谷歌几乎是每个人最好的朋友。但是你有没有停下来想过有多少谷歌知道你?
你知道,谷歌可能已经记录和存储您曾经冲压成它的搜索框每一个搜索词?机会是其中的一些搜索可能是soberingly损害你的声誉。怎么样Gmail吗?你曾经发送的任何敏感的电子邮件?如何保存在谷歌文档的业务信息?
除非你坐了过去十年离线,您可能已经建立了自己对谷歌公司的服务器上一个非常详尽的个人资料。根据这几十你使用谷歌的服务,你的生活习惯,兴趣活动,日程安排,专业的追求,股票投资组合和医疗历史数据可以在谷歌的服务器坐在某个地方 - 你已经旅行路线沿记录映射,您访问过的网站等等。
好消息是,谷歌通过九个月后与搜索相关的IP地址,去掉最后三个数字,通过删除相关联的Cookie 18个月后,这使得它很难给你链接到超过搜索匿名的服务器日志18个月大。
不过,这仍然是进入你生活的一扇相当大的窗户。如果这些数据中有一部分或全部公开了呢?攻击者可以通过直接侵入谷歌服务器或侵入你的个人账户来访问你在谷歌上的信息。
“有一个巨大的在谷歌的东西量,” Gartner公司研究副总裁杰伊·海舍尔表示,“这将是天真的认为,所有这些信息是巨大兴趣广泛的人不行。”
更重要的是,大量的谷歌服务提供方式有访问数据的多种方式。“每个服务带来了自己独特的风险,”海泽说。“有在一个小漏洞潜在起来当别的东西相结合,增加了更显著的漏洞。”
和犯罪分子都没有谁可能会访问您的谷歌记录唯一的。政府应该(或者从你参与法律诉讼的律师)来调用,所需要的是一个简单的传票和谷歌被迫您的信息翻身,如谷歌的隐私权政策的规定。
底线是什么?大哥知道的很多比你更可能认为。但是,你不必避免谷歌让自己保持合理的安全。你只需要采取措施以防止被存储在谷歌在首位的服务器有潜在危险的信息,并保护您的帐户的完整性。
通过采取一些基本的 - 而且不那么基本 - 预防措施,可以最大限度地减少自己暴露在坏人,任何地方和无论他们是谁。请阅读下文,了解事情可以做,以尽量减少安全风险涉及使用谷歌,无论是搜索还是它的无数其他在线服务之一。
良好的措施,我们提供了关于如何保护自己的建议的两个层次:
*“Defcon黑客大会2”(安全性好)提示是东西,你可以用已经做的工具在您的处置,以保持自己的安全对典型的攻击 - 但不是针对一个坚定的攻击者。
* "Defcon 1" (best security) tips -- a.k.a. "the celebrity solution" (steps to take if you have, or intend to have, a highly visible public profile) -- offer far more security but are far less practical and often require using third-party tools.
最终,只有你能确定安全性和便利性是有意义的东西之间的权衡你。
风险1:搜索数据和元数据
如果你访问谷歌的网络历史记录页在美国,你可以看到你在谷歌账户注册多年后进行的每一次谷歌搜索。它不局限于文本搜索——你还可以看到你的谷歌图像搜索历史,谷歌视频搜索历史,谷歌地图搜索历史等等。默认情况下存储该数据;用户必须激活网络历史记录访问它。
谷歌使用这些信息的一些良性的目的,如微调其搜索算法和确定网络搜索公司谷歌趋势页面更宽的模式。但是,不管有用它是该公司称,它可能是一个安全的赌注,你不希望任何人看到每一个你曾经做过搜索。
Defcon的2
要防止搜索数据积累,最简单的方法是确保在搜索之前已退出谷歌帐户。如果您登录了,您的电子邮件地址将显示在谷歌主页的右上角,搜索结果页或任何您所在的谷歌网页。
另外,关闭谷歌的网络历史记录。在谷歌主页的右上角,选择设置——>谷歌账户设置,点击页面左侧中间“我的产品”旁边的“编辑”,点击“永久删除Web历史”。(If you don't see this option, it means you never initially activated Web History.)
这可让您取消谷歌的网络历史记录服务,并删除所有帐户链接到您的搜索从谷歌的服务器上的特定数据。谷歌仍然会保持数据的搜索与您的IP地址9个月,用了18个月的其他非个人信息关联,但这个数据没有具体链接到您的身份。
然而,Web历史服务可以对个人用户有价值,而不仅仅是对谷歌。搜索历史的每一个网络搜索,你曾经运行可能是一个强大的工具,为你自己使用。如果你对你的搜索数据在网络历史记录中可用感到满意,但又想从列表中删除一些“有罪恶感”的搜索,那么在你的帐户页面“我的产品”下选择“网络历史记录”,然后点击左边菜单中的“删除项目”。这将在历史记录中的每个查询旁边放置一个复选框;选择你想要扔到记忆洞里的,然后点击“删除”,它们就会被删除。
您也可以点击“清除整个Web的历史”链接在网页底部的一次全部删除过去的搜索,或“暂停”网络历史记录了一段时间,如果你知道你的一些即将推出的搜索可能是难以解释或透露太多个人信息。为了把网络历史记录保留,只需点击左侧菜单中的“暂停”链接,然后点击“恢复”到了网络历史记录再次开始保存您的搜索。
DEFCON 1
退出谷歌可以防止搜索与您的直接关联,但不能防止搜索与您的IP地址和其他信息(如操作系统和)的关联浏览器中使用,时间以及搜索的日期,并保存到您的计算机是搜索的cookie ID。(谷歌的隐私常见问题解答展示了一个简单的日志条目。)一个坚定的攻击者可以想见,从谷歌的服务器日志工作落后的发现你的身份。
为了防止这种情况,通过使用Tor这样的,匿名者或PhZilla Firefox扩展工具,匿名您的网络中使用。这些工具漏斗您的Web应用通过一个或多个代理,从市反弹至世界各地的城市,所以您的搜索无法直接回电脑跟踪。被警告,虽然:上网冲浪是显著慢,当它需要使用代理服务器的地方。
风险2:追踪cookies
谷歌使用Cookie来您的登录状态存储为它的各种服务,所以,举例来说,你不必登录到谷歌日历,当你已经登录到Gmail。但是,这意味着你要离开,可以从谷歌的服务器,并从硬盘进行访问都造访的痕迹。
此外,谷歌旗下的广告服务的DoubleClick使用cookie,因为他们的网站中可以让访问者进行跟踪,并将该信息,用你的谷歌登录相结合,可以准确地识别您访问的网站。
Defcon的2
使用浏览器的安全或隐私设置以拒绝第三方的cookies - 也就是说,从比你正在访问的网站等的来源饼干。
如果你想让特定网站记住你的登录信息或偏好,屏蔽所有cookie可能会有问题。另一方面,封锁第三方cookie在大多数网站上不会给你带来不便,但会让你的隐私更加隐私化。
需要注意的是阻止新的第三方cookie不会真正摆脱那些已经在系统上的那些的。因此,要彻底,你可以用你的浏览器的安全/隐私设置,从而删除所有当前的Cookie一次 - 你必须重新输入登录信息或偏好在某些网站(但只有一次),这意味着- 或通过您的cookies文件的外观和手动删除那些不是来自你想保持其Cookie的网站。
然而,一些服务——尤其是Doubleclick——即使在阻止第三方cookie的情况下也能够安装cookie。具有讽刺意味的是,你可以通过安装一个选择退出cookie来选择退出Doubleclick的cookie。但是如果你在任何时候清除你的cookie文件,你也可以删除选择退出cookie。谷歌提供了工具和说明,让你的选择退出首选项在Firefox、Internet Explorer、Chrome和Safari中永久保留。
另一种选择是利用浏览器的“隐私浏览”功能。火狐,Safari,IE,Opera和Chrome浏览器都提供私人浏览会议的最新版本 - 有时被称为“的InPrivate”或“改名”浏览 - 即清除cookies和密码,当你关闭浏览器,并删除网络历史记录和浏览器缓存。
唯一的挑战是要记住你开始一个敏感的搜索之前选择私人浏览。
DEFCON 1
完全阻止脚本和广告。使用广告拦截软件,如针对Firefox、Opera和Chrome的AdSweep,或针对IE8的AdblockIE,可以阻止网站提供广告,包括Doubleclick的广告。
许多广告(包括谷歌的AdWords)使用JavaScript来负载。除了广告拦截脚本是保持加载和第三方追踪Cookie的广告找到自己的方式到你的系统的皮带和吊带的方式。你可以关闭JavaScript等脚本使用浏览器的安全设置,或者如果您使用的是Firefox使用NoScript的扩展。
这将使大量的网站无法使用,但它将使跟踪你的在线行为变得更加困难。请注意,您可以使用IE8中的“受信任网站”列表(在Internet选项下的“安全”选项卡上)为您信任的网站添加异常,或者单击NoScript工具栏图标,并选择“允许”您希望接受脚本的网站来恢复功能。
风险3:黑客攻击谷歌
即使您像信任您的母亲一样信任谷歌,该公司积累的有关您生活的大量数据也令人生畏——当您考虑到如果谷歌以外的人成功访问了谷歌的服务器会发生什么情况时,情况就更糟了。
听起来牵强?谷歌的内部网络是在2009年12月在违反广泛的攻击这次被称为“极光行动”的行动导致了至少一名中国人权活动人士的部分谷歌源代码和部分(但不是全部)个人资料被盗,包括他本人创建帐户数据和电子邮件主题行。
谷歌可能有一些在世界上的工作,以确保其系统最优秀的人才,但它也是一个大的目标 - 和潜在的大奖 - 黑客。“公司像谷歌受到攻击,因为他们对你如此多的数据,” CSIdentity,身份盗窃保护服务的基于奥斯汀提供商的CEO比尔·莫罗说。“非但没有你的生活的数字足迹的一个小片段的,[攻击者]可以让你的整个轮廓。”
Defcon的2
使用常识。“如果这是绝对重要的知识产权,就不要使用(在线)服务,”圣何塞安全服务提供商和研究公司安全联盟(Security Consortium)的首席执行官马克•卡德里奇(Mark Kadrich)说。
这同样适用于个人信息。没有一个系统是100%的完美。如果你根本无法从一个资料片让外面的世界恢复,则没有在线服务,可以为您提供安全的,你需要的水平。
而谷歌的机制是强大到足以抵御共同的威胁,确定攻击者如公司竞争对手或谁获得您的帐户上的谷歌可能你已经委托给公司可以想象访问接入的一切政府的代理人 - 你没”包括数据甚至不知道你留下。
安全供应商TriCipher公司业务开发和产品管理副总裁Vatsal Sonecha说:“在同一个登录凭证下,你同时拥有非常敏感和不太敏感的数据。”“进入你账户的攻击者拥有王国的钥匙。”
这是给你做什么之间的信息是可以信任谷歌和什么不可以的区别。
DEFCON 1
加密电子邮件。如果您使用的电子邮件客户端如Outlook或Thunderbird访问Gmail帐户,您可以像使用PGP公司的PGP桌面主页或它的开源表妹的GnuPG产品来加密所有外发电子邮件。或者你也可以使用FireGPG的Firefox扩展,以加密添加到Gmail的Web界面。
企业可以使用PGP的基于服务器的产品,在桌面上或在一个工具,如PGP桌面企业将所有发出的电子邮件在网络层进行加密。
你必须坚持,别人送你只加密电子邮件,但是,或所有接收到的电子邮件仍然是纯文本。不幸的是,有没有相应的加密工具为其他谷歌服务 - 一些像谷歌健康,您的数据加密,但不是所有的事。
风险4:黑客猜你登录