Mozilla称谷歌的新广告技术不保护用户隐私

谷歌即将推出的计划是，用一种入侵性较小的针对广告的机制来取代第三方cookie，该计划存在许多问题，可能会挫败谷歌的隐私目标，并允许用户行为具有显著的可链接性，甚至可能会识别个人用户。

《TLS标准》一书的作者、Mozilla首席技术官埃里克·雷科拉（Eric Rescorla）说：“FLoC以一个引人注目的想法为前提：在不让用户面临风险的情况下实现广告定位。”。“但目前的设计有许多隐私属性，如果以目前的形式广泛部署，可能会产生重大风险。”

FLoC是联合队列学习的简称，是谷歌刚刚起步的隐私沙箱计划的一部分，该计划旨在开发替代解决方案，以满足跨站点使用情况，而无需求助于第三方cookie或其他不透明的跟踪机制。

基本上，FLoC允许营销人员猜测用户的兴趣，而不必唯一地识别他们，从而消除与定制广告相关的隐私影响，该公司目前依靠跟踪cookie和设备指纹等技术，将用户在网站上的浏览历史暴露给广告商或广告平台。

FLoC用一个新的“群组”标识符避开了cookie，在这个标识符中，用户根据相似的浏览行为被划分成多个群组。广告商可以汇总这些信息，建立一个网站列表，让群组中的所有用户访问，而不是使用特定用户的访问历史，然后根据群组兴趣定位广告。

简而言之，这个想法是利用设备机器学习，通过在Chrome浏览器上保留用户的网络历史记录，在人群中“隐藏”个人。

Mozilla说：“对于FLoC，个人资料是关于整个FLoC属性的附加信息的潜在来源。”。“例如，可以对个人资料中的信息进行概括，从而为整个FLoC队列的决策提供信息。”

此外，在设备上每周重新计算分配给用户的队列ID，这意味着反映用户随着时间的推移不断变化的兴趣，并防止其作为跟踪用户的持久标识符使用。谷歌目前正在其Chrome浏览器中对FLoC进行origin试用，计划在明年某个时候推出FLoC，以取代第三方cookie。

尽管谷歌承诺提供更大程度的匿名性，但它的提议遭到了监管机构、隐私倡导者、出版商以及所有使用开源Chromium项目的主要浏览器（包括Brave、Vivaldi、Opera和Microsoft Edge）的强烈抵制。“FLoC最糟糕的一面是，它以隐私友好为幌子，实质上损害了用户隐私，”布拉夫在4月份说。

“隐私安全广告投放”的方法也来自电子前沿基金会的扫描仪，它称FLoC为一个“可怕的想法”，它可以降低公司根据个人分配给他们的队列ID收集个人信息的障碍。EFF说：“如果一个追踪器从你的FLoC队列开始，它只需要将你的浏览器与几千个其他浏览器（而不是数亿个）区分开来。”。

事实上，根据Digiday最近的一份报告，“公司开始将FLoC ID与现有的可识别个人资料信息相结合，将人们对数字旅行的独特见解与他们已经知道的信息联系起来，甚至在第三方cookie跟踪可能披露之前，”有效地抵消了该系统的隐私好处。

Mozilla对FLoC的分析支持了这一观点。鉴于只有几千名用户共享一个特定的群组ID，拥有额外信息的追踪器可以通过将标识符与指纹数据耦合，甚至利用定期重新计算的队列ID作为泄漏点，将单个用户从一周区分到另一周，从而非常快速地缩小用户集。

今年4月早些时候，WebKit隐私和安全工程师约翰·威兰德（John Wilander）说：“在大流行之前和之前的一段时间里，我参加了一场Mew演唱会、一场幽灵演唱会、冰上迪士尼（Disney on Ice）和一场Def Leppard（Def Leppard）演唱会。在这些活动中，我都是一大群人中的一员。但我敢打赌，我是唯一一个参加这四场活动的人。”，指出如何随着时间的推移收集队列ID，以创建跨站点跟踪ID。

更重要的是，由于队列中所有用户的FLoC ID在所有网站上都是相同的，因此标识符破坏了限制性的cookie策略，并通过变成一个共享密钥泄漏了超过必要的信息，追踪者可以将来自其他外部源的数据映射到该密钥，研究人员详细介绍。

谷歌已经建立了机制来解决这些不受欢迎的隐私缺陷，包括让FLoC选择加入网站，并压制它认为与“敏感”话题密切相关的群体。但Mozilla表示，“这些应对措施依赖于浏览器制造商确定哪些FLoC输入和输出是敏感的，而这本身取决于他们分析FLoC显示的用户浏览历史的能力”，从而规避隐私保护。

作为改进的潜在途径，研究人员建议在每个域中创建FLoC ID，并按第一方站点划分FLoC ID，以及错误地抑制属于没有敏感浏览历史记录的用户的队列ID，以保护无法报告队列ID的用户。值得注意的是，当队列标记为敏感时，FLoC API返回空字符串。

“当被认为与现有的基于状态的跟踪机制共存时，FLoC有可能显著提高跨站点跟踪的能力，”研究人员总结道。“特别是，在分区存储阻止跨站点跟踪的情况下，FLoC ID的纵向模式可能允许观察者重新同步同一用户跨多个站点的访问，从而部分避免了这些防御的价值。”

最终，FLoC最大的威胁可能是谷歌本身，它不仅是最大的搜索引擎，也是世界上使用最多的网络浏览器的开发者，也是世界上最大的广告平台的所有者，将其置于一块石头和一块硬地之间，任何重写网络规则的尝试都可能被视为试图巩固其在该行业的主导地位。

这就是它的范围和巨大的影响，隐私沙箱吸引了大量的监管审查。英国竞争与市场管理局（CMA）今天早些时候宣布，它将在谷歌的隐私沙盒提案的设计和开发中起到“作用”，以确保它们不会扭曲竞争。