续：AdBlock 官网对这件事的回应和 ABP 后续回复

[题外话] Adblock Plus 的作者质（pao）疑 （hong）Chrome 另一个扩展 AdBlock 这篇文章发表后，AdBlock 在官方博客发表了文章进行回应，解释了他们所做的一切的原因，ABP 作者在回复中继续质疑。我应邀又翻译了一下，有些保留英文是因为拿捏不准。

AdBlock 官网博文：http://blog.getadblock.com/2014/07/adblock-and-privacy.html


AdBlock 和隐私


昨天 Adblock Plus 的 Wladimir Palant 突然在其个人博客发表了一篇文章将矛头指向我们，里面有提到这段话：

AdBlock 项目组只是假装关注用户的隐私。从他们的所作所为上看，很显然他们在做决定时绝无考虑任何隐私问题。

我从没见过 Adblock Plus 团队，所以我不想就他们发表任何意见。我见过运作 Adblock Plus 的公司 Eyeo 的 CEO - Till Faida，他很有魅力，也富有洞察力。但哪怕我认为他是一个混蛋，我也不会擅自揣测他或他团队的想法。

我赞同 Wladimir 所说的应该增加一个隐私策略声明（我们也正在做这件事），我们的代码中也确实有一个 bug（现在已经修复）。Beyond that, Wladimir takes our attempts to do right by our users with a small team, and paints an incorrect picture.

这篇文章太长了，一般人懒得看，但如果你有兴趣继续了解，那就一起来看看 Palant 是怎么说的：

AdBlock 起初是一个开放的项目，托管在 Google Code 上，任何人都可以查看和贡献代码。然而他们却在 2013 年 8 月关闭了代码库并在项目描述中引导用户去下载他们的源代码包。尽管源代码仍可见，但要想提取出所有的变动，你得花费不少的精力。

AdBlock 还是一个开源的 GPLv3 项目，代码公开在 code.getadblock.com。从 Google 移走托管项目是因为我们很少收到那里来的补丁，而且既要用来汇报 bug
又要提供技术支持也很不利于我们服务好几百万个不太懂技术的用户。所以我们转移到了 Tender 来提供技术支持，并且新开了一个 Github 私人代码库写代码。我认为从一个小团队继续服务用户角度来说这么做很对。代码原来是可读的，并且注释完整，但我也是才发现 Wladimir 说移走后查看代码变动变得不方便了。

总结： AdBlock 偷偷的改变了原来的公开开发模式，对用户隐瞒他们所有的变动，而且既不告诉用户他们的决定也不解释原因。将源代码存档留在那里也仅仅是为了假装 AdBlock 还是一个开源项目，关键是你还很难找到，很明显项目负责人是希望没人能从中提取出任何的变动。他们隐瞒了什么？

Palant 这番说法在我看来有些失态。

我们就新点子邀请用户参与调查本来就不是什么秘密，当然其中一个原因也确实是和 Disconnect 合作有关，但绝没有什么阴谋。事实上，AdBlock 代码里面就有这样的一行：
path: ‘/partnership_analytics.json?’

真没那么神秘！再说一次：它就在 AdBlock 的源代码里面，谁都可以看到。

另外， Disconnect 的那些人一直都致力于保护隐私。他们的反跟踪扩展每周都有一百多万人使用，而且一直以来都有大量新闻媒体对他们在保护互联网隐私方面所做的事情进行报导。

我们很高兴自己也被新闻媒体用同样的话提到。

AdBlock 现在不仅仅是发送唯一用户 ID 到他们的服务器，他们还会发送用户是否允许显示 Google 搜索广告的设置。

用户 ID 是随机生成的，并且不会在计算机、浏览器之间或重新安装时保留，也不和用户个人信息相关联（我们也不想要这些个人信息）。我们主要是用它来收集一些显示粗略用户规模的匿名数据，比如有多少法语用户在使用，大多数用户需要多久才会更新到最新版本，用户会否经常开启“我愿意显示 Google 广告”功能之类的。

所有的广告还是会默认屏蔽掉。至今，AdBlock 的收入都还完全来自捐助。我们让用户参与调查是想了解他们是否赞成我们通过其他方式获取资金。如果大家有什么想法，欢迎随时告诉我们！

还有一件有趣的事是当用户每次访问 getadblock.com 时上面提到的唯一用户ID 都会被发送到这个网站，甚至如果他们访问的是 getadblock.com.malicious.com 或任何包含 getadblock.com 这几个字的网站，也一样会发送。如果我是一个以广告收入为生的站长，我会利用这个 bug 在每个网页中都插入一个隐藏的帧框架来跟踪用户。也许哪个网站已经想到了吧？而更新日志是怎么描述这个变动呢？--“就调查表进行 Beta 测试”。是的，没错。

这就是为什么 AdBlock 主页会知道是否 AdBlock 已经安装了，也是我们对付信用卡诈骗的一种方法。的确这方面的文档几乎没有，但我们的本意是不想给骗子可乘之机。那个 “getadblock.subdomain.com” 的 bug 也确实存在，不过我们已经修复了。

AdBlock 2.6.21-2.6.27: Disconnect.me 的功能已经深入其中了，看过去是 Disconnect 的开发者亲自对功能进行改动，比如实现了试用和付费的会员功能，Disconnect 搜索广告的白名单也有所变化。按更新日志的说法，这些变化还是“就调查表进行 Beta 测试”。

我们只在很小范围内对用户进行调查，问他们是否愿意在 AdBlock 里使用 Disconnect 的功能以及对付费的看法。当然这就需要增加一些代码来让所调查用户对功能进行试用。我再重申一次，我们这么做是要保证所有获取资金的方式都必须得到用户的认可。这对我们来说很重要。

“AdBlock 自定义过滤规则”（AdBlock 默认推荐并安装的专属过滤规则）添加了一系列过滤规则白名单允许在 AdBlock 网站使用 Mixpanel 跟踪用户。

MixPanel 是一个类似于 Google Analytics 的工具，用来帮助我们记录信用卡诈骗犯的信息（见上文）并改进安装以后显示的页面。

总结：如果某个项目突然决定隐藏起来开发，通常就会发生一些不好的事儿了。就 AdBlock 这件事来说，就是指和 Disconnect.me 合伙利用用户来赚钱，还不让用户知道。一旦有用户注意到并提出疑问，他们就试图淡化这件事的影响。

我觉着 Palant 在他文章很多地方都力求不倾向任何一方，但很明显他的断言解释了为什么他要说这篇文章与官方博客无关。

“利用用户来赚钱”和“还不让用户知道” 这两个用语很容易让人在脑海里出现一幅 AdBlock 的用户被偷偷变成美元符号的画面。实际上我们所做的正是征求用户关于 AdBlock 未来发展方向的意见。到现在为止 AdBlock 的唯一收入来源还是捐助，询问用户其他获取资金的渠道和我们移走 Google 托管项目这两件事之间毫无关系。

总结：AdBlock 项目组只是假装关注用户的隐私。从他们的所作所为上看，很显然他们在做决定时绝无考虑任何隐私问题。

我从没见过 Wladimir Palant，我只知道他是一个见多识广的开发者。但从他文章最后两段看的出来他也是一个深思熟虑的家伙。在隐私和用户 ID 方面，他在文章中像哲学家一样说出了一些建设性的观点，结果 Hacker News 讨论帖反而出现了很多有趣的评论。

大家知道吗？我们的确需要一份隐私策略声明。大家知道为什么直到去年年中 AdBlock 才有了自己的主页吗？是的，Chrome 和 Safari 浏览器最受欢迎的扩展在2013 年以前居然还没有自己的主页，甚至除了 Michael 以外没有一个全职的开发者，但我们仍然有足够的时间发布比 FAQ 更正规的隐私说明。所以我们还会继续做这件事。


发表自 Gabriel Cubbage

meat：规则除了英文网站和黄色站点，也没什么问题啊。还可以直接用abp规则（会删掉全局CSS），除$subdocument 外其它都支持。我一直都在adbyby的群里面呆，来报告问题的误报占了大半。而且几乎所有视频都没广告了，这个相当方便。

...回到原帖

就我使用的情况看（默认规则），有太多的站点没过滤，可能是因为太追求小规则的原因。至于视频广告，隔一段时间就失效一次，可能需要等待一天。

就别说 https 无法过滤。个人观点，全无无广告、易用优先于速度。我是 2 个都用，发现有问题，才会依次检查 adbyby、优酷去黑屏扩展、ABP。

hzzhaiqi：简单试了下  µBlock，手动过滤后，该元素变成了

<div id="ad" style="display: none !important; background: rgb(204, 204, 204);"> 试试用ADB隐藏我
...回到原帖

规则除了英文网站和黄色站点，也没什么问题啊。还可以直接用abp规则（会删掉全局CSS），除$subdocument 外其它都支持。我一直都在adbyby的群里面呆，来报告问题的误报占了大半。而且几乎所有视频都没广告了，这个相当方便。

除掉abp后Firefox打开网页的速度、启动速度都能观察到明显提高。我是真换不回abp了

hzzhaiqi：简单试了下  µBlock，手动过滤后，该元素变成了

<div id="ad" style="display: none !important; background: rgb(204, 204, 204);"> 试试用ADB隐藏我 ...回到原帖

仅仅是一个简单的例子而已，没用过µBlock，不知他的是否定时监控，如果仅设置一次就完事的话
要是给广告元素来个定时器定时刷新下display:block，那么也没辙，当然这只是我的假设。

meat：原来这样。怪不得adbyby对某些元素隐藏规则是要用js来处理的
一般是隐藏规则：http://testabc.duapp.com/TestAd/###ad
可是你这个测试页面，要加一个符号
http://testabc.duapp.co...回到原帖

简单试了下  µBlock，手动过滤后，该元素变成了

<div id="ad" style="display: none !important; background: rgb(204, 204, 204);"> 试试用ADB隐藏我
</div>

adbyby 过滤规则太简陋了，大量的网站都存在广告。且存在其它问题，所以还得用  µBlock / Adblock 之类的。

lonely_8：内联样式的优先级比外联样式的要高，ADB的广告隐藏相当于使用外联样式的display:none。
广告商只需将广告元素的的内联样式预先设置为display:block!imporatnt;
那么即使不用js设置定时器，ADB也无法隐藏广...回到原帖

原来这样。怪不得adbyby对某些元素隐藏规则是要用js来处理的
一般是隐藏规则：http://testabc.duapp.com/TestAd/###ad
可是你这个测试页面，要加一个符号
http://testabc.duapp.com/TestAd/##&#ad

fang5566：外部软件和ABP，AB 存在一样的问题，都需要合适的隐私策略，都应该小心信息被收集。回到原帖

可能我的看法有点不一样吧。我觉得暴露在互联网中，一些行为被收集是无法避免，特别是中国的网络环境中。也就不太在意收集的是软件还是网站的tracking js甚至像百度搜索结果那种堂而皇之的跳转，更加在意效果和性能。。。。极端的情况，基于浏览器的扩展能对HTTPS进行干预，对用户来说只能靠Mozilla的审核，而外部软件是不能处理HTTPS的（起码在不导入证书用MiM拦截的前提下），反而更安全

hzhbest：你用的是什么外部过滤软件啊？

P.S. 既然独立软件和浏览器扩展各有千秋，如果前者融合后者，拦截效果应该更出众。回到原帖

我现在用的是adbyby。优点是速度很快。真的很快。

lonely_8：内联样式的优先级比外联样式的要高，ADB的广告隐藏相当于使用外联样式的display:none。
广告商只需将广告元素的的内联样式预先设置为display:block!imporatnt;
那么即使不用js设置定时器，ADB也无法隐藏广...回到原帖

嗯，学习了，感谢解答。

hzzhaiqi：长见识了，我说查看新浪新闻隐藏广告的时候， ABP 怎么是 -moz-binding 的。但好像 ADB 等工具也能正常隐藏广告，难道都没用定时器？回到原帖

内联样式的优先级比外联样式的要高，ADB的广告隐藏相当于使用外联样式的display:none。
广告商只需将广告元素的的内联样式预先设置为display:block!imporatnt;
那么即使不用js设置定时器，ADB也无法隐藏广告了，而FF的ABP是免疫的。
没怎么用过Chrome也没实际见过这种反ADB的广告。

补充一个简单的测试例子，纯HTML页面。
http://testabc.duapp.com/TestAd/
使用

testabc.duapp.com###ad

来隐藏上面网址的“广告”

lonely_8：在我看来
如果直接使用样式（display:none）无论内联或者外联，是隐藏不了一些用js动态修改display的广告的。
另外，
ABP中使用了XBL binding来隐藏广告，网页端几乎没机会再将广告显现。
而ADB的只是（好...回到原帖

长见识了，我说查看新浪新闻隐藏广告的时候， ABP 怎么是 -moz-binding 的。但好像 ADB 等工具也能正常隐藏广告，难道都没用定时器？

hzzhaiqi：最近试了 chrome 的 uBlock，发现它的确省内存点。它隐藏元素采用了 2 种方式：直接修改 DOM，让它 display:none 和插入样式表。所以某个 iframe 很多的测试网站，uBlock 就不会像 ABP 一样占用内存...回到原帖

在我看来
如果直接使用样式（display:none）无论内联或者外联，是隐藏不了一些用js动态修改display的广告的。
另外，
ABP中使用了XBL binding来隐藏广告，网页端几乎没机会再将广告显现。
而ADB的只是（好像ABP for Chrome的也是） display:none，
对于后者广告商只要给广告设置一个定时器，定时设置其display:block!imporatnt; 值就能简单破解。

fang5566：估计是因为插入的样式表小，abp插入的样式表规则太多，而且很多都是通用杀伤力强的规则。目前来看，是用内存换取过滤效果。如果要效果又好，内存又省，估计算法必须有极大改进。回到原帖

uBlock 的效果也很好，基本上跟 ABP 的一样。不知道为什么 ABP 不采用这种混合的方式，个人感觉这种混合的方式不错，能有效减少内存占用。

meat：自从用了外部过滤软件以后，完全不怀念abp。外部过滤有效性同abp比较 可谓各有千秋，前者因为能进行文本替换，更加强大，能对付abp无可奈何视频广告和js内部修改，后者则基于浏览器而有HTTPS支持（说实话，这个就是google的一些文字广...回到原帖

外部软件和ABP，AB 存在一样的问题，都需要合适的隐私策略，都应该小心信息被收集。

meat：自从用了外部过滤软件以后，完全不怀念abp。外部过滤有效性同abp比较 可谓各有千秋，前者因为能进行文本替换，更加强大，能对付abp无可奈何视频广告和js内部修改，后者则基于浏览器而有HTTPS支持（说实话，这个就是google的一些文字广...回到原帖

你用的是什么外部过滤软件啊？

P.S. 既然独立软件和浏览器扩展各有千秋，如果前者融合后者，拦截效果应该更出众。