如何识别第三方广告跟踪代码及 & social impact 项目的倡议

By 小二 at 2019-12-29 • 2947次点击
小二

最近发现达摩俱乐部、civicforum 和chinatimeline项目都有用户分析程序:

  1. 达摩俱乐部(https://github.com/DamoresClub/DamoresClub.github.io/commit/fc53d49ef16b9f507fd96cd4f91e6d8830b4d5ca
  2. https://github.com/civicforum/civicforum.github.io/search?q=getclicky&unscoped_q=getclicky
  3. https://github.com/chinatimeline/chinatimeline.github.io/issues/3#issuecomment-569519225

这类纯静态页面的项目,识别方法很简单,安装noscript(https://noscript.net/),访问对应网页,就能看到加载的第三方网页js程序。

推荐这个插件,极大增加上网安全性,不过需要手动放行当前访问网站的js,略累。

如果你是项目的开发者,确实有用户分析需求,请使用 Google analytics,ga 是不会向网站部署方提供访问用户的ip的,但是那些二流野鸡广告分析公司,貌似都是会提供用户ip的。

impact, social, 倡议, 第三方, 识别


这个网站用的什么流量分析?

好奇害死猫 at 2019-12-29
1

最好是由楼主这种懂代码的成立一个代码审计委员会,对这类项目进行评估

好奇害死猫 at 2019-12-29
2

shareaholic的流量分析用的就是Google Analytics

https://www.shareaholic.com/website-tools/content-analytics

No coding needed; integrates seamlessly with your site's Google Analytics profile

https://www.sharebuttons.com/

Best in class analytics. Sharing stats automatically roll into your Google Analytics, tying all metrics into one dashboard. Shareaholic is an official Google Analytics technology partner to boot. So you know you're getting the best possible integration. In addition, our custom URL shortener feature will take your branding and analytics capabilities to the next level.

按赞转发 at 2019-12-30
3

Shareaholic is proud to be a Google Analytics Technology Partner

https://www.shareaholic.com/website-tools/content-analytics

Shareaholic可以免费注册,你自己随便找个测试页面试试不就知道它提供用户哪些信息了?根本不会提供IP或浏览器指纹之类。Cloudflare上面也提供shareaholic应用 https://www.cloudflare.com/apps/shareaholic

按赞转发 at 2019-12-30
4

纠正一下,shareaholic的内容分析只是可以无缝集成GA,并非GA

向大家推荐 sharethis 比 shareaholic 好用

https://sharethis.com/support/installation/how-to-get-started-on-social-analytics/

按赞转发 at 2019-12-30
5

@按赞转发 #4 这种小众广告追踪服务商,谁有心思一个一个地去确认到底是否收集ip,浏览器信息?谁又能保证他不对外透露这些信息。

这些项目添加广告追踪程序,用处是什么呢?

小二 at 2019-12-30
6

@好奇害死猫 #1 对于2049bbs这种非静态网站(站方控制服务器,而不是像上面项目那样寄生在 github page 上),你可以检查是否有使用第三方广告追踪程序,但是记录ip这种事情做为用户是无法确认的,只能凭站方良心。

2049bbs 是不记录ip的,这一点我可以保证。你可以做代码审计 https://github.com/Terminus2049/2049BBS

另外就是cloudflare,如果碰到五秒盾,就说明自己的ip被 cloudflare 记录下来了。

小二 at 2019-12-30
7

@小二 #7 只要是自有域名网站都可以用cloudflare的自带流量分析,所以你当然不用装第三方插件就可以分析访问你网站的流量了。

https://support.cloudflare.com/hc/en-us/articles/360037684251-Understanding-Cloudflare-Site-Analytics

Google据我所知现在注册一律后台实名制了,没有真实手机号根本注册不了Google账户,所以一旦用了Google Analytics那就跟自己买域名是一个性质了。

sharethis.com

按赞转发 at 2019-12-30
8

addthis是最大的社交分享按钮提供商,这是addthis的流量分析官方介绍,并不提供用户IP等信息,只是统计每页访问量、分享量、独立访问等跟cloudflare analytics和ga差不多的内容。

https://www.addthis.com/academy/addthis-analytics-overview/

按赞转发 at 2019-12-30
9

Clicky是仅次于GA的专业免费流量分析插件,不过Clicky对隐私侵犯比较严重,它提供每个用户的IP和点击行为,点开它的首页就满是后台的截图示例。这个是应该禁止的。

https://clicky.com/

按赞转发 at 2019-12-30
11

自建服务器网站记录访问者原始IP不需要在网站代码里实现,服务器自己就可以实现。

Cloudflare也提供记录记录访问者原始IP的插件,都不需要放到网站代码里。

Restoring original visitor IPs - Option 2: Installing mod_remoteip with Apache

按赞转发 at 2019-12-30
12
按赞转发 at 2019-12-30
13

@按赞转发 #9 这里是社交分享插件的排名,addthis是排在FB twitter Google+插件之后的第一位

https://www.similartech.com/categories/social

按赞转发 at 2019-12-30
14

@按赞转发 #12 对于非静态网站,站方控制服务器的,只能凭站方良心,因为站方必须知道客户端ip,不然怎么把内容发送给你?是否记录ip就看站方良心了。

share组件实质上就是一个带参数的链接,不懂为何要用第三方网站的,不仅侵犯用户隐私而且拖慢网站访问速度,使用独立组件就好了。

不是说广告商不提供ip就是好广告商,我的建议是,使用这类跟踪用户的脚本,用处不大,又不是有KPI考核,非得跟微信公众号运营一样,要求粉丝数浏览量等,何必加这种侵犯用户隐私的东西?

小二 at 2019-12-30
15

@小二 #15 绝大多数人往往是言行不一的,而且大多数时候是下意识的不一。品葱上面的人说起中共哪个不是恨得咬牙切齿,看他们发言你觉得他们随时要起来革命,但是站方开了个比特币捐款通道这么久收到几块钱捐款呢?所以只有通过正确的测试手段你才知道这些所谓反共人士心里的真实态度。假如你是一个真正的革命者,你大概不会寄希望于这群人会站出来做什么事。

做网站是一个道理。我在这个论坛发个贴子,如果隔了几天既没人回复,点击率也只有几十个,那我知道这里的人对这个不感兴趣,以后就不会发同类话题了。相反,如果我的帖子虽然没人回复但点击率上了几千,那说明观众虽然因为某种原因不说话但却喜欢帖子的内容。当然如果回复率和点击率都很高那又不一样。总之发帖的人会下意识的调整今后发帖的策略。

但是如果是静态网页,不能回复也不知道点击量,那对内容创作者来说,怎么知道该把更多精力分配到哪里呢?你怎么知道自己刚开始设想的模式到底是否工作呢?很多时候读者的兴趣是你自己都无法预料到的。电视台也都要根据收视率统计来决定哪些节目该分配到黄金时间,哪些节目该追加投资,哪些节目该砍掉。网站也要根据点击率来决定哪些东西该放到更显眼的位置。如果你不放心第三方流量分析插件,那除非你提供一个更安全的办法让github page的静态网页也显示各个页面有多少点击量。

IP地址的问题,既然无法由第三方验证论坛服务器是否记录用户IP和浏览器指纹信息,那所有的用户其实都是靠自己的判断和手段来自我保护。而且对于不能留言互动的静态网页而言,即便搜集了用户IP地址,也只是知道这个IP的人浏览过这个信息而已,那么多人都浏览过,静态网页又没法根据你的发言来定罪,根本就不知道你是谁。如果你用的是普通模式下的Chrome浏览器,即便你网站真的不记录IP,Google和包括VPN在哪的所有网络服务商都知道你访问过的所有网站,你记不记录用户的信息都会泄漏。

点赞转发 at 2019-12-30
16

新版网站已移除第三方插件,我对前端不熟,所以都是抄别人的代码,希望站长以后多提宝贵意见。

chinatimeline at 2019-12-31
17

访问对应网页,就能看到加载的第三方网页js程序。

看到之后,要如何分辨哪些是必要、安全的,哪些是不必要、可疑的呢?

懦夫斯基 at 2019-12-31
18

@懦夫斯基 #18 一般来说除了网址对应的第一方js和cdn(关键字含cdn或者static等),其他都是非必须的。只要网站正常加载,那么其他的都是非必须的。

小二 at 2019-12-31
19

@小二 #19 感谢解答,回头试一试。

懦夫斯基 at 2019-12-31
20

@GNOCN #21 这个也很好用,一般是 UBlock_Origin 和 noscript 结合起来用,uo 本质是黑名单,就是把跟踪脚本的网址block掉,可能有遗漏。noscript 更彻底一些,需要你手动放行。

小二 at 2020-01-01
22

@GNOCN #21 感谢推荐 :) @小二 #22 看你的描述,是否可以把uo理解为“一个请别人帮忙辨认的傻瓜式noscript”?

懦夫斯基 at 2020-01-01
23

@懦夫斯基 #23 是的呀,uo 里面就有订阅block列表的地方。

小二 at 2020-01-01
24

@懦夫斯基 #23 @小二 #24 我的理解是原理不同,UO是阻止脚本的某个具体请求,而noscript是直接禁用脚本。比如打开 https://damoresclub.github.io/ 用UO还是能看到旁边的社交分享按钮,但是按钮内部侵犯隐私的请求被block了,比如打开文革数据库备份 https://speechfree.github.io/cultural-revolution-database/ 时自动会block其中两个来自Google Analytics的请求。但是用noscript就直接看不到社交分享按钮了。

GNOCN2 at 2020-01-01
25

集成的第三方评论功能disqus、intensedebate或者社交分享按钮都会自带一些跟踪功能,用UO就可以既用这些第三方插件提供的功能,又避免自己的隐私被这些插件刺探。而且很多网站你明明没有加Google Analytics但用了别的第三方插件有时候还是会莫名其妙的带上GA,所以最好的方式还是UO。

GNOCN2 at 2020-01-01
26

@点赞转发 #16 我想到一个大家都能接受的安全且初级的流量分析方法:

有的图床自带流量分析功能,比如大家常用的Imgur: Post Analytics and Views , 所以只要你把网站logo之类的图片用图床提供,就能得到简单的网页浏览数量了。imgur唯一的缺点是墙内被半封锁,速度很慢。如果有墙内速度快同时也提供点击率统计的图床就比较完美了。

维基 at 2020-01-08
27

@GNOCN2 #26 @小二 #22 @维基 #27 我们这种半灌水用第三方插件很方便啊,Google一下谁提供功能,注册第三方模块的网站,copy & paste 第三方网站自动生成的代码到制定的位置就OK了,5分钟搞定。自己DIY的话花几个小时搞懂各种东西,东找西找,调试。

我建议 @小二 发起一个 github的组,专门建立和维护一个基于github pages的模板仓库,把平时常用的功能都提交进去,免得其他人重复造轮子。我不知道达摩俱乐部花了多少时间,反正光是因为你说第三方js安全性的问题,我就为了这么一个社交分享按钮跟流量统计功能来来回回花了好几天的时间重复造轮子。

chinatimeline at 2020-01-11
28

作为一个social impact项目的开发者,我说两句。

要让更多的人发展social impact, 开发者和用户体验都十分重要,一般人看到一个网站使用起来很麻烦或者不稳定的话,99%的人就直接关了窗口看别的东西去了。开发者也是一样,绝大部分开发者折腾一下搞不出什么东西的话,热情就消退了。而这些折腾绝大部分都是重复造轮子。

站长要推广social impact项目的话,要注意社会分工,你们这类资深互联网程序员首先要为普通爱好者提供基础代码和基础设施,维护这么一个基础模板,可以大大减少大家重复造轮子的时间,让绝大部分有心人能够一上来就享受到成就感,而不是在一个自己不熟悉的领域重复造轮子带来的挫折感,绝大部分人可能就退却了。你们这类互联网高手应该作为大公司的基础平台研发部门,专门帮助不同背景的爱好者解决这些基础问题,尤其是解决网络安全、建立简单网站、提高普通用户体验这三个环节。

你们提供基础设施,比如论坛、staticman或RSS自建服务器之类,我们这种有想法但不太懂互联网的人用这些设施做项目,搞出一两个明星项目之后,就会有更多人效仿。但关键还是要有方便的基础设施,开一个项目的难度最好跟普通人去wordpress开个博客差不多,这样才会发扬光大。

chinatimeline at 2020-01-11
29

既有想法、又能把一个项目从头做到尾,还懂得推广和制造影响力的人,少!

chinatimeline at 2020-01-11
30

更新:

主帖中「那些二流野鸡广告分析公司,貌似都是会提供用户ip的。」表述不准确,目前,我只知道clicky会向使用者显示ip,使用clicky ip即可搜索到相关结果。因此建议大家不要使用clicky。

而其他的广告追踪商,我并没有真正试用和调查,但是做出了「貌似都会提供ip」的表述,非常不负责任,在此致歉。

同时我认为主帖中的项目都非常有价值有意义,实际上追踪和分析网站程序已经非常普遍,包括matters.news也是如此。我只能倡议,而不能苛责一个social impact的开源项目不使用分析脚本。

由于我的苛责,给主帖项目方造成了不利影响,非常抱歉。也希望大家积极参与和贡献开源 social impact 项目。

小二 at 2020-01-21
31

即便是clicky也没有透露访问者的完整IP,只是C段IP而已,不能定位到个人,只能定位到城市,可能能定位到ISP。

我把这个流量分析介绍网站更新了一下 https://diymysite.github.io/analytics/

其中在对clicky的测试页面中公开了后台的只读链接,有兴趣的可以自己去点一下,同时看后台能看到什么。

达摩俱乐部 at 2020-01-22
32

注意:访问者IP的最后一段统一被模糊化为0,即C段IP. 完整的用户IP是D段IP。

达摩俱乐部 at 2020-01-22
33

@小二 #31 接受你的道歉。

达摩俱乐部 at 2020-01-22
34
登录 后发表评论