Homebrew 會將安裝資訊送到 Google Analytics 上

Hacker News Daily 上看到 Homebrew 會將安裝資訊送到 Google Analytics 上面:「Homebrew's Anonymous Aggregate User Behaviour Analytics」。

opt-out 的方法有兩個,一個是環境變數,另外一個是透過 git 設定:

If after everything you've read you still wish to opt-out of Homebrew's analytics you may set HOMEBREW_NO_ANALYTICS=1 in your environment or run git config --file="$(brew --repository)/.git/config" --replace-all homebrew.analyticsdisabled true which will prevent analytics from ever being sent when either of them have been set.

最近三十天透過 Tor 上 Facebook 的人超過一百萬

Facebook 提供了透過 Tor 連上 Facebook 的人數:「1 Million People use Facebook over Tor」:

In June 2015, over a typical 30 day period, about 525,000 people would access Facebook over Tor e.g.: by using Tor Browser to access www.facebook.com or the Facebook Onion site, or by using Orbot on Android. This number has grown – roughly linearly – and this month, for the first time, we saw this “30 day” figure exceed 1 million people.

去年六月的時候大約是 52 萬人,而現在則超過一百萬了。

科威特通過法律強制取得每個人的 DNA:包括外籍人士與訪客

Bruce Schneier 這邊看到這則新聞:「Kuwaiti Government will DNA Test Everyone」,原始報導在「Kuwait set to enforce DNA testing law on all – Officials reassure tests won’t be used to determine genealogy」這邊,開頭的說明還蠻清楚的:

The DNA testing law that will go into effect this year is aimed at creating an integrated security database and does not include genealogical implications or affects personal freedoms and privacy.

以及:

When the law (no. 78/2015) is applied, it will be binding on all citizens, expatriates and visitors too.

Bruce Schneier 擔心的是這種嚴重侵犯隱私的資訊沒有任何罰則可以阻止科威特政府將 DNA 資訊轉其他國家的政府:

And there is nothing preventing the Kuwaiti government from sharing that information with any other government.

這個國家完全不能進去...

拍照後讓程式自動人肉搜索 Social Network 上的照片...

在 social network 上掃了一堆照片後,路上隨便拍照讓程式自動人肉搜索找出可能的對象:「Russian photographer matches random people with social network photos」。

這個計畫叫做「YOUR FACE IS BIG DATA」,作者的照片來源是來自俄羅斯最大的社交網站 VKontakte,而計畫的網站在「Конец анонимности: Идентификация случайных попутчиков」這邊,可以連進去看他自動找出來的圖。

演算法本身並不難,有種老大哥計畫的感覺... 可以想像 FacebookInstagram 或是 VKontakte 如果自己做了之後拿給政府單位用的情況?

Google Chrome 上面清 Cookie 的機制

T客邦 上面看到講 Google Chrome 上清 cookie 的機制,提到了「Vanilla Cookie Manager」這個套件:「【Chrome安全技巧】如何自動清除網站的 cookie 以保護個資?」。

現在應該已經不需要用這個套件了,至少在 2012 年的時候 Google Chrome 就已經內建這個功能了:「Google Chrome 上的 Cookie 隱私機制...」,在 2012 年提到的問題已經消失了,現在用起來都很正常,而且可以透過 Google Chrome 內建的機制同步到不同電腦上。

先到「設定」裡面,展開「顯示進階設定...」後可以看到這個:

點「內容設定」後可以看到「Cookie」的部份,選擇「將本機資料保留到您關閉瀏覽器為止」,可以在關閉瀏覽器時自動把 cookie 都清掉,另外選擇「封鎖第三方 Cookie 和網站資料」可以防止不少廣告系統的個人化追蹤,造成隱私問題

但我不希望每次重開瀏覽器都要重新登入 FacebookTwitter 這類網站,那麼就點「管理例外狀況」後輸入白名單,這樣就可以避免了:

CloudFlare 與 Tor 之間的戰爭...

首先 CloudFlare 先發了一篇「The Trouble with Tor」批判 Tor 的問題,然後是 Tor 這邊發了一篇「The Trouble with CloudFlare」反擊。

首先先提到兩邊數字的落差,也就是 Tor 這邊提到的:

2) External research has found that CloudFlare blocks at least 80% of Tor IP addresses, and this number has been steadily increasing over time.

落差很明顯在於 CloudFlare 拿到的數字是「自己實際的數字」,而第三方研究是用各種方法推估出來的數字。就像很多單位都在推估 Facebook 或是 Twitter 的數字,然後你拿第三方研究的報告去反戳 Facebook 說你們數字不準的感覺...

另外一方面,CloudFlare 其實也沒什麼想要解決 Tor 的問題,只是想要拋出來轉移焦點,這點在 Tor 這篇也有提到:

1) CloudFlare uses an IP reputation system to assign scores to IP addresses that generate malicious traffic.

CloudFlare 其實覺得 IP-based 的評價系統就很好用,並沒有想要解決 Tor 的問題。丟出來的幾個方案都是現成的,另外也反過來要求 Tor 加強 hidden service 的安全性。

Hidden service 以現在的角度來看的確已經不太安全 (因為 SHA-1 160bits,然後又切一半當 hostname 的關係),但跟你 IP-based 評價系統有什麼關係啊...

兩邊還有得吵...

大規模監控會無形壓抑少數意見

前陣子看到的這篇報導,在討論大規模的監控帶來的影響:「Mass surveillance silences minority opinions, according to study」。而 Bruce Schneier 這幾天也提到了這個問題:「Mass Surveillance Silences Minority Opinions」。

原始的論文出自「Under Surveillance: Examining Facebook's Spiral of Silence Effects in the Wake of NSA Internet Monitoring」這邊。

論文作者從 Facebook 上的行為來分析,說明大規模的監控會使得少數意見不敢發聲,對於社會多元性的負面影響。

Amazon Fire 會把加密系統弄回來

FBIApple 的戰爭開打後,愈來愈多安全與隱私問題被重新拿出來檢驗,而 Amazon 也決定將 2015 年拔掉的加密功能搬回 Fire OS 裡:「Amazon Reverses Course, Encryption Returning for Fire Devices」:

Amazon.com Inc. will restore encryption as a security option on its tablets and other devices that use the Fire operating system, following a customer backlash driven by increased sensitivity about data protection as Apple Inc. grapples with the FBI over access to a terrorist’s iPhone.

預定是今年春天加回來:

Amazon reversed course late Friday night, saying in an e-mail that it would restore encryption as an option on Fire devices with a software update “this spring,“ without being more specific.

愈來愈多公司與產品都認定加密是「基本功能」,無論你有沒有接觸到敏感資料。

百度被抓到蒐集個資後還是要蒐集...

在「Thousands of apps running Baidu code collect, leak personal data - research」這篇裡,加拿大的研究團隊 Citizen Lab 發現百度的 Android SDK 使用非加密傳輸這些個資:

The unencrypted information that has been collected includes a user's location, search terms and website visits, JeffreyKnockel, chief researcher at Citizen Lab, told Reuters ahead of publication of the research on Wednesday.

百度說他們會修正加密問題,但還是要蒐集:

[,] and Baidu told Reuters it would be fixing the encryption holes in its kits, but would still collect data for commercial use, some of which it said it shares with third parties.

霸氣!不愧是百度!即使被抓到後還是要蒐集 XDDD

HTTPS 因為安全性而不能使用 Referrer 的問題

Nuzzel 上看到老文章在討論 HTTPS 環境下因為安全性考量,而不能帶出 Referrer 的問題:「Where did all the HTTP referrers go?」。

原文中「Fixing Referrers in HTTPS: The Meta Referrer」這邊就有提到 HTML5 meta referrer,也就是 W3C 的「Referrer Policy」,問題是到現在還是 Draft 啊...

也因為過了三年,其實 draft 裡面多了不少參數可以用:

  • neverno-referrer 表示不傳。
  • origin 表示只傳 protocol + host 的部份,後面 path 的部份不要傳。
  • defaultno-referrer-when-downgrade 表示當 downgrade 時 (HTTP request 的部份) 不要傳。
  • origin-when-cross-origin 表示當跨站時用 origin 的邏輯,但本站還是用完整的路徑。
  • always 或是 unsafe-url 則是永遠都傳。

其中刪節號表示 W3C 不建議再使用,應該用後者比較新的。

不過因為在 Can I use 上面可以看到 Microsoft Edge 只支援舊的關鍵字 (也就是刪節號的那些),所以還是可以考慮先用舊的關鍵字,讓 Microsoft Edge 也可以被保護到:「Referrer Policy」。