回到頂端
|||
熱門: 冷氣 南韓 帛琉

為何在網路上「自我保護」的行為都可能淪為犯罪?

WIRED.tw/Jasper Hsu 2013.07.29 00:00

Photo: yago1.com/ Flickr

近來美國地區的政府監視人民個資事件鬧得沸沸揚揚,許多專家建議的保護隱私步驟都與釋義模糊的《電腦詐欺與濫用法案》(CFAA)相抵觸,使人民在保護隱私問題上不知如何舉措。

隱私和安全問題的研究人員索塔尼(Ashkan Soltani)認為,CFAA法案對消費者來說是很糟糕的隱私政策,影響的對象不只有駭客和學者。

CFAA法案可怕之處在於該法案認為「未經核准」取得電腦資訊或是超出核准的使用權限就是犯罪,且這個概念已經被解釋為適用於所有的網路活動,包括清除cookies、更改瀏覽報告、使用虛擬私人網路,等等。

Cookies

很多網站都會把使用者的相關資訊,儲存在你電腦中稱為「Cookies」的文件檔案裡,當使用者再度造訪網站時,程式就會去讀取該使用紀錄。許多人為了保護隱私會清除cookies,美國公平交易委員會(FTC)、財政部也都建議這樣作法。

許多網站也有所謂的「收費牆」服務(Paywall,編按:提供用戶一定數量的免費服務,超過此量則須付費。)如此一來用戶不必每次登入網站也可以追蹤記錄他們的使用量,紐約時報與金融時報等知名媒體都使用這種服務。

但這種方式有個很大的漏洞,如果使用者定期清除cookies就可輕鬆繞過網站的追蹤機制並免費使用服務;按照CFAA法案這就可以解釋為「超出核准的使用權限」而觸法。

數位指紋

而現在有一種比cookies更精準的「數位指紋」技術,它透過JavaScript搜集用戶瀏覽器的無害數據,如外掛程式、IP位址和操作系統等,把這些數據綜合就成了數位指紋。

有使用者會更改用戶代理設定使得指紋「失真」,但有些企業會利用這種指紋系統製訂個人化的產品內容或價格推銷給使用者,但更改設定後使業者無法精確的瞄準客戶,同樣可能因為「超出核准的使用權限」觸法。

虛擬私人網路

虛擬私人網路(VPN),根據維基百科,它利用已加密的通道協議(Tunneling Protocol)來達到保密、傳送端認證、確保訊息準確等私人訊息安全效果。這種技術可以用網際網路等不安全的網路來傳送可靠、安全的訊息。但加密訊息與否是可以控制的,沒有加密的虛擬私人網路訊息依然有被竊取的危險。

而VPN也可讓使用者能夠繞過某些網站加諸於產品的地理位置限制。例如,某些串流影片供應商會將內容觀賞權限留給某些地區的民眾,因為其它地區的觀眾無法為他們帶來獲利。網路用戶可能在不知情下「突破」這種普通的防禦機制觀賞到影片觸法。

從最近的奧恩海默(Andrew Auernheimer,亦稱Weev)駭客案件來看,CFAA法案立意雖是為了保護人民隱私卻有許多盲點,其對「超出權限」的定義過於狹隘,將網路使用者自我保護的行為與工具視為犯罪,卻沒考慮到使用者其實並沒有惡意意圖,或者網站本身的防禦機制過於脆弱。

因為這些落後或根本沒效果的機制要懲罰這些無辜民眾,似乎有些諷刺也太過火了些。

延伸閱讀:

【WIRED觀點】為什麼我們要赤裸裸地接受政府的全面監控?

你的秘密可能隨時都會外洩!《WIRED》教你如何做到防護滴水不漏

社群留言