freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

为何广告竟然如此懂你?这锅不该Cookies来背
2018-01-26 08:00:42

这可能是一个每年都被提起,却一直不过时的话题,而且时不时就被推上风口浪尖。

现如今的互联网广告,除了不厌其烦的骚扰之外,还能够非常”巧合“地直击你的痛点,让人细思极恐。前一秒还在看电商看iPhone X,下一个网页就弹窗给你推荐iPhone X的购买链接,这就是广告精准投放。

前段时间,江苏消保委对于百度的公益诉讼引起了很多人的关注,虽然事件已经平息,但对于其中涉及到的案例同样引发了许多人的共鸣——网页推送的广告总是与自己经常查看的内容紧密相关,就好像它知道你要的是什么。

850515898_7833609918344597685.jpg

当然,这其中牵涉的范围还是比较广泛的,例如手机权限获取、隐私泄漏等敏感内容,但这一次,笔者主要想说的就是关于网页广告的精准投放。对于FreeBufer这些内容,还算很基础,更多的是普通用户并不了解。

大数据的精准广告投放

而在这里面,应该还可以分为两种:一种是单个应用或者网站的广告兴趣投放;另外一种则是跨区域广告投放,最简单的例子就是在网上商城查看的商品,却在第三方网页广告推荐给你。

总的来说,第一种其实是比较能接受的,在各大企业都在宣传”大数据“概念,利用用户浏览习惯判断用户兴趣爱好以及消费能力,个性化推荐内容或者商品,这种事比较能够理解和接受的。

123.jpg

正如在某宝,看看我的搜索记录、购买清单以及日常流量记录,然后在首页推荐和“你可能喜欢”一栏,基本都覆盖我的搜索相关或者已购买的类别。包括今日头条、百度搜索以及具备个性化推荐能力的资讯APP都存在类似的情况。

这种用户可能会主动使用,所暴露的习惯行为被相应的内容提供方获取以进行人群画像,大多数人可以接受,一定程度上说还能够提升使用体验。

隐私.jpg

但是笔者接下来要说的第二类就不同了,比如说,你在某东搜索iPhone X在其他第三方网页或者APP出现相应的广告,这就有点让人恐慌了。除了某东之外,我不确定到底还有多少人获取了该数据,不了解的才是最让人恐慌的。

这一类中,最常见的就是在使用浏览器上网时遇到的状况。例如在某个电商网站浏览某款商品之后,当你随后在浏览到其他的第三方网站时,出现的广告页就精准的推荐了你刚刚浏览过的商品购买链接,而这一切,离不开广告联盟和浏览器Cookies。

1.jpg

2.jpg

我们可以先复现这种情况,事先我清除掉浏览器的Cookies,网页上的电商广告推荐的品类我几乎没看过,而当我在该电商网站查看iPhone X之后,立即刷新原来的广告页,则出现了iPhone X的购买链接推荐,一旦我再次清除浏览器Cookies,同样的广告页就不会那么“贴心”了。

maxresdefault.jpg

当然,我并非针对谁,只是这种广告投放渠道现在太普遍了,例如百度联盟、京东联盟、淘宝联盟以及谷歌广告等等,都能够利用浏览器Cookies实现个性化推荐。

6.png

而让笔者印象最深刻的就是,基本上每次我翻墙访问国外网站的时候,页面上出现的谷歌广告基本都是推广VPN、SS账号,倒还确实“懂我”呢,不过这可能并不需要Cookies,哈哈~

什么是Cookies?

 那么Cookies究竟是个什么样的东西呢?维基百科中解释为,某些网站为了辨别用户身份而存储在用户本地终端的数据(通常经过加密)。

1111.jpg
Cookies详细图解(点击查看大图)

因为HTTP协议是无状态的,用户所访问的服务器没办法记录用户的上一步操作。结合实际,用户访问网站的时候服务器是无法记住用户的,而Cookies相当于为用户分配一个身份令牌,下次再进入就知道是你了。浏览器记住密码的功能,相信很多人用过,大抵都是这样实现。

U6349P2DT20130318193508.png

而提到Cookies就绕不开Session的概念,一般被称为“会话控制”,不同于Cookies,用户第一次访问服务器,会生成一个Session ID来标识用户并保存信息(Cookies保存在用户客户端,而Session保存在服务器),相当于是客户端的身份证,具备唯一性,再次访问的时候服务器就能知到你是谁了。

而Session的运行需要依赖Session ID,而Session ID则是存在Cookies中,而一般Session和Cookies是不能够跨域使用的,也就是说Cookies具备用户识别功能,也就为联盟广告精准投放提供了条件。

7.png

关于Cookies和Session的关系,还有更加细致的区分,这里暂时不再深究,有兴趣的可以参考:关于浏览器缓存,cookie , session

而之前提到的百度联盟、京东联盟等广告服务平台,即可利用Cookies在合作的站点投放符合用户习惯的广告内容,站长会在相应的广告平台申请获取一段代码嵌入网站,能够读取用户访问该平台服务内容产生的Cookies内容,广告联盟以此判断用户喜好以及浏览记录来选择合适的广告投放。

8.png

当然,百度联盟也只能访问用户在使用百度旗下服务内容时产生的Cookies,淘宝联盟服务并不能访问用户浏览京东网站产生的Cookies,基本上访问一个站点都会产生相应的Cookies,当你在网上商城浏览商品,Cookies就会记录下你的特殊身份ID以及其他的浏览信息。

广告联盟和Cookies造就了如今的精准广告投放。

此外,包括Google广告在内的广告联盟,不仅仅能够做到网页端的精准投放,还支持APP端的广告,毕竟手机APP也会产生缓存,基本能够实现同样的效果。

Cookies引发广告商和浏览器厂商的博弈战

微信截图_20180119180719.png

正由于Cookies能够实现这种用户追踪的特性,也找来了许多争议。基本分为两派,一方为广告提供商,认为Cookies的存在可以提升用户体验和营销效果;而浏览器厂商则站在保护用户隐私的角度,提供了DNT(反追踪)服务,通过这项功能能够检测跨站跟踪、Cookies跟踪等行为。

但在大多数浏览器中,只是提供了DNT的服务,但默认是关闭的,用户需要根据自己的需要选择打开。

chrome_pixel_1.jpg

在2013年的315晚会上,央视曝光了品友互动、易传媒、悠易、爱维易动、传漾公司等公司通过在别的网站加代码方式套取用户 Cookie 信息,均号称能够获取数以亿计用户的Cookies数据用于广告营销。而谷歌也多次因为Cookies广告问题遭受巨额罚款。

Cookies本无罪

需要注意的是,Cookies能记录的基本是你或者说你在使用的浏览器在网站上看了什么视频、商品或者其他对判断你的喜好有帮助的内容,一般不会造成严重的密码泄露,如果有,那很可能是你遭遇钓鱼网站或者恶意病毒了,

但这么多年过去了,Cookies在互联网影响广告领域的地位似乎并没有受到影响。当然用户甚至是某些机构组织可以彻底禁用Cookies,但由此手上的不只是广告商,用户也将失去一些上网体验中的个性化服务。

站在广告主的角度来看, 精准互联网广告的投放已经是必然的趋势,如果Cookies被彻底禁用了。网站将通过其他方式来留下一些用户的浏览痕迹,或许将涉及更多用户的敏感信息,至少Cookies还是匿名的。

Cookies-1440x600.jpg

一些开发者还找到一些Cookies替代方案,例如Brownie、P3P等,但都并没有推广开就就无疾而终,主流浏览器中仅仅IE浏览器支持P3P。

“安全和使用体验总是相互对立的”,说到底,Cookies本身是没有问题的,至于其涉及的隐私问题,我们都能够通过技术改进,但没办法解决的确实Cookies之外的东西,正如“No Patch For Stupid”经典名句,Cookies涉及的隐私问题依然是利用者的底线与道德准则。

微信截图_20180122132955.png
浏览器清理Cookies

另外,以上我们说的大多数是针对HTTP Cookies,还有一种Flash Cookies,两者用途基本一致,HTTP Cookies不能跨浏览器使用,但Flash Cookies却能够在电脑中所有浏览器中随意读取,同时能够容纳更多的信息。更麻烦的是,浏览器中可以清除HTTP Cookies,但Flash却没提供清除Cookies的入口。

微信截图_20180122112022.png

不过,普通用户也可以直接使用第三方垃圾清理工具来清理。

结语

到这里,我希望我说的这一堆能够让更多人理解到“为什么广告能这么贴心?”。Cookies并没有那么可怕,但也不能完全忽略其存在,毕竟还是有很多黑客利用恶意软件能够捕捉到用户的私密信息,同时这几年,Cookies也一直在发展,甚至还有更加敏感的“超级Cookies”。

在日常使用PC或者智能设备,定期清理Cookies或许是一个不错的习惯, 当然还有就是,浏览器的隐私模式并不只是给用户浏览成人网站专设的,初衷依然是让Cookies无法追踪用户身份。

归根结底,Cookies所记录的信息大多数情况下并不涉及严密的个人隐私信息,否则早就被禁用了,而这些可被利用的信息,在广告上看来价值连城,在用户个人看来,有些人可能并不在意,甚至还会当成一种个性化服务的优化。而精准投放的互联网广告,终究是广告商利用Cookies的程度不一,而Cookies表示并不背锅。

参考资料

1.Http cookies的用法

2.Cookie/Session的机制与安全

3.从广告的精准投放了解cookie跨域

4.当个人隐私遭遇大数据和Cookie

5.你的隐私安全吗:Cookie到底是什么?

6.禁用 Cookie 后的网络广告发展

7.Cookie——维基百科

*本文作者:Andy,转载请注明来自FreeBuf.COM

# cookies # 广告联盟
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者