service）、社交網絡（social networks）、在線廣告（online advertising）、內容提供商（content providers）、前端服務（frontend services）、托管平臺（hosting platforms），并不是所有的第三方應用都有追蹤行為。分析服務、社交網絡、在線廣告這3類第三方應用通常都有追蹤行為，而大部分的內容提供商、前端服務和托管平臺類第三方應用并不對用戶進行追蹤，但由于這些第三方應用都嵌插在第一方網站中，因此，都有能力追蹤用戶，不能完全排除其存在追蹤行為的可能性。下面具體介紹這6類第三方應用，并介紹前3類第三方應用所采用的典型追蹤模型。本節中追蹤技術都以http Cookies為例，在第3節中，將詳細介紹其他追蹤技術。

1) 分析服務

分析服務類的第三方應用為第一方網站提供統計信息，使第一方網站可以更好地了解其訪問者，包括用戶的地域、瀏覽的內容、用戶代理信息以及與該網站的互動信息，從而改進網站的設計。雖然分析服務類的第三方應用在實現上有很大的不同，但是幾乎所有的第三方應用都采用以下2種商業模式之一：一些公司采用付費模式提供服務，它們聲稱有合法的權利間接獲得用戶的分析數據；另外一些公司提供免費的服務，它們使用搜集的用戶數據來獲利，比如廣告定向、市場調查等。

如圖2所示，以Google analytics 為例分析類第三方應用典型的追蹤模型如下：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網站site1.com發送請求數據分組；②第一方網站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到第三方應用的url鏈接，并向其發送請求；④第三方網站返回請求的文件內容，通常為JavaScript腳本文件；⑤腳本執行，讀取該第一方網站的http Cookies，獲取用戶ID等信息；⑥將這些信息作為參數傳回第三方應用服務器，第三方應用可能將用戶在該第一方網站的訪問記錄存儲在其服務器中。

圖2 分析類第三方應用追蹤模型

由于第三方應用的腳本在第一方網站中執行，根據同源策略，該腳本只能在第一方網站域下創建http Cookies文件，因此該類追蹤模型不能跨網站追蹤用戶，只能追蹤記錄用戶在site1.com中的瀏覽情況。若第三方追蹤者想獲得某一用戶在多個網站中的瀏覽記錄，則需要該用戶的個人信息標識(PII,personally identifiable information)，來識別出哪些瀏覽記錄是來自于該用戶的。總體來說，該類追蹤模型有2大特點[8]：①第三方應用的腳本會建立第一方網站域下的http Cookies，將其所要獲得的信息記錄在該http Cookies中；②讀取第一方網站域下http Cookies的內容，并將其作為url的參數發送給第三方。

2) 在線廣告

在線廣告網絡模型包括3大元素[9]：廣告發布商（publisher）、廣告網絡和廣告商（advisers）。其主要工作流程如圖3所示。①廣告商們將廣告投放到廣告網絡；②用戶瀏覽廣告商的頁面；③獲取該頁面的基本html信息；④并向廣告網絡發送廣告請求；⑤廣告網絡根據跨多個不相關網站追蹤到用戶的瀏覽歷史，推斷用戶的喜好，這些興趣愛好被用于選擇廣告發送給用戶[10,11]。行為定位是廣告網絡用來增強其廣告投放有效性的一種技術，在廣告市場中有十分重要的作用。Yan等[12]證明了行為定位技術可以增強Bing搜索引擎中廣告的有效性。

圖3 在線廣告工作流程

如圖4所示，以Admeld廣告網絡為例，分析第三方應用典型的追蹤過程如下。①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網站site1.com發送請求數據分組；②第一方網站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到廣告網絡Admeld.com的url鏈接，該第三方應用以iframe標簽的形式插入在第一方網站中，向該 url發送其請求；④廣告網絡Admeld.com返回網頁文件；⑤Admeld.com讀取其域下的http Cookies，該http Cookies存放了用戶在多個網站的瀏覽記錄等信息，Admeld.com分析該用戶信息，結合競價排名等機制，選擇適合該用戶的廣告商trun.com；⑥向廣告商trun.com發送廣告請求信息和用戶的信息，廣告商根據用戶所訪問的網站site1.com及用戶的信息，選擇合適的廣告投放到site1.com的頁面中。

由于第三方應用以iframe標簽的形式存在，因此該第三方應用可以創建自己域下的http Cookies，用戶瀏覽包含該第三方應用的第一方網站，其瀏覽記錄都會被該第三方http Cookies所記錄，因此可以進行跨域追蹤。總體來說，該類追蹤模型的特點在于[8]：一個第三方應用并不是直接插入在第一方網站中，而是被另一個第三方應用引入的。

圖4 廣告網絡類第三方應用追蹤模型

3) 社交網絡

一些社交網絡既是第一方網站又是第三方應用，其角色定義根據不同的場景有所不同：當用戶主動瀏覽社交網絡時，該社交網絡是第一方網站；當用戶瀏覽其他第一方網站，而社交網絡嵌入在該第一方網站時，該社交網絡為第三方應用。社交網絡類第三方應用為用戶提供個性化內容和單點登錄服務。社交網絡作為第三方應用時，最常見的形式為分享或點贊按鈕，如 facebook的 like按鈕，Google+1按鈕，新浪微博的分享按鈕等。這些社交網絡類的第三方應用免費為第一方網站提供服務來促進用戶的參與和推動市場研究。一些研究[13~15]利用社交網絡的數據來提供精準廣告定位服務。

如圖5所示，以facebook like按鈕為例，用戶將facebook.com作為第一方網站訪問時，在瀏覽器端建立了facebook.com域下的http Cookies，當用戶訪問其他包含該社交網站應用的第一方網站時：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網站site1.com發送請求數據分組；②第一方網站site1.com向用戶返回html文件；③用戶瀏覽器解析html文件，得到第三方應用的 url鏈接，該第三方應用以 iframe標簽的形式插入在第一方網站，因此可以讀寫該第三方應用域名下的http Cookies，在facebook的域名下記錄瀏覽歷史；④向解析出的 url發送請求，并將 http Cookies的信息作為請求分組頭部發送給第三方；⑤第三方應用向用戶返回facebook like按鈕。

由于可以在第三方域下建立 http Cookies，因此，該類追蹤模型可以跨網站的追蹤用戶，記錄用戶在多個第一方網站中的瀏覽情況。總體來說，該類追蹤模型有2大特點[8]：①該網站作為第一方網站時，在其域下建立http Cookies；②作為第三方應用時，利用其域下的http Cookies進行追蹤。

圖5 社交網絡類第三方應用追蹤模型

4) 內容提供商

內容提供商類第三方應用管理視頻、地圖、新聞、天氣、彩票和其他媒體類信息，如YouTube。一些內容提供商在為第一方網站提供的同時，也通過內置廣告來獲取利潤。

5) 前端服務

前端服務類第三方應用通常為第一方網站提供JavaScript類庫和API等來豐富用戶體驗，增強網站的功能。例如，Google Libraries API[16]、Google Feed API[17]等。

6) 托管平臺

托管平臺類第三方應用幫助網站發布者發布自己的內容。常見的有博客平臺（如Wordpress.com[18]）和內容分布網絡（如Akamai[19]）。

7) 其他類

除以上6類第三方應用外，還有一類第三方應用并不提供任何服務，它專門用于追蹤用戶，獲得用戶瀏覽歷史，分析用戶行為特征，并將用戶的數據賣給廣告公司等。此類公司通常通過付費給第一方網站，并將自己的代碼加入到第一方網站中。

Krishnamurthy等[20]搜集了2005年到2010年間大約1 200個流行網站的頁面信息，他們的報告中展現第三方應用的2個發展趨勢。首先，平均來說，每個網站中引用第三方應用的數目逐年增多。其次，第三方應用公司擴展迅速，一些大的追蹤公司，包括Google、Adobe 和Microsoft都通過收購擴展了自己的市場份額。

2.2 第三方追蹤的隱私威脅

有追蹤行為的第三方應用被稱為第三方追蹤者。第三方追蹤者獲得的用戶隱私信息主要為瀏覽歷史和個人標識信息[21]2大類。

1) 瀏覽歷史

用戶的瀏覽歷史可以直接泄露用戶的個人信息，如用戶的位置、興趣、性取向、財務狀況、健康狀態等各種高度敏感信息。與此同時，通過檢測用戶常瀏覽的頁面，可以分析得到許多有關該用戶的隱含信息，比如分析其行為習慣等。

當一個第一方頁面嵌入第三方追蹤者的內容時，該追蹤者可以通過http referrer頭部來獲得第一方頁面的url。如果頁面中嵌入了第三方追蹤者的JavaScript代碼，追蹤者還可以通過執行代碼來獲得第一方網站的其他信息，如使用document.title代碼獲得頁面的標題。

廣告公司Epic Marketplace將15 511條網頁的鏈接存放到一個不可見的iframe中，利用JavaScript動態加載這些url并判斷用戶是否訪問過這些url，處理過程存放在http Cookies中，從而來獲得用戶的瀏覽歷史[4]。這些url除了購物類網站，還包括可以泄露用戶敏感行為的網站，如醫療網站、財務網站等。

2) 個人信息標識

一些第三方追蹤者獲得了許多瀏覽記錄和相關信息后，需要標識出哪些瀏覽記錄是來自于同一個用戶的，從而獲得該用戶盡可能多的瀏覽歷史。可以用來識別出用戶的信息叫做個人信息標識，如用戶的ID、用戶名等。

一些第一方網站將用戶的個人信息標識賣給第三方追蹤者，并形成一種商業模式，通常以彩票或者有獎測試的形式存在。一些廣告數據提供者（如DataLlogix）購買用戶的標識信息，利用一個用戶的標識信息，在其離線數據庫中檢索出該用戶的所有相關信息，并用這些信息為該用戶提供廣告推薦。

一些第一方網站將用戶的個人信息標識無意地提供給第三方追蹤者。2011年，Krishnamurthy等[6]在120個流行的非社交網站中做了一項調查，發現 56%的網站直接泄露用戶的個人標識信息給第三方追蹤者，如用戶的電子郵件地址、姓名、性別等。

3 第三方追蹤的技術

第三方追蹤技術多種多樣，按照是否在本地進行存儲可以分為：有狀態的追蹤和無狀態的追蹤。

3.1 有狀態的追蹤

有狀態的追蹤是指第三方追蹤者使用本地的存儲機制來記錄用戶的行為、瀏覽歷史等隱私信息。這些存儲機制包括http Cookies、Flash Cookies、HTML5 Local Storage等。

1) http Cookies

http Cookies[22]是存儲在用戶計算機中的小型文件，用來幫助網站識別用戶。2.1節已結合第三方追蹤的隱私威脅模型，詳細說明http Cookies技術的應用細節。

2) Flash Cookies

Flash Cookies[23,24]是由Flash player控制的客戶端共享存儲技術，它具備以下特點：①類似http Cookies，Flash Cookies利用 SharedObject 類實現本地存儲信息，SharedObject類用于在用戶計算機上讀取和存儲有限的數據量，共享對象提供永久存儲在用戶計算機上的對象之間的實時數據共享；②本地共享對象是作為一些單獨的文件來存儲的，文件擴展名為.SOL，尺寸默認為不超過100 kB，并且不會過期；③本地共享對象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。如果要刪掉它們的話，首先要知道這些文件所在的具體位置。這使得本地共享對象能夠長時間地保留在本地系統上。

3) HTML5 Local Storage

HTML5 Local Storage[25,26]是 HTML5提供的API接口。通過JavaScript代碼調用HTML5 Local Storage API接口可以在客戶端存儲較大數據[27]。由于為存儲較大數據而設計，廣告商和其他第三方應用可以使用HTML5 Local Storage來存儲用戶幾個星期甚至幾個月的個人信息，這些信息可能包括用戶的地理位置、時區、照片、購買記錄、電子郵件、瀏覽歷史等。

4) ETag

ETag是url的實體，用于標識url對象是否改變。由于 ETag可以生成唯一標識，即使用戶刪除了 http Cookies、Flash Cookies和 HTML5 Local Storage，第三方應用仍然可以利用 ETag來重建這些被刪除的Cookies使追蹤繼續，而用戶卻并不知情[26]。ETag追蹤技術的最大威脅在于，即使用戶使用瀏覽器的隱私瀏覽模式仍無法逃避追蹤。

目前，大部分的第三方追蹤者都使用 http Cookies竊取用戶的隱私記錄。Good等[28]爬取了Quantcast排名前25 000的網站，發現其中87%的網站設置了 http Cookies，這些 http Cookies中有76%是第三方應用設置的Cookies。也就是說，當用戶瀏覽網站時，大部分的行為活動都會被第三方追蹤者獲取到。但是http Cookies本身有很多局限性：①容易被清除；②每條 http Cookie記錄的信息量小；③可存儲的http Cookies數量有限。表1為http Cookies、Flash Cookies、HTML5 Local Storage的性能對比。越來越多的第三方追蹤者開始使用 Flash Cookies、HTML5 Local Storage等技術，甚至使用多種技術相結合來竊取用戶的隱私記錄[26,29]。例如，ClearSpring、Interclick、Specific Media等在線廣告公司，被發現使用Flash Cookies來追蹤用戶；在 2011年中旬，Soltani發現一家提供第三方分析服務應用的公司KISSmetrics，使用http Cookies、Flash Cookies、ETag Cookies、HTML5 Local Storage以及指紋識別技術等相結合，能夠在用戶刪除Cookies的情況下，自動重建被刪除的Cookies[26]。

表1 http Cookie、Flash Cookie 和HTML5 LocalStorage的關鍵特征

3.2 無狀態的追蹤

有狀態的追蹤將用戶的信息存儲在本地，有可能被用戶清除，而無狀態的追蹤中，第三方追蹤者并不在本地的存儲和記錄用戶的行為。其工作原理是通過用戶的指紋信息來識別用戶，從而獲得該用戶瀏覽歷史等隱私信息[30,31]。指紋信息是用戶固有的狀態特征信息，本不是用戶的隱私信息，然而，第三方追蹤者可以通過多個指紋信息組合來識別用戶，形成個人信息標識，這時，可以形成個人信息標識的指紋信息組合也成為用戶的隱私信息。

無狀態追蹤的典型過程如下：第三方應用A存在于多個第一方網站中；當用戶U瀏覽第一方網站B時，第三方應用A獲得該用戶的指紋信息，為該用戶創建ID，并將用戶ID、指紋信息以及網站B的信息記錄到服務器的數據庫中；當該用戶U瀏覽第一方網站C時，第三方應用A在獲得該用戶的指紋信息后，與數據庫中的用戶指紋信息進行對比，若對比成功，則在該用戶的瀏覽歷史中增加網站C的信息，否則為該用戶在數據庫中新建一條記錄。從而第三方應用A可以獲得其所在第一方網站的所有用戶的瀏覽記錄。

如表2所示，指紋信息可以通過2種途徑獲得。一是通過執行腳本或插件中的代碼獲得，叫做主動指紋(active fingerprinting)信息[3]。如CPU型號、時區、安裝的字體、安裝的插件、始終脈沖相位差、可使用的插件、支持的MIME類型、Cookies是否可用等信息；另一種是通過查詢網絡流獲得，叫做被動指紋(passive fingerprinting)信息[3]。如IP地址、語言、http可接受頭部等。一些信息既可以通過代碼執行獲得，也可以通過網絡流獲得，比如操作系統類型、用戶代理等。

表2 指紋信息

對于主動指紋信息，Peter Eckersley等[30]在近500 000個瀏覽器樣本中發現有83.6%的瀏覽器可以被一系列主動指紋信息唯一標識。盡管瀏覽器的狀態會經常改變，如升級等，也可通過比對算法以99%的準確率判斷出原狀態瀏覽器和現狀態瀏覽器是否為同一瀏覽器。一些公司已經使用瀏覽器指紋識別技術，如BlueCava等[32]。

對于被動指紋信息，Ting-Fang Yen等[33]通過統計分析大量的網站用戶數據，證明在瀏覽器狀態不改變的情況下，被動指紋信息也足夠用來識別瀏覽器，并發現用戶即使在瀏覽器端清除了http Cookies或使用隱私模式瀏覽，再次訪問該網站的時候仍然可以被識別追蹤。

對于指紋追蹤的防御，Acar等[34]根據指紋識別技術中“字體”的識別，分析JavaScript代碼和flash腳本，從而編寫了一個識別采用這種指紋技術的追蹤者的工具。一些用戶使用代理服務器或瀏覽器插件等工具來隱藏指紋信息。然而Nick Nikiforakis等[2]通過分析3大提供指紋追蹤技術的商業廣告公司的代碼，發現一些公司使用用戶安裝的代理服務器信息和瀏覽器插件信息作為指紋信息，可以更準確地識別出用戶。

4 第三方追蹤防御及有效性

第三方追蹤引起的隱私問題受到越來越多的關注，為減緩第三方追蹤的隱私威脅，越來越多的組織、研究機構以及 IT企業投入到第三方追蹤的防御工作中。美國和歐盟都針對第三方追蹤制定了相關的政策及標準。然而這些政策標準目前都不能有效地防御第三方追蹤，因此一些研究機構和 IT企業也投入到對第三方追蹤防御工作的研究中。國內對于第三方追蹤的研究很少，國際上對于第三方追蹤的防御工作的研究主要分為 2大方向：1）平衡用戶隱私和第三方追蹤（特別是廣告廠商），既能保護用戶的隱私，又可以完成廣告的定制推送服務；2）在客戶端采取措施，使用戶完全控制自己的信息是否可被第三方應用獲取。本節首先介紹關于第三方追蹤的相關政策，然后從平衡用戶隱私和第三方追蹤與用戶完全控制2個方向介紹第三方追蹤防御的相關研究和發展。

4.1 相關政策及標準

美國聯邦貿易委員會（FTC, federal trade commission）是最主要的聯邦消費者保護監管和執法機構。2007年，幾個消費者團體對FTC提出倡議，為在線廣告創建一個“Do Not Track”列表[35]。2010年12月，FTC在發布的隱私報告中要求設計一個“Do Not Track”系統可以使用戶能控制自己在網絡上的隱私信息。2012年，白宮發布了一份與美國商務部合作的在線隱私報告[36]，該報告提出了一個隱私保護的框架和基本的隱私立法。

歐盟在 2002的電子隱私指示文件（ePrivacy directive）2002/58/EC中指出，網站需要賦予用戶“選擇不同意”（opting-out）的權利，使用戶可以選擇不允許網站在用戶本地瀏覽器存儲信息，然而這項文件并沒有起到任何效果[37]。2009年，歐盟又在其修訂文件2009/136/EC中出使用“選擇同意”(opting-in)原則來替代“選擇不同意”原則，大部分的成員國認為“Do Not Track”機制可以滿足該指示文件的要求。2012年，歐盟委員會（European Commission）在歐盟數據保護法[38]（EU data protection law）中增加了一條規定，該規定明確要求非歐盟企業非法追蹤歐盟公民將被嚴厲處理，其罰款金額高達其公司利潤的2%。

W3C（world wide Web）近年來一直在標準化和實現“Do Not Track”機制[29]：當用戶提出“Do Not Track”請求時，具有“Do Not Track”功能的瀏覽器在 http 數據傳輸中添加一個頭信息，這個頭信息向第三方應用表明用戶不希望被追蹤，這樣，遵守該規則的第三方應用就不會追蹤用戶的個人信息來用于更精準的在線廣告。目前，幾乎所有的主流瀏覽器都采用了“Do Not Track”，如 IE[39]、Firefox[40]、Google Chrome、Safari[41]等。然而，一些第一方網站可以忽略“Do Not Track”頭部繼續追蹤用戶。

4.2 平衡用戶隱私和第三方追蹤

一些研究希望在保證用戶隱私的情況下，同時也保證第三方應用的利益。這一類研究的總體原則為：既保證目前第三方應用可以正常地為用戶提供服務，又使得第三方應用無法獲得用戶真正的隱私信息。目前這些研究主要針對于廣告類第三方應用和網站分析類第三方應用。

對于廣告類第三方應用，一些研究者試圖將廣告信息存放在客戶端。由于客戶端中存放了用戶所有的瀏覽歷史，因此可以為用戶提供更精準的廣告推薦服務。

Toubiana等[42]提出了一個在不影響用戶隱私前提下保證行為廣告的使用系統——Adnostic。該系統的工作原理是：廣告網絡根據少量的用戶信息，選出一定數量的廣告發給客戶端；由于用戶的瀏覽歷史等隱私信息存儲在瀏覽器，行為分析過程則在瀏覽器端完成，并根據行為分析的結果選擇推薦廣告顯示在廣告發布商的網站上；對于廣告付費的模塊，該系統使用高效的加密算法，從而保證用戶的隱私安全。然而，該系統存在以下幾個問題：1) 由于瀏覽器中只存儲一定數量的廣告，廣告定位的精準性可能會受到影響；2) 該系統會增加帶寬和延時，削弱用戶體驗；3) 沒有采取匿名化的措施，廣告商可以通過用戶的指紋信息識別出用戶，從而獲得用戶的瀏覽歷史等隱私信息；4) 并沒有解決廣告模式中競價機制。Reznichenko等[43]提出一種算法，能夠在盡量保證用戶隱私數據的情況下，允許廣告審計方進行廣告排名，從而解決Adnostic系統中的競價機制問題。

Guha等[44]也提出了一個與 Adnostic類似的系統——Privad，將行為分析和目標廣告選擇在用戶瀏覽器中執行。不同的是，這個系統更為復雜。為解決Adnostic系統中存在的匿名化的問題，該系統在現有的網絡框架中的3大要素廣告發布商，廣告網絡和廣告商的基礎上又增加了 2個要素終裁者（dealer）和監督者（monitor）。然而，該系統中新添加的2個元素會改變廣告模型的架構，因此不利于整個系統的推廣使用。

對于網站分析類的第三方應用，由于第三方應用需要獲得用戶的一些信息才可以為第一方網站提供分析統計服務。因此廣告類的平衡架構不適用于網站分析類的第三方應用。一些研究者試圖在用戶信息中加入噪音信息來保護用戶的隱私。

Akkus等[45]提出了一種不需要追蹤也可以進行Web分析的系統。該系統假設網站分析類第三方應用只需要第一方網站用戶的統計信息，而非每個用戶的個人信息，通過差分隱私算法，為這些統計信息添加噪音，從而保護了用戶的隱私行為。然而該系統的限制條件較多，不能真正在實際中使用。

4.3 用戶完全控制

目前，所有平衡用戶與第三方應用的利益的研究都側重于某一類型的第三方應用。無論對于單獨一種類型的第三方應用，還是對于所有類型的第三方應用，都不存在可以推廣使用的系統架構。然而，第三方追蹤對用戶隱私安全造成的威脅亟待解決，因此一些技術方法將對第三方追蹤的防御完全作用在客戶端，使用戶來決定自己的隱私信息是否可以被第三方應用獲取。這些技術可以分為如下幾類。

1) 阻止Cookies或Flash Cookies

如第3節所述，Cookies和Flash Cookies被用來記錄用戶的信息。這種方法主要由瀏覽器和瀏覽器插件提供，用來阻止第三方應用在用戶瀏覽器中建立Cookies或Flash Cookie。“No Cookie for Google search”[46]是一款瀏覽器插件，用來阻止Google搜索建立的Cookies，以此防止Google追蹤用戶的搜索記錄。BetterPrivacy[47]提供一些方法用戶可以處理來自 Google、YouTube、Ebay 等的 Flash Cookies。然而，一些第三方應用仍然可以使用指紋信息來對用戶進行追蹤。

2) 阻止腳本執行

腳本代碼在第三方追蹤有著重要的作用：在有狀態的追蹤技術中，腳本代碼可以用來設置 http Cookie、html Local Storage與Flash Cookie進行交互等；在無狀態的追蹤技術中，腳本代碼可以用來獲取主動指紋信息。因此一些工具采取阻止腳本執行的方式來防御第三方追蹤，如NoScript[48]。然而，阻止腳本執行的這種保護方法，會使頁面沒有辦法正常加載和工作，影響用戶應用體驗。

3) Opting out Cookies

Opting out Cookies是一些網站在用戶的瀏覽器文件夾中創建的 Cookies，當用戶瀏覽這些網站時，網站若檢測出用戶安裝了Opting out Cookies，則將停止該用戶在網站中繼續安裝Cookies。Opting out Cookies用來告訴第三方應用不要在用戶的瀏覽器上安裝 Cookies，如 Keep My Opt-Outs[49]和Targeted Advertsing Cookie Opt-Out[50]都用來提供Opting out Cookies的功能，然而，一些第三方應用可以忽略這條規則繼續追蹤。Leon等[51]證明了Opting out Cookies機制的無效性。

4) 過濾協議頭部

通過過濾http協議頭部中的信息來保護用戶的隱私安全，比如，一些工具被用來修改或移除Referer頭部。然而，http協議頭部的一些信息在網絡安全的其他方面有著重要的作用，如Referer頭部在對抗跨站請求偽造攻擊中有著重要的作用，因此移除或修改頭部會對其他方面的安全造成影響。與此同時，頭部過濾只能保護用戶部分隱私信息。

5) 黑名單

一些瀏覽器插件通過阻止向黑名單中的第三方應用發送請求來防御第三方追蹤，如DoNotTrackMe[52]、Ghostery[53]、Adblock Plus[54]等。當用戶瀏覽第一方網站時，這些瀏覽器插件將截獲并檢查數據分組，若存在向黑名單中的第三方應用發送的請求數據分組，則將這些數據分組丟棄，從而黑名單中的第三方應用將無法獲得用戶的任何信息，有狀態的追蹤和無狀態的追蹤都無法實現。目前，這種防御方式被認為是最有效的防御第三方追蹤的措施[3,47,55]然而，黑名單需要人工來建立和維護，且現有黑名單中的有追蹤行為的第三方應用的數目很有限，仍然有大量未知的有追蹤行為的第三方應用沒有被發現。因此只能被防御黑名單中存在的第三方應用。

4.4 小結

綜上所述，平衡用戶與第三方應用的利益的研究尚處于起步階段，且現有的作用在客戶端的防御措施都不能很好地對抗第三方追蹤技術。表3列出了現有的防御措施針對第三方追蹤技術的有效性[3,6,7]。除了可以防御主動指紋追蹤，阻止腳本執行在一定情況下對有狀態追蹤較為有效：當第三方應用通過執行腳本來獲取 http Cookies，Flash Cookies, html Local Storage信息時，阻止腳本執行可以阻止這些有狀態的追蹤，而當第三方應用通過http頭部獲取http Cookies時，則無法進行防御；阻止http Cookies或Flash Cookies可以防御有狀態的追蹤；Opting out Cookies可以防御HTTP Cookies；過濾協議頭部可以防御某些被動指紋信息被獲取；黑名單防御對黑名單中的第三方應用防御有效。從表3中可以看出，尚未存在一種有效的防御措施可以完全防御第三方追蹤問題。

黑名單作為一種最為有效的防御措施，但防御的有效性取決于黑名單的覆蓋率。由于并不是所有的第三方應用都會對用戶的行為進行追蹤，如何判斷一個第三方應用是否為第三方追蹤者需要專家進行多方面的判斷。因此，現有的工具中，黑名單大多通過人工建立和維護。人工建立和維護需要的工作量和資源較大，第三方追蹤者的數量不斷增多，黑名單需要定期的維護和更新，如何準確且自動化地獲取黑名單成為亟待解決的問題。目前，通過機器學習的方法，根據現有的黑名單中追蹤者的特征建立分類器。該分類器可以準確提取出使用腳本追蹤的第三方應用的名單。

5 思考與討論

隨著Web多樣性的發展，第三方應用被越來越多的第一方網站使用，第三方追蹤引起的隱私問題受到越來越多的組織、研究機構以及 IT企業的關注。越來越多的新技術用于第三方追蹤，因此第三方追蹤的防御工作也面臨著更多的挑戰。

從第三方追蹤技術方面考慮，追蹤技術的發展趨勢如下。

1) 多種有狀態追蹤技術配合使用[25,26]。當用戶刪除一種追蹤信息后，其他追蹤信息會立刻進行復制恢復。比如，當用戶刪除http Cookies后，存放在Flash Cookies中的數據會恢復http Cookies的值。

2) 著重發展無狀態追蹤技術[30,32,33]。相對于有狀態的追蹤技術，無狀態追蹤技術更難防御。現有的許多防御措施都針對于有狀態的追蹤技術。因此，越來越多的第三方應用采用無狀態追蹤技術來進行追蹤。

3) 無狀態追蹤技術與有狀態追蹤技術結合使用[26,29,32]。無狀態追蹤技術與有狀態追蹤技術各有其優勢。有狀態追蹤更易追蹤用戶，直接且準確地獲取用戶的信息，且數據存放在客戶端，減少服務器負載。但有狀態的追蹤技術易于防御，只需在客戶端定期刪除 http Cookies、Flash Cookies或HTML5 Local Storage中的信息記錄即可；無狀態追蹤技術獲取信息后，還需要指紋識別算法才能得到用戶的瀏覽歷史，且存在一定誤差。然而，無狀態的追蹤技術難以防御。因此，多種無狀態追蹤技術與有狀態追蹤技術的結合使用，將成為未來追蹤技術發展的主要方向。

從第三方追蹤防御方面考慮，第三方追蹤的防御研究重點如下。

1) 平衡用戶的隱私和第三方追蹤，既能保護用戶的隱私又能保證第三方應用的利益。現有的研究仍處于初級階段[42~45]：只針對于廣告或網站分析類的第三方應用進行了研究，且假設條件過多，需要改變現有的商業模式，無法真正地擴展應用。這方面的研究，還有許多問題需要克服。

表3 現有的防御措施的有效性

2) 無狀態追蹤的防御[34]。無狀態追蹤技術發展迅速，哪些指紋信息可以被用來識別用戶，第三方應用是否使用了無狀態追蹤都很難確認，從而防御工作很難進行。如何對無狀態追蹤進行防御，值得深入研究。

3) 黑名單的自動化獲取。黑名單作為目前最為有效的防御方法[55]，如何準確且自動化地獲取黑名單成為亟待解決的問題。目前，這方面的工作仍然很缺乏，值得深入研究。

6 結束語

本文首先介紹了第三方應用的類型及發展趨勢，越來越多的網站使用第三方應用，平均每個網站中引用第三方應用的數目也逐年增多。接著介紹了現有的第三方追蹤技術。按照是否在本地進行存儲可以分為有狀態的追蹤和無狀態的追蹤。有狀態的追蹤技術包括：http Cookies、Flash Cookies和HTML5 Local Storage等。相對于有狀態的追蹤技術，無狀態的追蹤技術采用指紋信息來識別用戶，獲取用戶的瀏覽歷史，因此更難防御。現有的防御工作主要分為 2個方向。一是如何平衡用戶隱私與第三方追蹤，既能保護用戶的隱私又能保證第三方應用的利益。這個方向的研究目前仍處于初級階段，然而，第三方追蹤對用戶隱私安全造成的威脅亟待解決。因此另一種防御工作的方向將對第三方追蹤的防御完全作用在客戶端，以保證用戶隱私為首要目的。在現有防御方法中黑名單最為有效，如何準確且自動化地獲取黑名單成為亟待解決的問題。

[1] LIBERT T. Privacy implications of health information seeking on the Web[EB/OL].http://papers.ssm.com/sol3/papers.cfm?abstractid=2423 006.2014.

[2] NIKIFORAKIS N, KAPRAVELOS A, JOOSEN W,et al.Cookieless monster: exploring the ecosystem of Web-based device fingerprinting[A]. 2013 IEEE Symposium on Security and Privacy[C].2013.541-555.

[3] MAYER J R, MITCHELL J C. Third-party Web tracking: policy and technology[A]. IEEE Symposium on Security and Privacy (SP)[C].2012.413-427.

[4] MAYER J. Tracking the trackers: to catch a history thief[EB/OL].http://cyberlaw.stanford.edu/node/6695, 2011.

[5] MAYER J. Tracking the trackers: where everybody knows your username[EB/OL].http://cyberlaw.stanford.edu/blog/2011/10/tracking-tr ackers-where-everybody-knows-your-username, 2011.

[6] KRISHNAMURTHY B, NARYSHKIN K, WILLS C. Privacy leakage vs. protection measures: the growing disconnect[A]. Web 2.0 Security and Privacy Workshop[C]. 2011.1-10.

[7] MALANDRINO D, SCARANO V. Privacy leakage on the Web:diffusion and countermeasures[J]. Computer Networks, 2013,57:2833-2855.

[8] ROESNER F, KOHNO T, WETHERALL D. Detecting and defending against third-party tracking on the Web[A]. Proceedings of the 9th USENIX Conference on Networked Systems Design and Implementation[C]. 2012.12-12.

[9] LI Z, ZHANG K, XIE Y,et al. Knowing your enemy: understanding and detecting malicious web advertising[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C].2012.674-686.

[10] BARFORD P, CANADI I, KRUSHEVSKAJA D,et al. Adscape:harvesting and analyzing online display ads[A]. Proceedings of the 23rd International Conference on World Wide Web[C]. 2014.597-608.

[11] SMIT E G, VAN N G, VOORVELD H A M. Understanding online behavioural advertising: user knowledge, privacy concerns and online coping behaviour in Europe[J]. Computers in Human Behavior, 2014,32: 15-22.

[12] YAN J, LIU N, WANG G,et al. How much can behavioral targeting help online advertising[A]. Proceedings of the 18th International Conference on World Wide Web[C]. 2009.261-270.

[13] KOROLOVA A. Privacy violations using microtargeted ads: a case study[A]. IEEE International Conference on Data Mining Workshops(ICDMW)[C]. 2010.474-482.

[14] STUTZMAN F, GROSS R, ACQUISTI A. Silent listeners: the evolution of privacy and disclosure on facebook[J]. Journal of Privacy and Confidentiality, 2013,4(2):2.

[15] RADER E. Awareness of behavioral tracking and information privacy concern in facebook and Google[A]. Symposium on Usable Privacy and Security (SOUPS)[C]. 2014.

[16] Google Libraries API [EB/OL]. https://developers.google.com/speed/libraries/?hl=zh-CN.2014.

[17] Google Feed API[EB/OL]. https://developers.google.com/feed/? hl=zh-cn, 2014.

[18] Wordpress[EB/OL]. https://wordpress.com/, 2014.

[19] Akamai[EB/OL]. http://www.akamai.cn/enzs/, 2014.

[20] KRISHNAMURTHY B. Privacy leakage on the Internet[EB/OL].http://www.ietf.org/proceedings/77/slides/plenaryt-5.pdf, 2010.

[21] KRISHNAMURTHY B, WILLS C E. On the leakage of personally identifiable information via online social networks[A]. Proceedings of the 2nd ACM workshop on Online social networks[C]. 2009.7-12.

[22] HTTP cookie [EB/OL]. http://en.wikipedia.org/wiki/HTTP_cookie. 2014.

[23] SOLTANI A, CANTY S, MAYO Q,et al. Flash Cookies and privacy[A]. AAAI Spring Symposium: Intelligent Information Privacy Management[C]. 2010.

[24] COSTANTE E, DEN HARTOG J, PETKOVI? M. What Web Sites Know About You Data Privacy Management and Autonomous Spontaneous Security[M]. Springer Berlin Heidelberg, 2013.146-159.

[25] PRINCE J D. HTML5: not just a substitute for flash[J]. Journal of Electronic Resources in Medical Libraries, 2013, 10(2):108-112.

[26] AYENSON M, WAMBACH D J, SOLTANI A,et al. Flash cookies and privacy II: now with HTML5 and etag respawning[EBOL].http://ssrn.com/abstract=1898390.2011.

[27] LAWSON B, SHARP R. Introducing html5[M]. New Riders, 2011.

[28] CHRIS J, HOOFNAGLE N G. The Web privacy census[EB/OL].http://www.law.berkeley.edu/privacycensus.htm, 2012.

[29] RUIZ-MARTíNEZ A. A survey on solutions and main free tools for privacy enhancing Web communications[J]. Journal of Network and Computer Applications, 2012,35(5):1473-1492.

[30] ECKERSLEY P. How unique is your Web browser?[A]. Privacy Enhancing Technologies[C]. 2010.1-18.

[31] CARRASCAL J P, RIEDERER C, ERRAMILLI V,et al. Your browsing behavior for a big mac: Economics of personal information online[A]. Proceedings of the 22nd international conference on World Wide Web[C]. 2013.189-200.

[32] BlueCava [EB/OL]. http://www.bluecava.com/, 2014.

[33] YEN T F, XIE Y, YU F,et al. Host fingerprinting and tracking on the web:Privacy and security implications[A]. Proceedings of NDSS[C]. 2012.

[34] ACAR G, JUAREZ M, NIKIFORAKIS N,et al. FPDetective: Dusting the web for fingerprinters[A]. Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security[C]. 2013.1129-1140.

[35] The history of the do not track header[EB/OL].https://www.cdt.org/privacy/20071031consumerprotectionsbehavioral.pdf, 2007.

[36] Consumer data privacy in a networked world[EB/OL]. http://whitehouse.gov/sites/default/files/privacy-final.pdf, 2012.

[37] Letter to the online advertising industry [EB/OL]. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2011/20110803_letter_to_oba_annexes.pdf, 2011.

[38] Commission proposes a comprehensive reform of the data protection rules[EB/OL].http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm, 2012.

[39] IE9 and Privacy: Introducing Tracking Protection[EB/OL]. http://blogs.msdn.com/b/ie/archive/2010/12/07/ie9-and-privacy-introducing-tracki ng-protection-v8.aspx,2010.

[40] Web tool on firefox to deter tracking[EB/OL]. http://allthingsd.com/20110124/web-tool-on-firefox-to-deter-tracking/,2011.

[41] WINGFIELD N. Apple adds do-not-track tool to new browser[EB/OL]. http://online.wsj.com/news/articles/SB10001424052748703 551304576261272308358858, 2011.

[42] TOUBIANA V, NARAYANAN A, BONEH D,et al. Adnostic: privacy preserving targeted advertising[A]. NDSS[C]. 2010.

[43] REZNICHENKO A, GUHA S, FRANCIS P. Auctions in do-not-track compliant internet advertising[A]. Proceedings of the 18th ACM Conference on Computer and Communications Security[C]. 2011,667-676.

[44] GUHA S, CHENG B, FRANCIS P. Privad: practical privacy in online advertising[A]. Proceedings of the 8th USENIX Conference on Networked Systems Design and Implementation[C]. 2011.169-182.

[45] AKKUS I E, CHEN R, HARDT M,et al. Non-tracking web analytics[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C]. 2012.687-698.

[46] No cookie for Google search [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/no-cookie-for-google-search/, 2014.

[47] BetterPrivacy[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/betterprivacy/, 2014.

[48] NoScript[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/noscript/,2014.

[49] Keep My Opt-Outs[EB/OL]. https://chrome.google.com/webstore/detail/keep-my-opt-outs/hhnjdplhmcnkiecampfdgfjilccfpfoe, 2014.

[50] Targeted advertising Cookie Opt-Out [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/targeted-advertising-cookie-op/,2014.

[51] LEON P, UR B, SHAY R,et al. Why Johnny can't opt out: a usability evaluation of tools to limit online behavioral advertising[A]. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems[C]. 2012.589-598.

[52] DoNotTrackMe: online privacy protection[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/donottrackplus/,2014.

[53] Ghostery[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/ghostery/,2014.

[54] Adblock plus[EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/adblock-plus/, 2014.

[55] BAU J, MAYER J, PASKOV H,et al. A promising direction for Web tracking countermeasures[A]. Web 2.0 Security & Privacy[C]. 2013.