谷歌几乎是每个人最好的朋友。但你有没有停止考虑多少谷歌了解你?
你是否意识到谷歌可能已经记录和存储了你曾经在它的搜索框中输入的每一个搜索词?其中一些搜索可能会严重损害你的声誉。Gmail呢?你发过敏感邮件吗?那么存储在谷歌文档中的业务信息呢?
除非你坐在最后十年的离线上,否则你可能会在谷歌公司的服务器上建立一个非常彻底的个人资料。根据您使用的几十个Google服务,有关您的习惯,兴趣,活动,日程安排,专业追求,股票组合和医疗历史的数据可以坐在谷歌的服务器上 - 以及您的旅行路线的记录映射,您访问过的网站等等。
好消息是,Google通过从九个月后删除与搜索相关联的IP地址的最后三位数,并通过删除18个月后删除相关的cookie,这使得您可以将其链接到的搜索是非常困难的18个月大。
但是,这仍然是你生命中的一个漂亮的大窗口。如果任何或所有这些数据成为公众,怎么办?攻击者可以通过攻击直接进入其服务器或通过黑客入侵您的个人帐户来控制谷歌访问您的信息。
“谷歌上有大量的信息,”Gartner研究副总裁Jay Heiser说,“如果认为所有这些信息对各种各样的人都没有巨大的兴趣,那就太天真了。”
更重要的是,Google提供的大量服务意味着有多种访问数据的方法。“每个服务都带来了自己独特的风险,”他说。“在与其他内容结合时,可以在一个内部漏洞的潜在潜在的漏洞增加。”
罪犯并不是唯一可能访问你谷歌记录的人。如果政府(或你卷入的法律诉讼的律师)打来电话,只需要一个简单的传票,谷歌就会被迫交出你的信息,正如谷歌的隐私政策所述。
底线?大哥比你想象的要多得多。但是你不必避免谷歌让自己保持合理安全。您只需采取措施,以防止潜在的危险信息首先存储在Google的服务器上,并保护您帐户的完整性。
通过采取一些基本的 - 而不是那么基本的预防措施,您可以尽量减少对坏人的曝光,无论何处和谁。阅读以了解您可以做的事情,以最大限度地减少使用Google涉及的安全风险,无论是搜索还是其中一个无数其他在线服务。
此外,我们还提供了两种级别的自我保护建议:
*“defcon 2”(良好的安全性)提示是您可以使用的工具可以随时随地对待典型的攻击 - 但不是针对坚定的攻击者。
* "Defcon 1" (best security) tips -- a.k.a. "the celebrity solution" (steps to take if you have, or intend to have, a highly visible public profile) -- offer far more security but are far less practical and often require using third-party tools.
最后,只有您可以确定安全性和便利性之间的权衡对您是有意义的。
风险1:搜索数据和元数据
如果你访问谷歌的网页历史页,您可以看到您运行的每一个Google搜索,同时签署到您的Google帐户时期。它不仅限于文本搜索 - 您还可以查看您的Google图片搜索的历史记录,谷歌视频搜索,谷歌地图搜索等。默认情况下存储此数据;用户必须激活网络历史记录来访问它。
谷歌将这些信息用于许多良性目的,例如微调其搜索算法,并确定其谷歌趋势页面的更广泛的Web搜索模式。但不管它对公司有多有用,你肯定不希望任何人看到你做过的每一次搜索。
defcon 2
您可以做的最简单的事情以防止搜索数据的累积是为了确保您在搜索之前注销您的Google帐户。如果您已登录,您的电子邮件地址将显示在Google主页的右上角,搜索结果页面或您所在的任何Google网页。
另外,关闭谷歌的网络历史记录。从Google主页的右上角,选择“设置” - > Google帐户设置,单击页面左侧“我的产品”旁边的“编辑”,然后单击“永久删除Web历史记录”。(如果您没有看到此选项,这意味着您从未激活Web历史记录。)
这将取消订阅Google的Web历史服务并删除将您的帐户链接到Google服务器的搜索的所有特定数据。谷歌仍将将您的搜索与IP地址相关联的数据九个月,并使用其他18个月的其他非人交通信息,但此数据没有与您的身份相关联。
但是,Web历史记录服务可以对单个用户的价值,而不仅仅是谷歌。您曾经运行过的每个网络搜索的可搜索历史记录可能是您自己使用的强大工具。如果您对Web历史中可用的搜索数据感到满意,但要从列表中搜索一些“令人报力”搜索,请在“帐户”页面下选择“我的产品”下的“Web”历史记录,然后单击左侧菜单中的“删除项目”。这将在您历史记录中的每个查询旁边放置一个复选框;选择要捕获到存储孔中的那些,然后单击“删除”,然后将删除。
你也可以点击页面底部的“清除整个网络历史”链接,一次性删除你过去的搜索记录,或者“暂停”网络历史记录一段时间,如果你知道一些即将进行的搜索可能难以解释或透露太多的个人信息。要暂停浏览网页历史记录,只需点击左侧菜单中的“暂停”链接,然后点击“恢复”,网页历史记录就会重新开始保存搜索结果。
defcon 1
退出Google可以防止与您的直接关联搜索,但不是搜索与您的IP地址和其他信息(如操作系统)的关联使用浏览器,搜索的时间和日期,以及保存到计算机上用于搜索的cookie的ID。(谷歌的隐私FAQ显示了一个示例日志条目。)确定的攻击者可以从谷歌的服务器日志反向查找您的身份。
为了防止这种情况,可以使用Tor、Anonymizer或PhZilla Firefox扩展等工具来匿名您的Web使用。这些工具通过一个或多个代理将您的Web使用漏斗,从一个城市跳转到世界各地的城市,因此您的搜索不能直接追踪到您的计算机。不过,请注意:当在代理服务器后面上网时,上网速度会慢得多。
风险2:跟踪cookie
Google使用cookie来存储您的登录状态,以获取其各种服务,因此,例如,当您已登录到Gmail时,您不必登录Google日历。但这意味着您留下了可以从Google服务器和硬盘访问的登录路径。
此外,谷歌旗下的广告服务Doubleclick使用cookie来跟踪访问者在不同网站之间的移动,这些信息结合你的谷歌登录名,可以准确地识别你访问过哪些网站。
defcon 2
使用浏览器的安全或隐私设置来拒绝第三方cookie——也就是说,来自非你所在网站的cookie。
如果您希望特定站点要记住登录信息或首选项,则阻止所有cookie可能是有问题的。另一方面,阻止第三方饼干不会在大多数网站上给您带来不便,但将占据陷波的隐私。
请注意,阻止新的第三方cookie实际上不会摆脱系统上的系统。要彻底,您可以使用浏览器的安全/隐私设置删除一次所有当前cookie - 这意味着您必须在某些站点(但只有一次)重新输入登录信息或首选项- 或者通过Cookie文件查看并手动删除那些不是您想要保留的网站的那些。
但是,一些服务 - 特别是DoubleClick - 即使使用被阻止的第三方cookie也能够安装cookie。讽刺地,您可以用讽刺的方式选择退出DoubleClick的Cookie,安装退出饼干。但如果您随时清除Cookie文件,您也可能删除了选择退出Cookie。Google提供了在Firefox,Internet Explorer,Chrome和Safari中永久性的工具和说明。
另一个选择是利用浏览器的“隐私浏览”功能。最新版本的火狐、Safari、IE、Opera和Chrome都提供了私人浏览会话,有时被称为“InPrivate”或“incognito”浏览,当你关闭浏览器时,这些会话会清除cookie和密码,还会清除你的网络历史记录和浏览器缓存。
在开始敏感搜索之前,唯一的挑战是记住选择私人浏览。
defcon 1
完全阻止脚本和广告。使用AD阻止者,例如Firefox,Opera和Chrome或Adblockie的Adsweep,用于IE8,以防止站点服务广告,包括DoubleClick的。
许多广告(包括谷歌AdWords)使用JavaScript加载。除了广告,阻止脚本也是防止广告加载和第三方跟踪cookies进入你的系统的一种有效方法。您可以使用浏览器的安全设置关闭JavaScript和其他脚本,如果您使用Firefox,则可以使用NoScript扩展。
这将使大量的网站无法使用,但它将使跟踪您的在线行为更加困难。请注意,您可以使用IE8中的“可信站点”列表(在Internet选项下的“安全选项卡上”或单击Noscript工具栏图标,为您要接受脚本的站点选择“允许”,为您要接受脚本的站点来添加您信任的网站的例外功能。
风险3:黑客攻击谷歌
即使您相信谷歌与您的母亲相信谷歌,公司储存您的生活的纯粹数量是令人生畏的 - 如果您考虑谷歌以外的某人访问谷歌的服务器,那么更为令人生畏。
听起来很牵强么?谷歌的内部网络在2009年12月广泛攻击被称为“操作极光”,导致一些谷歌源代码的盗窃以及至少一个中国人权活动家的一些(但不是全部)个人详细信息,包括他的帐户创建数据和电子邮件主题行。
谷歌可能拥有世界上一些最优秀的人才,致力于保护其系统的安全,但它也是黑客的一个大目标——以及一个潜在的大奖励。总部位于奥斯汀的身份盗窃保护服务提供商CSIdentity的首席执行官比尔•莫罗表示:“像谷歌这样的公司之所以受到攻击,是因为它们掌握了你的大量数据。”“(攻击者)获得的不是你生活中的一小部分数字足迹,而是你的整个资料。”
defcon 2
使用常识。“如果这是绝对关键的知识产权,请勿使用[在线]服务,”安全财团,基于圣何塞的安全服务提供商和研究公司的安全财团首席执行官Mark Kadrich说。
个人信息也是如此。没有一个系统是100%完美的。如果你不能从一条信息泄露到世界上恢复过来,那么没有任何在线服务能提供你需要的安全级别。
虽然Google的机制足以防止普遍威胁,但是一名坚定的攻击者,如公司竞争对手或政府代理商,获得谷歌访问谷歌访问的政府代理人可以想象地访问您所委托给公司的一切 - 包括您没有的数据甚至知道你留下来了。
“您在同一登录凭证下具有非常敏感和敏感的数据,”安全供应商Tricipher Inc.的业务开发和产品管理副总裁Vatsal Sonecha表示,“进入您帐户的攻击者具有钥匙王国。”
由您来说,在可以信任谷歌和无法实现的信息之间进行区分。
defcon 1
你的电子邮件加密。如果你使用Outlook或Thunderbird等电子邮件客户端访问Gmail账户,你可以使用PGP Corp.的PGP Desktop Home或其开源的同类产品GnuPG对所有发送的电子邮件进行加密。或者你也可以使用firepg Firefox扩展在Gmail的Web界面中添加加密。
企业可以使用桌面上的PGP桌面公司等工具,或者是PGP的基于服务器的产品之一,以加密网络级别的所有传出电子邮件。
您必须坚持认为其他人只发送加密电子邮件,或者您的所有传入电子邮件仍将是纯文本。不幸的是,没有对其他Google服务的等效加密工具 - 一些,如Google Health,加密您的数据,但并非所有人。
风险4:黑客猜测你的登录名