it-swarm-vi.com

Tại sao ai đó tin tưởng DuckDuckGo hoặc các nhà cung cấp khác có chính sách bảo mật tương tự?

DuckDuckGo là một công cụ tìm kiếm tuyên bố nó sẽ không chia sẻ kết quả của bạn với người khác. Nhiều đồng nghiệp hoài nghi của tôi nghĩ rằng nó có thể là một scam.

Có bằng chứng nào cho thấy bất kỳ công cụ tìm kiếm web nào sẽ bảo vệ quyền riêng tư của bạn khi quảng cáo không?

125
goodguys_activate

Không có bằng chứng nào cho thấy DuckDuckGo hoạt động như quảng cáo. (Không bao giờ có, trên web.) Tuy nhiên, đó là câu hỏi sai.

DuckDuckGo rất rõ ràng trong chính sách bảo mật của nó . DuckDuckGo nói nó không theo dõi bạn , nó không gửi các tìm kiếm của bạn đến các trang web khác , theo mặc định, nó không sử dụng bất kỳ cookie nào , nó không thu thập thông tin cá nhân , nó không ghi lại địa chỉ IP của bạn hoặc thông tin khác về máy tính của bạn có thể được gửi tự động với các tìm kiếm của bạn , nó không ' t lưu trữ bất kỳ thông tin cá nhân nào . Đó là những lời hứa khá mạnh mẽ, không có từ ngữ chồn. Và, theo như tôi có thể thấy, chính sách quyền riêng tư của DuckDuckGo có vẻ giống như chính sách quyền riêng tư của người mẫu. Đó là một mô hình của sự rõ ràng, ngôn ngữ đơn giản và thiếu sự che giấu hợp pháp.

Và chính sách bảo mật đã cắn. FTC đã đệ đơn kiện sau khi các công ty vi phạm chính sách quyền riêng tư được quảng cáo của chính họ (Không chỉ các công ty nhỏ mà bạn chưa từng nghe đến: Họ thậm chí đã theo đuổi Facebook!) Về cơ bản, Hoa Kỳ hầu như không có quy tắc bảo mật nào hạn chế những thông tin mà các trang web có thể thu thập - ngoại trừ nếu họ có chính sách bảo mật, họ phải tuân thủ chính sách đó. Vi phạm chính sách quyền riêng tư của bạn có thể là gian lận, đó là bất hợp pháp. , vi phạm chính sách quyền riêng tư của bạn thể hiện "hành vi hoặc hành vi gian lận hoặc không công bằng" và FTC được trao quyền để theo đuổi bất kỳ ai tham gia vào "hành vi hoặc hành vi lừa đảo hoặc không công bằng" tại tòa án. DuckDuckGo sẽ là khá ngu ngốc khi vi phạm chính sách quyền riêng tư của họ, chính sách quyền riêng tư của họ rõ ràng và không mơ hồ và để lại cho họ căn phòng nhỏ lung tung.

Không, tôi không nghĩ rằng DuckDuckGo là một scam. Tôi nghĩ đó là một cuộc nói chuyện điên rồ. Với các ưu đãi và chế độ pháp lý, tôi nghĩ bạn nên cho rằng DuckDuckGo tuân theo các chính sách bảo mật của riêng họ, cho đến khi bạn tìm thấy bất kỳ thông tin nào ngược lại.

156
D.W.

Tôi là người sáng lập DuckDuckGo. D.W. là đúng, nếu chúng tôi vi phạm chính sách bảo mật của chúng tôi, chúng tôi có thể gặp nhiều rắc rối. Ngoài ra, tôi đã cố gắng minh bạch nhất có thể về cách chúng tôi vận hành, cả trong chính sách bảo mật và trên blog của tôi .

Tôi đã suy nghĩ và khám phá xác minh bên ngoài, từ một người như EFF chẳng hạn, nhưng tôi không nghĩ rằng thực sự sẽ làm được gì nhiều để làm giảm bớt cốt lõi của bình luận.

164
yegg

Những gì D.W. nói. Nhưng ngoài ra, bạn không cần phải tin tưởng DuckDuckGo. Bạn không đăng nhập, bạn có thể xóa cookie, bạn có thể thay đổi địa chỉ IP của mình, bạn có thể truy cập thông qua Tor. Không phải là một phụ lục của một công ty nhận dạng (ví dụ: Google) là một sự riêng tư lớn cộng với bắt đầu.

31
pseudon

Tôi đến muộn với câu hỏi này, nhưng hy vọng tôi có thể đóng góp một số thông tin hữu ích cũng sẽ giúp những người khác đưa ra quyết định sáng suốt hơn về độ tin cậy của DuckDuckGo. Câu trả lời này đưa ra một vài lý do để tin rằng DuckDuckGo đang áp dụng chính sách bảo mật của mình vào thực tế bằng cách điều tra các khía cạnh kỹ thuật của DuckDuckGo kể từ 2012-08-23.

Tôi đã xem dữ liệu được gửi từ trình duyệt của mình (Firefox 14.0.1 trên Ubuntu 11.04) trở lại máy chủ DuckDuckGo khi tôi tìm kiếm trang (không thay đổi bất kỳ cài đặt mặc định nào của DuckDuckGo) và tìm thấy những điểm tốt sau:

  • không có cookie DuckDuckGo được lưu trữ trên trình duyệt của tôi.
  • tất cả các tìm kiếm được thực hiện với một http GET.
  • không có tham số nhận dạng nào được trả về trong phần chuỗi truy vấn của yêu cầu http.
  • tất cả các yêu cầu là https.

Tất nhiên, vẫn còn một số thông tin mà một người dùng thường xuyên của DuckDuckGo phải cho là có sẵn cho DuckDuckGo:

  • địa chỉ IP của bộ định tuyến người dùng.
  • tên trình duyệt của người dùng (tác nhân người dùng) và HĐH (ví dụ: của tôi là "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv: 14.0) Gecko/20100101 Firefox/14.0.1")
  • chữ ký http khác mà tôi không quen thuộc lắm.

Tôi chắc chắn tôi đã bỏ lỡ một vài điều trong danh sách cuối cùng đó, nhưng đó là một khởi đầu tốt. Vì vậy, từ tập hợp điểm tích cực đầu tiên, chúng ta có thể thấy DuckDuckGo đang thực sự làm mọi thứ họ có thể.

Việc thiếu cookie và bất kỳ tham số xác định nào trong chuỗi http GET là một số đảm bảo rằng DuckDuckGo không quan tâm đến việc theo dõi người dùng từ một tìm kiếm tiếp theo. I E. theo như thông tin về cookie và URL được gửi trở lại máy chủ, tìm kiếm đầu tiên của bạn trên DuckDuckGo có thể là một người hoàn toàn khác với tìm kiếm thứ hai của bạn trên DuckDuckGo. Tuy nhiên, bạn không nên cho rằng DuckDuckGo không có khả năng liên kết nhiều tìm kiếm với bạn - xem sau để biết thêm chi tiết về điều này.

Tôi nên giải thích rằng http GET không thực sự an toàn hơn POST - DuckDuckGo có thể đã chọn POST và sẽ không có thỏa hiệp nào ở đó. Tuy nhiên, điều tuyệt vời đó là với GET là người dùng có thể thấy dữ liệu đang được gửi lại cho DuckDuckGo ngay trong URL của họ - tức là họ không cần phải đào bới để tìm thông số bài đăng được gửi bởi trình duyệt tới DuckDuckGo.

Một điểm khác là https luôn bật. điều này chỉ ra rằng DuckDuckGo không muốn người dùng của họ dễ bị tấn công giữa chừng. Tất nhiên, điều đó không có nghĩa là các cuộc tấn công trung gian sẽ không xảy ra nếu bạn sử dụng DuckDuckGo, mà chỉ là từ phía máy chủ DuckDuckGo, những điều mà chúng dường như đã làm tất cả những gì có thể để ngăn chặn chúng.

Đã nói tất cả, DuckDuckGo vẫn có thể liên kết các tìm kiếm của bạn với một người và có thể với bạn nếu bạn không đề phòng. tác nhân người dùng là một hình thức nhận dạng đơn giản vì nó không thay đổi từ yêu cầu này sang yêu cầu tiếp theo (trừ khi bạn có biện pháp phòng ngừa đối với điều này). Tương tự, địa chỉ IP của bộ định tuyến truy cập internet của bạn sẽ hiển thị tại máy chủ DuckDuckGo.

Đối với hai điểm cuối này, có những điều bạn có thể làm để che giấu danh tính của mình hơn nữa - như cài đặt ngẫu nhiên tác nhân người dùng hoặc sử dụng Tor, nhưng nếu bạn không sử dụng những điều này thì bạn sẽ phải tin vào DuckDuckGo khi họ nói rằng họ tôn trọng quyền riêng tư của bạn . Theo như tôi có thể nói, họ đã làm mọi thứ có thể để đảm bảo với tôi rằng họ tôn trọng quyền riêng tư của tôi. Tôi có thể tìm kiếm các thuật ngữ liên quan mà không sử dụng Tor và bảo mật khác trên PC không? Tuyệt đối không!

17
mulllhausen

Không thể chứng minh rằng nó sẽ hoạt động theo cách này, nhưng nó rất dễ sử dụng theo cách họ quảng cáo.

Tôi cũng đồng ý với D.W. và bắt đầu sử dụng nó vài ngày trước. Tôi đã xóa google khỏi danh sách công cụ tìm kiếm của mình nhưng cũng gặp một số vấn đề khi tin tưởng ddg, vì tôi là một người hơi hoang tưởng, nhưng nó cung cấp kết nối an toàn, tôi sử dụng nó tor và luôn tìm kiếm riêng tư của tôi. Tôi không thể tìm thấy bất kỳ vấn đề nào. Không có ID để theo dõi bạn. Họ có thể lấy dấu vân tay của bạn với các thiết lập quyền riêng tư của bạn, nhưng không có gì hơn.

Tôi đã tham gia kênh irc của họ và hỏi một số câu hỏi, bạn cũng nên làm điều đó, đó là irc.freenode.net #duckduckgo

Nếu bạn sợ một bảng dữ liệu, bạn có thể thử truy cập một trang và xem nhật ký. Truy cập nó một lần qua google và một lần qua ddg. Google sẽ rò rỉ cụm từ tìm kiếm của bạn qua người giới thiệu.

11
sfx

Không bao giờ dễ dàng để chứng minh những điều này, nhưng mọi người thường chuyển sang DuckDuckGo vì lý do riêng tư. Phải mất nhiều thời gian để một thương hiệu có được một tên tích cực và trong thời đại Internet, có thể mất ít nhất vài phút để thấy tên tốt của bạn bị phá hủy.

Với những bài báo đầu tiên mà DuckDuckGo vi phạm lời hứa với người dùng, họ sẽ bắt đầu rời đi vì tin tức sẽ lan truyền trên tất cả các phương tiện truyền thông trong vài phút. Ngoài ra, tên của người sáng lập sẽ được nhớ đến từ lâu và anh ta có thể sẽ ngừng hoạt động mãi mãi khi nói đến các dịch vụ bảo mật. Bạn có thể đưa thông tin lên Internet, nhưng bạn không bao giờ có thể xóa thông tin đó.

4
jippie

Đây là một bằng chứng khác mà bạn có thể tin tưởng DDG nếu bạn bị hoang tưởng: chúng giúp bạn dễ dàng kiểm soát thông tin nào được gửi đến Máy chủ đích khi bạn theo liên kết. Có thể bạn thực sự không thể biết những gì họ đang giữ trong nhật ký của họ, nhưng bạn CÓ THỂ biết cách họ đối xử với sự tương tác của bạn với các mục tiêu liên kết và bạn có thể kiểm soát nó nếu bạn muốn. Hãy thử điều này trên cả DuckDuckGo và Google, với Javascript được bật: 1. tìm kiếm thứ gì đó 2. di chuột qua một trong các liên kết kết quả và kiểm tra địa chỉ trên thanh trạng thái 3. nhấp chuột phải vào một trong các liên kết và xem địa chỉ trong thanh trạng thái một lần nữa

Trên DuckDuckGo, các liên kết là những gì họ nói. Nếu bạn muốn giữ DuckDuckGo không nhìn thấy những gì bạn đang nhấp vào và nếu bạn muốn mục tiêu không biết rằng bạn đã truy cập qua DuckDuckGo, bạn có thể dễ dàng thực hiện: chỉ cần sao chép liên kết trong bước 3, dán nó vào địa chỉ của bạn thanh và bạn đang ở đó - không có tương tác nào nữa với DuckDuckGo và không có URL giới thiệu nào được gửi đến trang đích. Tuy nhiên, trên Google, lưu ý rằng trong # 2, họ hiển thị cho bạn liên kết mà bạn mong đợi, nhưng ở bước # 3, liên kết đột nhiên thay đổi thành địa chỉ google.com với một tấn gobbledeygook. Đây cũng là địa chỉ được sử dụng nếu bạn nhấp vào liên kết bình thường. Cách duy nhất để có được địa chỉ đích thực sự trực tiếp là di chuột qua nó và tự gõ lại nó thay vì nhấp vào nó. Tập lệnh phía máy khách của Google được thiết kế riêng để đảm bảo bạn truy cập máy chủ theo dõi Google trước khi được chuyển hướng đến trang bạn thực sự muốn, và hơn nữa, để che giấu SỰ THẬT NÓ IS DOING SO từ đại đa số người dùng. Đây là hành động mà Google đã thực hiện vài năm trước, cuối cùng đã khiến tôi sử dụng DDG độc quyền. Tôi hiểu rằng Google cần phải kiếm tiền từ dịch vụ của mình, nhưng khi nó cố tình che giấu cơ chế cơ bản này, họ chứng minh rằng họ không đáng tin cậy.

Vì vậy, bạn có thể có sự lựa chọn của mình: sử dụng một trang web nói rằng nó không theo dõi bạn và dường như đang thực hiện lời hứa của nó; hoặc sử dụng một trang web theo dõi bạn mọi cách có thể, cho bạn biết nó đang làm như vậy và làm cho nó khó nhất có thể để trốn tránh nó. Sự lựa chọn là hiển nhiên.

3
Randall Krieg

Bây giờ, nếu DuckDuckGo được đặt ở trạng thái EEA, nó sẽ chịu sự kiểm soát pháp lý mạnh mẽ đối với những gì nó có thể làm với dữ liệu người dùng và đặc biệt là nó sẽ bị cấm vi phạm chính sách quyền riêng tư của chính nó.

Vì vậy, nếu bạn thực sự quan tâm đến vấn đề này, hãy tìm một dịch vụ tương tự có trong EEA, dịch vụ này sẽ mang lại cho bạn khả năng truy đòi pháp lý nếu bạn phát hiện ra rằng họ đang xử lý dữ liệu của bạn theo cách vi phạm chính sách bảo mật của họ.

Làm thế nào bạn phát hiện ra những vi phạm như vậy là một bài tập cho bạn.

0
Marcin