April 8, 2018

[推廣] 保護使用者隱私的搜尋引擎─DuckDuckGo

隨著網路隱私權越來越受到重視,越來越多人知道像Google、Bing這類搜尋引擎,除了會記錄使用者的搜尋紀錄以外,其實還會記錄瀏覽器User agent、IP等使用者資訊,並搭配各式Tracker(譬如瀏覽器的cookies)追蹤使用者後續的瀏覽行為,透過這種方式了解使用者的搜尋偏好,並調整使用者的搜尋結果,聽起來好像不錯?

服務提供者會更進一步利用這些蒐集來的資訊,調整對使用者所投放的廣告類型,藉以提升廣告的點擊率。應該有不少人有發現,現在廣告商投放廣告的精準度越來越高,可能你網購或搜尋了某個產品,接下來你就會在廣告看到同類型的相關產品,個人並不排斥網路廣告,但這種廣告「客製化」卻讓我深深的覺得不舒服,即便我知道這是廣告商為了提升廣告投放效率的手段,這讓我有種在網路上的一舉一動都被監看的感覺,這還算是合理運用的範圍。

而另一個更大的隱憂是,服務提供者會不會把他們蒐集來的使用者資訊出賣給第三者?譬如史諾登所揭露的稜鏡計畫,將這些蒐集來的使用者資訊使用在我們想像以外的領域。

如果你覺得網路隱私是個需要重視的問題,那你應該考慮使用DuckDuckGo(我都戲稱他為鴨鴨Go)來降低你被蒐集使用者資訊的機會。DuckDuckgo與市面上其他主流搜尋引擎不同,這個搜尋引擎以保護使用者隱私作為他最大的賣點。

不記錄使用者資訊

DuckDuckGo的隱私權政策承諾不會記錄使用者的搜尋紀錄(包括時間)、IP、瀏覽器的User Agent和其他經常被用來辨識使用者資訊的資料,DuckDuckGo預設只將Cookies運用在記錄瀏覽器設定上,而這些紀錄會以無法辨識個人資訊的方式存在,如果使用者對於這種方式仍不滿意,甚至可以用URL parameters來達到搜尋引擎設定的目的。

避免使用者的搜尋資訊外洩

除了不紀錄使用者資訊以外,DuckDuckGo還運用其他方式來保護使用者的網路隱私,首先是預設使用HTTPS協議,並且使用HTTPS Everywhere的方式將搜尋結果導向HTTPS協議,這樣你透過搜尋引擎找到的網站就不能用HTTP表頭來得知你是使用哪種關鍵字來找到他的。再來是利用POST 方式取代GET方式發送搜尋請求,避免被搜尋的網站得知使用者所下的搜尋參數資訊。

搜尋語法介紹

DuckDuckGo的搜尋語法與主流搜尋引擎相近,所以使用者無需在花太多額外的時間來習慣搜尋方式,以下是常見的搜尋語法範例:

範例 說明
SSRI SNRI 搜尋結果包括SSRISNRI(聯集)。
SSRI -SNRI 搜尋結果包括SSRI但排除SNRI(差集)。
SSRI +SNRI 搜尋結果包括SSRI且包含SNRI(交集)。
SSRI filetype:pdf 搜尋結果為包含SSRI的PDF檔。
SNRI SITE:ncbi.nlm.nih.gov 包含關鍵字SNRI且來自ncbi.nlm.nih.gov網站的搜尋結果。
SNRI -SITE:ncbi.nlm.nih.gov 包含關鍵字SNRI且排除ncbi.nlm.nih.gov網站的搜尋結果。
intitle:SSRI 標題包含關鍵字SSRI的搜尋結果。
inurl:SSRI 網址包含關鍵字SSRI的搜尋結果。

除此之外,有些DuckDuckGo比較特殊的語法介紹如下:

  1. 利用「\」直接連結到第一個搜尋結果,譬如\windows10
  2. 使用「!」直接利用其他說明引擎,這功能被DuckDuckGo稱為「碰(Bangs)搜尋」,舉例來說,開頭輸入「!aj」,然後隔一個空格輸入IM@S作為關鍵字,就會直接到Amazon Japan搜尋包含關鍵字IM@S的偶像大師商品,範例如下:
  3. !aj IM@S
有關「碰搜尋

關於「碰搜尋」,一只叛逆的鸭子——DuckDuckGo 简介這篇文章認為:

首先,通过 Bangs 转发的搜索是完全匿名的。当你用 Bangs 发起搜索时,目标网站收到的请求是来自 DuckDuckGo 而非你本人,因此它无法将这次搜索与你关联起来,也就无法据此为你「画像」,进行追踪、广告推荐等后续行为。

但我認為這樣的說法並不正確,因為只要做個簡單的實驗就可以知道,當使用者被導引到其他搜尋引擎的頁面時,瀏覽器就會被寫入用來進行使用者辨識的Cookies,服務提供商就能利用這些Cookies達到蒐集使用者資訊的目的。

碰搜尋的價值在於把DuckDuckGo作為各大搜尋引擎的入口網站,只要在DuckDuckGo的碰搜尋頁面輸入你想要使用的搜尋引擎名稱(1),然後點選符合的項目,譬如我這裡點選的是Bing Video(2),那DuckDuckGo就會自動幫我在搜尋框帶入「!bv」(3),接下來我只要輸入想在Bing Video搜尋的關鍵字即可。

「碰搜尋」是個不錯的應用,讓使用者無需安裝額外的App就可以使用到類似MacOS上的LaunchBar功能,但就像我前面所說的,使用「碰搜尋」的話使用者難免會被其他搜尋引擎蒐集使用者資訊,要避免這樣的情形基本上有兩種解決方式:

  1. 使用Tor瀏覽器連上位於洋蔥網路的DuckDuckGo網站3g2upl4pq6kufc4m.onion
  2. 使用Mozilla Firefox的隱私瀏覽模式或Google Chrome的私密瀏覽模式來進行碰搜尋,利用這種方式來規避Cookies的追蹤。

DuckDuckGo搜尋引擎相關設定

前面介紹過了DuckDuckGo的搜尋方式,接下來就來簡單說明一下DuckDuckGo的設定頁面

設定/一般
  1. 安全搜尋:這個選項可以決定成人內容的過濾等級
  2. 立即問答:這個功能是DuckDuckGo為了彌補其搜尋精確性不足的缺點而開發的,譬如用「地點 map」就可以直接跳出相應的地圖資訊,但在中文世界這功能目前無法正常使用,後來Google也推出了相應甚至更加完整的功能
  3. 自動載入:隨著頁面的捲動會自動載入更多搜尋結果,如果電腦效能太差可以考慮把這項功能關閉。
  4. 新視窗:這功能讓使用者點選搜尋結果的時候會自動以新分頁開啟,如果不支援分頁功能的瀏覽器會以新視窗開啟。
設定/模式

DuckDuckGo內建多樣的頁面風格供使用者選擇,個人習慣使用暗色系的頁面。

設定/樣式

模式如果是套用DuckDuckGo預先建立的風格範本,樣式就是提供使用者就先前套用的風格範本進行細部設定,這方面就不詳述。

設定/隱私
  1. HTTPS模式:啟用加密傳輸功能。
  2. GET模式:這個模式如果啟用,網址將會包含搜尋參數,建議使用者關閉。
  3. 影片播放:設定使用者點選影片縮圖時的行為模式。
  4. 重導網頁:如果使用舊式瀏覽器時,為了避免Search Leakage,DuckDuckgo會先導向r.duckduckgo.com再轉向目標網站。
雲端儲存

由於DuckDuckGo無須紀錄使用者搜尋紀錄等資訊,因此DuckDuckGo無須申請帳號,但這樣一來當使用者使用不同的電腦,就需要重新進行搜尋引擎的偏好設定。因此DuckDuckGo對此提出一個解決方案,也就是這裡要介紹的雲端儲存功能。

這個雲端儲存完全是為了儲存搜尋引擎設定而存在,除了設定值外不包括其他資訊,使用者點選「儲存設定」後,使用者可以建立一組通關密語,這組通關密語將會對應目前你所建立的搜尋引擎設定值。

雲端儲存設定刪除也很簡單,只要點選「刪除我的資訊」即可,但目前瀏覽器中的設定仍會保留到使用者點選下方的「重設所有設定」為止。

本著作依據創用 CC 姓名標示-相同方式分享 4.0 國際 授權條款授權釋出

內容如有錯誤 煩請不吝指教

No comments :