DuckDuckGo 是一家自称为“互联网隐私公司”的公司——多年来,该公司一直围绕着非跟踪网络搜索的主张打造品牌,最近推出了自己的带有内置跟踪器拦截功能的“私人”浏览器。在研究人员发现其跟踪保护存在隐藏限制后,发现自己陷入了困境,该限制为其搜索联合合作伙伴微软的某些广告数据请求创造了例外。
昨天晚些时候,有问题的研究员 Zach Edwards 在推特上发布了他的审计结果——称他发现 DDG 的移动浏览器不会阻止微软脚本在非微软网络资产上发出的广告请求。 (注意:这与您在使用 DDG 时实际点击广告时发生的情况不同——因为它的隐私政策明确披露,此时所有隐私赌注都已取消。)
Edwards 在 Facebook 拥有的网站 Workplace.com 上测试了浏览器数据流,发现虽然 DDG 通知用户它已阻止 Google 和 Facebook 跟踪器,但它并没有阻止 Microsoft 接收与他们在非 Microsoft 网站上的浏览相关的数据流.
您可以在 Facebook 的https://t.co/u8W44qvsqF等网站上的 DuckDuckGo 所谓的私人浏览器中捕获数据,您会看到 DDG 不会阻止数据流向 Microsoft 的 Linkedin 域或其 Bing 广告域。
iOS + Android 证明:
🫥
pic.twitter.com/u3Q30KIs7e
— ℨ𝔞𝔠𝔥 𝔈𝔡𝔴𝔞𝔯𝔡𝔰(@thezedwards) 2022 年 5 月 23 日
Edwards 在推特上与 DDG 的创始人兼首席执行官 Gabe Weinberg 来回讨论,他最初似乎试图通过强调他所说的 DDG 浏览器确实阻止的所有内容来淡化这一发现(例如,第三方跟踪 cookie,包括来自微软的那些)。
Weinberg 还特别热衷于明确数据流问题与 DuckDuckGo 搜索无关。
然而,对 DDG 浏览器跟踪器拦截的限制确实相当于免除了对某些广告数据传输到 Microsoft 子公司(Bing、LinkedIn)的保护——这可用于跨站点跟踪网络用户以进行广告定位。或者,换句话说,破坏DDG浏览器用户的隐私。
您可以在 Facebook 的https://t.co/u8W44qvsqF等网站上的 DuckDuckGo 所谓的私人浏览器中捕获数据,您会看到 DDG 不会阻止数据流向 Microsoft 的 Linkedin 域或其 Bing 广告域。
iOS + Android 证明:
— ℨ𝔞𝔠𝔥 𝔈𝔡𝔴𝔞𝔯𝔡𝔰(@thezedwards) 2022 年 5 月 23 日
在推特上,温伯格反复确认爱德华兹的审计是正确的——“承认达成了一项接触协议,他说通过写下 DDG 与微软的‘搜索联合协议’限制了 DDG 在这种情况下阻止跟踪器的能力,微软拥有并运营Bing 搜索引擎和索引阻止我们阻止加载 Microsoft 拥有的脚本。”
他补充说,DDG 正在“努力改变这一点”。
这只是关于非 DuckDuckGo 和非 Microsoft 站点,我们的搜索联合协议阻止我们阻止 Microsoft 拥有的脚本加载,尽管我们仍然可以在加载后应用保护(如 3rd 方 cookie 阻止)。我们也在努力改变这一点。
——加布里埃尔·温伯格(@yegg) ,2022 年 5 月 24 日
在 Twitter 上被问及 DDG 的合同是否包含一项条款,阻止其公开抱怨微软(一家拥有不断增长的广告技术业务的科技巨头)对其施加的限制,温伯格告诉我们:“我们的联合合同有广泛的保密要求,以及具体要求文件本身也被明确标记为机密。”
在与 TechCrunch 讨论他的调查结果和 DDG 的回应时,Edwards 称自己对 Weinberg 对他的审计的公开回应感到“非常震惊”——他总结为“没有针对 DuckDuckgo 和微软之间秘密合作所产生的问题的公开解决方案”。 ”
当天,该问题在Hacker News上爆出——Weinberg(又名 yegg)在评论中一直在做更多的救火工作,重申 DDG 的手受到与微软的合同的束缚,并进一步声称它继续敦促改变“这个有限的限制。”
“这只是我们浏览器中的非 DuckDuckGo 和非微软网站,我们的搜索联合协议目前阻止我们阻止微软拥有的脚本加载,尽管我们仍然可以在加载后应用浏览器的保护(如 3rd 方 cookie阻止和上面提到的其他人,并做)。我们也在幕后不知疲倦地努力改变这种有限的限制,”温伯格在网站上写道。
“我也理解这令人困惑,因为它是一个搜索联合合同,它阻止我们做非搜索的事情。这是因为我们的产品是多重隐私保护的捆绑,这是作为搜索联合协议的一部分强加给我们的分发要求。我们的联合协议也有广泛的保密条款,要求文件本身也被明确标记为机密,”他补充说。
虽然 DDG 的浏览器显然不会阻止所有脚本 – 并且随着跟踪技术的不断发展,没有任何跟踪器阻止程序会 100% 有效 – 这种对 Microsoft 脚本的剥离看起来有所不同,因为它是附加到合同协议的特定豁免这与一项商业交易有关,该交易允许 DDG 在其核心产品中使用微软的搜索索引——在 Edwards 审计之前,这些都不是(表面上)公开的知识。
在关于该问题的进一步公开评论中,温伯格暗示 DDG 正试图平衡为浏览器用户提供非常简单的跟踪器拦截器体验的目标(即,最大限度地提高可访问性)与加强保护可能进一步增强用户隐私但具有潜在的体验成本(例如,损坏的网页)。
然而,DDG 没有向浏览器用户披露微软对其保护的相关限制尤其令人担忧——尤其是考虑到与其以隐私为重点的营销方式形成鲜明对比,后者告诉用户他们将“逃避网站跟踪”(这显然没有发生在 Edwards 确定的特定 Microsoft 相关实例中)。因此,DDG 可能会误导用户并损害其作为支持隐私的企业的声誉。
在最近发布的针对 Hacker News 评论的回复中,温伯格似乎已经接受了 DDG 进行更全面披露的必要性,他写道:“我们今天将努力工作,以找到一种方式在我们的应用商店描述中说出以下内容:更好的披露——可能会在一天结束时有所进展。”
“我理解这里的担忧,我们正在努力以各种方式解决,但要明确的是,没有任何应用程序会出于各种原因提供 100% 的保护,而且这里有问题的脚本目前确实在我们的浏览器中对它们提供了重要的保护,“ 他加了。
我们带着问题联系了温伯格。他给我们发了这样的声明:
我们一直非常小心,绝不会在浏览时承诺匿名,因为坦率地说,鉴于跟踪器改变其逃避保护的工作方式和我们目前提供的工具的速度有多快,这是不可能的。当市场上的大多数其他浏览器谈论跟踪保护时,它们通常指的是 3rd-party cookie 保护和指纹保护,我们的 iOS、Android 和我们的新 Mac beta 浏览器对第三方跟踪脚本施加了这些限制,包括那些来自微软的。我们在这里谈论的是大多数浏览器甚至都不会尝试做的超越保护——也就是说,在第三方跟踪脚本加载到第三方网站之前就阻止它们。因为这会导致网站崩溃,所以无论如何我们都无法做到这一点。然而,我们的目标一直是在一次下载中提供我们所能提供的最大隐私,默认情况下没有任何复杂的设置,所以我们接受了这一点。
我们还向微软提出了有关它对搜索联合合作伙伴施加的限制的问题,但在撰写本文时,这家科技巨头尚未做出回应。
隐私权衡从来都不是很好,但一个结论在这里看起来是不可避免的:反垄断监管机构需要仔细检查搜索联合市场——因为它基本上由两个把关广告技术巨头谷歌和微软组成,它们完全有权执行(不公平)条款任何其他想要提供有竞争力的搜索产品的人,或者,在某些情况下,确实是一个替代的网络浏览器。
欧洲监管机构最近同意了一项新的事前竞争制度,该制度针对最强大的中介平台——《数字市场法》将其称为互联网“看门人”。 DMA 显然适用于搜索引擎,但委员会是否会发现机会,通过在仅有的两个重要索引上执行围绕搜索联合的公平使用条款,利用即将出台的法规打开搜索市场。
原文: https://techcrunch.com/2022/05/24/ddg-microsoft-tracking-blocking-limit/