Ken641228的部落格

於是谷歌今年做出瞭一個決定，用一種叫做FLoC的新技術來保護你的隱私。

聽起來是件好事？

沒想到，此舉卻遭到瞭大多數科技巨頭的聯合抵制。

除Chrome之外幾乎所有瀏覽器，包括微軟Edge、Firefox、Vivaldi、Opera，統統站出來反對，當然也少不瞭靠保護隱私起傢的Brave。

雖然它們當中大多數瀏覽器和Chrome有著同一個兄弟——Chromium。

不僅有瀏覽器廠商，其他搜索引擎，乃至網站開發者都站瞭出來。

DuckDuckGo這種向來跟谷歌對著幹的搜索引擎，直接在Chrome插件中添加瞭屏蔽FLoC的功能，啪啪打臉。

此外參與抵制的還有最大建站程序WordPress、電子前沿基金會(EFF)等。

GitHub也剛剛加入戰局，用一條簡短的公告宣佈，所有github.io域名下的GitHub Pages頁面都將添加一條新的HTTP Header，來阻止FLoC。

雖然沒有直接提及谷歌和FLoC的事，但是這條Header的作用就是聲明頁面拒絕被FLoC跟蹤。

此舉得到瞭程序員們廣泛一致好評。

谷歌推出的這項新技術，把跟蹤用戶瀏覽記錄的任務，從集中服務器轉交給瞭分散的用戶瀏覽器。

FLoC將用戶分成人群(Cohort)進行追蹤，用聯邦學習保護個人隱私不被泄露，同時谷歌聲稱不會對醫療、政治、宗教等敏感話題進行追蹤。

這說得不是挺好麼，為什麼會遭到抵制呢？

從定位個人到定位群組

FLoC的全名叫做“同類群組的聯邦學習”，是一種通過聯邦學習這種AI技術進行網絡跟蹤的方法

FLoC不像Cookies一樣跟蹤單個用戶的行為，而是把行為相似的用戶分為同類群組。

比如，有1000個人訪問瞭某個數碼產品的網站，在這1000個人裡有500個瀏覽瞭足球網站，那麼這500人將被標記成“既愛數碼又愛足球”小組。

如果這500人裡，又有300人看過擼貓的網站，那麼這300人將被標記成“既愛數碼又愛足球又擼貓”小組。

以此類推……

谷歌說，他們不會基於興趣對同類群組進行標記，隻是將他們分組並分配ID，廣告商不能看到具體你瀏覽瞭哪些內容。

但是廣告商們還是能確定每個同類群組的用戶類型，依然能精準識別出你的愛好，隻是沒法定位到你個人而已。

谷歌的FLoC是比Cookie好，但也僅僅是好瞭一些。廣告商們是沒法追蹤個人瞭，但是個性化廣告依然存在啊。

所以，抵制FLoC的各大公司認為，這是在“打著保護隱私的幌子侵犯隱私”。

谷歌為何這麼做

電子前沿基金會認為，谷歌讓人們在“舊追蹤技術”(第三方Cookies)和“新追蹤技術”(FLoC)之間做選擇，狡猾的把“本可以沒有追蹤”這個選項隱去瞭。

Vivaldi的CEO認為，第三方Cookies本來是用來保存登錄信息的，但被濫用於廣告追蹤，已經被抵制的差不多瞭，各大網站也都采取瞭不用Cookies維持登錄的替代方法。

各大瀏覽器已經取消第三方Cookies，那麼谷歌為何還要推出FLoC？

這和谷歌的商業模式有著直接的關系。

谷歌4月29日公佈的最新財報顯示，2021年第一季度，谷歌廣告營收337.63億美元，占公司總營收的82%。

如果因為追蹤技術丟失瞭廣告主，那麼將對谷歌的營收造成巨大影響。所以谷歌推出FLoC的原因也就不難理解瞭。

另外，谷歌宣佈Chrome瀏覽器將在2022年徹底禁止第三方Cookies。而Chrome瀏覽器當前的市場份額高達64%。

此舉將使依賴第三方Cookies技術的中小廣告提供商直接破產。新的環境下，FLoC完全由谷歌掌握，造成瞭更大的壟斷。

保護隱私，卻無法避免大數據殺熟

實際上，FLoC能否起到保護用戶的作用，還要打上一個大大的問號。

反對FLoC的Vivaldi瀏覽器在一篇博客中詳細論述瞭它的危害：

在過去，一個小型廣告提供商隻能在他們投放廣告的幾個網站追蹤到你，而不能獲得你瀏覽行為的全景。

但是在以後，你所瀏覽的每個接受FLoC的網站頁面，都會被用於計算群組的行為，哪怕這些頁面根本不包含廣告。

如果你訪問一個醫療網站，你可能會告訴它你的健康信息，但它並不需要知道你的地理位置。

同樣，如果你訪問一個購物網站，它不應該知道你最近是否閱讀瞭抑鬱癥的治療方法。

當然，為瞭打消你的疑慮，上面一些情況不會發生。

谷歌會將極度敏感的信息會被排除在FLoC之外，比如你瀏覽過哪些成人網站，看過哪些醫療信息，都不會被記錄。

但即便廣告商無法定位到個人，但你的所在群組行為數據依然可以被掌握，廣告商們仍然可以給這個群組投放廣告，更好地進行“大數據殺熟”。

FLoC並不安全

另外，FLoC也無法保證你的隱私完全不被泄露。

因為，除瞭Cookies之外，還有一種瀏覽器指紋識別技術也能對訪問特定網站的用戶進行追蹤。

它能根據你訪問時的硬件信息、屏幕分辨率、字體甚至窗口大小等，把你從眾多用戶中揪出來，打上ID，並進一步追蹤你的行為。

在以前，指紋識別需要將你的瀏覽器從訪問一個網站的所有瀏覽器中區分出來。

而有瞭FLoC，隻需要將你的瀏覽器從同一群組中的幾千個瀏覽器區分出來就行瞭，這實際上是增加瞭指紋識別的風險。

此外，谷歌聲稱無需建立集中的服務器處理FLoC信息，以此保護隱私安全，但是FLoC所以依賴的聯邦學習技術並非萬無一失。

已有論文發現，從可以從聯邦學習的梯度中恢復原始數據，將原本加密的圖片重新恢復出來。

谷歌不敢在歐盟使用

谷歌挑選數百萬Chrome用戶進行FLoC技術測試，並未告知用戶，用戶也沒有選擇退出的權利。

在測試期間，Cookies和FLoC同時針對這些用戶運作，使他們承受瞭更多隱私暴露的風險。

谷歌計劃今年下半年到明年年初在Chrome上推廣這項技術。

另外我們註意到，FLoC測試的地區中不包含任何歐盟國傢，這是由於谷歌擔心FLoC可能違反歐盟法規，也說明瞭FLoC並未獲得史上最嚴隱私規范GDPR的許可。

畢竟天價罰款可不是鬧著玩的。

檢測一下，你被FLoC瞭嗎？

說瞭這麼多，如何知道自己被谷歌用上瞭FLoC？

方法很簡單，電子前沿基金會上線瞭一個網站，隻要打開它就能檢測到瞭。

所幸的是FLoC測試版目前隻影響到0.5％的Chrome用戶。

最後，對蘋果用戶來說，還有個好消息，iOS 14.5已經加入瞭防止隱私跟蹤的功能，用戶隻要在“設置”的隱私選項中將“跟蹤”一項關閉即可。

隻靠硬件不靠廣告賺錢的公司，就是硬氣啊。

夢晨 邊策 發自 凹非寺

量子位 報道 | 公眾號 QbitAI

參考鏈接：

[1]https://www.bleepingcomputer.com/news/security/vivaldi-brave-duckduckgo-reject-googles-FLoC-ad-tracking-tech/

[2]https://github.blog/changelog/2021-04-27-github-pages-permissions-policy-interest-cohort-header-added-to-all-pages-sites/

[3]https://www.eff.org/deeplinks/2021/03/googles-FLoC-terrible-idea

[4]https://vivaldi.com/blog/no-google-vivaldi-users-will-not-get-FLoCed/

[5]https://wicg.github.io/FLoC/

[6]https://amifloced.org/