由于经常调试代码段,因此我经常打开浏览器的devtools。我最近经常注意到此消息:



为什么Stack Overflow试图启动音频?

更新。

我看到它来自广告(?)。



更新3

2019-08-15:公司经过调查和询问后作出了正式回应。已经决定允许此类用户指纹广告,因为它们不违反任何法律或法规。

评论

我通常在运行一个广告拦截器,但最近在Chrome Canary中进行了测试,但没有安装。这也许可以解释为什么我直到最近才看到消息

更好的问题:为什么音频大写?

可能会尝试使用AudioContext进行浏览器指纹识别。

@gman en.wikipedia.org/wiki/Device_fingerprint

仅供参考:我们有一群人对此进行调查;一旦有更多详细信息,便会更新。绝对不是很好的经验。

在这个互联网时代,如果有广告没有试图追踪您,我会感到惊讶。

news.ycombinator.com/item?id=20288768

首先是如何发生的?我给人的独特印象是SE仅允许广告为静态图片,而没有其他内容。没有音频,没有视频,没有JavaScript。该广告在网络上的存在有点背叛了我们的信任...

嗯,微软,这不是他们的广告第一次引起动荡。 “分页的弗洛伊德医生...”

仔细研究一下,发现去年有一个有趣的研究,值得一读。请注意,堆栈溢出未包括在他们观察到此行为的站点列表中;这似乎是某种形式的回归,所以希望我们可以找出触发它的原因。
@VLAZ“功能”(可能)也用于在您身上建立更好的形象。

@Magisch我知道。然而,每当“道德”和“广告”走到一起时,这是因为广告商谴责广告拦截者是不道德的。然而,他们的整个商业模式都是鱼龙混杂,我找不到比那个三角形更好的例子了,没有人告诉您关于i的三角形,但由于他们,坦率地说,他们的定位令人毛骨悚然。

哎哟! -违反网站政策El Reg的微软广告中的鬼fingerprint指纹脚本已滑到StackOverflow上。

这不足为奇,来自Microsoft。

我还找到了一个浏览器窗口,其中包含几个SE选项卡,可播放声音范围以外(但在音量混合器中可见)的规则模式音频,显然是在尝试与跨设备的连接以及可能与附近的移动设备进行指纹识别。那里也有非SE标签页打开,并且关闭并重新打开窗口后没有重新加载该特定广告,因此我无法确定性地将其链接到SE广告,但根据SE广告的运行情况,它肯定看起来可能。

#1 楼

广告试图将Audio API用作其收集的有关浏览器的数百条数据之一,以试图对其进行“指纹识别”,以便在您设置了隐私的情况下跨站点唯一地识别您。 />这不是一般的猜测;我花了最后半个小时浏览上面链接的源代码,并且花了相当长的时间使观众匿名。您的浏览器可能正在阻止此特定的API,但并没有阻止大多数数据。

下面提供了几个示例。绝对清楚,此逻辑未用于合法特征检测。这些检查的结果不会用于启用/禁用广告的某些部分;它们仅用于汇总生成用户指纹,在为发布者记录分析数据时,广告将与广告ID一起包含。

它检测系统的分辨率和可访问性设置。

 function "==typeof matchMedia&&a239.a341.a77 ("
all and(min--moz - device - pixel - ratio: 0) and(min - resolution: .001 dpcm)
")},function(){return"
function "==typeof matchMedia&&a239.a341.a77 ("
all and(-moz - images - in -menus: 0) and(min - resolution: .001 dpcm)
")},function(){return"
function "==typeof matchMedia&&a239.a341.a77 ("
screen and(-ms - high - contrast: active) and(-webkit - min - device - pixel - ratio: 0), (-ms - high - contrast: none) and(-webkit - min - device - pixel - ratio: 0)
")},function(){return"
function "==typeof matchMedia&&a239.a341.a77 ("
screen and(-webkit - min - device - pixel - ratio: 0)
")},function(){return"
 


它寻找特定于供应商的加密API,

 return "function" == typeof MSCredentials && a239.a341.a66(MSCredentials)
    }, function() {
        return "function" == typeof MSFIDOSignature && a239.a341.a66(MSFIDOSignature)
    }, function() {
        return "function" == typeof MSManipulationEvent && a239.a341.a66(MSManipulationEvent)
    }, function() {
 


它查看您已安装的字体列表。

     return "object" == typeof document && a239.a341.a68("fonts", document.fonts)
 


它检测您的浏览器支持哪些Audio API功能。

     return "undefined" != typeof window && "undefined" !== window.StereoPatternNode && a239.a341.a66(window.StereoPannerNode)
 


它检测到您支持哪些移动浏览器特定的API。

     return "function" == typeof AppBannerPromptResult && a239.a341.a66(AppBannerPromptResult)
 


它检查特定于平台的DRM支持。

 }, function() {
    return !!a239.a341.a72() && a239.a341.a66(a239.a341.a72().webkitGenerateKeyRequest) && a239.a341.a66(a239.a341.a72().webkitCancelKeyRequest) && a239.a341.a66(a239.a341.a72().webkitSetMediaKeys) && a239.a341.a66(a239.a341.a72().webkitAddKey)
}, function() {
 


它检测到其他一百种东西,但是这篇文章足够长。

使用广告拦截器!

评论


这则广告受地理限制吗?因为我无法想象这在欧洲不是非法的。

–user281099
19年6月26日在16:51

@gman表示AudioContext无法启动,不是音频无法启动。 AudioContext对我来说听起来像是具有一堆特征的东西,而不是流。

–流浪者
19年6月26日在17:03

@NicHartley在欧洲(更具体地说是GDPR),PII概念不存在。 “ GDPR适用于'个人数据',这意味着可以直接或间接地识别身份的任何有关可识别人员的信息,尤其是通过引用标识符。该定义提供了广泛的个人标识符来构成个人数据,包括姓名,识别号,位置数据或在线标识符,以反映技术的变化以及组织收集有关人员信息的方式。”

–脑袋
19年6月26日在18:22

如果广告要达到这些长度以在用户上创建个人资料,网站如何可能要求用户禁用adblock?真恶心

–公鸡
19年6月26日在18:23

所以...这意味着SO会投放令人毛骨悚然的广告,对吧?

– jinglesthula
19年6月26日在18:46

“使用广告拦截器!” <-最好的建议。

–user474678
19年6月26日在18:51

我不是欧洲人,也没有对此给予太多关注。但是,要使每个网站都显示有关Cookie的警告(用户已经可以选择禁用此功能),而不是对与cookie起到相同作用的肮脏技巧做任何事情,故意逃避用户选择禁用Cookie。

–user281099
19年6月26日在20:18

这有点恐怖。

– Defacto
19年6月26日在20:54

为什么这完全可以接受?我希望他们能够在StackOverflow上禁止包含Javascript的广告。显然不是。

–shadowtalker
19年6月26日在21:21

@GregoryMagarshak与事实相去甚远。移动浏览器,它的特定版本,操作系统,语言,屏幕分辨率等...它们的组合非常独特。只需访问amiunique.org并自己检查一下

–拉玛克
19年6月26日在21:52

@Gregory Magarsgak:事实证明,大多数情况下,您的浏览器或其环境具有独特性。在这里看看:amiunique.org。而且由于它几乎总是唯一的,因此GDPR的个人数据概念确实涵盖了这种指纹,它比美国的PII强得多。

–拉尔夫·迈耶(Ralph Meijer)
19年6月26日在21:55

@NicHartley ICO是英国数据保护监管机构刚刚发布的关于adtech的严厉初步报告。他们当然认为个人数据正在处理,而不是以合法方式处理:techcrunch.com/2019/06/20/…

–难以解决
19年6月27日在0:19

@ReblochonMasque欢迎来到资本主义。

–汤姆
19年6月27日在6:49

好的,所以这里有很多评论询问用户删除的问题。显然,人们担心他们将为此答案被删除,因此请清楚:由于请求和其他审核问题,他们的帐户已被删除。由于发布了广告的JavaScript而没有删除它们。

–ert
19年6月28日在6:48

我想知道:是否有可能衡量阅读此书后有多少用户(如我)重新启用其广告拦截器?悲伤:(

–贝里尔
19年6月28日在11:57

#2 楼

更新:2019年6月27日

我们已经在幕后进行了大量工作,并希望在此处进行更新。特别是在Stack Overflow上,广告是直接通过我们投放的,还是通过特定的第三方供应商进行中继的。后者就是指纹问题的根源。提供解决此问题。 (我们将它们用作广告服务器,这就是我们与它们联系的原因。)
我们正在测试将Safe Frame部署到所有广告中的情况。现在大多数广告上都使用它,但是我们将控制权放在了渲染方面以强制执行此安全机制。
我们正在尝试部署Feature-Policy标头,以阻止从页面中所有组件访问大多数浏览器功能。我们在实践中遇到了问题。我已经联系了几位专家和Google Chrome安全小组,我们在Chrome跟踪器中提交了一个错误。现在,在Stack Overflow上部署了标头的最低测试版本,以帮助浏览器团队调查我们所遇到的问题。

我们知道音频/指纹问题并不仅限于Stack Overflow,而是外部站点也一样我们的目标是在可能的情况下将其修复在第三方层上,并添加我们可以直接保护我们的网络/页面的任何保护措施。

我们不会将这些广告系列视为一时反应而关闭需要维修人员放心解决问题。我们宁愿为长期的警卫提供保护,也不愿在出现问题时大声疾呼。我们正在致力于那些更强的长期保护。

我们愿意帮助解决这一问题。如果您有更多信息,建议,可以解决上述Chrome错误或其他任何问题,我们欢迎您。我们正在尝试做正确的事情,并尽快解决此问题。

我将更新此信息,因为我们有更多信息。


原始回复:2019-06-26

感谢您通知我们。我们不满意。我们还与Google取得了他们的支持。老实说:已经很晚了,我们今天不太可能解决这个问题。但是我们已经伸出援手,希望尽快修复它。

注意:这与网络上正在测试的广告无关-这是一个明显不同的问题。程序化广告根本没有在Stack Overflow上进行测试。我们之前有一个完全不相关的SQL问题,导致生产问题引起了我们的极大关注。

评论


堆栈溢出是否使用Google广告?我以为它有自己的广告网络

–甘尼什·克里希南(Ganesh Krishnan)
19年6月26日在22:24

“我们还与Google取得了他们的支持”-瞧,那就是您生活中的错误所在。

– einpoklum
19年6月26日在22:27

“那个烂摊子”到底指的是什么?正确的解决方案只是禁止广告中的javascript。任何其他因素都在邀请广告客户滥用用户的信任和数据。

–shadowtalker
19年6月26日在22:27

在用户隐私方面,我不确定Google是否会成为我的“首选”来源。

– jmercouris
19年6月26日在23:00

只是为了使许多被动的脾气变得明确和直接:为什么您的广告甚至允许运行javascript?这仅仅是事情的方式,还是有意识的决定?他们一直这样吗?是否有意在收入之前优先考虑用户,并通过立即切换到被动广告来防止所有这些事情发生?

–安德拉斯·迪克(Andras Deak)
19年6月26日在23:11

@Andras的简短回答是广告市场有点混乱;几年前,我们的旧广告总监丹尼(Danny)对此进行了详细介绍(对我而言,这可能是对该脚本的早期修订)。试图以恶魔般的讨价还价来达成交易的结局并非易事,但我们的团队中有很多优秀的团队正在努力完成这项工作并提出一些后续想法-祝我们好运...

– Shog9
19年6月26日在23:24

@ Shog9好吧,为了我们所有的一切,祝你好运。在答案中,您链接了“这包括但不限于仅运行静态的非动画横幅”,听起来像“仅图像”,但是我完全不了解Web开发人员,也许我的期望还遥遥无期。我天真地认为,任何“静态”内容都不会窃听用户。

–安德拉斯·迪克(Andras Deak)
19年6月26日在23:32

@GregHewgill,但是又不会关闭JS也会带来几乎没有体验的浏览体验吗? :)

–凯乌斯·贾德(Caius Jard)
19年6月27日在3:38

“我们知道这一点。” -您的意思是在发布此信息之前(如果是这样,为什么不早做任何事情?)还是由于发布此信息而意识到它?

– Script47
19年6月27日在8:23

令人们感到困惑的是,为什么广告需要运行自己的Javascript(甚至只是静态图像的Javascript):简短的答案是,广告网络不也不信任网站运营商。他们需要运行从自己的服务器提供的JavaScript,以验证实际用户看到了广告以及持续了多长时间,并且他们不相信网站运营商会告诉他们。而且这些JavaScript片段比该网站的JS更具侵入性和破坏性,因为它们比实际网站更关心的是,“用户”不是中国血汗工厂里的一堆iPhone。

–毫无头绪
19年6月27日在8:48

@毫无根据,为了发现可能的欺诈行为,广告网络试图挤压有关(合法)用户的个人信息。你知道,整个球拍有点腥味

– gna
19年6月27日在9:08

大多数广告是按点击付费,而不是按展示付费。因此,不需要,他们不需要验证广告是否被真实的人观看过。

– jmercouris
19年6月27日在10:49

@Clearless不是通过无限跟踪他们的用户,那是肯定的。这只是意味着人们在任何地方使用adblock都更加合理。

– Mag
19年6月27日在10:52

拒绝投票仅出于一个原因:“我们不会关闭这些广告系列”。这是无法接受的。我已经在Stack上重新启用了我的广告拦截器,直到您可以放心使用为止。您故意侵犯了我的隐私。

– jhpratt
19年6月29日在4:15

尼克,这个帖子正确吗? SE现在真的可以使用指纹用户吗?

–恢复莫妮卡的森林
19年8月16日在5:27

#3 楼

不幸的是,没有太多的事情要做
如果您使用手机,您可能已经注意到了很多,因为Adsense劫持是一个非常现实和严重的问题,并且由于某种原因,Google似乎采取了“这种过滤足够好”的方法

许多社交媒体都感叹说,即使是像《纽约时报》和《大西洋》这样的顶级发行商,也愿意在他们的网站上投放此类侵入性广告。但是专家说,问题不在于网站发布者缺乏识别力,而是在于极其复杂的在线广告系统,这使得参与其中的发布者很难检测到(更不用说清除)误导性和载有恶意软件的广告。 />有时候,所谓的恶意广告并不是什么新鲜事。在2007年末或2008年初,首次记录到加载了恶意软件的广告,这是由于Adobe Flash中的漏洞引起的,并影响了许多平台,包括MySpace,Excite和Rhapsody。 2012年,一个行业组织在线信任联盟(Online Trust Alliance)估计,近100亿次广告展示受到恶意广告的侵害。但是数字广告行业的人士说,这个问题正在迅速恶化。

我注意到了很多,因为我有一个经常(而不是SO)运行Adsense的网站,并且他们曾经有一个他们的广告劫持了网页的严重问题(在移动设备上,您无法轻松关闭受影响的标签)。我知道尼克·克雷弗(Nick Craver)会比大多数人走得更远,但是我认为这不是他可以解决的问题。是的,您可以识别出不良演员,然后阻止并举报他们,但他们只是一角钱。除非SO转向完全内部的广告解决方案(这意味着他们必须编写一个系统来处理广告的添加,显示和跟踪,以及销售这些广告的可行方法),否则Google不会提出解决方案,在过去的7年左右都没有出现过,这将是一个持续存在的问题。
这里唯一的制胜法宝就是不玩

评论


我认为“ Google提出了解决方案”的飞船已经起航。

–安德拉斯·迪克(Andras Deak)
19年6月27日在14:29

仅供参考:Firefox for Android支持扩展,包括uBlock Origin。

– Stijn
19年6月27日在15:09

@Stijn我不知道!谢谢!希望它比Chrome更省电。

–fbueckert
19-6-27在16:14

@AndrasDeak具有讽刺意味的是,您提供的链接是针对一篇充满极其讨厌和侵入性广告的文章的。

–服务
19年6月27日在16:19

@fbueckert:可悲的是,移动Fiirefox的速度异常慢,甚至比普通的速度慢,甚至还存在严重的UI滞后问题。否则我会喜欢的。唯一在移动设备上提供(仅部分)广告拦截和出色性能的浏览器是Brave。我根本不喜欢它,但是使用它是因为其他选项更糟糕。

–R .. GitHub停止帮助ICE
19年6月27日在16:37

@Servy哈,对此感到抱歉。我没有在大多数网站上启用大多数JS,所以我不知道...

–安德拉斯·迪克(Andras Deak)
19年6月27日在18:33

Google Play商店中的Kiwi浏览器是基于Chromium且已启用Chrome扩展程序。非常适合安装所需的adblocker。

– GollyJer
19年6月28日在7:39

您也可以使用Brave浏览器。在我拥有的短时间内,它实际上阻止了成千上万的广告,并且几乎每个页面的加载速度都显着提高。

–科林·巴尼斯(Colin Basnett)
19年6月28日在18:43

我可以推荐Firefox Focus for Android。带有广告和跟踪器,开箱即用。它不保留cookie,并且在您按下返回按钮后会立即删除您的历史记录。这有明显的缺点,但到目前为止对我来说完全值得。

– Imm_G
19年6月29日在8:44

“是在2007年末或2008年初首次看到了加载恶意软件的广告,”嗯?我清楚地记得2004年上大学时第一次跑过。

–梅森·惠勒
19年6月29日在13:11

@ColinBasnett即将提到《勇敢传说》。到目前为止,已经在我所有的设备上安装了它约2个月,对此非常满意。

–希腊
19年8月7日在9:37