張玉清，武倩如，劉奇旭，董穎

（中國科學院大學 國家計算機網(wǎng)絡入侵防范中心，北京 101408）

1 引言

1.1 第三方追蹤的概念及特點

早期的 Web頁面是由一個人或者組織設計部署的。隨著多樣化需求的不斷增加，Web頁面中引用越來越多的第三方應用，作為廣告、網(wǎng)站分析、社交網(wǎng)絡等用途。如圖1所示，用戶主動瀏覽的網(wǎng)站叫做第一方網(wǎng)站，即在地址欄中所顯示的網(wǎng)站（www.nytimes.com/pages/national/index.html）；嵌入在第一方網(wǎng)站中的，與第一方網(wǎng)站不屬于同一域或同一個公司的網(wǎng)站叫做第三方應用網(wǎng)站，當用戶瀏覽第一方網(wǎng)站的同時也會向第三方應用發(fā)送請求。圖1中所標識出的廣告、視頻、社交網(wǎng)絡都為第三方應用，其中網(wǎng)站分析類的第三方應用代碼在頁面中執(zhí)行，但沒有顯示。除了為第一方網(wǎng)站提供各種各樣的服務，第三方應用還具有如下特點。

1) 第一方網(wǎng)站主動引入第三方應用，默認第三方應用安全可信，并授權(quán)第三方應用獲得網(wǎng)站的一些信息。

2) 同一個第三方應用會被多個第一方網(wǎng)站所使用。

3) 同一家公司可能擁有多種第三方應用，比如google analysis、google adsense、doubleclick等都是google公司的產(chǎn)品。

這些特點使得第三方應用在為第一方網(wǎng)站提供服務的同時，有能力跨多個網(wǎng)站追蹤、記錄用戶的個人信息及其瀏覽歷史。第三方應用的這種追蹤行為叫做第三方追蹤。第三方追蹤造成的隱私威脅問題日益嚴重，如何保護第三方追蹤帶來的隱私威脅問題成為安全領(lǐng)域的重要研究內(nèi)容。

圖1 New York Time網(wǎng)站上的第三方應用

1.2 第三方追蹤安全現(xiàn)狀

第三方追蹤可以獲得用戶瀏覽歷史，從而得到用戶的位置、興趣、購買過的商品、就業(yè)狀況，性取向、財務狀況、醫(yī)療狀況[1,2]等用戶的隱私信息，使用戶無隱私可言[3]。收集用戶的隱私信息并不是假設的猜想，而是實際存在的。下面幾個事件，反映了第三方追蹤的安全隱患。

1) 2011年中旬，一家NAI成員的廣告公司Epic Marketplace追蹤的用戶高度敏感信息數(shù)據(jù)段被曝光，敏感信息包括：懷孕生育、更年期、修復不良信貸等信息[4]。

2) 2011年10月，一家在線約會網(wǎng)站OkCupid被發(fā)現(xiàn)向其他商家出售用戶喝酒、吸煙、吸毒的頻率等信息[5]。

3) Krishnamurthy等[6]在10個流行的健康網(wǎng)站輸入查詢信息，在其中9個網(wǎng)站中發(fā)現(xiàn)第三方應用收集用戶的查詢信息。

4) 2013年3月，中央電視臺3.15平臺曝光幾家網(wǎng)絡公司利用第三方追蹤搜集上億條 Cookie信息，使得網(wǎng)民在網(wǎng)絡上的行為成為“裸奔”。

2 第三方應用的分類及隱私威脅

本節(jié)首先介紹第三方應用的分類及其隱私威脅模型，接著總結(jié)有追蹤行為的第三方應用的隱私威脅。

2.1 第三方應用的分類

第三方應用通常以 JavaScript腳本、iframe、Web bug或媒體等方式存在于第一方網(wǎng)站中[7,8]。按照所提供服務的內(nèi)容不同，第三方應用可以劃分為6 類[3]：分析服務（analysis service）、社交網(wǎng)絡（social networks）、在線廣告（online advertising）、內(nèi)容提供商（content providers）、前端服務（frontend services）、托管平臺（hosting platforms），并不是所有的第三方應用都有追蹤行為。分析服務、社交網(wǎng)絡、在線廣告這3類第三方應用通常都有追蹤行為，而大部分的內(nèi)容提供商、前端服務和托管平臺類第三方應用并不對用戶進行追蹤，但由于這些第三方應用都嵌插在第一方網(wǎng)站中，因此，都有能力追蹤用戶，不能完全排除其存在追蹤行為的可能性。下面具體介紹這6類第三方應用，并介紹前3類第三方應用所采用的典型追蹤模型。本節(jié)中追蹤技術(shù)都以http Cookies為例，在第3節(jié)中，將詳細介紹其他追蹤技術(shù)。

1) 分析服務

分析服務類的第三方應用為第一方網(wǎng)站提供統(tǒng)計信息，使第一方網(wǎng)站可以更好地了解其訪問者，包括用戶的地域、瀏覽的內(nèi)容、用戶代理信息以及與該網(wǎng)站的互動信息，從而改進網(wǎng)站的設計。雖然分析服務類的第三方應用在實現(xiàn)上有很大的不同，但是幾乎所有的第三方應用都采用以下2種商業(yè)模式之一：一些公司采用付費模式提供服務，它們聲稱有合法的權(quán)利間接獲得用戶的分析數(shù)據(jù)；另外一些公司提供免費的服務，它們使用搜集的用戶數(shù)據(jù)來獲利，比如廣告定向、市場調(diào)查等。

如圖2所示，以Google analytics 為例分析類第三方應用典型的追蹤模型如下：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到第三方應用的url鏈接，并向其發(fā)送請求；④第三方網(wǎng)站返回請求的文件內(nèi)容，通常為JavaScript腳本文件；⑤腳本執(zhí)行，讀取該第一方網(wǎng)站的http Cookies，獲取用戶ID等信息；⑥將這些信息作為參數(shù)傳回第三方應用服務器，第三方應用可能將用戶在該第一方網(wǎng)站的訪問記錄存儲在其服務器中。

圖2 分析類第三方應用追蹤模型

由于第三方應用的腳本在第一方網(wǎng)站中執(zhí)行，根據(jù)同源策略，該腳本只能在第一方網(wǎng)站域下創(chuàng)建http Cookies文件，因此該類追蹤模型不能跨網(wǎng)站追蹤用戶，只能追蹤記錄用戶在site1.com中的瀏覽情況。若第三方追蹤者想獲得某一用戶在多個網(wǎng)站中的瀏覽記錄，則需要該用戶的個人信息標識(PII,personally identifiable information)，來識別出哪些瀏覽記錄是來自于該用戶的?？傮w來說，該類追蹤模型有2大特點[8]：①第三方應用的腳本會建立第一方網(wǎng)站域下的http Cookies，將其所要獲得的信息記錄在該http Cookies中；②讀取第一方網(wǎng)站域下http Cookies的內(nèi)容，并將其作為url的參數(shù)發(fā)送給第三方。

2) 在線廣告

在線廣告網(wǎng)絡模型包括3大元素[9]：廣告發(fā)布商（publisher）、廣告網(wǎng)絡和廣告商（advisers）。其主要工作流程如圖3所示。①廣告商們將廣告投放到廣告網(wǎng)絡；②用戶瀏覽廣告商的頁面；③獲取該頁面的基本html信息；④并向廣告網(wǎng)絡發(fā)送廣告請求；⑤廣告網(wǎng)絡根據(jù)跨多個不相關(guān)網(wǎng)站追蹤到用戶的瀏覽歷史，推斷用戶的喜好，這些興趣愛好被用于選擇廣告發(fā)送給用戶[10,11]。行為定位是廣告網(wǎng)絡用來增強其廣告投放有效性的一種技術(shù)，在廣告市場中有十分重要的作用。Yan等[12]證明了行為定位技術(shù)可以增強Bing搜索引擎中廣告的有效性。

圖3 在線廣告工作流程

如圖4所示，以Admeld廣告網(wǎng)絡為例，分析第三方應用典型的追蹤過程如下。①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回 html文件；③用戶瀏覽器解析html文件，得到廣告網(wǎng)絡Admeld.com的url鏈接，該第三方應用以iframe標簽的形式插入在第一方網(wǎng)站中，向該 url發(fā)送其請求；④廣告網(wǎng)絡Admeld.com返回網(wǎng)頁文件；⑤Admeld.com讀取其域下的http Cookies，該http Cookies存放了用戶在多個網(wǎng)站的瀏覽記錄等信息，Admeld.com分析該用戶信息，結(jié)合競價排名等機制，選擇適合該用戶的廣告商trun.com；⑥向廣告商trun.com發(fā)送廣告請求信息和用戶的信息，廣告商根據(jù)用戶所訪問的網(wǎng)站site1.com及用戶的信息，選擇合適的廣告投放到site1.com的頁面中。

由于第三方應用以iframe標簽的形式存在，因此該第三方應用可以創(chuàng)建自己域下的http Cookies，用戶瀏覽包含該第三方應用的第一方網(wǎng)站，其瀏覽記錄都會被該第三方http Cookies所記錄，因此可以進行跨域追蹤?？傮w來說，該類追蹤模型的特點在于[8]：一個第三方應用并不是直接插入在第一方網(wǎng)站中，而是被另一個第三方應用引入的。

圖4 廣告網(wǎng)絡類第三方應用追蹤模型

3) 社交網(wǎng)絡

一些社交網(wǎng)絡既是第一方網(wǎng)站又是第三方應用，其角色定義根據(jù)不同的場景有所不同：當用戶主動瀏覽社交網(wǎng)絡時，該社交網(wǎng)絡是第一方網(wǎng)站；當用戶瀏覽其他第一方網(wǎng)站，而社交網(wǎng)絡嵌入在該第一方網(wǎng)站時，該社交網(wǎng)絡為第三方應用。社交網(wǎng)絡類第三方應用為用戶提供個性化內(nèi)容和單點登錄服務。社交網(wǎng)絡作為第三方應用時，最常見的形式為分享或點贊按鈕，如 facebook的 like按鈕，Google+1按鈕，新浪微博的分享按鈕等。這些社交網(wǎng)絡類的第三方應用免費為第一方網(wǎng)站提供服務來促進用戶的參與和推動市場研究。一些研究[13~15]利用社交網(wǎng)絡的數(shù)據(jù)來提供精準廣告定位服務。

如圖5所示，以facebook like按鈕為例，用戶將facebook.com作為第一方網(wǎng)站訪問時，在瀏覽器端建立了facebook.com域下的http Cookies，當用戶訪問其他包含該社交網(wǎng)站應用的第一方網(wǎng)站時：①用戶在地址欄中輸入 http://site1.com，瀏覽器向第一方網(wǎng)站site1.com發(fā)送請求數(shù)據(jù)分組；②第一方網(wǎng)站site1.com向用戶返回html文件；③用戶瀏覽器解析html文件，得到第三方應用的 url鏈接，該第三方應用以 iframe標簽的形式插入在第一方網(wǎng)站，因此可以讀寫該第三方應用域名下的http Cookies，在facebook的域名下記錄瀏覽歷史；④向解析出的 url發(fā)送請求，并將 http Cookies的信息作為請求分組頭部發(fā)送給第三方；⑤第三方應用向用戶返回facebook like按鈕。

由于可以在第三方域下建立 http Cookies，因此，該類追蹤模型可以跨網(wǎng)站的追蹤用戶，記錄用戶在多個第一方網(wǎng)站中的瀏覽情況?？傮w來說，該類追蹤模型有2大特點[8]：①該網(wǎng)站作為第一方網(wǎng)站時，在其域下建立http Cookies；②作為第三方應用時，利用其域下的http Cookies進行追蹤。

圖5 社交網(wǎng)絡類第三方應用追蹤模型

4) 內(nèi)容提供商

內(nèi)容提供商類第三方應用管理視頻、地圖、新聞、天氣、彩票和其他媒體類信息，如YouTube。一些內(nèi)容提供商在為第一方網(wǎng)站提供的同時，也通過內(nèi)置廣告來獲取利潤。

5) 前端服務

前端服務類第三方應用通常為第一方網(wǎng)站提供JavaScript類庫和API等來豐富用戶體驗，增強網(wǎng)站的功能。例如，Google Libraries API[16]、Google Feed API[17]等。

6) 托管平臺

托管平臺類第三方應用幫助網(wǎng)站發(fā)布者發(fā)布自己的內(nèi)容。常見的有博客平臺（如Wordpress.com[18]）和內(nèi)容分布網(wǎng)絡（如Akamai[19]）。

7) 其他類

除以上6類第三方應用外，還有一類第三方應用并不提供任何服務，它專門用于追蹤用戶，獲得用戶瀏覽歷史，分析用戶行為特征，并將用戶的數(shù)據(jù)賣給廣告公司等。此類公司通常通過付費給第一方網(wǎng)站，并將自己的代碼加入到第一方網(wǎng)站中。

Krishnamurthy等[20]搜集了2005年到2010年間大約1 200個流行網(wǎng)站的頁面信息，他們的報告中展現(xiàn)第三方應用的2個發(fā)展趨勢。首先，平均來說，每個網(wǎng)站中引用第三方應用的數(shù)目逐年增多。其次，第三方應用公司擴展迅速，一些大的追蹤公司，包括Google、Adobe 和Microsoft都通過收購擴展了自己的市場份額。

2.2 第三方追蹤的隱私威脅

有追蹤行為的第三方應用被稱為第三方追蹤者。第三方追蹤者獲得的用戶隱私信息主要為瀏覽歷史和個人標識信息[21]2大類。

1) 瀏覽歷史

用戶的瀏覽歷史可以直接泄露用戶的個人信息，如用戶的位置、興趣、性取向、財務狀況、健康狀態(tài)等各種高度敏感信息。與此同時，通過檢測用戶常瀏覽的頁面，可以分析得到許多有關(guān)該用戶的隱含信息，比如分析其行為習慣等。

當一個第一方頁面嵌入第三方追蹤者的內(nèi)容時，該追蹤者可以通過http referrer頭部來獲得第一方頁面的url。如果頁面中嵌入了第三方追蹤者的JavaScript代碼，追蹤者還可以通過執(zhí)行代碼來獲得第一方網(wǎng)站的其他信息，如使用document.title代碼獲得頁面的標題。

廣告公司Epic Marketplace將15 511條網(wǎng)頁的鏈接存放到一個不可見的iframe中，利用JavaScript動態(tài)加載這些url并判斷用戶是否訪問過這些url，處理過程存放在http Cookies中，從而來獲得用戶的瀏覽歷史[4]。這些url除了購物類網(wǎng)站，還包括可以泄露用戶敏感行為的網(wǎng)站，如醫(yī)療網(wǎng)站、財務網(wǎng)站等。

2) 個人信息標識

一些第三方追蹤者獲得了許多瀏覽記錄和相關(guān)信息后，需要標識出哪些瀏覽記錄是來自于同一個用戶的，從而獲得該用戶盡可能多的瀏覽歷史?？梢杂脕碜R別出用戶的信息叫做個人信息標識，如用戶的ID、用戶名等。

一些第一方網(wǎng)站將用戶的個人信息標識賣給第三方追蹤者，并形成一種商業(yè)模式，通常以彩票或者有獎測試的形式存在。一些廣告數(shù)據(jù)提供者（如DataLlogix）購買用戶的標識信息，利用一個用戶的標識信息，在其離線數(shù)據(jù)庫中檢索出該用戶的所有相關(guān)信息，并用這些信息為該用戶提供廣告推薦。

一些第一方網(wǎng)站將用戶的個人信息標識無意地提供給第三方追蹤者。2011年，Krishnamurthy等[6]在120個流行的非社交網(wǎng)站中做了一項調(diào)查，發(fā)現(xiàn) 56%的網(wǎng)站直接泄露用戶的個人標識信息給第三方追蹤者，如用戶的電子郵件地址、姓名、性別等。

3 第三方追蹤的技術(shù)

第三方追蹤技術(shù)多種多樣，按照是否在本地進行存儲可以分為：有狀態(tài)的追蹤和無狀態(tài)的追蹤。

3.1 有狀態(tài)的追蹤

有狀態(tài)的追蹤是指第三方追蹤者使用本地的存儲機制來記錄用戶的行為、瀏覽歷史等隱私信息。這些存儲機制包括http Cookies、Flash Cookies、HTML5 Local Storage等。

1) http Cookies

http Cookies[22]是存儲在用戶計算機中的小型文件，用來幫助網(wǎng)站識別用戶。2.1節(jié)已結(jié)合第三方追蹤的隱私威脅模型，詳細說明http Cookies技術(shù)的應用細節(jié)。

2) Flash Cookies

Flash Cookies[23,24]是由Flash player控制的客戶端共享存儲技術(shù)，它具備以下特點：①類似http Cookies，F(xiàn)lash Cookies利用 SharedObject 類實現(xiàn)本地存儲信息，SharedObject類用于在用戶計算機上讀取和存儲有限的數(shù)據(jù)量，共享對象提供永久存儲在用戶計算機上的對象之間的實時數(shù)據(jù)共享；②本地共享對象是作為一些單獨的文件來存儲的，文件擴展名為.SOL，尺寸默認為不超過100 kB，并且不會過期；③本地共享對象并不是基于瀏覽器的，所以普通的用戶不容易刪除它們。如果要刪掉它們的話，首先要知道這些文件所在的具體位置。這使得本地共享對象能夠長時間地保留在本地系統(tǒng)上。

3) HTML5 Local Storage

HTML5 Local Storage[25,26]是 HTML5提供的API接口。通過JavaScript代碼調(diào)用HTML5 Local Storage API接口可以在客戶端存儲較大數(shù)據(jù)[27]。由于為存儲較大數(shù)據(jù)而設計，廣告商和其他第三方應用可以使用HTML5 Local Storage來存儲用戶幾個星期甚至幾個月的個人信息，這些信息可能包括用戶的地理位置、時區(qū)、照片、購買記錄、電子郵件、瀏覽歷史等。

4) ETag

ETag是url的實體，用于標識url對象是否改變。由于 ETag可以生成唯一標識，即使用戶刪除了 http Cookies、Flash Cookies和 HTML5 Local Storage，第三方應用仍然可以利用 ETag來重建這些被刪除的Cookies使追蹤繼續(xù)，而用戶卻并不知情[26]。ETag追蹤技術(shù)的最大威脅在于，即使用戶使用瀏覽器的隱私瀏覽模式仍無法逃避追蹤。

目前，大部分的第三方追蹤者都使用 http Cookies竊取用戶的隱私記錄。Good等[28]爬取了Quantcast排名前25 000的網(wǎng)站，發(fā)現(xiàn)其中87%的網(wǎng)站設置了 http Cookies，這些 http Cookies中有76%是第三方應用設置的Cookies。也就是說，當用戶瀏覽網(wǎng)站時，大部分的行為活動都會被第三方追蹤者獲取到。但是http Cookies本身有很多局限性：①容易被清除；②每條 http Cookie記錄的信息量??；③可存儲的http Cookies數(shù)量有限。表1為http Cookies、Flash Cookies、HTML5 Local Storage的性能對比。越來越多的第三方追蹤者開始使用 Flash Cookies、HTML5 Local Storage等技術(shù)，甚至使用多種技術(shù)相結(jié)合來竊取用戶的隱私記錄[26,29]。例如，ClearSpring、Interclick、Specific Media等在線廣告公司，被發(fā)現(xiàn)使用Flash Cookies來追蹤用戶；在 2011年中旬，Soltani發(fā)現(xiàn)一家提供第三方分析服務應用的公司KISSmetrics，使用http Cookies、Flash Cookies、ETag Cookies、HTML5 Local Storage以及指紋識別技術(shù)等相結(jié)合，能夠在用戶刪除Cookies的情況下，自動重建被刪除的Cookies[26]。

表1 http Cookie、Flash Cookie 和HTML5 LocalStorage的關(guān)鍵特征

3.2 無狀態(tài)的追蹤

有狀態(tài)的追蹤將用戶的信息存儲在本地，有可能被用戶清除，而無狀態(tài)的追蹤中，第三方追蹤者并不在本地的存儲和記錄用戶的行為。其工作原理是通過用戶的指紋信息來識別用戶，從而獲得該用戶瀏覽歷史等隱私信息[30,31]。指紋信息是用戶固有的狀態(tài)特征信息，本不是用戶的隱私信息，然而，第三方追蹤者可以通過多個指紋信息組合來識別用戶，形成個人信息標識，這時，可以形成個人信息標識的指紋信息組合也成為用戶的隱私信息。

無狀態(tài)追蹤的典型過程如下：第三方應用A存在于多個第一方網(wǎng)站中；當用戶U瀏覽第一方網(wǎng)站B時，第三方應用A獲得該用戶的指紋信息，為該用戶創(chuàng)建ID，并將用戶ID、指紋信息以及網(wǎng)站B的信息記錄到服務器的數(shù)據(jù)庫中；當該用戶U瀏覽第一方網(wǎng)站C時，第三方應用A在獲得該用戶的指紋信息后，與數(shù)據(jù)庫中的用戶指紋信息進行對比，若對比成功，則在該用戶的瀏覽歷史中增加網(wǎng)站C的信息，否則為該用戶在數(shù)據(jù)庫中新建一條記錄。從而第三方應用A可以獲得其所在第一方網(wǎng)站的所有用戶的瀏覽記錄。

如表2所示，指紋信息可以通過2種途徑獲得。一是通過執(zhí)行腳本或插件中的代碼獲得，叫做主動指紋(active fingerprinting)信息[3]。如CPU型號、時區(qū)、安裝的字體、安裝的插件、始終脈沖相位差、可使用的插件、支持的MIME類型、Cookies是否可用等信息；另一種是通過查詢網(wǎng)絡流獲得，叫做被動指紋(passive fingerprinting)信息[3]。如IP地址、語言、http可接受頭部等。一些信息既可以通過代碼執(zhí)行獲得，也可以通過網(wǎng)絡流獲得，比如操作系統(tǒng)類型、用戶代理等。

表2 指紋信息

對于主動指紋信息，Peter Eckersley等[30]在近500 000個瀏覽器樣本中發(fā)現(xiàn)有83.6%的瀏覽器可以被一系列主動指紋信息唯一標識。盡管瀏覽器的狀態(tài)會經(jīng)常改變，如升級等，也可通過比對算法以99%的準確率判斷出原狀態(tài)瀏覽器和現(xiàn)狀態(tài)瀏覽器是否為同一瀏覽器。一些公司已經(jīng)使用瀏覽器指紋識別技術(shù)，如BlueCava等[32]。

對于被動指紋信息，Ting-Fang Yen等[33]通過統(tǒng)計分析大量的網(wǎng)站用戶數(shù)據(jù)，證明在瀏覽器狀態(tài)不改變的情況下，被動指紋信息也足夠用來識別瀏覽器，并發(fā)現(xiàn)用戶即使在瀏覽器端清除了http Cookies或使用隱私模式瀏覽，再次訪問該網(wǎng)站的時候仍然可以被識別追蹤。

對于指紋追蹤的防御，Acar等[34]根據(jù)指紋識別技術(shù)中“字體”的識別，分析JavaScript代碼和flash腳本，從而編寫了一個識別采用這種指紋技術(shù)的追蹤者的工具。一些用戶使用代理服務器或瀏覽器插件等工具來隱藏指紋信息。然而Nick Nikiforakis等[2]通過分析3大提供指紋追蹤技術(shù)的商業(yè)廣告公司的代碼，發(fā)現(xiàn)一些公司使用用戶安裝的代理服務器信息和瀏覽器插件信息作為指紋信息，可以更準確地識別出用戶。

4 第三方追蹤防御及有效性

第三方追蹤引起的隱私問題受到越來越多的關(guān)注，為減緩第三方追蹤的隱私威脅，越來越多的組織、研究機構(gòu)以及 IT企業(yè)投入到第三方追蹤的防御工作中。美國和歐盟都針對第三方追蹤制定了相關(guān)的政策及標準。然而這些政策標準目前都不能有效地防御第三方追蹤，因此一些研究機構(gòu)和 IT企業(yè)也投入到對第三方追蹤防御工作的研究中。國內(nèi)對于第三方追蹤的研究很少，國際上對于第三方追蹤的防御工作的研究主要分為 2大方向：1）平衡用戶隱私和第三方追蹤（特別是廣告廠商），既能保護用戶的隱私，又可以完成廣告的定制推送服務；2）在客戶端采取措施，使用戶完全控制自己的信息是否可被第三方應用獲取。本節(jié)首先介紹關(guān)于第三方追蹤的相關(guān)政策，然后從平衡用戶隱私和第三方追蹤與用戶完全控制2個方向介紹第三方追蹤防御的相關(guān)研究和發(fā)展。

4.1 相關(guān)政策及標準

美國聯(lián)邦貿(mào)易委員會（FTC, federal trade commission）是最主要的聯(lián)邦消費者保護監(jiān)管和執(zhí)法機構(gòu)。2007年，幾個消費者團體對FTC提出倡議，為在線廣告創(chuàng)建一個“Do Not Track”列表[35]。2010年12月，F(xiàn)TC在發(fā)布的隱私報告中要求設計一個“Do Not Track”系統(tǒng)可以使用戶能控制自己在網(wǎng)絡上的隱私信息。2012年，白宮發(fā)布了一份與美國商務部合作的在線隱私報告[36]，該報告提出了一個隱私保護的框架和基本的隱私立法。

歐盟在 2002的電子隱私指示文件（ePrivacy directive）2002/58/EC中指出，網(wǎng)站需要賦予用戶“選擇不同意”（opting-out）的權(quán)利，使用戶可以選擇不允許網(wǎng)站在用戶本地瀏覽器存儲信息，然而這項文件并沒有起到任何效果[37]。2009年，歐盟又在其修訂文件2009/136/EC中出使用“選擇同意”(opting-in)原則來替代“選擇不同意”原則，大部分的成員國認為“Do Not Track”機制可以滿足該指示文件的要求。2012年，歐盟委員會（European Commission）在歐盟數(shù)據(jù)保護法[38]（EU data protection law）中增加了一條規(guī)定，該規(guī)定明確要求非歐盟企業(yè)非法追蹤歐盟公民將被嚴厲處理，其罰款金額高達其公司利潤的2%。

W3C（world wide Web）近年來一直在標準化和實現(xiàn)“Do Not Track”機制[29]：當用戶提出“Do Not Track”請求時，具有“Do Not Track”功能的瀏覽器在 http 數(shù)據(jù)傳輸中添加一個頭信息，這個頭信息向第三方應用表明用戶不希望被追蹤，這樣，遵守該規(guī)則的第三方應用就不會追蹤用戶的個人信息來用于更精準的在線廣告。目前，幾乎所有的主流瀏覽器都采用了“Do Not Track”，如 IE[39]、Firefox[40]、Google Chrome、Safari[41]等。然而，一些第一方網(wǎng)站可以忽略“Do Not Track”頭部繼續(xù)追蹤用戶。

4.2 平衡用戶隱私和第三方追蹤

一些研究希望在保證用戶隱私的情況下，同時也保證第三方應用的利益。這一類研究的總體原則為：既保證目前第三方應用可以正常地為用戶提供服務，又使得第三方應用無法獲得用戶真正的隱私信息。目前這些研究主要針對于廣告類第三方應用和網(wǎng)站分析類第三方應用。

對于廣告類第三方應用，一些研究者試圖將廣告信息存放在客戶端。由于客戶端中存放了用戶所有的瀏覽歷史，因此可以為用戶提供更精準的廣告推薦服務。

Toubiana等[42]提出了一個在不影響用戶隱私前提下保證行為廣告的使用系統(tǒng)——Adnostic。該系統(tǒng)的工作原理是：廣告網(wǎng)絡根據(jù)少量的用戶信息，選出一定數(shù)量的廣告發(fā)給客戶端；由于用戶的瀏覽歷史等隱私信息存儲在瀏覽器，行為分析過程則在瀏覽器端完成，并根據(jù)行為分析的結(jié)果選擇推薦廣告顯示在廣告發(fā)布商的網(wǎng)站上；對于廣告付費的模塊，該系統(tǒng)使用高效的加密算法，從而保證用戶的隱私安全。然而，該系統(tǒng)存在以下幾個問題：1) 由于瀏覽器中只存儲一定數(shù)量的廣告，廣告定位的精準性可能會受到影響；2) 該系統(tǒng)會增加帶寬和延時，削弱用戶體驗；3) 沒有采取匿名化的措施，廣告商可以通過用戶的指紋信息識別出用戶，從而獲得用戶的瀏覽歷史等隱私信息；4) 并沒有解決廣告模式中競價機制。Reznichenko等[43]提出一種算法，能夠在盡量保證用戶隱私數(shù)據(jù)的情況下，允許廣告審計方進行廣告排名，從而解決Adnostic系統(tǒng)中的競價機制問題。

Guha等[44]也提出了一個與 Adnostic類似的系統(tǒng)——Privad，將行為分析和目標廣告選擇在用戶瀏覽器中執(zhí)行。不同的是，這個系統(tǒng)更為復雜。為解決Adnostic系統(tǒng)中存在的匿名化的問題，該系統(tǒng)在現(xiàn)有的網(wǎng)絡框架中的3大要素廣告發(fā)布商，廣告網(wǎng)絡和廣告商的基礎(chǔ)上又增加了 2個要素終裁者（dealer）和監(jiān)督者（monitor）。然而，該系統(tǒng)中新添加的2個元素會改變廣告模型的架構(gòu)，因此不利于整個系統(tǒng)的推廣使用。

對于網(wǎng)站分析類的第三方應用，由于第三方應用需要獲得用戶的一些信息才可以為第一方網(wǎng)站提供分析統(tǒng)計服務。因此廣告類的平衡架構(gòu)不適用于網(wǎng)站分析類的第三方應用。一些研究者試圖在用戶信息中加入噪音信息來保護用戶的隱私。

Akkus等[45]提出了一種不需要追蹤也可以進行Web分析的系統(tǒng)。該系統(tǒng)假設網(wǎng)站分析類第三方應用只需要第一方網(wǎng)站用戶的統(tǒng)計信息，而非每個用戶的個人信息，通過差分隱私算法，為這些統(tǒng)計信息添加噪音，從而保護了用戶的隱私行為。然而該系統(tǒng)的限制條件較多，不能真正在實際中使用。

4.3 用戶完全控制

目前，所有平衡用戶與第三方應用的利益的研究都側(cè)重于某一類型的第三方應用。無論對于單獨一種類型的第三方應用，還是對于所有類型的第三方應用，都不存在可以推廣使用的系統(tǒng)架構(gòu)。然而，第三方追蹤對用戶隱私安全造成的威脅亟待解決，因此一些技術(shù)方法將對第三方追蹤的防御完全作用在客戶端，使用戶來決定自己的隱私信息是否可以被第三方應用獲取。這些技術(shù)可以分為如下幾類。

1) 阻止Cookies或Flash Cookies

如第3節(jié)所述，Cookies和Flash Cookies被用來記錄用戶的信息。這種方法主要由瀏覽器和瀏覽器插件提供，用來阻止第三方應用在用戶瀏覽器中建立Cookies或Flash Cookie?！癗o Cookie for Google search”[46]是一款瀏覽器插件，用來阻止Google搜索建立的Cookies，以此防止Google追蹤用戶的搜索記錄。BetterPrivacy[47]提供一些方法用戶可以處理來自 Google、YouTube、Ebay 等的 Flash Cookies。然而，一些第三方應用仍然可以使用指紋信息來對用戶進行追蹤。

2) 阻止腳本執(zhí)行

腳本代碼在第三方追蹤有著重要的作用：在有狀態(tài)的追蹤技術(shù)中，腳本代碼可以用來設置 http Cookie、html Local Storage與Flash Cookie進行交互等；在無狀態(tài)的追蹤技術(shù)中，腳本代碼可以用來獲取主動指紋信息。因此一些工具采取阻止腳本執(zhí)行的方式來防御第三方追蹤，如NoScript[48]。然而，阻止腳本執(zhí)行的這種保護方法，會使頁面沒有辦法正常加載和工作，影響用戶應用體驗。

3) Opting out Cookies

Opting out Cookies是一些網(wǎng)站在用戶的瀏覽器文件夾中創(chuàng)建的 Cookies，當用戶瀏覽這些網(wǎng)站時，網(wǎng)站若檢測出用戶安裝了Opting out Cookies，則將停止該用戶在網(wǎng)站中繼續(xù)安裝Cookies。Opting out Cookies用來告訴第三方應用不要在用戶的瀏覽器上安裝 Cookies，如 Keep My Opt-Outs[49]和Targeted Advertsing Cookie Opt-Out[50]都用來提供Opting out Cookies的功能，然而，一些第三方應用可以忽略這條規(guī)則繼續(xù)追蹤。Leon等[51]證明了Opting out Cookies機制的無效性。

4) 過濾協(xié)議頭部

通過過濾http協(xié)議頭部中的信息來保護用戶的隱私安全，比如，一些工具被用來修改或移除Referer頭部。然而，http協(xié)議頭部的一些信息在網(wǎng)絡安全的其他方面有著重要的作用，如Referer頭部在對抗跨站請求偽造攻擊中有著重要的作用，因此移除或修改頭部會對其他方面的安全造成影響。與此同時，頭部過濾只能保護用戶部分隱私信息。

5) 黑名單

一些瀏覽器插件通過阻止向黑名單中的第三方應用發(fā)送請求來防御第三方追蹤，如DoNotTrackMe[52]、Ghostery[53]、Adblock Plus[54]等。當用戶瀏覽第一方網(wǎng)站時，這些瀏覽器插件將截獲并檢查數(shù)據(jù)分組，若存在向黑名單中的第三方應用發(fā)送的請求數(shù)據(jù)分組，則將這些數(shù)據(jù)分組丟棄，從而黑名單中的第三方應用將無法獲得用戶的任何信息，有狀態(tài)的追蹤和無狀態(tài)的追蹤都無法實現(xiàn)。目前，這種防御方式被認為是最有效的防御第三方追蹤的措施[3,47,55]然而，黑名單需要人工來建立和維護，且現(xiàn)有黑名單中的有追蹤行為的第三方應用的數(shù)目很有限，仍然有大量未知的有追蹤行為的第三方應用沒有被發(fā)現(xiàn)。因此只能被防御黑名單中存在的第三方應用。

4.4 小結(jié)

綜上所述，平衡用戶與第三方應用的利益的研究尚處于起步階段，且現(xiàn)有的作用在客戶端的防御措施都不能很好地對抗第三方追蹤技術(shù)。表3列出了現(xiàn)有的防御措施針對第三方追蹤技術(shù)的有效性[3,6,7]。除了可以防御主動指紋追蹤，阻止腳本執(zhí)行在一定情況下對有狀態(tài)追蹤較為有效：當?shù)谌綉猛ㄟ^執(zhí)行腳本來獲取 http Cookies，F(xiàn)lash Cookies, html Local Storage信息時，阻止腳本執(zhí)行可以阻止這些有狀態(tài)的追蹤，而當?shù)谌綉猛ㄟ^http頭部獲取http Cookies時，則無法進行防御；阻止http Cookies或Flash Cookies可以防御有狀態(tài)的追蹤；Opting out Cookies可以防御HTTP Cookies；過濾協(xié)議頭部可以防御某些被動指紋信息被獲取；黑名單防御對黑名單中的第三方應用防御有效。從表3中可以看出，尚未存在一種有效的防御措施可以完全防御第三方追蹤問題。

黑名單作為一種最為有效的防御措施，但防御的有效性取決于黑名單的覆蓋率。由于并不是所有的第三方應用都會對用戶的行為進行追蹤，如何判斷一個第三方應用是否為第三方追蹤者需要專家進行多方面的判斷。因此，現(xiàn)有的工具中，黑名單大多通過人工建立和維護。人工建立和維護需要的工作量和資源較大，第三方追蹤者的數(shù)量不斷增多，黑名單需要定期的維護和更新，如何準確且自動化地獲取黑名單成為亟待解決的問題。目前，通過機器學習的方法，根據(jù)現(xiàn)有的黑名單中追蹤者的特征建立分類器。該分類器可以準確提取出使用腳本追蹤的第三方應用的名單。

5 思考與討論

隨著Web多樣性的發(fā)展，第三方應用被越來越多的第一方網(wǎng)站使用，第三方追蹤引起的隱私問題受到越來越多的組織、研究機構(gòu)以及 IT企業(yè)的關(guān)注。越來越多的新技術(shù)用于第三方追蹤，因此第三方追蹤的防御工作也面臨著更多的挑戰(zhàn)。

從第三方追蹤技術(shù)方面考慮，追蹤技術(shù)的發(fā)展趨勢如下。

1) 多種有狀態(tài)追蹤技術(shù)配合使用[25,26]。當用戶刪除一種追蹤信息后，其他追蹤信息會立刻進行復制恢復。比如，當用戶刪除http Cookies后，存放在Flash Cookies中的數(shù)據(jù)會恢復http Cookies的值。

2) 著重發(fā)展無狀態(tài)追蹤技術(shù)[30,32,33]。相對于有狀態(tài)的追蹤技術(shù)，無狀態(tài)追蹤技術(shù)更難防御?，F(xiàn)有的許多防御措施都針對于有狀態(tài)的追蹤技術(shù)。因此，越來越多的第三方應用采用無狀態(tài)追蹤技術(shù)來進行追蹤。

3) 無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)結(jié)合使用[26,29,32]。無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)各有其優(yōu)勢。有狀態(tài)追蹤更易追蹤用戶，直接且準確地獲取用戶的信息，且數(shù)據(jù)存放在客戶端，減少服務器負載。但有狀態(tài)的追蹤技術(shù)易于防御，只需在客戶端定期刪除 http Cookies、Flash Cookies或HTML5 Local Storage中的信息記錄即可；無狀態(tài)追蹤技術(shù)獲取信息后，還需要指紋識別算法才能得到用戶的瀏覽歷史，且存在一定誤差。然而，無狀態(tài)的追蹤技術(shù)難以防御。因此，多種無狀態(tài)追蹤技術(shù)與有狀態(tài)追蹤技術(shù)的結(jié)合使用，將成為未來追蹤技術(shù)發(fā)展的主要方向。

從第三方追蹤防御方面考慮，第三方追蹤的防御研究重點如下。

1) 平衡用戶的隱私和第三方追蹤，既能保護用戶的隱私又能保證第三方應用的利益?，F(xiàn)有的研究仍處于初級階段[42~45]：只針對于廣告或網(wǎng)站分析類的第三方應用進行了研究，且假設條件過多，需要改變現(xiàn)有的商業(yè)模式，無法真正地擴展應用。這方面的研究，還有許多問題需要克服。

表3 現(xiàn)有的防御措施的有效性

2) 無狀態(tài)追蹤的防御[34]。無狀態(tài)追蹤技術(shù)發(fā)展迅速，哪些指紋信息可以被用來識別用戶，第三方應用是否使用了無狀態(tài)追蹤都很難確認，從而防御工作很難進行。如何對無狀態(tài)追蹤進行防御，值得深入研究。

3) 黑名單的自動化獲取。黑名單作為目前最為有效的防御方法[55]，如何準確且自動化地獲取黑名單成為亟待解決的問題。目前，這方面的工作仍然很缺乏，值得深入研究。

6 結(jié)束語

本文首先介紹了第三方應用的類型及發(fā)展趨勢，越來越多的網(wǎng)站使用第三方應用，平均每個網(wǎng)站中引用第三方應用的數(shù)目也逐年增多。接著介紹了現(xiàn)有的第三方追蹤技術(shù)。按照是否在本地進行存儲可以分為有狀態(tài)的追蹤和無狀態(tài)的追蹤。有狀態(tài)的追蹤技術(shù)包括：http Cookies、Flash Cookies和HTML5 Local Storage等。相對于有狀態(tài)的追蹤技術(shù)，無狀態(tài)的追蹤技術(shù)采用指紋信息來識別用戶，獲取用戶的瀏覽歷史，因此更難防御。現(xiàn)有的防御工作主要分為 2個方向。一是如何平衡用戶隱私與第三方追蹤，既能保護用戶的隱私又能保證第三方應用的利益。這個方向的研究目前仍處于初級階段，然而，第三方追蹤對用戶隱私安全造成的威脅亟待解決。因此另一種防御工作的方向?qū)Φ谌阶粉櫟姆烙耆饔迷诳蛻舳?，以保證用戶隱私為首要目的。在現(xiàn)有防御方法中黑名單最為有效，如何準確且自動化地獲取黑名單成為亟待解決的問題。

[1] LIBERT T. Privacy implications of health information seeking on the Web[EB/OL].http://papers.ssm.com/sol3/papers.cfm?abstractid=2423 006.2014.

[2] NIKIFORAKIS N, KAPRAVELOS A, JOOSEN W,et al.Cookieless monster: exploring the ecosystem of Web-based device fingerprinting[A]. 2013 IEEE Symposium on Security and Privacy[C].2013.541-555.

[3] MAYER J R, MITCHELL J C. Third-party Web tracking: policy and technology[A]. IEEE Symposium on Security and Privacy (SP)[C].2012.413-427.

[4] MAYER J. Tracking the trackers: to catch a history thief[EB/OL].http://cyberlaw.stanford.edu/node/6695, 2011.

[5] MAYER J. Tracking the trackers: where everybody knows your username[EB/OL].http://cyberlaw.stanford.edu/blog/2011/10/tracking-tr ackers-where-everybody-knows-your-username, 2011.

[6] KRISHNAMURTHY B, NARYSHKIN K, WILLS C. Privacy leakage vs. protection measures: the growing disconnect[A]. Web 2.0 Security and Privacy Workshop[C]. 2011.1-10.

[7] MALANDRINO D, SCARANO V. Privacy leakage on the Web:diffusion and countermeasures[J]. Computer Networks, 2013,57:2833-2855.

[8] ROESNER F, KOHNO T, WETHERALL D. Detecting and defending against third-party tracking on the Web[A]. Proceedings of the 9th USENIX Conference on Networked Systems Design and Implementation[C]. 2012.12-12.

[9] LI Z, ZHANG K, XIE Y,et al. Knowing your enemy: understanding and detecting malicious web advertising[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C].2012.674-686.

[10] BARFORD P, CANADI I, KRUSHEVSKAJA D,et al. Adscape:harvesting and analyzing online display ads[A]. Proceedings of the 23rd International Conference on World Wide Web[C]. 2014.597-608.

[11] SMIT E G, VAN N G, VOORVELD H A M. Understanding online behavioural advertising: user knowledge, privacy concerns and online coping behaviour in Europe[J]. Computers in Human Behavior, 2014,32: 15-22.

[12] YAN J, LIU N, WANG G,et al. How much can behavioral targeting help online advertising[A]. Proceedings of the 18th International Conference on World Wide Web[C]. 2009.261-270.

[13] KOROLOVA A. Privacy violations using microtargeted ads: a case study[A]. IEEE International Conference on Data Mining Workshops(ICDMW)[C]. 2010.474-482.

[14] STUTZMAN F, GROSS R, ACQUISTI A. Silent listeners: the evolution of privacy and disclosure on facebook[J]. Journal of Privacy and Confidentiality, 2013,4(2):2.

[15] RADER E. Awareness of behavioral tracking and information privacy concern in facebook and Google[A]. Symposium on Usable Privacy and Security (SOUPS)[C]. 2014.

[16] Google Libraries API [EB/OL]. https://developers.google.com/speed/libraries/?hl=zh-CN.2014.

[17] Google Feed API[EB/OL]. https://developers.google.com/feed/? hl=zh-cn, 2014.

[18] Wordpress[EB/OL]. https://wordpress.com/, 2014.

[19] Akamai[EB/OL]. http://www.akamai.cn/enzs/, 2014.

[20] KRISHNAMURTHY B. Privacy leakage on the Internet[EB/OL].http://www.ietf.org/proceedings/77/slides/plenaryt-5.pdf, 2010.

[21] KRISHNAMURTHY B, WILLS C E. On the leakage of personally identifiable information via online social networks[A]. Proceedings of the 2nd ACM workshop on Online social networks[C]. 2009.7-12.

[22] HTTP cookie [EB/OL]. http://en.wikipedia.org/wiki/HTTP_cookie. 2014.

[23] SOLTANI A, CANTY S, MAYO Q,et al. Flash Cookies and privacy[A]. AAAI Spring Symposium: Intelligent Information Privacy Management[C]. 2010.

[24] COSTANTE E, DEN HARTOG J, PETKOVI? M. What Web Sites Know About You Data Privacy Management and Autonomous Spontaneous Security[M]. Springer Berlin Heidelberg, 2013.146-159.

[25] PRINCE J D. HTML5: not just a substitute for flash[J]. Journal of Electronic Resources in Medical Libraries, 2013, 10(2):108-112.

[26] AYENSON M, WAMBACH D J, SOLTANI A,et al. Flash cookies and privacy II: now with HTML5 and etag respawning[EBOL].http://ssrn.com/abstract=1898390.2011.

[27] LAWSON B, SHARP R. Introducing html5[M]. New Riders, 2011.

[28] CHRIS J, HOOFNAGLE N G. The Web privacy census[EB/OL].http://www.law.berkeley.edu/privacycensus.htm, 2012.

[29] RUIZ-MARTíNEZ A. A survey on solutions and main free tools for privacy enhancing Web communications[J]. Journal of Network and Computer Applications, 2012,35(5):1473-1492.

[30] ECKERSLEY P. How unique is your Web browser?[A]. Privacy Enhancing Technologies[C]. 2010.1-18.

[31] CARRASCAL J P, RIEDERER C, ERRAMILLI V,et al. Your browsing behavior for a big mac: Economics of personal information online[A]. Proceedings of the 22nd international conference on World Wide Web[C]. 2013.189-200.

[32] BlueCava [EB/OL]. http://www.bluecava.com/, 2014.

[33] YEN T F, XIE Y, YU F,et al. Host fingerprinting and tracking on the web:Privacy and security implications[A]. Proceedings of NDSS[C]. 2012.

[34] ACAR G, JUAREZ M, NIKIFORAKIS N,et al. FPDetective: Dusting the web for fingerprinters[A]. Proceedings of the 2013 ACM SIGSAC conference on Computer & communications security[C]. 2013.1129-1140.

[35] The history of the do not track header[EB/OL].https://www.cdt.org/privacy/20071031consumerprotectionsbehavioral.pdf, 2007.

[36] Consumer data privacy in a networked world[EB/OL]. http://whitehouse.gov/sites/default/files/privacy-final.pdf, 2012.

[37] Letter to the online advertising industry [EB/OL]. http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2011/20110803_letter_to_oba_annexes.pdf, 2011.

[38] Commission proposes a comprehensive reform of the data protection rules[EB/OL].http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm, 2012.

[39] IE9 and Privacy: Introducing Tracking Protection[EB/OL]. http://blogs.msdn.com/b/ie/archive/2010/12/07/ie9-and-privacy-introducing-tracki ng-protection-v8.aspx,2010.

[40] Web tool on firefox to deter tracking[EB/OL]. http://allthingsd.com/20110124/web-tool-on-firefox-to-deter-tracking/,2011.

[41] WINGFIELD N. Apple adds do-not-track tool to new browser[EB/OL]. http://online.wsj.com/news/articles/SB10001424052748703 551304576261272308358858, 2011.

[42] TOUBIANA V, NARAYANAN A, BONEH D,et al. Adnostic: privacy preserving targeted advertising[A]. NDSS[C]. 2010.

[43] REZNICHENKO A, GUHA S, FRANCIS P. Auctions in do-not-track compliant internet advertising[A]. Proceedings of the 18th ACM Conference on Computer and Communications Security[C]. 2011,667-676.

[44] GUHA S, CHENG B, FRANCIS P. Privad: practical privacy in online advertising[A]. Proceedings of the 8th USENIX Conference on Networked Systems Design and Implementation[C]. 2011.169-182.

[45] AKKUS I E, CHEN R, HARDT M,et al. Non-tracking web analytics[A]. Proceedings of the 2012 ACM Conference on Computer and Communications Security[C]. 2012.687-698.

[46] No cookie for Google search [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/no-cookie-for-google-search/, 2014.

[47] BetterPrivacy[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/betterprivacy/, 2014.

[48] NoScript[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/noscript/,2014.

[49] Keep My Opt-Outs[EB/OL]. https://chrome.google.com/webstore/detail/keep-my-opt-outs/hhnjdplhmcnkiecampfdgfjilccfpfoe, 2014.

[50] Targeted advertising Cookie Opt-Out [EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/targeted-advertising-cookie-op/,2014.

[51] LEON P, UR B, SHAY R,et al. Why Johnny can't opt out: a usability evaluation of tools to limit online behavioral advertising[A]. Proceedings of the SIGCHI Conference on Human Factors in Computing Systems[C]. 2012.589-598.

[52] DoNotTrackMe: online privacy protection[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/donottrackplus/,2014.

[53] Ghostery[EB/OL].https://addons.mozilla.org/zh-cn/firefox/addon/ghostery/,2014.

[54] Adblock plus[EB/OL]. https://addons.mozilla.org/zh-cn/firefox/addon/adblock-plus/, 2014.

[55] BAU J, MAYER J, PASKOV H,et al. A promising direction for Web tracking countermeasures[A]. Web 2.0 Security & Privacy[C]. 2013.