-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathbrowser.html
213 lines (210 loc) · 17.2 KB
/
browser.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
<!DOCTYPE html>
<html lang="zh-Hant">
<head>
<meta charset="UTF-8" />
<meta http-equiv="X-UA-Compatible" content="IE=edge" />
<meta name="viewport" content="width=device-width, initial-scale=1.0" />
<link rel="shortcut icon" href="./picture/icon_purple_purple.png" />
<link rel="stylesheet" href="./style/otherPage.css" />
<title>數位防禦手冊</title>
</head>
<body>
<section class="backImage">
<a href="https://ocf.tw/"
><img class="logo" src="./picture/icon_purple_purple.png" alt=""
/></a>
<div class="typewriter">
<h1>數位足跡的基本防禦:開源與安全的瀏覽器</h1>
</div>
</section>
<main>
<section class="start">
<section class="left">
<div class="top_tittle">
<a href="./index.html" style="width: fit-content">
<div class="button icon" role="button">
<img src="./img/icon_home_white.svg" alt="" />
</div>
</a>
<h2 id="案例_server">案例</h2>
</p>
</div>
<hr />
<ul class="left">
<font size="4">你知道在個案故事裡,小明有哪些風險是因為瀏覽器使用習慣而造成的嗎?想好之後,再往下對答案喔!</font><br>
<font size="4">答案:</font><br>
<p>
<ul>
<li>小明的工作帳號和個人帳號都使用同一台筆電、同一個瀏覽器,也沒有設定不讓瀏覽器記憶自己的搜尋紀錄,所以小明工作時查詢的紀錄,讓廣告商判斷他對人權議題有感,因此小明進行私人的購物、娛樂等搜尋時,會讓他看到與工作相關的廣告。</li>
<li>承上述使用習慣,小明使用同一個瀏覽器開發的導航服務,因此同網路集團得以掌握小明每日通勤路線、工作查訪地點。</li>
<li>小明在免費小說網站建立帳戶,讓瀏覽器記住自己的帳號密碼,帳號密碼儲存在瀏覽器內不是安全操作,帳號密碼資訊容易外洩或遭惡意擷取。</li>
<li>免費小說網站沒有 HTTPS 加密連線,他在此瀏覽、輸入的內容(包含登入頁面時的密碼),很容易在網路傳輸過程中被人看光光。</li>
</ul>
</ul>
</p>
<font size="4">透過小明的故事可以了解,無論生活或工作,瀏覽器就是我們在電腦、手機裝置造訪各式網站時的交通工具,數位安全自然成為評估瀏覽器的重要項目。</font><br>
<h2 id="概論_server">概論</h2>
<hr />
<ol class="left">
瀏覽器就像我們通往網路世界的「門戶」,我們使用瀏覽器進入網路世界搜尋資料、與人交談甚至觀看影片;同時,現代的網站也盡其所能地收集使用者資訊,用以賺取廣告利潤,這不僅是行之有年的商業行銷基礎功能,有些不安全、惡意的網站,甚至會側錄使用者輸入的敏感資訊,或是竊取瀏覽器已經儲存的瀏覽紀錄、帳號密碼,藉此進行數位攻擊。以下是幾個使用瀏覽器必須注意的威脅或風險:
<li>
Cookie,背後是大大的隱憂
</li>
<p>
什麼是 Cookie ?
Cookie 在這裡並非指餅乾,而是一種會將存取該網站的使用者資訊加以記錄,並儲存在電腦或手機瀏覽器中的機制。
</p>
<img src="./picture/P22_cookie.jpg" />
<p>
為何大部分網站只要輸入一次帳號密碼,之後就可以不用再頻繁登入? 為了避免使用者每次登入同一網站都要重新輸入個人資訊的困擾,現在絕大多數網站會使用 Cookie 技術。當你首度造訪網站,通常會被詢問是否開啟 Cookie,如果同意,代表使用這個網站會讓你的各式資訊被記錄下來。
</p>
<p>
這個技術就像沿路撒餅乾 (Cookie) 屑記錄你的足跡,並將使用者登入網站的帳號資訊、購物車清單、去過哪些網站的瀏覽紀錄,甚至是上傳的圖片、影音檔案,全部暫時存放在瀏覽器軟體在電腦裡的某個資料夾。
</p>
<p>
Cookie 相當方便,但它也可能被濫用,例如你的網站瀏覽紀錄,會成為廣告商了解你的依據,包括最近去過哪裡、需要什麼、使用過哪些網路服務。可能你只是搜尋了一次「蘋果電腦」,接下來所有你在網站看到的廣告都會問你是不是想買電腦、要不要買更多周邊產品?如果 Cookie 未加密,駭客甚至可以輕易地利用你的 Cookie 偽造身分登入服務。
</p>
<li>
數位指紋追蹤技術(Browser fingerprinting):偷聽對話的手機、偷窺生活的網路
</li>
<p>
什麼都還沒輸入,但是網站已經知道你的位置、語言、正在使用的裝置?
</p>
<p>
當你使用瀏覽器,瀏覽器就能得知你使用的特定裝置資訊、作業系統、瀏覽器、螢幕大小、時區、字體、語言等資訊——這一整組資訊成為每個使用者的數位指紋。許多廣告商會使用追蹤器蒐集網站使用者的數位指紋。數位指紋追蹤技術比 Cookie 更過分的是,它甚至未徵詢你的同意就不斷記錄上述資訊。
</p>
<p>
現在有許多網站,它們同屬一家公司,或是不同公司基於某些合作協定,可彼此分享使用者資料。例如 FB 與 IG 都屬於 Meta 公司,或是 Google 搜尋引擎與 Chrome 瀏覽器同屬一家公司。你瀏覽過的網站越多,追蹤器越能比對你的數位指紋 (使用者的特定裝置和瀏覽器特徵) 與 Cookie (去過的網站及瀏覽內容) ,廣告商對你的認識也就越多。這些資訊讓廣告商能對你精準投放更可能說服你的廣告,若政府或極權組織透過公權力獲取了異議人士的數位指紋等資料,也就能鎖定他們的網路身分,並進一步推敲出真實身分與位置。
</p>
<li>
HTTP v.s. HTTP<strong style="font-size: 1.2rem; color: red">S</strong>: 一字之差,風險暴增
</li>
<p>
當你瀏覽網站時,儘管網站會收集你的 Cookie 或數位指紋追蹤,然而,現在大部分網站都是HTTPS,S 是 Secure 的縮寫,表示網站具加密保護,也就是說你只讓網站方能夠知道你在那裡進行瀏覽,網路上其他陌生人不會知道。
</p>
<p>
而沒有加密保護的 HTTP 網站,你只要一連上,就如同立即同意開啟網路直播鏡頭、打開擴音般,在網路上廣播你的各種動作與資訊,數位容貌一覽無遺。這種無加密保護的網站,就有可能讓你在網路世界曝光,除了你以外的任何人都可以大肆蒐集資料之外,更有入侵電腦、監視你生活的可能。
</p>
<p>
如何辨別這樣的網站呢 ? 你在瀏覽網站時,有時會收到不安全連線的警告,網址左方會顯示鎖頭被劃掉的符號,如下圖:
</p>
<img src="./picture/http_messenge.svg" alt="" />
<img src="./picture/http_messenge1.png" alt="" />
<img src="./picture/http_messenge2.png" alt="" />
<p>
這表示該網站與你的連線過程沒有提供加密保護,若繼續連線到這種沒有加密保護的 HTTP 網站,在網站上的瀏覽行為、輸入內容、滑鼠移動位置、輸入的帳號密碼或金融資料,等於毫不遮掩地分享給網路上的任何人——可能是在同一間會議室、教室、咖啡廳、機場中使用同一個 wifi 的其他人,其中如有不懷好意者,他們不費吹灰之力就能拿到你的資料,然後不當利用。注重安全及隱私的使用者絕對要避免上述情形,因此最好要在瀏覽器就強制開啟 <strong style="font-size: 1.2rem">HTTP</strong
><strong style="color: red; font-size: 1.2rem">S</strong> ,才能保障傳輸過程有加密保護,不至於因一次疏忽,使關鍵資料外流。
</p>
<h2 id="可用工具_server">可用工具</h2>
<hr />
<p>
市面上瀏覽器非常多樣,了解並挑選一個符合自己需求且注重隱私與安全的瀏覽器,是非常的重要事情。我們來看看如何挑選適合自己的瀏覽器吧!
</p>
<p>
以下是台灣常見的瀏覽器選項:
</p>
<img src="./picture/new_browser_form_1.png" />
<p>
從小明的案例來看,輕忽瀏覽器的安全性,輕則個人資料被網站收集、使用者的數位足跡遭洩露,重則導致帳號、密碼、金融資訊被竊,甚至瀏覽畫面、傳輸的對話內容被監控。
</p>
<p>
如同在路上跑的交通工具,速度快並不代表安全,最多人用的瀏覽器也不見得適合須注重安全與隱私的公民團體。為了讓公民團體從瀏覽器的使用就具備基礎數位防禦能力,本節介紹幾個格外強調隱私與安全的瀏覽器,它們都符合開放程式原始碼的規範,所有使用者都可以看見程式背後運作的規則,一方面可供所有人檢視其運作漏洞,另一方面也讓使用者可按照自己的需要改造出不同功能的版本; 尤其是 <img src="./picture/Firefox.png" alt=""/> Firefox、<img src="./picture/Librewolf.png" alt=""/>LibreWolf、<img src="./picture/tor.png" alt=""/>Tor 都是非營利組織或網路社群志工開發並維護的軟體,它們相對不受廣告利益的限制,並且專注於保護使用者安全。
</p>
<p>
另外, Chromium 是 Google 為發展 <img src="./picture/chrome.png" alt=""/>Chrome 所釋出的開源軟體,以 BSD 授權條款等數種授權發行,有開放其核心供其他廠商開發出基於 <img src="./picture/Chromium_Logo.png" alt=""/>Chromium 的瀏覽器。
</p>
<p>
以下是幾個較注重隱私與安全的開源瀏覽器:
</p>
<img src="./picture/new_browser_form_2.png" alt=""/>
<h3 id="瀏覽器功能一覽表_server">瀏覽器功能一覽表</h3>
<p>
如何在使用便利性和隱私安全之間取得平衡呢? 若以公民組織希望資訊不外洩、不被惡意監控作為準則,那如上所述,嚴格挑選瀏覽器是極為重要的。以下是就目前市面上所知瀏覽器與本手冊推薦瀏覽器的功能比較表,可幫助大家選擇自己通往網路世界要走的大門:
</p>
<img src="./picture/new_browser_form_3.png" alt=""/>
<p>
註:本表製作時間為 2024 年 3 月,瀏覽器會定期更新,各瀏覽器詳細資料請翻閱其公開資訊。
</p>
<h2 id="小撇步_server">小撇步</h2>
<hr />
<p>
每一個廠牌的瀏覽器使用上幾乎大同小異,任何人都可以輕易上手,而提高數位防禦能力的關鍵在於瀏覽器的內部設計,以及個人使用方式。以下有幾個小撇步,幫助你養成瀏覽器使用的好習慣,讓你出入網路更加安全:
</p>
<ol>
<li>
盡量使用瀏覽器打開網頁,避免直接安裝軟體到電腦
</li>
<p>
我們在電腦上造訪各種網站時,經常被詢問是否要另外下載特定軟體並安裝在電腦或手機裡面,例如 Facebook Messenger、Slack、Discord 或所有的郵件軟體(例如 Outlook)這些經常用於工作的通訊軟體。事實上,經由瀏覽器使用這些通訊服務,能確保這些軟體只能在瀏覽器這個外殼中活動,而不會輕易危及裝置的其他功能。若直接在你的裝置內安裝軟體,反而可能另外提供這些軟體錄製你的螢幕畫面、直接存取資料夾內容,甚至是操作其他已安裝軟體的權限,並非安全的作法。
</p>
<li>
避免在手機或平板的社交軟體內直接瀏覽網頁
</li>
<p>
同樣的,我們平常在手機或平板使用各式社群平台軟體時,經常會點擊連結後直接在軟體內進行瀏覽,例如直接點開朋友在通訊軟體傳來的購物網站連結,然後登入進行購買。但這其實提供了軟體直接側錄我們一切輸入內容的機會,一旦輸入其他服務的帳號密碼或金融資訊,都會直接被軟體獲取。因此,也建議盡可能在手機或平板內複製連結後,改用前述的開源與安全軟體進行瀏覽。
</p>
<li>
自動啟用無痕模式的瀏覽器 <img src="./picture/FirefoxFocus.png" alt=""/>Firefox Focus
</li>
<p>
使用瀏覽器的無痕模式,使用公共或陌生電腦時可以增加一點瀏覽安全。這裡推薦一個可以在手機或平板下載的 <img src="./picture/FirefoxFocus.png" alt=""/>Firefox Focus,它是延伸自 Firefox 的瀏覽器,它不只阻擋追蹤,每次關閉軟體之後都會刪除 Cookie 跟瀏覽紀錄,很適合用來在手機或平板開啟網頁,看完之後就關掉,毫無負擔地甩掉大部分的追蹤行為。
</p>
<li>
不要將密碼交給瀏覽器管理
</li>
<p>
最後,無論使用哪一款瀏覽器,在輸入帳號密碼時都會被詢問是否將密碼交給瀏覽器管理,這樣下次輸入時可以直接由瀏覽器貼上。注重安全或隱私的人,最好別這麼做,因為一旦瀏覽器的防線被駭客突破,那就可以一次打包你所有帳號密碼。如果需要管理眾多帳號密碼,建議另外使用密碼管理器軟體,可參考本手冊接下來介紹的 KeePassXC 與 Bitwarden。
</p>
<li>
官方下載最安全
</li>
<p>
若使用電腦,前述注重隱私的 Firefox、Brave、LibreWolf、Tor 四種軟體都只建議從官方網站下載;如果使用的是手機或平板等行動裝置,只建議 Android 裝置從 Google Play 商店或 iOS 裝置的 App Store 直接搜尋瀏覽器軟體名稱並下載安裝。這些由官方管理的商店會定期檢查檔案的安全,絕對不建議從其他地方下載安裝檔案再移入裝置裡面使用(除非⋯,不!沒有除非!)。
</p>
<li>
分散風險:用兩個瀏覽器來讓公私生活分開
</li>
<p>
當然,只要你願意多花一些時間,前述的每個瀏覽器都有加裝外掛、提升保護能力的空間,成為萬用的瀏覽器。不過,如果都用同一個瀏覽器進行生活娛樂、日常工作、 機密通訊等所有事情,那就仍有可能因為被駭客發現漏洞而導致全盤皆輸。
</p>
<p>
真正能分散風險的作法,是將不同性質的事項交由不同的數位裝置處理,但一般人在經費有限的情況下,很難分別為了生活娛樂、日常工作、機密通訊購買三個不同的設備。即使買得起,也很難帶著它們移動。
</p>
<p>
因此,我們建議一個折衷作法——依據事務性質分別使用不同的瀏覽器。例如,最無關緊要的生活娛樂交給瀏覽器A、日常工作業務只在瀏覽器B進行、僅在需要進行機密通訊時開啟瀏覽器C。這樣你在網路上的足跡就能被簡單分割,不會累積在同一個瀏覽器裡,也不會輕易被同時監視多個網站的追蹤器將你的娛樂帳號、工作帳號、機密帳號辨識為同一個人。
</p>
<p>
簡單來說,別將雞蛋放在同一個籃子裡,瀏覽器就是那個籃子。
</p>
</ol>
<p>
如果對本文的介紹有任何疑義,也可以聯繫 [email protected] 開放文化基金會。
</p>
</main>
<footer>
<p>
Contributed By
<img
style="width: 25px; height: 25px; margin: 2px"
src="./picture/icon_purple_purple.png"
alt=""
/>
開放文化基金會 Azazel
</p>
</footer>
</body>
<script src="./app.js"></script>
<script
async
src="https://www.googletagmanager.com/gtag/js?id=G-X3DG2E5E3W"
></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag() {
dataLayer.push(arguments);
}
gtag("js", new Date());
gtag("config", "G-X3DG2E5E3W");
gtag("event", "page_view", { send_to: "G-X3DG2E5E3W" });
</script>
</html>