本文摘要 
為了阻止網(wǎng)站收集用戶(hù)信息，瀏覽器制作者研發(fā)了一種通常稱(chēng)為“私密瀏覽”的模式，它是一個(gè)可選設(shè)置，用以阻止發(fā)送可識(shí)別的用戶(hù)數(shù)據(jù)，比如cookies。本文分析了私密瀏覽模式是否真的安全，保密。
　　近幾年，Web瀏覽已經(jīng)變得不那么匿名了，很大程度上是因?yàn)橐粋€(gè)跟蹤用戶(hù)Web行蹤的系統(tǒng)，它是以我們稱(chēng)之為cookies文件為核心的。Cookies文件使網(wǎng)絡(luò)站點(diǎn)可以記錄一個(gè)用戶(hù)的所有行為。通過(guò)收集某個(gè)用戶(hù)瀏覽網(wǎng)頁(yè)的信息，cookies可以被看成是發(fā)送用戶(hù)信息到服務(wù)器的小型數(shù)據(jù)發(fā)掘者。
　　Cookies的功能可以用來(lái)幫助用戶(hù)，比如記錄你購(gòu)物車(chē)中的物品，并且有利于網(wǎng)站運(yùn)營(yíng)者進(jìn)行市場(chǎng)和網(wǎng)絡(luò)活動(dòng)的監(jiān)測(cè)。你不需要對(duì)互聯(lián)網(wǎng)非常敏感就可以注意到：在訪(fǎng)問(wèn)一個(gè)在線(xiàn)商場(chǎng)后，你之前正在尋找的商品開(kāi)始出現(xiàn)在其它網(wǎng)頁(yè)的橫幅廣告和推薦鏈接上。
　　為了阻止網(wǎng)站收集用戶(hù)信息，瀏覽器制作者研發(fā)了一種通常稱(chēng)為“私密瀏覽”的模式，它是一個(gè)可選設(shè)置，用以阻止發(fā)送可識(shí)別的用戶(hù)數(shù)據(jù)，比如cookies。然而，這個(gè)理論與實(shí)際應(yīng)用存在差距，很多用戶(hù)都有這樣一個(gè)問(wèn)題：這種私密瀏覽方式是否真的是私密的?
　　私密瀏覽是否真的是私密的?
　　理論上講，私密瀏覽可以使得個(gè)人上網(wǎng)的時(shí)候并不存儲(chǔ)關(guān)于他們活動(dòng)的本地信息。這個(gè)選項(xiàng)的預(yù)期目的是使用戶(hù)的瀏覽歷史對(duì)分享或使用同一臺(tái)機(jī)器的其他人保密的。為了實(shí)現(xiàn)這一點(diǎn)，瀏覽器必須禁止創(chuàng)建或者清除歷史項(xiàng)、cookies文件和緩存項(xiàng)目。
　　瀏覽器把它稱(chēng)為“隱身模式”或“隱形模式”，它通過(guò)編造一個(gè)身著風(fēng)衣、聰明的間諜形象來(lái)進(jìn)行私密瀏覽。排除炒作的因素，私密瀏覽在對(duì)需要與其他人共享計(jì)算機(jī)，或者使用公共計(jì)算機(jī)時(shí)是十分有效和有益的。通過(guò)禁止記錄瀏覽歷史和不記錄在一個(gè)會(huì)話(huà)中使用的搜索內(nèi)容和密碼，私密瀏覽模式可以阻止后來(lái)的機(jī)器使用者看到可能的敏感信息。
　　諸如“私密”、“隱身”和“隱形”等詞語(yǔ)具有誤導(dǎo)性，會(huì)給用戶(hù)錯(cuò)誤的安全意識(shí)。雖然私密瀏覽能夠從所訪(fǎng)問(wèn)的站點(diǎn)刪除cookies和瀏覽歷史，但信息仍然會(huì)留在隱藏的緩存中，這些緩存是用于保存頻繁使用數(shù)據(jù)的臨時(shí)存儲(chǔ)空間。同樣地，數(shù)據(jù)仍然會(huì)留在DNS日志，插件和閃存cookies中，以上問(wèn)題私密瀏覽都不能解決。也許更令人不安的是，瀏覽器并不保護(hù)用戶(hù)在私密瀏覽和非私密瀏覽會(huì)話(huà)中被跟蹤，因?yàn)樗鼈兾茨芨綦x這兩者。大多數(shù)瀏覽器都有插件，而這些插件又有它們自己的跟蹤系統(tǒng)。因此，即使瀏覽器不泄露cookies，但并不意味著瀏覽器插件不這樣做。另外，如果瀏覽器沒(méi)有禁用瀏覽器擴(kuò)展(用于擴(kuò)展瀏覽器功能的計(jì)算機(jī)程序，比如自動(dòng)翻譯所有頁(yè)面成一個(gè)特定的語(yǔ)言)，當(dāng)切換回非私密瀏覽模式時(shí)，私密瀏覽信息會(huì)被泄露。
　　啟用私密瀏覽模式也不能保證數(shù)據(jù)不被盜。一個(gè)用戶(hù)可以直接從一個(gè)安全站點(diǎn)到一個(gè)惡意站點(diǎn)而沒(méi)有任何警告。一旦出現(xiàn)這種情況，一個(gè)腳本將會(huì)在瀏覽器會(huì)話(huà)時(shí)加載到機(jī)器上，無(wú)論其是否被保存在cookies文件中，這將允許攻擊者獲得用戶(hù)的個(gè)人數(shù)據(jù)。如果這個(gè)腳本在用戶(hù)登錄一個(gè)可信任站點(diǎn)時(shí)運(yùn)行，那么黑客可以獲得登錄憑證和其他身份驗(yàn)證數(shù)據(jù)。
　　然而，許多用戶(hù)相信諸如Firefox瀏覽器的無(wú)腳本插件等附加組件可以為他們提供額外的安全，實(shí)際上，這些附加組件可使會(huì)話(huà)更易受威脅影響，從而增加瀏覽器風(fēng)險(xiǎn)。首先，大多數(shù)Firefox的插件是未經(jīng)認(rèn)證的或者未經(jīng)Mozilla進(jìn)行合適的檢查。事實(shí)上，在它的法律聲明和限制頁(yè)上，F(xiàn)irefox聲明說(shuō)：因?yàn)闆](méi)有檢查包含在這些插件里的所有內(nèi)容，它不能對(duì)這些內(nèi)容或它們可能會(huì)引起的危害負(fù)責(zé)。這就意味著，雖然保護(hù)你，但是這些方便的小的安全腳本可能會(huì)收集你的數(shù)據(jù)。另外，由于是開(kāi)源的，許多這些附加組件的編碼可能很糟糕，這也是另一個(gè)潛在的安全風(fēng)險(xiǎn)。
　　通過(guò)這些誤導(dǎo)性的術(shù)語(yǔ)，終端用戶(hù)相信他們能夠保護(hù)自己，因此實(shí)際中可能會(huì)更加不注意。雖然印刷精美，盡管有時(shí)很難找到，但是大多數(shù)人完全不會(huì)花時(shí)間去閱讀它(術(shù)語(yǔ))。當(dāng)與一些其它的Web安全網(wǎng)絡(luò)瀏覽措施一起使用時(shí)，比如禁用Java小程序，保持系統(tǒng)的補(bǔ)丁修復(fù)以及使用良好的反病毒程序，私密瀏覽可以提供一些安全措施，而所有上述的措施都應(yīng)該成為大多數(shù)企業(yè)的強(qiáng)制性安全規(guī)程。如果依次實(shí)施，這些手段可以用來(lái)支持一個(gè)有效的企業(yè)縱深防御策略。然而，私密瀏覽不能代替良好的安全常識(shí)，或被當(dāng)成無(wú)視網(wǎng)絡(luò)安全的雇員訪(fǎng)問(wèn)互聯(lián)網(wǎng)時(shí)的安全技術(shù)保證。