第三方追蹤的安全研究

張玉清，武倩如，劉奇旭，董穎

（中國科學(xué)院大學(xué) 國家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心，北京 101408）

1 引言

1.1 第三方追蹤的概念及特點(diǎn)

早期的 Web頁面是由一個(gè)人或者組織設(shè)計(jì)部署的。隨著多樣化需求的不斷增加，Web頁面中引用越來越多的第三方應(yīng)用，作為廣告、網(wǎng)站分析、社交網(wǎng)絡(luò)等用途。如圖1所示，用戶主動(dòng)瀏覽的網(wǎng)站叫做第一方網(wǎng)站，即在地址欄中所顯示的網(wǎng)站（www.nytimes.com/pages/national/index.html）；嵌入在第一方網(wǎng)站中的，與第一方網(wǎng)站不屬于同一域或同一個(gè)公司的網(wǎng)站叫做第三方應(yīng)用網(wǎng)站，當(dāng)用戶瀏覽第一方網(wǎng)站的同時(shí)也會(huì)向第三方應(yīng)用發(fā)送請求。圖1中所標(biāo)識(shí)出的廣告、視頻、社交網(wǎng)絡(luò)都為第三方應(yīng)用，其中網(wǎng)站分析類的第三方應(yīng)用代碼在頁面中執(zhí)行，但沒有顯示。除了為第一方網(wǎng)站提供各種各樣的服務(wù)，第三方應(yīng)用還具有如下特點(diǎn)。

1) 第一方網(wǎng)站主動(dòng)引入第三方應(yīng)用，默認(rèn)第三方應(yīng)用安全可信，并授權(quán)第三方應(yīng)用獲得網(wǎng)站的一些信息。

2) 同一個(gè)第三方應(yīng)用會(huì)被多個(gè)第一方網(wǎng)站所使用。

3) 同一家公司可能擁有多種第三方應(yīng)用，比如google analysis、google adsense、doubleclick等都是google公司的產(chǎn)品。

這些特點(diǎn)使得第三方應(yīng)用在為第一方網(wǎng)站提供服務(wù)的同時(shí)，有能力跨多個(gè)網(wǎng)站追蹤、記錄用戶的個(gè)人信息及其瀏覽歷史。第三方應(yīng)用的這種追蹤行為叫做第三方追蹤。第三方追蹤造成的隱私威脅問題日益嚴(yán)重，如何保護(hù)第三方追蹤帶來的隱私威脅問題成為安全領(lǐng)域的重要研究內(nèi)容。

圖1 New York Time網(wǎng)站上的第三方應(yīng)用

1.2 第三方追蹤安全現(xiàn)狀

第三方追蹤可以獲得用戶瀏覽歷史，從而得到用戶的位置、興趣、購買過的商品、就業(yè)狀況，性取向、財(cái)務(wù)狀況、醫(yī)療狀況[1,2]等用戶的隱私信息，使用戶無隱私可言[3]。收集用戶的隱私信息并不是假設(shè)的猜想，而是實(shí)際存在的。下面幾個(gè)事件，反映了第三方追蹤的安全隱患。

1) 2011年中旬，一家NAI成員的廣告公司Epic Marketplace追蹤的用戶高度敏感信息數(shù)據(jù)段被曝光，敏感信息包括：懷孕生育、更年期、修復(fù)不良信貸等信息[4]。

2) 2011年10月，一家在線約會(huì)網(wǎng)站OkCupid被發(fā)現(xiàn)向其他商家出售用戶喝酒、吸煙、吸毒的頻率等信息[5]。

3) Krishnamurthy等[6]在10個(gè)流行的健康網(wǎng)站輸入查詢信息，在其中9個(gè)網(wǎng)站中發(fā)現(xiàn)第三方應(yīng)用收集用戶的查詢信息。

4) 2013年3月，中央電視臺(tái)3.15平臺(tái)曝光幾家網(wǎng)絡(luò)公司利用第三方追蹤搜集上億條 Cookie信息，使得網(wǎng)民在網(wǎng)絡(luò)上的行為成為“裸奔”。

2 第三方應(yīng)用的分類及隱私威脅

本節(jié)首先介紹第三方應(yīng)用的分類及其隱私威脅模型，接著總結(jié)有追蹤行為的第三方應(yīng)用的隱私威脅。

2.1 第三方應(yīng)用的分類

第三方應(yīng)用通常以 JavaScript腳本、iframe、Web bug或媒體等方式存在于第一方網(wǎng)站中[7,8]。按照所提供服務(wù)的內(nèi)容不同，第三方應(yīng)用可以劃分為6 類[3]：分析服務(wù)（analysis service）、社交網(wǎng)絡(luò)（social networks）、在線廣告（online advertising）、內(nèi)容提供商（content providers）、前端服務(wù)（frontend services）、托管平臺(tái)（hosting platforms），并不是所有的第三方應(yīng)用都有追蹤行為。分析服務(wù)、社交網(wǎng)絡(luò)、在線廣告這3類第三方應(yīng)用通常都有追蹤行為，而大部分的內(nèi)容提供商、前端服務(wù)和托管平臺(tái)類第三方應(yīng)用并不對(duì)用戶進(jìn)行追蹤，但由于這些第三方應(yīng)用都嵌插在第一方網(wǎng)站中，因此，都有能力追蹤用戶，不能完全排除其存在追蹤行為的可能性。下面具體介紹這6類第三方應(yīng)用，并介紹前3類第三方應(yīng)用所采用的典型追蹤模型。本節(jié)中追蹤技術(shù)都以http Cookies為例，在第3節(jié)中，將詳細(xì)介紹其他追蹤技術(shù)。

1) 分析服務(wù)

分析服務(wù)類的第三方應(yīng)用為第一方網(wǎng)站提供統(tǒng)計(jì)信息，使第一方網(wǎng)站可以更好地了解其訪問者，包括用戶的地域、瀏覽的內(nèi)容、用戶代理信息以及與該網(wǎng)站的互動(dòng)信息，從而改進(jìn)網(wǎng)站的設(shè)計(jì)。雖然分析服務(wù)類的第三方應(yīng)用在實(shí)現(xiàn)上有很大的不同，但是幾乎所有的第三方應(yīng)用都采用以下2種商業(yè)模式之一：一些公司采用付費(fèi)模式提供服務(wù)，它們聲稱有合法的權(quán)利間接獲得用戶的分析數(shù)據(jù)；另外一些公司提供免費(fèi)的服務(wù)，它們使用搜集的用戶數(shù)據(jù)來獲利，比如廣告定向、市場調(diào)查等。

如圖2所示，以Google analytics 為例分析類第三方應(yīng)用典型的追蹤模型如下：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到第三方應(yīng)用的url鏈接，并向其發(fā)送請求；④第三方網(wǎng)站返回請求的文件內(nèi)容，通常為JavaScript腳本文件；⑤腳本執(zhí)行，讀取該第一方網(wǎng)站的http Cookies，獲取用戶ID等信息；⑥將這些信息作為參數(shù)傳回第三方應(yīng)用服務(wù)器，第三方應(yīng)用可能將用戶在該第一方網(wǎng)站的訪問記錄存儲(chǔ)在其服務(wù)器中。

圖2 分析類第三方應(yīng)用追蹤模型

由于第三方應(yīng)用的腳本在第一方網(wǎng)站中執(zhí)行，根據(jù)同源策略，該腳本只能在第一方網(wǎng)站域下創(chuàng)建http Cookies文件，因此該類追蹤模型不能跨網(wǎng)站追蹤用戶，只能追蹤記錄用戶在site1.com中的瀏覽情況。若第三方追蹤者想獲得某一用戶在多個(gè)網(wǎng)站中的瀏覽記錄，則需要該用戶的個(gè)人信息標(biāo)識(shí)(PII,personally identifiable information)，來識(shí)別出哪些瀏覽記錄是來自于該用戶的?？傮w來說，該類追蹤模型有2大特點(diǎn)[8]：①第三方應(yīng)用的腳本會(huì)建立第一方網(wǎng)站域下的http Cookies，將其所要獲得的信息記錄在該http Cookies中；②讀取第一方網(wǎng)站域下http Cookies的內(nèi)容，并將其作為url的參數(shù)發(fā)送給第三方。

2) 在線廣告

在線廣告網(wǎng)絡(luò)模型包括3大元素[9]：廣告發(fā)布商（publisher）、廣告網(wǎng)絡(luò)和廣告商（advisers）。其主要工作流程如圖3所示。①廣告商們將廣告投放到廣告網(wǎng)絡(luò)；②用戶瀏覽廣告商的頁面；③獲取該頁面的基本html信息；④并向廣告網(wǎng)絡(luò)發(fā)送廣告請求；⑤廣告網(wǎng)絡(luò)根據(jù)跨多個(gè)不相關(guān)網(wǎng)站追蹤到用戶的瀏覽歷史，推斷用戶的喜好，這些興趣愛好被用于選擇廣告發(fā)送給用戶[10,11]。行為定位是廣告網(wǎng)絡(luò)用來增強(qiáng)其廣告投放有效性的一種技術(shù)，在廣告市場中有十分重要的作用。Yan等[12]證明了行為定位技術(shù)可以增強(qiáng)Bing搜索引擎中廣告的有效性。

圖3 在線廣告工作流程

如圖4所示，以Admeld廣告網(wǎng)絡(luò)為例，分析第三方應(yīng)用典型的追蹤過程如下。①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到廣告網(wǎng)絡(luò)Admeld.com的url鏈接，該第三方應(yīng)用以iframe標(biāo)簽的形式插入在第一方網(wǎng)站中，向該 url發(fā)送其請求；④廣告網(wǎng)絡(luò)Admeld.com返回網(wǎng)頁文件；⑤Admeld.com讀取其域下的http Cookies，該http Cookies存放了用戶在多個(gè)網(wǎng)站的瀏覽記錄等信息，Admeld.com分析該用戶信息，結(jié)合競價(jià)排名等機(jī)制，選擇適合該用戶的廣告商trun.com；⑥向廣告商trun.com發(fā)送廣告請求信息和用戶的信息，廣告商根據(jù)用戶所訪問的網(wǎng)站site1.com及用戶的信息，選擇合適的廣告投放到site1.com的頁面中。

由于第三方應(yīng)用以iframe標(biāo)簽的形式存在，因此該第三方應(yīng)用可以創(chuàng)建自己域下的http Cookies，用戶瀏覽包含該第三方應(yīng)用的第一方網(wǎng)站，其瀏覽記錄都會(huì)被該第三方http Cookies所記錄，因此可以進(jìn)行跨域追蹤?？傮w來說，該類追蹤模型的特點(diǎn)在于[8]：一個(gè)第三方應(yīng)用并不是直接插入在第一方網(wǎng)站中，而是被另一個(gè)第三方應(yīng)用引入的。

圖4 廣告網(wǎng)絡(luò)類第三方應(yīng)用追蹤模型

3) 社交網(wǎng)絡(luò)

一些社交網(wǎng)絡(luò)既是第一方網(wǎng)站又是第三方應(yīng)用，其角色定義根據(jù)不同的場景有所不同：當(dāng)用戶主動(dòng)瀏覽社交網(wǎng)絡(luò)時(shí)，該社交網(wǎng)絡(luò)是第一方網(wǎng)站；當(dāng)用戶瀏覽其他第一方網(wǎng)站，而社交網(wǎng)絡(luò)嵌入在該第一方網(wǎng)站時(shí)，該社交網(wǎng)絡(luò)為第三方應(yīng)用。社交網(wǎng)絡(luò)類第三方應(yīng)用為用戶提供個(gè)性化內(nèi)容和單點(diǎn)登錄服務(wù)。社交網(wǎng)絡(luò)作為第三方應(yīng)用時(shí)，最常見的形式為分享或點(diǎn)贊按鈕，如 facebook的 like按鈕，Google+1按鈕，新浪微博的分享按鈕等。這些社交網(wǎng)絡(luò)類的第三方應(yīng)用免費(fèi)為第一方網(wǎng)站提供服務(wù)來促進(jìn)用戶的參與和推動(dòng)市場研究。一些研究[13~15]利用社交網(wǎng)絡(luò)的數(shù)據(jù)來提供精準(zhǔn)廣告定位服務(wù)。

如圖5所示，以facebook like按鈕為例，用戶將facebook.com作為第一方網(wǎng)站訪問時(shí)，在瀏覽器端建立了facebook.com域下的http Cookies，當(dāng)用戶訪問其他包含該社交網(wǎng)站應(yīng)用的第一方網(wǎng)站時(shí)：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回html文件；③用戶瀏覽器解析html文件，得到第三方應(yīng)用的 url鏈接，該第三方應(yīng)用以 iframe標(biāo)簽的形式插入在第一方網(wǎng)站，因此可以讀寫該第三方應(yīng)用域名下的http Cookies，在facebook的域名下記錄瀏覽歷史；④向解析出的 url發(fā)送請求，并將 http Cookies的信息作為請求分組頭部發(fā)送給第三方；⑤第三方應(yīng)用向用戶返回facebook like按鈕。

由于可以在第三方域下建立 http Cookies，因此，該類追蹤模型可以跨網(wǎng)站的追蹤用戶，記錄用戶在多個(gè)第一方網(wǎng)站中的瀏覽情況。總體來說，該類追蹤模型有2大特點(diǎn)[8]：①該網(wǎng)站作為第一方網(wǎng)站時(shí)，在其域下建立http Cookies；②作為第三方應(yīng)用時(shí)，利用其域下的http Cookies進(jìn)行追蹤。

圖5 社交網(wǎng)絡(luò)類第三方應(yīng)用追蹤模型

4) 內(nèi)容提供商

內(nèi)容提供商類第三方應(yīng)用管理視頻、地圖、新聞、天氣、彩票和其他媒體類信息，如YouTube。一些內(nèi)容提供商在為第一方網(wǎng)站提供的同時(shí)，也通過內(nèi)置廣告來獲取利潤。

5) 前端服務(wù)

前端服務(wù)類第三方應(yīng)用通常為第一方網(wǎng)站提供JavaScript類庫和API等來豐富用戶體驗(yàn)，增強(qiáng)網(wǎng)站的功能。例如，Google Libraries API[16]、Google Feed API[17]等。

6) 托管平臺(tái)

托管平臺(tái)類第三方應(yīng)用幫助網(wǎng)站發(fā)布者發(fā)布自己的內(nèi)容。常見的有博客平臺(tái)（如Wordpress.com[18]）和內(nèi)容分布網(wǎng)絡(luò)（如Akamai[19]）。

7) 其他類

除以上6類第三方應(yīng)用外，還有一類第三方應(yīng)用并不提供任何服務(wù)，它專門用于追蹤用戶，獲得用戶瀏覽歷史，分析用戶行為特征，并將用戶的數(shù)據(jù)賣給廣告公司等。此類公司通常通過付費(fèi)給第一方網(wǎng)站，并將自己的代碼加入到第一方網(wǎng)站中。

Krishnamurthy等[20]搜集了2005年到2010年間大約1 200個(gè)流行網(wǎng)站的頁面信息，他們的報(bào)告中展現(xiàn)第三方應(yīng)用的2個(gè)發(fā)展趨勢。首先，平均來說，每個(gè)網(wǎng)站中引用第三方應(yīng)用的數(shù)目逐年增多。其次，第三方應(yīng)用公司擴(kuò)展迅速，一些大的追蹤公司，包括Google、Adobe 和Microsoft都通過收購擴(kuò)展了自己的市場份額。

2.2 第三方追蹤的隱私威脅

有追蹤行為的第三方應(yīng)用被稱為第三方追蹤者。第三方追蹤者獲得的用戶隱私信息主要為瀏覽歷史和個(gè)人標(biāo)識(shí)信息[21]2大類。

1) 瀏覽歷史

用戶的瀏覽歷史可以直接泄露用戶的個(gè)人信息，如用戶的位置、興趣、性取向、財(cái)務(wù)狀況、健康狀態(tài)等各種高度敏感信息。與此同時(shí)，通過檢測用戶常瀏覽的頁面，可以分析得到許多有關(guān)該用戶的隱含信息，比如分析其行為習(xí)慣等。

當(dāng)一個(gè)第一方頁面嵌入第三方追蹤者的內(nèi)容時(shí)，該追蹤者可以通過http referrer頭部來獲得第一方頁面的url。如果頁面中嵌入了第三方追蹤者的JavaScript代碼，追蹤者還可以通過執(zhí)行代碼來獲得第一方網(wǎng)站的其他信息，如使用document.title代碼獲得頁面的標(biāo)題。

廣告公司Epic Marketplace將15 511條網(wǎng)頁的鏈接存放到一個(gè)不可見的iframe中，利用JavaScript動(dòng)態(tài)加載這些url并判斷用戶是否訪問過這些url，處理過程存放在http Cookies中，從而來獲得用戶的瀏覽歷史[4]。這些url除了購物類網(wǎng)站，還包括可以泄露用戶敏感行為的網(wǎng)站，如醫(yī)療網(wǎng)站、財(cái)務(wù)網(wǎng)站等。

2) 個(gè)人信息標(biāo)識(shí)

一些第三方追蹤者獲得了許多瀏覽記錄和相關(guān)信息后，需要標(biāo)識(shí)出哪些瀏覽記錄是來自于同一個(gè)用戶的，從而獲得該用戶盡可能多的瀏覽歷史。可以用來識(shí)別出用戶的信息叫做個(gè)人信息標(biāo)識(shí)，如用戶的ID、用戶名等。

一些第一方網(wǎng)站將用戶的個(gè)人信息標(biāo)識(shí)賣給第三方追蹤者，并形成一種商業(yè)模式，通常以彩票或者有獎(jiǎng)測試的形式存在。一些廣告數(shù)據(jù)提供者（如DataLlogix）購買用戶的標(biāo)識(shí)信息，利用一個(gè)用戶的標(biāo)識(shí)信息，在其離線數(shù)據(jù)庫中檢索出該用戶的所有相關(guān)信息，并用這些信息為該用戶提供廣告推薦。

一些第一方網(wǎng)站將用戶的個(gè)人信息標(biāo)識(shí)無意地提供給第三方追蹤者。2011年，Krishnamurthy等[6]在120個(gè)流行的非社交網(wǎng)站中做了一項(xiàng)調(diào)查，發(fā)現(xiàn) 56%的網(wǎng)站直接泄露用戶的個(gè)人標(biāo)識(shí)信息給第三方追蹤者，如用戶的電子郵件地址、姓名、性別等。

3 第三方追蹤的技術(shù)

第三方追蹤技術(shù)多種多樣，按照是否在本地進(jìn)行存儲(chǔ)可以分為：有狀態(tài)的追蹤和無狀態(tài)的追蹤。

3.1 有狀態(tài)的追蹤

有狀態(tài)的追蹤是指第三方追蹤者使用本地的存儲(chǔ)機(jī)制來記錄用戶的行為、瀏覽歷史等隱私信息。這些存儲(chǔ)機(jī)制包括http Cookies、Flash Cookies、HTML5 Local Storage等。

1) http Cookies

http Cookies[22]是存儲(chǔ)在用戶計(jì)算機(jī)中的小型文件，用來幫助網(wǎng)站識(shí)別用戶。2.1節(jié)已結(jié)合第三方追蹤的隱私威脅模型，詳細(xì)說明http Cookies技術(shù)的應(yīng)用細(xì)節(jié)。

2) Flash Cookies

Flash Cookies[23,24]是由Flash player控制的客戶端共享存儲(chǔ)技術(shù)，它具備以下特點(diǎn)：①類似http Cookies，F(xiàn)lash Cookies利用 SharedObject 類實(shí)現(xiàn)本地存儲(chǔ)信息，SharedObject類用于在用戶計(jì)算機(jī)上讀取和存儲(chǔ)有限的數(shù)據(jù)量，共享對(duì)象提供永久存儲(chǔ)在用戶計(jì)算機(jī)上的對(duì)象之間的實(shí)時(shí)數(shù)據(jù)共享；②本地共享對(duì)象是作為一些單獨(dú)的文件來存儲(chǔ)的，文件擴(kuò)展名為.SOL，尺寸默認(rèn)為不超過100 kB，并且不會(huì)過期；③本地共享對(duì)象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。如果要?jiǎng)h掉它們的話，首先要知道這些文件所在的具體位置。這使得本地共享對(duì)象能夠長時(shí)間地保留在本地系統(tǒng)上。

3) HTML5 Local Storage

HTML5 Local Storage[25,26]是 HTML5提供的API接口。通過JavaScript代碼調(diào)用HTML5 Local Storage API接口可以在客戶端存儲(chǔ)較大數(shù)據(jù)[27]。由于為存儲(chǔ)較大數(shù)據(jù)而設(shè)計(jì)，廣告商和其他第三方應(yīng)用可以使用HTML5 Local Storage來存儲(chǔ)用戶幾個(gè)星期甚至幾個(gè)月的個(gè)人信息，這些信息可能包括用戶的地理位置、時(shí)區(qū)、照片、購買記錄、電子郵件、瀏覽歷史等。

4) ETag

ETag是url的實(shí)體，用于標(biāo)識(shí)url對(duì)象是否改變。由于 ETag可以生成唯一標(biāo)識(shí)，即使用戶刪除了 http Cookies、Flash Cookies和 HTML5 Local Storage，第三方應(yīng)用仍然可以利用 ETag來重建這些被刪除的Cookies使追蹤繼續(xù)，而用戶卻并不知情[26]。ETag追蹤技術(shù)的最大威脅在于，即使用戶使用瀏覽器的隱私瀏覽模式仍無法逃避追蹤。

目前，大部分的第三方追蹤者都使用 http Cookies竊取用戶的隱私記錄。Good等[28]爬取了Quantcast排名前25 000的網(wǎng)站，發(fā)現(xiàn)其中87%的網(wǎng)站設(shè)置了 http Cookies，這些 http Cookies中有76%是第三方應(yīng)用設(shè)置的Cookies。也就是說，當(dāng)用戶瀏覽網(wǎng)站時(shí)，大部分的行為活動(dòng)都會(huì)被第三方追蹤者獲取到。但是http Cookies本身有很多局限性：①容易被清除；②每條 http Cookie記錄的信息量??；③可存儲(chǔ)的http Cookies數(shù)量有限。表1為http Cookies、Flash Cookies、HTML5 Local Storage的性能對(duì)比。越來越多的第三方追蹤者開始使用 Flash Cookies、HTML5 Local Storage等技術(shù)，甚至使用多種技術(shù)相結(jié)合來竊取用戶的隱私記錄[26,29]。例如，ClearSpring、Interclick、Specific Media等在線廣告公司，被發(fā)現(xiàn)使用Flash Cookies來追蹤用戶；在 2011年中旬，Soltani發(fā)現(xiàn)一家提供第三方分析服務(wù)應(yīng)用的公司KISSmetrics，使用http Cookies、Flash Cookies、ETag Cookies、HTML5 Local Storage以及指紋識(shí)別技術(shù)等相結(jié)合，能夠在用戶刪除Cookies的情況下，自動(dòng)重建被刪除的Cookies[26]。

表1 http Cookie、Flash Cookie 和HTML5 LocalStorage的關(guān)鍵特征

3.2 無狀態(tài)的追蹤

有狀態(tài)的追蹤將用戶的信息存儲(chǔ)在本地，有可能被用戶清除，而無狀態(tài)的追蹤中，第三方追蹤者并不在本地的存儲(chǔ)和記錄用戶的行為。其工作原理是通過用戶的指紋信息來識(shí)別用戶，從而獲得該用戶瀏覽歷史等隱私信息[30,31]。指紋信息是用戶固有的狀態(tài)特征信息，本不是用戶的隱私信息，然而，第三方追蹤者可以通過多個(gè)指紋信息組合來識(shí)別用戶，形成個(gè)人信息標(biāo)識(shí)，這時(shí)，可以形成個(gè)人信息標(biāo)識(shí)的指紋信息組合也成為用戶的隱私信息。

無狀態(tài)追蹤的典型過程如下：第三方應(yīng)用A存在于多個(gè)第一方網(wǎng)站中；當(dāng)用戶U瀏覽第一方網(wǎng)站B時(shí)，第三方應(yīng)用A獲得該用戶的指紋信息，為該用戶創(chuàng)建ID，并將用戶ID、指紋信息以及網(wǎng)站B的信息記錄到服務(wù)器的數(shù)據(jù)庫中；當(dāng)該用戶U瀏覽第一方網(wǎng)站C時(shí)，第三方應(yīng)用A在獲得該用戶的指紋信息后，與數(shù)據(jù)庫中的用戶指紋信息進(jìn)行對(duì)比，若對(duì)比成功，則在該用戶的瀏覽歷史中增加網(wǎng)站C的信息，否則為該用戶在數(shù)據(jù)庫中新建一條記錄。從而第三方應(yīng)用A可以獲得其所在第一方網(wǎng)站的所有用戶的瀏覽記錄。

如表2所示，指紋信息可以通過2種途徑獲得。一是通過執(zhí)行腳本或插件中的代碼獲得，叫做主動(dòng)指紋(active fingerprinting)信息[3]。如CPU型號(hào)、時(shí)區(qū)、安裝的字體、安裝的插件、始終脈沖相位差、可使用的插件、支持的MIME類型、Cookies是否可用等信息；另一種是通過查詢網(wǎng)絡(luò)流獲得，叫做被動(dòng)指紋(passive fingerprinting)信息[3]。如IP地址、語言、http可接受頭部等。一些信息既可以通過代碼執(zhí)行獲得，也可以通過網(wǎng)絡(luò)流獲得，比如操作系統(tǒng)類型、用戶代理等。

表2 指紋信息

對(duì)于主動(dòng)指紋信息，Peter Eckersley等[30]在近500 000個(gè)瀏覽器樣本中發(fā)現(xiàn)有83.6%的瀏覽器可以被一系列主動(dòng)指紋信息唯一標(biāo)識(shí)。盡管瀏覽器的狀態(tài)會(huì)經(jīng)常改變，如升級(jí)等，也可通過比對(duì)算法以99%的準(zhǔn)確率判斷出原狀態(tài)瀏覽器和現(xiàn)狀態(tài)瀏覽器是否為同一瀏覽器。一些公司已經(jīng)使用瀏覽器指紋識(shí)別技術(shù)，如BlueCava等[32]。

對(duì)于被動(dòng)指紋信息，Ting-Fang Yen等[33]通過統(tǒng)計(jì)分析大量的網(wǎng)站用戶數(shù)據(jù)，證明在瀏覽器狀態(tài)不改變的情況下，被動(dòng)指紋信息也足夠用來識(shí)別瀏覽器，并發(fā)現(xiàn)用戶即使在瀏覽器端清除了http Cookies或使用隱私模式瀏覽，再次訪問該網(wǎng)站的時(shí)候仍然可以被識(shí)別追蹤。

對(duì)于指紋追蹤的防御，Acar等[34]根據(jù)指紋識(shí)別技術(shù)中“字體”的識(shí)別，分析JavaScript代碼和flash腳本，從而編寫了一個(gè)識(shí)別采用這種指紋技術(shù)的追蹤者的工具。一些用戶使用代理服務(wù)器或?yàn)g覽器插件等工具來隱藏指紋信息。然而Nick Nikiforakis等[2]通過分析3大提供指紋追蹤技術(shù)的商業(yè)廣告公司的代碼，發(fā)現(xiàn)一些公司使用用戶安裝的代理服務(wù)器信息和瀏覽器插件信息作為指紋信息，可以更準(zhǔn)確地識(shí)別出用戶。

4 第三方追蹤防御及有效性

第三方追蹤引起的隱私問題受到越來越多的關(guān)注，為減緩第三方追蹤的隱私威脅，越來越多的組織、研究機(jī)構(gòu)以及 IT企業(yè)投入到第三方追蹤的防御工作中。美國和歐盟都針對(duì)第三方追蹤制定了相關(guān)的政策及標(biāo)準(zhǔn)。然而這些政策標(biāo)準(zhǔn)目前都不能有效地防御第三方追蹤，因此一些研究機(jī)構(gòu)和 IT企業(yè)也投入到對(duì)第三方追蹤防御工作的研究中。國內(nèi)對(duì)于第三方追蹤的研究很少，國際上對(duì)于第三方追蹤的防御工作的研究主要分為 2大方向：1）平衡用戶隱私和第三方追蹤（特別是廣告廠商），既能保護(hù)用戶的隱私，又可以完成廣告的定制推送服務(wù)；2）在客戶端采取措施，使用戶完全控制自己的信息是否可被第三方應(yīng)用獲取。本節(jié)首先介紹關(guān)于第三方追蹤的相關(guān)政策，然后從平衡用戶隱私和第三方追蹤與用戶完全控制2個(gè)方向介紹第三方追蹤防御的相關(guān)研究和發(fā)展。

4.1 相關(guān)政策及標(biāo)準(zhǔn)

美國聯(lián)邦貿(mào)易委員會(huì)（FTC, federal trade commission）是最主要的聯(lián)邦消費(fèi)者保護(hù)監(jiān)管和執(zhí)法機(jī)構(gòu)。2007年，幾個(gè)消費(fèi)者團(tuán)體對(duì)FTC提出倡議，為在線廣告創(chuàng)建一個(gè)“Do Not Track”列表[35]。2010年12月，F(xiàn)TC在發(fā)布的隱私報(bào)告中要求設(shè)計(jì)一個(gè)“Do Not Track”系統(tǒng)可以使用戶能控制自己在網(wǎng)絡(luò)上的隱私信息。2012年，白宮發(fā)布了一份與美國商務(wù)部合作的在線隱私報(bào)告[36]，該報(bào)告提出了一個(gè)隱私保護(hù)的框架和基本的隱私立法。

歐盟在 2002的電子隱私指示文件（ePrivacy directive）2002/58/EC中指出，網(wǎng)站需要賦予用戶“選擇不同意”（opting-out）的權(quán)利，使用戶可以選擇不允許網(wǎng)站在用戶本地瀏覽器存儲(chǔ)信息，然而這項(xiàng)文件并沒有起到任何效果[37]。2009年，歐盟又在其修訂文件2009/136/EC中出使用“選擇同意”(opting-in)原則來替代“選擇不同意”原則，大部分的成員國認(rèn)為“Do Not Track”機(jī)制可以滿足該指示文件的要求。2012年，歐盟委員會(huì)（European Commission）在歐盟數(shù)據(jù)保護(hù)法[38]（EU data protection law）中增加了一條規(guī)定，該規(guī)定明確要求非歐盟企業(yè)非法追蹤歐盟公民將被嚴(yán)厲處理，其罰款金額高達(dá)其公司利潤的2%。

W3C（world wide Web）近年來一直在標(biāo)準(zhǔn)化和實(shí)現(xiàn)“Do Not Track”機(jī)制[29]：當(dāng)用戶提出“Do Not Track”請求時(shí)，具有“Do Not Track”功能的瀏覽器在 http 數(shù)據(jù)傳輸中添加一個(gè)頭信息，這個(gè)頭信息向第三方應(yīng)用表明用戶不希望被追蹤，這樣，遵守該規(guī)則的第三方應(yīng)用就不會(huì)追蹤用戶的個(gè)人信息來用于更精準(zhǔn)的在線廣告。目前，幾乎所有的主流瀏覽器都采用了“Do Not Track”，如 IE[39]、Firefox[40]、Google Chrome、Safari[41]等。然而，一些第一方網(wǎng)站可以忽略“Do Not Track”頭部繼續(xù)追蹤用戶。

4.2 平衡用戶隱私和第三方追蹤

一些研究希望在保證用戶隱私的情況下，同時(shí)也保證第三方應(yīng)用的利益。這一類研究的總體原則為：既保證目前第三方應(yīng)用可以正常地為用戶提供服務(wù)，又使得第三方應(yīng)用無法獲得用戶真正的隱私信息。目前這些研究主要針對(duì)于廣告類第三方應(yīng)用和網(wǎng)站分析類第三方應(yīng)用。

對(duì)于廣告類第三方應(yīng)用，一些研究者試圖將廣告信息存放在客戶端。由于客戶端中存放了用戶所有的瀏覽歷史，因此可以為用戶提供更精準(zhǔn)的廣告推薦服務(wù)。

Toubiana等[42]提出了一個(gè)在不影響用戶隱私前提下保證行為廣告的使用系統(tǒng)——Adnostic。該系統(tǒng)的工作原理是：廣告網(wǎng)絡(luò)根據(jù)少量的用戶信息，選出一定數(shù)量的廣告發(fā)給客戶端；由于用戶的瀏覽歷史等隱私信息存儲(chǔ)在瀏覽器，行為分析過程則在瀏覽器端完成，并根據(jù)行為分析的結(jié)果選擇推薦廣告顯示在廣告發(fā)布商的網(wǎng)站上；對(duì)于廣告付費(fèi)的模塊，該系統(tǒng)使用高效的加密算法，從而保證用戶的隱私安全。然而，該系統(tǒng)存在以下幾個(gè)問題：1) 由于瀏覽器中只存儲(chǔ)一定數(shù)量的廣告，廣告定位的精準(zhǔn)性可能會(huì)受到影響；2) 該系統(tǒng)會(huì)增加帶寬和延時(shí)，削弱用戶體驗(yàn)；3) 沒有采取匿名化的措施，廣告商可以通過用戶的指紋信息識(shí)別出用戶，從而獲得用戶的瀏覽歷史等隱私信息；4) 并沒有解決廣告模式中競價(jià)機(jī)制。Reznichenko等[43]提出一種算法，能夠在盡量保證用戶隱私數(shù)據(jù)的情況下，允許廣告審計(jì)方進(jìn)行廣告排名，從而解決Adnostic系統(tǒng)中的競價(jià)機(jī)制問題。

Guha等[44]也提出了一個(gè)與 Adnostic類似的系統(tǒng)——Privad，將行為分析和目標(biāo)廣告選擇在用戶瀏覽器中執(zhí)行。不同的是，這個(gè)系統(tǒng)更為復(fù)雜。為解決Adnostic系統(tǒng)中存在的匿名化的問題，該系統(tǒng)在現(xiàn)有的網(wǎng)絡(luò)框架中的3大要素廣告發(fā)布商，廣告網(wǎng)絡(luò)和廣告商的基礎(chǔ)上又增加了 2個(gè)要素終裁者（dealer）和監(jiān)督者（monitor）。然而，該系統(tǒng)中新添加的2個(gè)元素會(huì)改變廣告模型的架構(gòu)，因此不利于整個(gè)系統(tǒng)的推廣使用。

對(duì)于網(wǎng)站分析類的第三方應(yīng)用，由于第三方應(yīng)用需要獲得用戶的一些信息才可以為第一方網(wǎng)站提供分析統(tǒng)計(jì)服務(wù)。因此廣告類的平衡架構(gòu)不適用于網(wǎng)站分析類的第三方應(yīng)用。一些研究者試圖在用戶信息中加入噪音信息來保護(hù)用戶的隱私。

Akkus等[45]提出了一種不需要追蹤也可以進(jìn)行Web分析的系統(tǒng)。該系統(tǒng)假設(shè)網(wǎng)站分析類第三方應(yīng)用只需要第一方網(wǎng)站用戶的統(tǒng)計(jì)信息，而非每個(gè)用戶的個(gè)人信息，通過差分隱私算法，為這些統(tǒng)計(jì)信息添加噪音，從而保護(hù)了用戶的隱私行為。然而該系統(tǒng)的限制條件較多，不能真正在實(shí)際中使用。

4.3 用戶完全控制

目前，所有平衡用戶與第三方應(yīng)用的利益的研究都側(cè)重于某一類型的第三方應(yīng)用。無論對(duì)于單獨(dú)一種類型的第三方應(yīng)用，還是對(duì)于所有類型的第三方應(yīng)用，都不存在可以推廣使用的系統(tǒng)架構(gòu)。然而，第三方追蹤對(duì)用戶隱私安全造成的威脅亟待解決，因此一些技術(shù)方法將對(duì)第三方追蹤的防御完全作用在客戶端，使用戶來決定自己的隱私信息是否可以被第三方應(yīng)用獲取。這些技術(shù)可以分為如下幾類。

1) 阻止Cookies或Flash Cookies

如第3節(jié)所述，Cookies和Flash Cookies被用來記錄用戶的信息。這種方法主要由瀏覽器和瀏覽器插件提供，用來阻止第三方應(yīng)用在用戶瀏覽器中建立Cookies或Flash Cookie?！癗o Cookie for Google search”[46]是一款瀏覽器插件，用來阻止Google搜索建立的Cookies，以此防止Google追蹤用戶的搜索記錄。BetterPrivacy[47]提供一些方法用戶可以處理來自 Google、YouTube、Ebay 等的 Flash Cookies。然而，一些第三方應(yīng)用仍然可以使用指紋信息來對(duì)用戶進(jìn)行追蹤。

2) 阻止腳本執(zhí)行

腳本代碼在第三方追蹤有著重要的作用：在有狀態(tài)的追蹤技術(shù)中，腳本代碼可以用來設(shè)置 http Cookie、html Local Storage與Flash Cookie進(jìn)行交互等；在無狀態(tài)的追蹤技術(shù)中，腳本代碼可以用來獲取主動(dòng)指紋信息。因此一些工具采取阻止腳本執(zhí)行的方式來防御第三方追蹤，如NoScript[48]。然而，阻止腳本執(zhí)行的這種保護(hù)方法，會(huì)使頁面沒有辦法正常加載和工作，影響用戶應(yīng)用體驗(yàn)。

3) Opting out Cookies

Opting out Cookies是一些網(wǎng)站在用戶的瀏覽器文件夾中創(chuàng)建的 Cookies，當(dāng)用戶瀏覽這些網(wǎng)站時(shí)，網(wǎng)站若檢測出用戶安裝了Opting out Cookies，則將停止該用戶在網(wǎng)站中繼續(xù)安裝Cookies。Opting out Cookies用來告訴第三方應(yīng)用不要在用戶的瀏覽器上安裝 Cookies，如 Keep My Opt-Outs[49]和Targeted Advertsing Cookie Opt-Out[50]都用來提供Opting out Cookies的功能，然而，一些第三方應(yīng)用可以忽略這條規(guī)則繼續(xù)追蹤。Leon等[51]證明了Opting out Cookies機(jī)制的無效性。

4) 過濾協(xié)議頭部

通過過濾http協(xié)議頭部中的信息來保護(hù)用戶的隱私安全，比如，一些工具被用來修改或移除Referer頭部。然而，http協(xié)議頭部的一些信息在網(wǎng)絡(luò)安全的其他方面有著重要的作用，如Referer頭部在對(duì)抗跨站請求偽造攻擊中有著重要的作用，因此移除或修改頭部會(huì)對(duì)其他方面的安全造成影響。與此同時(shí)，頭部過濾只能保護(hù)用戶部分隱私信息。

5) 黑名單

一些瀏覽器插件通過阻止向黑名單中的第三方應(yīng)用發(fā)送請求來防御第三方追蹤，如DoNotTrackMe[52]、Ghostery[53]、Adblock Plus[54]等。當(dāng)用戶瀏覽第一方網(wǎng)站時(shí)，這些瀏覽器插件將截獲并檢查數(shù)據(jù)分組，若存在向黑名單中的第三方應(yīng)用發(fā)送的請求數(shù)據(jù)分組，則將這些數(shù)據(jù)分組丟棄，從而黑名單中的第三方應(yīng)用將無法獲得用戶的任何信息，有狀態(tài)的追蹤和無狀態(tài)的追蹤都無法實(shí)現(xiàn)。目前，這種防御方式被認(rèn)為是最有效的防御第三方追蹤的措施[3,47,55]然而，黑名單需要人工來建立和維護(hù)，且現(xiàn)有黑名單中的有追蹤行為的第三方應(yīng)用的數(shù)目很有限，仍然有大量未知的有追蹤行為的第三方應(yīng)用沒有被發(fā)現(xiàn)。因此只能被防御黑名單中存在的第三方應(yīng)用。

4.4 小結(jié)

綜上所述，平衡用戶與第三方應(yīng)用的利益的研究尚處于起步階段，且現(xiàn)有的作用在客戶端的防御措施都不能很好地對(duì)抗第三方追蹤技術(shù)。表3列出了現(xiàn)有的防御措施針對(duì)第三方追蹤技術(shù)的有效性[3,6,7]。除了可以防御主動(dòng)指紋追蹤，阻止腳本執(zhí)行在一定情況下對(duì)有狀態(tài)追蹤較為有效：當(dāng)?shù)谌綉?yīng)用通過執(zhí)行腳本來獲取 http Cookies，F(xiàn)lash Cookies, html Local Storage信息時(shí)，阻止腳本執(zhí)行可以阻止這些有狀態(tài)的追蹤，而當(dāng)?shù)谌綉?yīng)用通過http頭部獲取http Cookies時(shí)，則無法進(jìn)行防御；阻止http Cookies或Flash Cookies可以防御有狀態(tài)的追蹤；Opting out Cookies可以防御HTTP Cookies；過濾協(xié)議頭部可以防御某些被動(dòng)指紋信息被獲取；黑名單防御對(duì)黑名單中的第三方應(yīng)用防御有效。從表3中可以看出，尚未存在一種有效的防御措施可以完全防御第三方追蹤問題。

黑名單作為一種最為有效的防御措施，但防御的有效性取決于黑名單的覆蓋率。由于并不是所有的第三方應(yīng)用都會(huì)對(duì)用戶的行為進(jìn)行追蹤，如何判斷一個(gè)第三方應(yīng)用是否為第三方追蹤者需要專家進(jìn)行多方面的判斷。因此，現(xiàn)有的工具中，黑名單大多通過人工建立和維護(hù)。人工建立和維護(hù)需要的工作量和資源較大，第三方追蹤者的數(shù)量不斷增多，黑名單需要定期的維護(hù)和更新，如何準(zhǔn)確且自動(dòng)化地獲取黑名單成為亟待解決的問題。目前，通過機(jī)器學(xué)習(xí)的方法，根據(jù)現(xiàn)有的黑名單中追蹤者的特征建立分類器。該分類器可以準(zhǔn)確提取出使用腳本追蹤的第三方應(yīng)用的名單。

5 思考與討論

隨著Web多樣性的發(fā)展，第三方應(yīng)用被越來越多的第一方網(wǎng)站使用，第三方追蹤引起的隱私問題受到越來越多的組織、研究機(jī)構(gòu)以及 IT企業(yè)的關(guān)注。越來越多的新技術(shù)用于第三方追蹤，因此第三方追蹤的防御工作也面臨著更多的挑戰(zhàn)。

從第三方追蹤技術(shù)方面考慮，追蹤技術(shù)的發(fā)展趨勢如下。

1) 多種有狀態(tài)追蹤技術(shù)配合使用[25,26]。當(dāng)用戶刪除一種追蹤信息后，其他追蹤信息會(huì)立刻進(jìn)行復(fù)制恢復(fù)。比如，當(dāng)用戶刪除http Cookies后，存放在Flash Cookies中的數(shù)據(jù)會(huì)恢復(fù)http Cookies的值。

2) 著重發(fā)展無狀態(tài)追蹤技術(shù)[30,32,33]。相對(duì)于有狀態(tài)的追蹤技術(shù)，無狀態(tài)追蹤技術(shù)更難防御。現(xiàn)有的許多防御措施都針對(duì)于有狀態(tài)的追蹤技術(shù)。因此，越來越多的第三方應(yīng)用采用無狀態(tài)追蹤技術(shù)來進(jìn)行追蹤。

3) 無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)結(jié)合使用[26,29,32]。無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)各有其優(yōu)勢。有狀態(tài)追蹤更易追蹤用戶，直接且準(zhǔn)確地獲取用戶的信息，且數(shù)據(jù)存放在客戶端，減少服務(wù)器負(fù)載。但有狀態(tài)的追蹤技術(shù)易于防御，只需在客戶端定期刪除 http Cookies、Flash Cookies或HTML5 Local Storage中的信息記錄即可；無狀態(tài)追蹤技術(shù)獲取信息后，還需要指紋識(shí)別算法才能得到用戶的瀏覽歷史，且存在一定誤差。然而，無狀態(tài)的追蹤技術(shù)難以防御。因此，多種無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)的結(jié)合使用，將成為未來追蹤技術(shù)發(fā)展的主要方向。

從第三方追蹤防御方面考慮，第三方追蹤的防御研究重點(diǎn)如下。

1) 平衡用戶的隱私和第三方追蹤，既能保護(hù)用戶的隱私又能保證第三方應(yīng)用的利益?，F(xiàn)有的研究仍處于初級(jí)階段[42~45]：只針對(duì)于廣告或網(wǎng)站分析類的第三方應(yīng)用進(jìn)行了研究，且假設(shè)條件過多，需要改變現(xiàn)有的商業(yè)模式，無法真正地?cái)U(kuò)展應(yīng)用。這方面的研究，還有許多問題需要克服。

表3 現(xiàn)有的防御措施的有效性

2) 無狀態(tài)追蹤的防御[34]。無狀態(tài)追蹤技術(shù)發(fā)展迅速，哪些指紋信息可以被用來識(shí)別用戶，第三方應(yīng)用是否使用了無狀態(tài)追蹤都很難確認(rèn)，從而防御工作很難進(jìn)行。如何對(duì)無狀態(tài)追蹤進(jìn)行防御，值得深入研究。

3) 黑名單的自動(dòng)化獲取。黑名單作為目前最為有效的防御方法[55]，如何準(zhǔn)確且自動(dòng)化地獲取黑名單成為亟待解決的問題。目前，這方面的工作仍然很缺乏，值得深入研究。

6 結(jié)束語

本文首先介紹了第三方應(yīng)用的類型及發(fā)展趨勢，越來越多的網(wǎng)站使用第三方應(yīng)用，平均每個(gè)網(wǎng)站中引用第三方應(yīng)用的數(shù)目也逐年增多。接著介紹了現(xiàn)有的第三方追蹤技術(shù)。按照是否在本地進(jìn)行存儲(chǔ)可以分為有狀態(tài)的追蹤和無狀態(tài)的追蹤。有狀態(tài)的追蹤技術(shù)包括：http Cookies、Flash Cookies和HTML5 Local Storage等。相對(duì)于有狀態(tài)的追蹤技術(shù)，無狀態(tài)的追蹤技術(shù)采用指紋信息來識(shí)別用戶，獲取用戶的瀏覽歷史，因此更難防御。現(xiàn)有的防御工作主要分為 2個(gè)方向。一是如何平衡用戶隱私與第三方追蹤，既能保護(hù)用戶的隱私又能保證第三方應(yīng)用的利益。這個(gè)方向的研究目前仍處于初級(jí)階段，然而，第三方追蹤對(duì)用戶隱私安全造成的威脅亟待解決。因此另一種防御工作的方向?qū)?duì)第三方追蹤的防御完全作用在客戶端，以保證用戶隱私為首要目的。在現(xiàn)有防御方法中黑名單最為有效，如何準(zhǔn)確且自動(dòng)化地獲取黑名單成為亟待解決的問題。

[1] LIBERT T. Privacy implications of health information seeking on the Web[EB/OL].http://papers.ssm.com/sol3/papers.cfm?abstractid=2423 006.2014.

[2] NIKIFORAKIS N, KAPRAVELOS A, JOOSEN W,et al.Cookieless monster: exploring the ecosystem of Web-based device fingerprinting[A]. 2013 IEEE Symposium on Security and Privacy[C].2013.541-555.

[3] MAYER J R, MITCHELL J C. Third-party Web tracking: policy and technology[A]. IEEE Symposium on Security and Privacy (SP)[C].2012.413-427.

[4] MAYER J. Tracking the trackers: to catch a history thief[EB/OL].http://cyberlaw.stanford.edu/node/6695, 2011.

[5] MAYER J. Tracking the trackers: where everybody knows your username[EB/OL].http://cyberlaw.stanford.edu/blog/2011/10/tracking-tr ackers-where-everybody-knows-your-username, 2011.

[6] KRISHNAMURTHY B, NARYSHKIN K, WILLS C. Privacy leakage vs. protection measures: the growing disconnect[A]. Web 2.0 Security and Privacy Workshop[C]. 2011.1-10.

[7] MALANDRINO D, SCARANO V. Privacy leakage on the Web:diffusion and countermeasures[J]. Computer Networks, 2013,57:2833-2855.

[8] ROESNER F, KOHNO T, WETHERALL D. Detecting and defending against third-party tracking on the Web[A]. Proceedings of the 9th USENIX Conference on Networked Systems Design and Implementation[C]. 2012.12-12.

[9] LI Z, ZHANG K, XIE Y,et al. Knowing your enemy: understanding and detecting malicious web advertising[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C].2012.674-686.

[10] BARFORD P, CANADI I, KRUSHEVSKAJA D,et al. Adscape:harvesting and analyzing online display ads[A]. Proceedings of the 23rd International Conference on World Wide Web[C]. 2014.597-608.

[11] SMIT E G, VAN N G, VOORVELD H A M. Understanding online behavioural advertising: user knowledge, privacy concerns and online coping behaviour in Europe[J]. Computers in Human Behavior, 2014,32: 15-22.

[12] YAN J, LIU N, WANG G,et al. How much can behavioral targeting help online advertising[A]. Proceedings of the 18th International Conference on World Wide Web[C]. 2009.261-270.

[13] KOROLOVA A. Privacy violations using microtargeted ads: a case study[A]. IEEE International Conference on Data Mining Workshops(ICDMW)[C]. 2010.474-482.

[14] STUTZMAN F, GROSS R, ACQUISTI A. Silent listeners: the evolution of privacy and disclosure on facebook[J]. Journal of Privacy and Confidentiality, 2013,4(2):2.

[15] RADER E. Awareness of behavioral tracking and information privacy concern in facebook and Google[A]. Symposium on Usable Privacy and Security (SOUPS)[C]. 2014.

[16] Google Libraries API [EB/OL]. https://developers.google.com/speed/libraries/?hl=zh-CN.2014.

[17] Google Feed API[EB/OL]. https://developers.google.com/feed/? hl=zh-cn, 2014.

[18] Wordpress[EB/OL]. https://wordpress.com/, 2014.

[19] Akamai[EB/OL]. http://www.akamai.cn/enzs/, 2014.

[20] KRISHNAMURTHY B. Privacy leakage on the Internet[EB/OL].http://www.ietf.org/proceedings/77/slides/plenaryt-5.pdf, 2010.

[21] KRISHNAMURTHY B, WILLS C E. On the leakage of personally identifiable information via online social networks[A]. Proceedings of the 2nd ACM workshop on Online social networks[C]. 2009.7-12.

[22] HTTP cookie [EB/OL]. http://en.wikipedia.org/wiki/HTTP_cookie. 2014.

[23] SOLTANI A, CANTY S, MAYO Q,et al. Flash Cookies and privacy[A]. AAAI Spring Symposium: Intelligent Information Privacy Management[C]. 2010.

[24] COSTANTE E, DEN HARTOG J, PETKOVI? M. What Web Sites Know About You Data Privacy Management and Autonomous Spontaneous Security[M]. Springer Berlin Heidelberg, 2013.146-159.

[25] PRINCE J D. HTML5: not just a substitute for flash[J]. Journal of Electronic Resources in Medical Libraries, 2013, 10(2):108-112.

[26] AYENSON M, WAMBACH D J, SOLTANI A,et al. Flash cookies and privacy II: now with HTML5 and etag respawning[EBOL].http://ssrn.com/abstract=1898390.2011.

[27] LAWSON B, SHARP R. Introducing html5[M]. New Riders, 2011.

[28] CHRIS J, HOOFNAGLE N G. The Web privacy census[EB/OL].http://www.law.berkeley.edu/privacycensus.htm, 2012.

[29] RUIZ-MARTíNEZ A. A survey on solutions and main free tools for privacy enhancing Web communications[J]. Journal of Network and Computer Applications, 2012,35(5):1473-1492.

[30] ECKERSLEY P. How unique is your Web browser?[A]. Privacy Enhancing Technologies[C]. 2010.1-18.

[31] CARRASCAL J P, RIEDERER C, ERRAMILLI V,et al. Your browsing behavior for a big mac: Economics of personal information online[A]. Proceedings of the 22nd international conference on World Wide Web[C]. 2013.189-200.

[32] BlueCava [EB/OL]. http://www.bluecava.com/, 2014.

[33] YEN T F, XIE Y, YU F,et al. Host fingerprinting and tracking on the web:Privacy and security implications[A]. Proceedings of NDSS[C]. 2012.

[34] ACAR G, JUAREZ M, NIKIFORAKIS N,et al. FPDetective: Dusting the web for fingerprinters[A]. Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security[C]. 2013.1129-1140.

[35] The history of the do not track header[EB/OL].https://www.cdt.org/privacy/20071031consumerprotectionsbehavioral.pdf, 2007.

[36] Consumer data privacy in a networked world[EB/OL]. http://whitehouse.gov/sites/default/files/privacy-final.pdf, 2012.

[37] Letter to the online advertising industry [EB/OL]. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2011/20110803_letter_to_oba_annexes.pdf, 2011.

[38] Commission proposes a comprehensive reform of the data protection rules[EB/OL].http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm, 2012.

[39] IE9 and Privacy: Introducing Tracking Protection[EB/OL]. http://blogs.msdn.com/b/ie/archive/2010/12/07/ie9-and-privacy-introducing-tracki ng-protection-v8.aspx,2010.

[40] Web tool on firefox to deter tracking[EB/OL]. http://allthingsd.com/20110124/web-tool-on-firefox-to-deter-tracking/,2011.

[41] WINGFIELD N. Apple adds do-not-track tool to new browser[EB/OL]. http://online.wsj.com/news/articles/SB10001424052748703 551304576261272308358858, 2011.

[42] TOUBIANA V, NARAYANAN A, BONEH D,et al. Adnostic: privacy preserving targeted advertising[A]. NDSS[C]. 2010.

[43] REZNICHENKO A, GUHA S, FRANCIS P. Auctions in do-not-track compliant internet advertising[A]. Proceedings of the 18th ACM Conference on Computer and Communications Security[C]. 2011,667-676.

[44] GUHA S, CHENG B, FRANCIS P. Privad: practical privacy in online advertising[A]. Proceedings of the 8th USENIX Conference on Networked Systems Design and Implementation[C]. 2011.169-182.

[45] AKKUS I E, CHEN R, HARDT M,et al. Non-tracking web analytics[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C]. 2012.687-698.

[46] No cookie for Google search [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/no-cookie-for-google-search/, 2014.

[47] BetterPrivacy[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/betterprivacy/, 2014.

[48] NoScript[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/noscript/,2014.

[49] Keep My Opt-Outs[EB/OL]. https://chrome.google.com/webstore/detail/keep-my-opt-outs/hhnjdplhmcnkiecampfdgfjilccfpfoe, 2014.

[50] Targeted advertising Cookie Opt-Out [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/targeted-advertising-cookie-op/,2014.

[51] LEON P, UR B, SHAY R,et al. Why Johnny can't opt out: a usability evaluation of tools to limit online behavioral advertising[A]. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems[C]. 2012.589-598.

[52] DoNotTrackMe: online privacy protection[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/donottrackplus/,2014.

[53] Ghostery[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/ghostery/,2014.

[54] Adblock plus[EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/adblock-plus/, 2014.

[55] BAU J, MAYER J, PASKOV H,et al. A promising direction for Web tracking countermeasures[A]. Web 2.0 Security & Privacy[C]. 2013.