【伯樂線上小編注】:
Jeremy Rubin 此文寫於 10 月 28 日。小編沒能復現下文中的現象。其他朋友可測試驗證。
以下是正文。
作者注:這個情況已經通過合適的渠道反饋給了 Google,但他們決定不修復這個洩露行為。
某天,我的朋友給我發了一個搜尋結果頁的連結。我點開了連結,但是在我跳轉到目標頁面之前,我看到了另外一個搜尋結果頁,那個頁面是她早些時候對一個不知道定義的詞語的搜尋結果,而這個詞其實很常見。
我差點就把這些都寫下來了,但是我意識到我不能這麼做。
究竟發生了什麼?
我觀察了一下她發給我的 URL,URL 的結構大致如下:
https://www.google.com/search?q=first+search&ie=utf-8&oe=utf-8#q=second+search
你可以通過以下步驟復現這個 URL:
- 開啟 Chrome 或者 Firefox;
- 在搜尋欄查詢 X,然後再搜尋 Y ;
- 在位址列中的 URL 中,查詢欄位同時包含了 X 和 Y。
這個問題的後果是顯而易見的。那些在複製貼上之前沒有閱讀整個查詢字串的使用者可能會意外地把敏感的搜尋詞傳送給第三方。這並不是危言聳聽,我的朋友也的確因為她連一個常用詞彙的意思都不知道而感到尷尬。
我向朋友解釋了我是如何知道她搜尋過這個關鍵詞的,然後她給我發了下面這個 URL:
https://www.google.com/search?q=penis+enlarger&oq=penis+&aqs=chrome.0.69i59j69i65j69i57j0l3.998j0j7&sourceid=chrome&es_sm=91&ie=UTF-8#q=hamlet+the+play
你可以想象得到,人們可能通過這種方式無意間就洩露出去各種各樣的敏感資訊。
對網路釣魚行為的影響
這種行為也有可能被常見的網路欺詐所利用,比如下面這個例子:
親愛的 $W:
我是位於 $X 國家的研究員,我們國家的 google 搜尋引擎被遮蔽了(又黑我天朝 :) 譯者注)。如果你能把“$Y”關鍵詞的 Google 搜尋結果連同結果頁的 URL(因為我需要引用這個連結)一起發給我的話,我會對你的幫助感激不盡的。
祝好,
$Z
如果走運的話,使用者會使用已有的搜尋會話來搜尋結果,然後把 URL 暴露給你,同時也暴露了之前的搜尋內容。而之前的這些搜尋可能包含了敏感資訊。
我們該怪誰呢?
有些人說使用者應該對這種情況負責,畢竟是他們自己複製了資訊並且發給了別人——如果他們注重隱私的話,他們就會確認發出去的連結是否正確。然而一般使用者是不會想到 URL 也能洩露隱私的情況的,因為使用者會想當然地認為分享 URL 的行為應當是安全的。這種洩露行為也不符合現實生活中的使用者預期——我們只是隨意地複製貼上 URL,尤其是像這種搜尋結果頁的 URL。沒有人真的會檢查複製的 URL 是否包含了隱私資訊的。
想象一下,如果你走進圖書館,找了幾本有關你的一些難以啟齒的病狀的書籍。之後你把它們還回去,借了一本《1984》。後來你把 《1984》這本書推薦給了朋友,而他們去圖書館的借書的時候也發現了你上次在圖書館看過的書!當然,其實在 48 個州都有立法保護圖書館借閱記錄的隱私資訊。而 Google 自動把之前的搜尋關鍵詞包含進 URL 也是一種對使用者隱私權的侵犯。他們應該修復這個問題。
與此同時,請你再三檢查要發給別人的 URL,即使你發的頁面看起來並不包含敏感資訊,並且你也應當提醒你的朋友和家人加倍小心。