主题
第 9 章 浏览器与追踪
本章导读:浏览器是你与互联网之间最常打开的入口,也是他人观察你的一面镜子。你点了什么、搜了什么、在哪个页面停留多久、用什么设备、装了什么字体——这些信号在网页加载的几百毫秒里就会被采集、汇总,用来勾勒一幅精准的"行为画像"。读完本章,你将理解追踪是如何发生的,并把浏览器从"被观察的窗口"调校为"更安静、更可控的工具"。本章对应第 3 章威胁模型中的② 商业公司(过度收集者)与③ 平台与服务商两类主体,目标是降低画像精度、缩小被动暴露面,而非对抗任何特定机构。
🟢 基础:先理解一条核心逻辑
在动手设置之前,请记住一个判断:凡是"免费"的浏览器功能,你往往以另一种方式支付了代价。 这并不违法,许多采集行为也写在了隐私政策里(详见第 1 章关于"个人信息处理者"与"告知—同意"的说明)。但"写进政策"不等于"你已理解并主动同意"。本章所做的一切,本质上是帮你把默认让渡的权利收一部分回来——这正是《个人信息保护法》赋予你的"知情权、决定权"与"撤回同意权"在浏览器场景下的落地。
不需要任何技术背景,五分钟就能完成下面的基础设置。
1. 五分钟完成的基础隐私设置
桌面端 Chrome / Edge(国内常用):
- 关闭"个性化广告":Chrome 进入
设置 → 隐私和安全 → 广告隐私功能,把"广告主题""网站建议广告"三项全部关闭。Edge 进入设置 → 隐私、搜索和服务 → 隐性诊断/广告衡量,关闭"允许浏览器向网站发送信号以衡量广告效果"。 - 关闭"增强地址/拼写建议":该功能会把你在地址栏输入的部分内容发送到默认搜索引擎。位置在
设置 → 同步和 Google 服务或 Edge 的对应项。 - 关闭"预加载页面":它会提前加载预测的下一个页面,加快速度,但等于在未点击时就请求了那些 URL。位置在
隐私和安全 → 预加载页面。 - 限制后台运行的扩展:进入
扩展程序 → 详细信息,对不需要联网的扩展关闭"允许网站访问"。
桌面端 Firefox(默认隐私较强,适合🟡级读者):
设置 → 隐私与安全 → 增强型跟踪保护,选择"严格"模式可默认拦截已知追踪器、加密货币挖矿脚本与部分指纹脚本。注意少数网站可能因此异常,可对该站点点击地址栏盾牌图标临时关闭。
手机浏览器(以国内常用 Android 与 iOS 为例):
- 微信/QQ/支付宝内置浏览器:不建议用于登录敏感账号或处理金融业务,它们对 Cookie 与跨站追踪的控制弱于独立浏览器,且与宿主 App 共享登录态。
- Safari(iOS):
设置 → Safari → 隐私与安全性,打开"防止跨站跟踪""隐藏 IP 地址""需要 Face ID 解锁私密浏览";关闭"允许 Safari 查看我的 IP 地址"中向可见广告商展示的选项。 - 国产浏览器(UC/QQ/360/搜狗 等):多数内置"无痕/隐私模式"与广告拦截,但本身也可能采集浏览数据。对金融、医疗、政务类网站,优先使用系统自带浏览器(Safari、Chrome、Edge)而非第三方套壳浏览器。
2. 定期清理 Cookie 与浏览数据
Cookie 是网站存在你本地的小段文本,本意是让登录态保持、购物车不丢失。但它也能被用来识别"是不是同一个用户"。清理 Cookie 不会让你更安全到哪,但会让跨站拼接你的画像更难。
- 频率:普通用户每 1–3 个月清理一次即可;敏感账号(金融、政务)用完后可在"隐私/无痕窗口"中操作,关闭即清。
- Chrome:
设置 → 隐私和安全 → 删除浏览数据,时间范围选"所有时间段",勾选"Cookie 及其他网站数据""缓存的图片和文件"(注意:勾选"密码"会清掉已保存的密码,慎选)。 - Edge / Firefox / Safari:路径类似,关键词为"清除浏览数据""管理网站数据""历史记录"。
- 更稳妥的做法:不要每次都清空,而是用浏览器自带的"按站点管理 Cookie"功能,只清掉你不信任的站点,保留常用站点的登录态。这能兼顾便利与隐私。
⚠️ 注意副作用:清理 Cookie 会让你在所有网站掉登录态,下一次访问需要重新登录;部分网站可能因此显示"检测到异常登录"。属于正常现象。
3. 不随意安装来源不明的浏览器扩展
扩展是浏览器中权限最大的组件之一——它可以读取你访问的每一个页面内容、拦截和修改请求、向远程服务器发送数据。一个恶意或被收购的扩展,等于在你所有网页里安了一个"旁观者"。
- 只从官方商店安装:Chrome Web Store、Microsoft Edge 加载项、Firefox AMO。不要从第三方下载站、网盘、论坛分享的
.crx/.xpi文件安装。 - 安装前看三件事:① 最近 6 个月是否在更新(长期不更新的扩展风险更高);② 评价数量与差评内容(注意"请求读取所有网站数据"类差评);③ 开发者是否可查(同名扩展很多,认准官方账号)。
- 最小权限:装完后进入扩展详情,关闭"允许访问文件 URL""在网站读取和更改数据"中不必要的权限。
- 定期清查:每隔几个月扫一眼扩展列表,用不到的立即卸载。历史上有多起"被收购后变脸"的知名扩展(如某截图扩展被收购后植入追踪代码),保持最小集合是最稳的策略。
- 对 VPN / 代购 / 比特币 / 极速下载类扩展格外警惕:这些类目是恶意扩展的重灾区。
4. 识别钓鱼站点:四个"一眼识破"的技巧
浏览器是钓鱼攻击的主战场(对应第 3 章威胁主体 ① 诈骗与犯罪分子)。无需懂技术,记住四点就能挡住绝大多数钓鱼:
- 看域名,不要看标题:钓鱼站点会把伪装做在标题、Logo、配色上,但域名改不掉。
taobao-login-1234.xyz、weixin-pay.com.net.cn这类与官方不一致的域名,一律不要输入账号密码。遇到不确定的,手动在地址栏输入官方域名。 - 看协议:登录页、支付页地址应以
https://开头,浏览器地址栏有锁形图标。但注意:HTTPS 只保证传输加密,不保证网站可信——钓鱼站点也能申请免费 HTTPS 证书。锁形图标是必要条件,不是充分条件。 - 看入口:不要从短信、邮件、聊天群里的链接直接点入登录、支付、退款页面。官方客服不会用"你的账号异常,请点击处理"这种方式。养成"手动输入域名"的习惯,是成本最低的防线。
- 看页面行为:要求重新输入完整支付密码、短信验证码、人脸识别的弹窗,几乎都应警惕。正规支付场景不会在网页里反复索要这些。更多识别技巧见第 13、15 章。
🟡 进阶:把追踪挡在"请求"这一层
基础设置能挡住默认让渡的数据。如果你愿意花一两个小时,可以进一步把追踪挡在"请求尚未发出"之前。
1. 追踪保护:浏览器内置 vs 扩展
追踪保护有两类技术:黑名单拦截(阻止已知追踪域名的请求)和Cookie 隔离(追踪域名的 Cookie 在第三方上下文中不可读)。
- Safari 的 ITP(Intelligent Tracking Prevention):苹果系统内置,Cookie 隔离策略较激进,无需配置。
- Firefox 的 ETP(增强型跟踪保护):默认开启"标准"模式,建议升级到"严格"模式。它基于 Disconnect 名单拦截跨站追踪器,并做 Cookie 隔离。
- Chrome 的"隐私沙盒"与 Topics API:Chrome 逐步从"第三方 Cookie"过渡到"基于兴趣主题"的方案。可在
广告隐私功能中关闭"广告主题"等三项。 - Edge 的"阻止跟踪器":在
隐私、搜索和服务中选择"严格"。
扩展层面:
- uBlock Origin:开源、低占用、拦截效果好,是综合首选。安装后默认即可,进阶可订阅第三方过滤列表(如"隐私""恶意域名"列表)。
- 隐私獾(Privacy Badger):由 EFF 出品,通过启发式算法学习哪些域在做跨站追踪并自动拦截,与 uBlock Origin 互补。
- Ghostery / AdGuard 浏览器扩展:也可考虑,但注意其商业模式(免费版可能上传统计)。
⚠️ 副作用提示:拦截类扩展可能让部分网站功能异常(视频无法播放、登录态丢失、"请关闭广告拦截器"提示)。可对这类站点临时暂停扩展,或用"可接受广告"白名单策略平衡。不要装多个功能重叠的拦截扩展,它们会互相冲突,既拖慢浏览器又降低效果。
2. 多容器 / 多配置文件隔离不同身份
这是降低"画像精度"最有效的手段之一。核心思路:不同身份(工作、私人、购物、金融、政务)使用相互隔离的浏览器环境,Cookie、登录态、扩展互不串扰。
Firefox 的多账号容器(Multi-Account Containers):
- 官方扩展,可在 Firefox 中为不同类别(工作、银行、购物)建立独立"容器标签页",每个容器有独立的 Cookie 存储。
- 同一网站可在不同容器同时登录不同账号;一个容器里的追踪器读不到另一个容器的 Cookie。
Chrome / Edge 的多配置文件(Profiles):
- 点击右上角头像 →"添加用户",为"工作""私人""金融"各建一个配置文件。
- 每个配置文件有独立的扩展、书签、Cookie、密码库。
- 建议:工作档案不装任何广告拦截扩展以外的扩展;金融档案仅用于登录银行、券商、政务站点,不进行任何其他浏览。
Safari 没有原生容器,可借助多用户登录 macOS 实现隔离,或使用 Firefox 专门做隔离浏览器。
3. 广告与内容拦截工具的合理使用与副作用
广告拦截不仅是体验问题,也是隐私问题——广告网络往往同时承担追踪职能。但需要客观看待它的两面:
- 收益:减少追踪请求、加快页面加载、降低误点广告(含钓鱼广告)的概率。一些测评估算,主流新闻类站点打开时拦截扩展可阻断数十至上百个第三方请求(具体数字因站点而异,仅作量级参考)。
- 副作用:① 部分网站依靠广告收入维持,拦截会影响其收入;② 拦截列表可能误伤正常功能(如评论组件、表单);③ 极少数网站会拒绝服务;④ 扩展本身也是信任对象——一款被收购后变脸的拦截扩展,反而可能成为新的追踪源。建议选择开源、社区维护、长期更新的扩展。
合理使用的两条原则:
- 不盲目开"全部拦截":默认列表已足够,自定义规则前先理解其影响。
- 对独立创作者站点适当放行:uBlock Origin 支持对指定站点关闭拦截(点击扩展图标→电源按钮),这是兼顾生态与隐私的折中。
4. 搜索引擎隐私设置
搜索引擎知道你"在想什么"——这是最敏感的画像维度之一。无论你用哪个引擎,都可以减少回传:
- 关闭搜索历史记录:百度 App 内
我的 → 设置 → 隐私设置 → 搜索历史,关闭记录与个性化推荐;Google 账号myactivity.google.com中删除历史并关闭"网页与应用活动";Bing 在bing.com/account关闭个性化。 - 关闭个性化搜索结果:让搜索结果不基于过往行为排序。代价是相关性可能下降。
- 使用"无痕模式"做敏感查询:医疗、法律、就业类查询,建议在隐私窗口中进行。注意:隐私模式只是不在本地留痕,对搜索引擎服务商而言你仍然是可见的——它不是"隐身",只是"不留本地记录"。
- 不登录账号搜索:搜索引擎账号登录后,查询会绑定到你的身份。退出登录后查询,画像会被弱化(但不能完全消除,因为 IP、设备指纹仍然存在)。
5. 隐私浏览模式的真相:它能做什么、不能做什么
这是最常被误解的功能。需要澄清:
- ✅ 能:不在本地保留浏览历史、Cookie、表单输入、密码;关闭窗口后,本地痕迹基本清除。
- ❌ 不能:对你访问的网站、网络服务商(如校园网、公司网、运营商)、搜索引擎服务商"隐身";绕过身份核验或访问控制机制。
- ❌ 不能:防止同一浏览器的扩展继续追踪(部分扩展在隐私模式下仍工作,可在扩展设置中关闭)。
正确用法:① 登录敏感账号(银行、医疗);② 临时查阅不想留痕的内容(如求职、疾病信息);③ 在他人设备上临时登录。错误用法:把它当作"匿名上网"——这是危险的错觉。
🔴 深度:追踪的底层机制与对抗思路
本节面向希望理解"为什么"的读者,只讲机制与影响,不含任何规避手段的具体实现。
1. Cookie 与像素标签:跨站追踪的底层机制
Cookie 的工作机制:HTTP 协议本身无状态,网站为了"记住"你,会在响应头中通过 Set-Cookie 把一段文本写入浏览器;此后每次请求该域名,浏览器都会自动附带这段 Cookie。第一方 Cookie 是你正在访问的域名写入的(用于登录态、购物车);第三方 Cookie 是页面中嵌入的其它域名(广告、统计、社交按钮)写入的——只要同一个广告网络的代码出现在多个网站上,它就能在每一个站点读到同一个 Cookie,从而把你在 A 站的浏览与 B 站的浏览关联为同一用户。这就是"跨站追踪"的技术基础。
像素标签(Tracking Pixel / Web Beacon):在网页或邮件里嵌入一个 1×1 像素的透明图片,当页面加载或邮件打开时,浏览器会自动发起对这个图片的请求,请求中携带 IP、User-Agent、Cookie 等信息。它不需要 JavaScript 也能工作,因此即使禁用了脚本,仍能记录"页面/邮件是否被打开"。营销邮件中常用此技术统计打开率。
对个人信息的归类:跨站追踪产生的行为画像,属于第 1 章定义的"个人信息"(能对应到特定自然人);若涉及健康、金融偏好、行踪,则可能上升为"敏感个人信息"。依据《个人信息保护法》,处理者应取得合法基础(通常为同意)并保障你的查询、删除、撤回同意权利。
2. 同源策略与跨站追踪的关系
同源策略(Same-Origin Policy) 是浏览器的核心安全机制:它规定只有"协议+域名+端口"三者完全相同的源,才能读取彼此的资源与数据。这一策略保护你免受恶意站点读取你在另一站点的数据,但它不阻止"发起请求"。
正因如此,跨站追踪绕过了同源策略的限制——追踪域名不需要"读取"别的源的数据,它只需要在每个站点都"被加载一次",并靠自身写入的 Cookie(第三方 Cookie)完成关联。同源策略防的是数据被读,追踪机制用的是"被主动告知"。理解这一区别,就理解了为什么单纯依赖浏览器安全机制无法消除追踪——需要专门的拦截与隔离策略。
3. 浏览器指纹:Canvas/WebGL/字体等原理
当第三方 Cookie 被逐步淘汰(Chrome 已宣布逐步淘汰计划,具体时间表以官方公告为准,待复核),追踪行业转向了浏览器指纹——一种无需 Cookie、靠设备本身的差异来识别用户的技术。其核心原理是:不同设备在硬件、驱动、字体、配置上存在细微差异,把这些差异组合起来,就能形成一个高唯一性的"指纹"。
常见维度:
- Canvas 指纹:让浏览器在画布上渲染一段图形或文字,由于 GPU、驱动、抗锯齿算法的差异,输出的像素结果在不同设备上略有不同。这段像素的哈希值就是指纹之一。
- WebGL 指纹:通过 3D 渲染管线的差异(显卡型号、着色器精度)产生可区分结果。
- 字体枚举:通过测量不同字体的渲染宽度,推断系统装了哪些字体(中文系统、特定办公套件、设计软件带的字体都是强信号)。
- 音频指纹:通过音频处理管线的浮点误差生成指纹。
- 环境信息:屏幕分辨率、时区、语言、User-Agent、电池状态、传感器可用性等,单独看不唯一,组合后唯一性极高。研究表明,常用配置组合的熵可达到 18–22 bit 以上,意味着在数十万到上百万用户中可定位到个体(此为学术界一般估算,待复核)。
对抗思路(防御性,不涉及规避):
- JavaScript 拦截与伪造类扩展(如 CanvasBlocker):拦截或返回一致化的指纹返回值,降低唯一性。代价是部分依赖 Canvas 的网站(在线设计、游戏)可能异常。
- Tor Browser 的策略:所有用户使用相同的窗口尺寸、字体集、渲染参数,让所有人看起来一样——这是目前对抗指纹最彻底的设计,但代价是显著的速度与兼容性损失,且超出本书的防御场景范围。
- 日常折中:Firefox"严格"模式已能拦截部分已知指纹脚本;配合 uBlock Origin 的隐私过滤列表,可覆盖大多数场景。普通人不必追求极致。
4. 超级 Cookie(Supercookie / Evercookie)
超级 Cookie 指那些绕过常规清理、在多个清理周期后仍能复原的持久化标识。它的实现手段多样,历史上包括:
- Flash / Silverlight LSO:插件时代的"本地共享对象",清理普通 Cookie 时不会被清除。随着插件淘汰已基本消失。
- HTTP Strict Transport Security(HSTS)缓存:利用 HSTS 状态在不同域名间的差异编码标识。
- ETag / 缓存验证:服务器返回的缓存标识可被用作持久 ID,清理缓存前一直有效。
- Web SQL / IndexedDB / Service Worker 缓存:HTML5 存储机制,若不手动清理会长期保留。
防御:
- 用浏览器"清除所有浏览数据"时,务必勾选"Cookie 及网站数据""缓存的图片和文件",并在高级选项里清理"网站数据""托管应用数据"。
- 使用隐私模式处理敏感站点,关闭即清除。
- 选择会默认隔离第一方存储的浏览器(Firefox 严格模式、Safari ITP)。
- 在服务器侧,超级 Cookie 的使用在多数司法辖区已属违规行为,中国个保法框架下,未告知同意的此类处理涉嫌违反"告知—同意"规则——这是你的法定权利支点。
5. 关于"合法防御"的总结
本章所有技术手段,都是在你已知情同意的前提下,调整浏览器行为以减少数据回传。这与任何对抗性、规避性操作有本质区别。法律赋予你的权利(第 1 章八项权利)是底座,技术配置是手段——遇到你认为违规的追踪,你有权通过"通信、投诉、举报"行使权利(详见第 16 章)。
本章检查清单
读完本章,请逐项自检:
- [ ] 我已关闭浏览器的"个性化广告""广告衡量"等默认开启的追踪功能
- [ ] 我已养成"每 1–3 个月清理一次浏览数据"或"敏感站点用隐私模式"的习惯
- [ ] 我的浏览器扩展都已从官方商店安装,且定期清查,不保留不用的扩展
- [ ] 我能识别钓鱼站点的四个要点:看域名、看协议、看入口、看页面行为
- [ ] 我已配置一款主流拦截扩展(uBlock Origin 或同类),且不过度堆叠
- [ ] 我对工作、私人、金融等身份做了配置文件或容器隔离
- [ ] 我已关闭搜索引擎的搜索历史记录与个性化推荐
- [ ] 我理解"隐私浏览模式"不是"隐身上网",只是本地不留痕
- [ ] (进阶)我能解释第三方 Cookie、像素标签、浏览器指纹的基本原理
- [ ] (进阶)我知道超级 Cookie 的存在,并会彻底清理网站数据
延伸阅读与参考来源
- 本章法律支点:《个人信息保护法》第 13–17 条(告知—同意规则)、第 24 条(自动化决策)、第 44–50 条(个人权利)。条文以国家法律法规数据库 flk.npc.gov.cn 为准。
- 技术参考(中性资料,仅供理解原理):
- EFF Panopticlick / Cover Your Tracks 项目:演示浏览器指纹唯一性。
- Mozilla 开发者网络(MDN)关于 HTTP Cookies、Same-Origin Policy、SameSite 属性的文档。
- W3C 规范:Topics API、Privacy Sandbox 相关提案(以官方最新文档为准)。
- 本书关联章节:第 2 章(数字画像,解释画像如何被聚合使用)、第 6 章(手机与操作系统权限)、第 13 章(支付与钓鱼诈骗)、第 16 章(法律武器与维权)。
⚠️ 本章涉及的浏览器功能、扩展与设置,会随厂商版本更新而变化,具体路径以你当前浏览器为准。本章内容仅作防御科普,不构成法律建议;部分设置可能影响个别网站的正常功能(登录态、视频播放、支付跳转),请结合自身使用习惯自行评估。本章不涉及任何绕过网络访问控制或身份核验机制的内容。
⬅ 上一章 第 8 章 即时通讯安全 | ➡ 下一章 第 10 章 网络与路由