近日谷歌侵犯用户Cookie隐私遭美政府重罚2250万美元 创史上最高

谷歌被指绕过苹果Safari隐私设置追踪用户上网习惯，侵犯用户隐私。为此，小编搜罗各方信息，向各位读者详细说明此次事件的来龙去脉。

Cookie

Cookie通常可以分为两类，第一方Cookie和第三方Cookie，第一方Cookie和第三方Cookie，都是网站在客户端上存放的一小块数据。他们都由某个域存放，只能被这个域访问。他们的区别其实并不是技术 上的区别，而是使用方式上的区别。比如，访问www.a.com这个网站，这个网站设置了一个Cookie，这个Cookie也只能被www.a.com 这个域下的网页读取，这就是第一方Cookie。如果还是访问www.a.com这个网站，网页里有用到www.b.com网站的一张图片，浏览器在 www.b.com请求图片的时候，www.b.com设置了一个Cookie，那这个Cookie只能被www.b.com这个域访问，反而不能被 www.a.com这个域访问，因为对我们来说，我们实际是在访问www.a.com这个网站被设置了一个www.b.com这个域下的Cookie，所以叫第三方Cookie。

第一方Cookie的最大优势是接受率高。一般主流的浏览器的都会有隐私的设置，可以让用户设置是否接受Cookie，接受哪些Cookie。除了 完全不接受Cookie这个设置以外，其他情况下，第一方Cookie都是会被用户接受的（不接受的话，是没办法把那小块数据保存下来的）。

第三方Cookie的接受率不如第一方Cookie，但在某些特定情况下可以实现第一方Cookie无法实现的功能。使用第三方Cookie，那么无论用户访问多少个域，都只有一个第三方Cookie，一个属于第三方域的Cookie，网站下所有域都能共享这个Cookie，那么所有的行为都能被关联起来分析。

苹果Safari

苹果PC端Safari的隐私设置中是默认接受第一方Cookie，屏蔽所有第三方Cookie，而iPhone的Safari隐私设置更为严苛，默认屏蔽所有Cookie。

如下图所示【左为PC端Safari设置，右为iphone端Safari设置】：

谷歌发现了什么？

Safari浏览器虽然默认设置严苛，但是还是被谷歌发现了一个漏洞：如果用户跟第三方的广告产生互动，Safari就默认该用户允许第三方Cookie监测，所以就不会屏蔽掉来自第三方的Cookie。谷歌就利用这个漏洞，在用户使用Safari浏览网页时，自动向Safari提交一个子虚乌有的用户与DoubleClick投放的广告之间的互动，这样Safari就会允许DoubleClick在用户的电脑或者手机上植入Cookie。在电脑上的Cookie是临时的，至多24小时就会消失。但是这种Cookie会导致谷歌大范围监测Safari用户，因为一旦某一个第三方植入了一个Cookie，Safari会一直允许它植入更多的Cookie。此举意味着， Google 与DoubleClick配合就能将用户的浏览行为，搜索行为，社区Google Plus账号一一对应，画出用户完整轮廓。

下图为WSJ研究人员发现的谷歌跟踪代码

谷歌的申辩

对此，谷歌方面称此举是为了让用户用Safari浏览网页时，依然可以体验谷歌的+1键（凡是谷歌AdSense投放的广告上都会有这个按钮）。谷歌称这个+1键在其他浏览器上都能正常工作，因为其他浏览器都没有默认屏蔽第三方Cookie，而导致大范围的监测行为则是无心之举。

小编注：谷歌+1类似我们的“喜欢”按钮，与Google+账号相连。如下图，小编用自己的账号测试了下。

尾声：运用这种代码获取用户信息绝非谷歌一家，据WSJ研究人员披露，Facebook，Vibrant Media， WPP集团媒体创意公司也通过这种途径监测Safari浏览器用户，收集用户信息。苹果方面称已经修补了这个漏洞，谷歌也在WSJ揭幕文章发布后删除了代码。一场隐私攻守战喧嚣落幕，唯用户默然无言。

国内的各位广告科技公司们，你们又应用了哪些手段呢？