很多人以为隐私浏览就等于没人能看到他们在做什么。打开无痕标签页,逛几个敏感网站,关掉窗口,完事,安全了。
并非如此。差得远呢。
Chrome、Firefox 或 Safari 的隐私模式,只是在你关闭窗口时清除本地浏览历史。仅此而已。你的 ISP(互联网服务提供商)仍然能看到你的流量;你访问的网站仍然会记录你的 IP 地址;公司网络仍然会记录你的 DNS 查询;而广告商甚至可以通过浏览器指纹识别你——准确率往往高于 99%——连 Cookie 都不需要。
要真正做到不留痕迹地浏览,首先要弄清楚「痕迹」到底是什么,然后才能有针对性地采取措施。
隐私模式并非你想象的那样
美国联邦贸易委员会(FTC)和多项学术研究一再记录了用户对隐私模式的严重误解。芝加哥大学一项广为引用的研究发现,超过一半的参与者认为隐私浏览能向网站隐藏他们的位置。事实并非如此。
无痕模式只是阻止你自己的设备记录你的浏览历史。这当然有用:在公共电脑上查商品给家人惊喜,查询医疗症状以免出现在自动补全记录里,避免刚搜索过的内容影响个性化广告。但对于阻止外部第三方——网站、ISP、网络运营商——它完全没有任何保护作用。
这种混淆,部分要归咎于浏览器厂商自己。「隐私浏览」听起来像是你隐身了。其实你只是变整洁了一点。
网上哪些东西真正会暴露你
在网上浏览时,有五种主要方式会让你留下痕迹,而大多数隐私建议只涉及其中一两种。
你的 IP 地址对你连接的每台服务器都是可见的,可以追溯到你大致的地理位置(通常精确到城市级别)和你的 ISP 账户。在大多数法律框架下,ISP 可以在收到合法请求时将你的 IP 与你的身份挂钩。
DNS 查询发生在浏览器加载页面之前。当你输入一个网址时,你的设备会向 DNS 服务器请求将域名转换为 IP 地址。大多数人的 DNS 查询默认发送到 ISP 的解析器,这相当于把你访问过的几乎所有域名都告诉了 ISP——即使是 HTTPS 网站也不例外。加密保护的是连接内容,DNS 泄露的是目的地。
Cookie 和追踪像素会跨会话持续存在,除非你主动清除。第三方追踪器——Google、Meta 或广告网络等公司嵌入的小脚本或图片——会跟随你从一个网站到另一个网站,构建你的行为画像。
浏览器指纹是最隐蔽的追踪方式,不需要 Cookie,也不需要登录。网站通过组合几十种信号来识别你的特定浏览器:操作系统、屏幕分辨率、已安装字体、WebGL 渲染器、时区、电池状态、可用插件……这种组合通常对你的设备来说是唯一的。更糟糕的是,试图通过添加扩展或调整设置来改变指纹,往往会让你更容易被识别,而不是更难——你变成了那个异常的人。
账号登录是最显而易见的痕迹:当你登录 Google、Facebook 或任何服务时,它们会追踪你在每一个嵌入其代码的网站上的行为。而这几乎覆盖了整个网络。
立刻测试你的浏览器泄露了什么
在做任何改变之前,先了解你实际面临的暴露风险。
Cover Your Tracks 由电子前哨基金会(EFF)开发,能快速测试你的浏览器是否有唯一指纹,以及是否能抵御已知的追踪技术。EFF 自 2010 年起维护这个工具,测试方法已公开记录,是最好的起点。
BrowserLeaks 更加深入,会对画布指纹、WebGL、WebRTC、JavaScript API、字体枚举等进行全面测试,并精确展示每项测试向任何访问你的网站揭示了什么。在做出任何改变前后都适合用来作为基准测试。
针对 DNS 问题,DNS Leak Test 可以检查你的 DNS 查询是否发送到了预期的解析器,还是泄露给了 ISP。如果你启用了 DNS over HTTPS 但没有正常工作,这个工具能帮你发现。
IPLeak 可以检查你的表面 IP 地址以及 WebRTC 泄露——这是一个常见问题:浏览器可能会暴露你真实的本地网络 IP,即使通过 VPN 也不例外,因为 WebRTC 请求可以完全绕过 VPN 通道。
这些工具都不需要账号,也不会将测试结果与你的身份关联存储,正是因为它们无需注册就能使用,才显得尤为有价值。
你用的浏览器本身就决定了很多
扩展和设置能有所帮助,但你无法把一个漏洞百出的系统调整成密不透风的堡垒。浏览器的选择才是基础。
Firefox 加上正确的设置是大多数人最实用的选择。将增强型追踪保护设置为「严格」,在「设置 → 隐私与安全 → DNS over HTTPS」下启用 DoH,并安装 uBlock Origin。Firefox 是开源的,由 Mozilla 基金会资助,而非广告公司——这一结构性差异在考虑产品决策动机时至关重要。
Brave 基于 Chromium 构建,但内置了激进的指纹随机化和广告拦截,默认即可开启。无需任何配置即可获得基本保护。权衡之处在于:Brave 是一家有自己广告产品(Brave Ads)的商业公司,部分人认为这与其隐私定位在哲学上存在矛盾。如果你想要无需手动调整就能有合理默认设置,这是个合理的选择。
Tor Browser 提供最强的保护,但也带来最难用的使用体验。它通过 Tor 网络路由所有流量,在到达目的地之前经过多个中继节点匿名化你的 IP。所有 Tor 用户在网站眼中看起来是一样的,因此指纹识别被降至最低——没有唯一的浏览器信号。代价是速度较慢,偶尔会被拒绝 Tor 出口节点的网站拦截。
对于大多数日常隐私需求——屏蔽广告网络、加密 DNS、减少指纹——Firefox 或 Brave 是正确选择。将 Tor Browser 留给真正需要 IP 级别匿名的场景。
Chrome 不在这个讨论范围内。Google 的核心业务是广告。Chrome 默认收集遥测数据,不阻止追踪,而且迟迟未废除让跨站追踪有利可图的第三方 Cookie 基础设施。Chrome 的市场主导地位实质上减慢了网络向更强隐私默认值的过渡。
真正有用的扩展
网上大多数扩展推荐都是噪音。以下这些不是。
uBlock Origin 是必装的。它在网络层面拦截广告、追踪器和恶意脚本,使用维护良好的过滤列表。它是开源的,没有任何商业化模式。在独立基准测试中,它在拦截率和资源效率上始终优于所有替代品。在 Firefox 上,它可以完整使用 WebExtensions API;在 Chromium 浏览器上,Google 的 Manifest V3 迁移限制了它的部分功能——这又是一个使用 Firefox 保护隐私的结构性理由。
Firefox Multi-Account Containers 将不同网站隔离在不同颜色标记的容器中。你的银行在一个容器里,社交媒体在另一个容器里。Cookie 无法跨越容器边界,所以新闻网站上的 Facebook 追踪脚本无法与你的 Facebook 会话关联。设置只需五分钟,能切实限制跨站追踪。
Privacy Badger 由 EFF 开发,通过观察行为而非使用过滤列表来学习拦截隐形追踪器,是 uBlock Origin 的补充——它能捕捉静态列表可能遗漏的追踪模式。
需要主动避开的:没有开源代码的隐私品牌扩展。Chrome 扩展商店里大量 VPN 浏览器扩展和「隐私工具」被发现出售浏览数据。在安装任何扩展之前,查清楚是谁开发的,阅读隐私政策,寻找源代码仓库。
DNS over HTTPS:大多数人跳过的设置
DNS 查询是你网络生活的完整记录,访问的每一个域名都算在内,即使使用 HTTPS 也不例外。
DNS over HTTPS(DoH)加密你的 DNS 查询,让 ISP 无法读取。Firefox 在「设置 → 隐私与安全 → 启用 DNS over HTTPS」中内置了这一功能。Brave 自动启用它。Chrome 则在「设置 → 隐私和安全 → 安全 → 使用安全 DNS」中。
DNS 解析器的选择很重要。如果你使用 Google 的公共 DNS(8.8.8.8),你只是把可见性从 ISP 转移给了 Google——这是交换,不是改善。NextDNS 是一个注重隐私的解析器,有可配置的无日志选项。Cloudflare 的 1.1.1.1 有公开的隐私政策,承诺不出售数据,并在 25 小时内删除查询日志。选择之前先看政策;信任但要核实。
启用 DoH 后,运行 DNS Leak Test 确认它实际上在工作。
免登录工具彻底消除账号问题
最简单的隐私改善往往是最容易被忽视的:停止为不需要账号的事情创建账号。
每一个账号都是一个数据点——一个电子邮件地址、一段浏览历史、一个与你身份绑定的行为档案。当服务需要登录时,它可以无限期追踪你在其中的一切行为,以及在任何嵌入其追踪代码的网站上的行为。当你无账号使用工具时,就没有档案可建,也没有数据可泄露。
这正是「免登录工具」作为一个品类存在的逻辑:大量任务——编辑图片、转换文件、记笔记、运行代码、进行计算——都可以在浏览器中完成,完全不需要提供任何身份信息。
当你需要临时邮箱地址注册某些东西,又不想让垃圾邮件涌入真实收件箱时,Temp Mail 能立即生成一个一次性地址,无需注册,关掉标签页就消失了。
当你需要分享密码或敏感信息时,PrivNote 能发送一条自毁加密消息,收件人打开后即自动删除。没有账号,没有服务器端的副本。
| 工具 | 用途 | 隐私价值 |
|---|---|---|
| Cover Your Tracks | 测试浏览器指纹和追踪 | 改变任何设置前先了解自己的暴露情况 |
| BrowserLeaks | 完整的浏览器泄露审计 | 详细识别所有泄露途径 |
| DNS Leak Test | 检查 DNS 解析器 | 确认 DoH 真正在工作 |
| IPLeak | 检查 IP 和 WebRTC 泄露 | 发现 VPN 被 WebRTC 绕过的情况 |
| Temp Mail | 一次性邮箱 | 注册时无需提供真实地址 |
| PrivNote | 阅后即焚的消息 | 消息被读取后不留任何副本 |
坦诚面对局限性
没有任何设置能提供完全的匿名性,过度宣传只会适得其反。
如果你的威胁模型包括来自高级对手的定向监控,仅靠浏览器设置是远远不够的。Tor Browser 有所帮助,但即使是 Tor 对于能够控制足够多网络节点的攻击者也有已知弱点。在那个层面上,行为安全——而不仅仅是工具——同样重要。
对于我们其他人来说,现实目标是让大规模商业追踪变得明显更困难:加密 DNS,让 ISP 无法出售你的浏览历史;拦截第三方追踪器,让广告网络无法构建行为档案;选择一个不会默认回传数据的浏览器;并在没有理由交出邮件地址时使用免登录工具。
还有一致性问题。使用抗指纹浏览器,如果你在同一个窗口里登录了 Google 账号,效果等于零。隐私工具需要组合使用。隔离不同环境——为不同活动使用不同浏览器或容器——比优化任何单一设置都更有效。
Cover Your Tracks 测试只需三十秒。现在就在你当前的浏览器上运行,不用做任何更改。结果往往会让你真正感到震惊——用具体的数据看到自己的指纹,比任何文章都更有说服力。