it-swarm-id.com

Mengapa seseorang mempercayai DuckDuckGo atau penyedia lain dengan kebijakan privasi serupa?

DuckDuckGo adalah mesin pencari yang mengklaim tidak akan membagikan hasil Anda dengan orang lain. Banyak rekan kerja saya yang skeptis berpikir itu mungkin scam.

Apakah ada bukti bahwa mesin pencari web mana pun akan melindungi privasi Anda saat diiklankan?

125

Tidak ada bukti bahwa DuckDuckGo beroperasi seperti yang diiklankan. (Tidak pernah ada, di web.) Namun, itu adalah pertanyaan yang salah.

DuckDuckGo sangat jelas di kebijakan privasinya . DuckDuckGo mengatakan itu tidak melacak Anda , itu tidak mengirim pencarian Anda ke situs lain , secara default ia tidak menggunakan cookie apa pun , tidak mengumpulkan informasi pribadi , tidak mencatat alamat IP Anda atau informasi lain tentang komputer Anda yang mungkin dikirim secara otomatis dengan pencarian Anda , tidak t menyimpan informasi pribadi sama sekali . Itu adalah janji yang cukup kuat, tanpa kata-kata musang. Dan, sejauh yang saya bisa lihat, kebijakan privasi DuckDuckGo tampak seperti model kebijakan privasi. Ini adalah model kejelasan, bahasa sederhana, dan kurangnya kebingungan hukum.

Dan kebijakan privasi telah menggigit. The FTC telah mengajukan tuntutan hukum setelah perusahaan yang melanggar kebijakan privasi yang diiklankan sendiri. (Bukan hanya perusahaan kecil yang belum pernah Anda dengar: Mereka bahkan mengejar Facebook!) Cara hukum privasi bekerja di AS, pada dasarnya, hampir tidak ada aturan privasi yang membatasi informasi apa yang dapat dikumpulkan oleh situs web - kecuali jika mereka memiliki kebijakan privasi, mereka harus mematuhinya. Melanggar kebijakan privasi Anda sendiri mungkin penipuan, yang ilegal. , melanggar kebijakan privasi Anda sendiri merupakan "tindakan atau praktik yang tidak adil atau menipu", dan FTC diberdayakan untuk mengejar siapa saja yang terlibat dalam "tindakan atau praktik tidak adil atau menipu" di pengadilan. DuckDuckGo akan menjadi cukup bodoh untuk melanggar kebijakan privasi mereka sendiri, kebijakan privasi mereka jelas dan tidak ambigu dan membuat mereka sedikit ruang gerak.

Tidak, saya tidak berpikir bahwa DuckDuckGo adalah scam. Saya pikir itu pembicaraan gila. Mengingat insentif dan rezim hukum, saya pikir Anda harus mengasumsikan DuckDuckGo mengikuti kebijakan privasi mereka sendiri, sampai Anda menemukan informasi yang bertentangan.

156
D.W.

Saya adalah pendiri DuckDuckGo. D.W. benar, jika kita melanggar kebijakan privasi kita, kita bisa mendapat banyak masalah. Selain itu, saya sudah berusaha setransparan mungkin tentang cara kami beroperasi, baik dalam kebijakan privasi kami dan pada blog saya .

Saya telah memikirkan dan menjelajahi verifikasi eksternal, dari seseorang seperti EFF misalnya, tetapi saya tidak berpikir itu akan banyak membantu meredakan inti dari komentar.

164
yegg

Apa D.W. kata. Tetapi juga, Anda tidak harus mempercayai DuckDuckGo. Anda tidak masuk, Anda dapat menghapus cookie, Anda dapat mengubah alamat IP Anda, Anda dapat mengaksesnya melalui Tor. Tidak menjadi pelengkap dari perusahaan identitas (mis., Google) adalah privasi plus yang besar untuk memulai.

31
pseudon

Saya datang terlambat ke pertanyaan ini, tetapi mudah-mudahan saya dapat menyumbangkan beberapa informasi berguna yang juga akan membantu orang lain membuat keputusan yang lebih terinformasi mengenai kepercayaan dari DuckDuckGo. Jawaban ini memberikan beberapa alasan untuk meyakini bahwa DuckDuckGo menerapkan kebijakan privasinya dengan menyelidiki aspek teknis DuckDuckGo pada 2012-08-23.

Saya telah melihat data yang dikirim dari browser saya (Firefox 14.0.1 di Ubuntu 11.04) kembali ke server DuckDuckGo ketika saya melakukan pencarian halaman (tanpa mengubah pengaturan default DuckDuckGo) dan menemukan poin-poin bagus berikut:

  • tidak ada cookie DuckDuckGo yang disimpan di browser saya.
  • semua pencarian dilakukan dengan GET http.
  • tidak ada parameter identifikasi yang dikembalikan di bagian string kueri dari permintaan http.
  • semua permintaan adalah https.

Tentu saja masih ada beberapa informasi yang harus diasumsikan oleh pengguna reguler DuckDuckGo tersedia untuk DuckDuckGo:

  • alamat IP router pengguna.
  • nama browser pengguna (agen pengguna) dan OS (mis. milik saya adalah "Mozilla/5.0 (X11; Ubuntu; Linux i686; rv: 14.0) Gecko/20100101 Firefox/14.0.1")
  • tanda tangan http lain yang saya tidak begitu kenal.

Saya yakin saya melewatkan beberapa hal dalam daftar terakhir itu, tetapi ini awal yang baik. Jadi dari set poin positif pertama kita dapat melihat bahwa DuckDuckGo benar-benar melakukan semua yang mereka bisa.

Kurangnya cookie dan parameter pengenal apa pun dalam string http GET adalah jaminan bahwa DuckDuckGo tidak tertarik melacak pengguna dari satu pencarian ke pencarian berikutnya. Yaitu. sejauh cookie dan informasi URL dikirim kembali ke server, pencarian pertama Anda di DuckDuckGo bisa jadi orang yang sama sekali berbeda dengan pencarian kedua Anda di DuckDuckGo. Namun, Anda tidak boleh berasumsi dari ini bahwa DuckDuckGo tidak mampu menghubungkan banyak pencarian dengan Anda - lihat nanti untuk detail lebih lanjut tentang ini.

Saya harus menjelaskan bahwa http GET sebenarnya tidak lebih aman daripada POST - DuckDuckGo bisa memilih POST dan tidak akan ada kompromi di sana. Namun hal yang menyenangkan) dengan GET adalah bahwa pengguna dapat melihat data yang sedang dikirim kembali ke DuckDuckGo di URL mereka - yaitu mereka tidak perlu menggali untuk menemukan parameter pos yang dikirim oleh browser ke DuckDuckGo.

Poin lainnya adalah https selalu aktif. ini menunjukkan bahwa DuckDuckGo tidak ingin penggunanya rentan terhadap serangan man-in-the-middle. Tentu saja itu bukan untuk mengatakan bahwa serangan man-in-the-middle tidak akan terjadi jika Anda menggunakan DuckDuckGo, tetapi hanya dari sisi server DuckDuckGo hal-hal yang mereka tampaknya telah melakukan semua yang mereka bisa untuk mencegahnya.

Setelah mengatakan semua itu, DuckDuckGo masih bisa menautkan pencarian Anda ke satu orang dan mungkin kepada Anda jika Anda tidak mengambil tindakan pencegahan. agen pengguna adalah bentuk identifikasi hanya karena itu tidak berubah dari satu permintaan ke yang lain (kecuali jika Anda mengambil tindakan pencegahan terhadap ini). Demikian juga alamat IP dari router Anda yang menghadap internet akan muncul di server DuckDuckGo.

Untuk dua poin terakhir ini ada hal-hal yang dapat Anda lakukan untuk menyembunyikan identitas Anda lebih lanjut - seperti memasang pengacak agen pengguna atau menggunakan Tor, tetapi jika Anda tidak menggunakan hal-hal ini maka Anda harus percaya pada DuckDuckGo ketika mereka mengatakan mereka menghargai privasi Anda. . Sejauh yang saya tahu, mereka telah melakukan semua yang mereka bisa untuk meyakinkan saya bahwa mereka menghormati privasi saya. Apakah saya akan pergi dan mencari istilah yang memberatkan tanpa menggunakan Tor dan keamanan lainnya di PC saya? Benar-benar tidak!

17
mulllhausen

Tidak mungkin membuktikan bahwa itu akan beroperasi dengan cara ini, tetapi sangat mudah untuk menggunakannya dengan cara mereka mengiklankannya.

Saya juga setuju dengan D.W. dan mulai menggunakannya beberapa hari yang lalu. Saya menghapus google dari daftar mesin pencari saya tetapi memiliki beberapa masalah dalam mempercayai ddg juga, karena saya orang yang sedikit paranoid, tetapi ia menyediakan koneksi yang aman, saya menggunakannya lebih tor dan selalu mencari privasi saya. Saya belum menemukan masalah. Tidak ada ID untuk melacak Anda. Mereka dapat sidik jari Anda dengan pengaturan privasi Anda, tetapi tidak lebih.

Saya bergabung dengan irc channel mereka dan mengajukan beberapa pertanyaan, Anda juga harus melakukannya, itu irc.freenode.net #duckduckgo

Jika Anda takut dengan dataleak, Anda dapat mencoba mengunjungi halaman dan melihat log. Kunjungi sekali di google dan sekali lagi di ddg. Google akan membocorkan istilah pencarian Anda melalui referer.

11
sfx

Tidak pernah mudah untuk membuktikan hal-hal ini, tetapi orang-orang sering pindah ke DuckDuckGo karena alasan privasi. Diperlukan waktu lama bagi sebuah merek untuk mendapatkan nama positif dan di era Internet, dibutuhkan hanya beberapa menit untuk melihat nama baik Anda dihancurkan.

Dengan artikel berita pertama yang DuckDuckGo melanggar janjinya kepada penggunanya, mereka akan mulai pergi karena berita akan menyebar di semua media dalam hitungan menit. Juga nama pendirinya akan diingat untuk waktu yang lama dan dia mungkin akan keluar dari bisnis selamanya ketika datang ke layanan privasi. Anda dapat menaruh informasi di Internet, tetapi Anda tidak pernah dapat menghapusnya.

4
jippie

Berikut sedikit bukti lain yang dapat Anda percayai DDG jika Anda paranoid: mereka memudahkan untuk mengontrol informasi apa yang dikirim ke Host target ketika Anda mengikuti tautan. Mungkin Anda tidak bisa benar-benar tahu apa yang mereka simpan di log mereka, tetapi Anda BISA tahu bagaimana mereka memperlakukan interaksi Anda dengan target tautan, dan Anda bisa mengendalikannya jika Anda mau. Coba ini di DuckDuckGo dan Google, dengan Javascript diaktifkan: 1. cari sesuatu 2. arahkan salah satu tautan hasil dan periksa alamat di bilah status 3. klik kanan salah satu tautan, dan lihat alamat di bilah status lagi

Di DuckDuckGo, tautannya adalah apa yang mereka katakan. Jika Anda ingin mencegah DuckDuckGo melihat apa yang Anda klik, dan jika Anda ingin target tidak menyadari bahwa Anda masuk melalui DuckDuckGo, Anda dapat melakukannya dengan mudah: cukup salin tautan di langkah 3, tempelkan ke alamat Anda bar, dan di sanalah Anda - tidak ada interaksi lebih lanjut dengan DuckDuckGo dan tidak ada URL pengarah yang dikirim ke situs target. Namun, di Google, perhatikan bahwa di # 2 mereka memperlihatkan kepada Anda tautan yang Anda harapkan, tetapi pada langkah # 3 tautan tersebut tiba-tiba berubah menjadi alamat google.com dengan satu ton gobbledeygook. Ini juga alamat yang digunakan jika Anda mengklik tautan secara normal. Satu-satunya cara untuk mendapatkan alamat target nyata secara langsung adalah dengan mengarahkan kursor dan mengetik ulang sendiri daripada mengkliknya. Skrip sisi klien Google dirancang khusus untuk memastikan Anda menekan server pelacakan Google sebelum diarahkan ke halaman yang benar-benar Anda inginkan, dan terlebih lagi, UNTUK MENYIMPAN FAKTA ITU IS MELAKUKAN SO dari sebagian besar pengguna. Ini adalah tindakan yang diambil Google beberapa tahun lalu yang akhirnya membuat saya menggunakan DDG secara eksklusif. Saya memahami kebutuhan Google untuk memonetisasi layanannya, tetapi ketika sengaja menyembunyikan mekanisme fundamental ini, mereka membuktikan bahwa mereka tidak dapat dipercaya.

Jadi Anda dapat memiliki pilihan: gunakan situs yang mengatakan itu tidak melacak Anda, dan tampaknya memenuhi janjinya; atau gunakan situs yang melacak Anda sebisa mungkin, memberi tahu Anda bahwa ia melakukannya, dan membuatnya sesulit mungkin untuk menghindarinya. Pilihannya jelas.

3
Randall Krieg

Nah sekarang, jika DuckDuckGo berdomisili di negara bagian EEA, itu akan tunduk pada kontrol hukum yang kuat tentang apa yang bisa dilakukannya dengan data pengguna, dan khususnya itu akan dilarang melanggar kebijakan privasinya sendiri.

Jadi, jika Anda benar-benar peduli tentang masalah ini, cari layanan serupa yang berbasis di EEA, yang akan memberi Anda potensi bantuan hukum jika Anda pernah mengetahui bahwa mereka berurusan dengan data Anda dengan cara yang melanggar kebijakan privasi mereka.

Bagaimana Anda mendeteksi pelanggaran semacam itu dibiarkan sebagai latihan untuk Anda.

0
Marcin