浏览器的披露未能纠正私密浏览模式的误解

2170您的秘密是安全的：浏览器的解释如何影响对私密浏览模式的误解0Yuxi Wu，Panya Gupta，Miranda Wei，Yasemin Acar†，Sascha Fahl†，BlaseUr芝加哥大学，†莱布尼茨大学汉诺威{yuxiwu,panyagupta,weim,blase}@uchicago.edu，{acar,fahl}@sec.uni-hannover.de0摘要0所有主要的网络浏览器都包含一个私密浏览模式，该模式不会在浏览会话之间存储浏览历史、Cookie或临时文件。不幸的是，用户对此模式存在误解。许多因素可能导致这些误解。在本文中，我们关注浏览器的披露，即它们对私密浏览模式的内置解释。在一项460名参与者的在线研究中，每个参与者都看到了13种不同的披露（六种流行浏览器的桌面版和移动版披露，以及一个控制披露）。根据他们看到的披露，参与者回答了关于二十个浏览场景中会发生什么的问题，这些场景捕捉了先前记录的误解。我们发现，浏览器的披露未能纠正我们测试的大多数误解。这些误解包括认为私密浏览模式可以防止地理定位、广告、病毒以及被访问的网站和网络提供商的追踪。此外，看到某些披露的参与者更有可能对私密浏览对定向广告、下载文件列表的持久性以及由ISP、雇主和政府的追踪产生误解。0CCS概念0• 安全和隐私 → 安全和隐私的可用性；浏览器安全；0关键词0私密浏览，网络浏览器隐私，可用性隐私，用户研究，无痕模式，私密浏览模式0ACM参考格式：Yuxi Wu，Panya Gupta，Miranda Wei，YaseminAcar†，Sascha Fahl†，BlaseUr。2018。您的秘密是安全的：浏览器的解释如何影响对私密浏览模式的误解。在2018年WWW网络会议上，2018年4月23日至27日，法国里昂。ACM，纽约，美国，10页。https://doi.org/10.1145/3178876.318608801 引言0如今广泛使用的五个网络浏览器——Chrome、Edge、Firefox、Safari和Opera——都提供了一个私密模式，可以停止存储浏览历史和跨会话缓存数据。用户的浏览历史中的不需要的信息将不会出现在0本文根据知识共享署名4.0国际（CC BY4.0）许可证发表。作者保留在个人和公司网站上传播作品的权利，并附上适当的归属。WWW 2018，2018年4月23日至27日，法国里昂 © 2018IW3C2（国际万维网会议委员会），根据知识共享CC BY 4.0许可证发表。ACM ISBN978-1-4503-5639-8/18/04。https://doi.org/10.1145/3178876.31860880历史记录栏、自动填充表单或搜索建议。私密模式可以帮助用户隐藏与他们共享设备的人的浏览会话。虽然这些私密模式的目标不是在本地保存用户数据，但是许多威胁隐私的问题超出了它们的范围。例如，私密模式并不旨在阻止网络上的追踪。虽然浏览器的Cookie在私密浏览会话之间不会持久存在，但这对第三方广告和分析公司进行追踪是一个较小的障碍，他们可以使用更复杂的指纹识别技术[14,17]。此外，实现并不完美，通常会留下一些本地活动的痕迹[1, 36,47]。尽管私密模式提供的保护有限，但一些用户过高估计了这些保护[13,20]。这种过高估计的范围很大；谷歌前CEO埃里克∙施密特曾经说过：“如果你担心，无论出于什么原因，你不希望被联邦和州政府追踪，我强烈建议你使用无痕模式，这就是人们所做的”[38]。在本文中，我们通过对浏览器对私密模式的解释对用户对这些模式的理解产生的影响进行了初步的研究。浏览器在解释私密模式时有所不同；甚至模式的名称也不同（例如，Chrome中的“无痕模式”，Edge中的“InPrivate”，Firefox中的“私密浏览模式”）。我们关注浏览器在用户在私密模式下打开新窗口时呈现的披露，或者全屏解释（我们在各个浏览器中使用的统一术语）。值得注意的是，披露在给定浏览器的桌面版和移动版之间经常不同。我们进行了一项在线研究，其中460名参与者中的每个人都看到了13种不同的披露（六种流行浏览器的桌面版和移动版披露，以及一个控制披露），这些披露为一个假设的新浏览器重新设计。参与者回答了关于二十个不同浏览场景中会发生什么的问题。在其中一些场景中，私密模式可以保护用户的隐私，而其他场景则包含了先前记录的关于私密模式的误解[13,20]。我们发现参与者存在许多误解，包括认为私密模式可以防止地理定位、保护免受恶意软件、消除广告以及防止被访问的网站和网络提供商追踪。参与者看到的特定披露影响了他们的误解。与毫无意义的模糊控制条件相比，当前和先前的Chrome桌面版披露使参与者更准确地回答了更多的场景；我们测试的其他披露没有显著影响。看到某些披露的参与者更有可能对私密模式对特定场景的影响产生误解：定向广告、下载文件列表的持久性以及由互联网服务提供商（ISP）、雇主追踪。0Track: 网络安全与隐私 WWW 2018, 2018年4月23日至27日, 法国里昂1https://support.mozilla.org/en-US/kb/tracking-protectionsave the list of files downloaded in private mode. All browsers canaccess existing bookmarks in private mode, and new bookmarkssaved in private mode are available in future sessions [22, 31, 34].Browsers differ somewhat in their private modes. Chrome andEdge do not save preferences (e.g., pop-up blocking, download loca-tions) from private sessions, while Firefox and Opera do. Browserssimilarly differ in how they handle browser extensions. Edge com-pletely disables extensions, while Firefox and Safari leave themenabled by default. Chrome and Opera disable extensions by de-fault, but let users manually enable them.2180WWW 2018, 2018年4月23日至27日, 法国里昂 Yuxi Wu, Panya Gupta, Miranda Wei, Yasemin Acar † , Sascha Fahl † , Blase Ur0以及政府。一些披露中使用的短语（例如“追踪保护”）似乎导致了误解。尽管之前的研究已经记录了关于私密模式的误解，但我们的研究是第一个关注浏览器披露的角色的研究。这些披露是用户每次打开新的私密浏览窗口时看到的，是纠正可能源自“私密浏览模式”和“隐身模式”等名称的误解的主要途径[24, 39,48]。尽管我们发现一些浏览器的披露比其他浏览器更好，但我们测试的所有披露都未能纠正重要的误解。02 背景和相关工作0我们首先总结了当前浏览器私密模式的特点。然后我们讨论了关于私密模式的误解以及更广泛的隐私通信的相关工作。02.1 私密浏览的特点0所有主要的网络浏览器都包含了一个私密模式，旨在保护免受物理访问机器的本地隐私威胁[1]。这些模式旨在从机器上删除浏览历史、临时文件和Cookie的本地副本。尽管如此，这些功能的实现并不完美[1]。Xu等人证明了高级攻击者仍然可以从私密会话中获取信息[47]。同样，Satvat等人发现了使高级攻击者和恶意软件能够从私密模式中窃取信息的漏洞[36]。虽然此类攻击对于整体浏览器安全性很重要，但它们不是我们工作的重点。相反，我们研究用户的期望与私密模式的预期保护之间的比较。为了确定这些预期的保护措施，我们检查了浏览器特定的文档和关于私密模式的先前研究。对于未正式记录的潜在行为，我们进行了非正式的实验。没有浏览器会在会话关闭后故意存储私密模式的浏览历史[6, 21, 22, 28, 31,34]。这个保证完全不适用于远程服务；如果用户登录到一个帐户，该帐户的提供者肯定可以记录用户的浏览活动[1]。浏览器在关闭私密会话时会删除临时文件（例如缓存文件）。除了Edge之外，所有浏览器都会在私密浏览时使用新的Cookie存储；Edge使用标准模式的存储。所有浏览器在私密会话关闭后都会清除Cookie。在使用私密模式时，所有浏览器都可以访问标准模式下的自动填充信息，但没有浏览器会自动保存自动填充的详细信息[6, 30,34]。然而，私密模式并不能保护免受远程威胁。除了一个例外，浏览器的私密模式不会改变用户IP地址的可见性，也不会改变流量在网络上的显示方式。只有Opera的VPN功能[33]提供了一些有限的保护。虽然它可以隐藏用户的浏览活动免受互联网服务提供商的监视，但Opera的VPN服务器有能力窥探用户的浏览行为。由于这个限制和Opera的VPN的选择性使用，这个工具对大多数用户的追踪预防能力有限。此外，Firefox 1和OperaVPN可以防止常见的追踪网络。私密模式也不旨在停止所有本地活动。在私密会话中下载的文件仍然存在，而我们测试的所有浏览器（除了Brave）都不会保存在私密模式中下载的文件列表。所有浏览器都可以在私密模式中访问现有的书签，并且在将来的会话中可以使用在私密模式中保存的新书签[22, 31,34]。浏览器在私密模式中有一些差异。Chrome和Edge不会保存私密会话的首选项（例如弹出窗口阻止、下载位置），而Firefox和Opera会保存。浏览器在处理浏览器扩展程序方面也有所不同。Edge完全禁用扩展程序，而Firefox和Safari默认情况下保持启用。Chrome和Opera默认禁用扩展程序，但允许用户手动启用它们。02.2 先前记录的误解0为了创建我们研究的浏览场景，我们收集了先前在学术文献和新闻媒体中记录的关于私密模式的误解。之前有两项用户研究专注于私密模式的误解。Gao等调查了200名MechanicalTurk工作者，定性地研究了参与者使用私密浏览模式的原因以及他们对这些模式的认识[20]。最近，搜索引擎DuckDuckGo对5710名美国人进行了代表性样本调查，记录了关于私密浏览的七个误解[13]。先前的研究发现，一些用户错误地认为私密模式可以保护他们免受被访问的网站、在线广告公司、政府和ISP的追踪[13, 20, 24, 27,39]，并且一些人还错误地认为网站在私密模式下无法查看IP地址，从而防止地理定位[13]。此外，一些用户认为私密模式可以控制第三方保存的内容[24]。例如，用户可能没有考虑到公司可以在用户登录其帐户时记录浏览历史，而不管浏览模式如何[13,16]。用户也不知道广告网络可以跨互联网跟踪浏览历史[11, 17,25]。最后，一些用户认为私密模式可以保护他们免受病毒/恶意软件的侵害，并阻止所有广告[20]。虽然我们的目标是测试先前研究中记录的所有误解，但有些误解过于模糊，无法以受控的方式进行测试。例如，“我访问的网站不知道我的身份”[13,20]这个误解可能指的是网站将不同浏览会话中的伪匿名活动关联起来，或者可能指的是确定用户的真实身份。同样，关于“私密浏览可以保持我的计算机干净”[20]的误解可能指的是退出私密会话时删除任何范围的文件。02.3 传达隐私和安全0虽然我们的研究是首次专注于与浏览器的私密模式相关的隐私披露，但关于在线隐私和安全的用户中心通信有大量的文献。隐私披露可以采用多种形式，并通过不同的方式进行传递[37]。在网络浏览器中，已经进行了大量研究来调查SSL警告[2, 18, 41,42]，以及用于指示连接安全性的视觉图标[19]，广告个性化[26]，网站可信度[35]和隐私政策[43,46]。尽管网络存在隐私和安全风险[25]，用户经常点击浏览器的警告和披露[2]。最近的研究通过使用多态警告[4, 9,45]或策略性的时机[15]设计了更难以忽视的披露[10]。最近的0Track: Security and Privacy on the Web WWW 2018, 2018年4月23日-27日，法国里昂2190您的秘密是安全的：浏览器的解释如何影响误解... WWW 2018, 2018年4月23日-27日，法国里昂0先前的研究主要集中在向用户提供个人示例[23]或自动生成的数据丰富的披露[3, 7, 12]。03 方法论0我们通过亚马逊的MechanicalTurk服务进行了一项在线调查，招募了参与者参与“关于网络浏览行为的研究”。参与者完成半小时的调查后获得5美元的报酬。我们要求参与者年满18岁，居住在美国，并且完成了100个以上的HIT，并且具有95%以上的批准率。下面，我们介绍了我们的整体调查结构，然后详细描述了我们测试的十三个条件和二十个浏览场景。最后，我们描述了我们的定量和定性分析方法。03.1 调查结构0我们首先要求参与者想象一个名为Onyx的新型网络浏览器。我们选择使用一个假设的浏览器，以减少与当前浏览器供应商的感知或先前使用特定浏览器的经验相关的偏见[44]。我们解释说，“Onyx有一个称为私密浏览模式的模式。当您在Onyx中打开一个新的私密浏览模式窗口时，您会看到下面的屏幕。”此时，我们呈现了一个模拟的浏览器窗口，其中包含参与者条件中指定的披露（在第3.2节中详细说明），并指定“请确保在继续进行调查的其余部分之前阅读下面呈现的信息。”我们明确指出，我们使用“标准模式”来表示“Onyx的默认模式，它是根据当前网络浏览器（如Chrome，Edge，Firefox，Opera和Safari）的默认浏览模式进行建模的。”同样，我们将“私密浏览模式”定义为“上一页中描述的模式”，以便参与者可以根据披露文本回答问题。主要调查部分以随机顺序呈现了二十个浏览场景（第3.3节）。这些场景代表了私密模式会产生影响和不会产生影响的情况的混合。我们要求参与者假设一个名为Brian的个人在每个场景之前打开了一台全新的计算机，并在默认配置中安装了Onyx。我们收集了每个场景的多项选择题和自由回答题的答案。我们在每个页面的顶部提供了一个“重新打开披露的链接”，并对此链接进行了仪器化处理，以记录参与者何时重新打开披露。最后，我们询问参与者有关年龄、性别和技术背景的人口统计学问题。我们还询问他们对当前浏览器及其私密模式的使用情况。03.2 调查条件0每个参与者被随机分配到13个与私密浏览有关的条件中的一个。所有的披露都采用统一的设计，以防止偏见，只有显示的文本不同。表1详细说明了所有13个披露的文本。我们从六个主要浏览器的相应落地页中直接引用了其中12个披露。我们选择了最受欢迎的五个浏览器——Chrome、Edge、Firefox、Safari和Opera——以及一个专门为隐私而设计的相对较新的浏览器Brave。我们测试了除Edge（Windows 10）以外的所有浏览器在MacOS桌面版本上使用的披露，时间是2017年8月。此外，由于Chrome的披露在研究开始前不久进行了重新设计，我们还包括了Chrome的先前披露。我们还测试了这些浏览器的移动版本，不包括Edge，因为其移动版本在研究时还处于测试阶段。在移动披露在Android和iOS之间有差异的情况下，我们测试了与桌面版本最不同的那个。最后，为了了解披露提供给参与者的可操作信息，我们创建了一个控制条件，其中含有关于保护隐私的毫无意义的模糊断言。0此外，由于Chrome的披露在研究开始前不久进行了重新设计，我们还包括了Chrome的先前披露。我们还测试了这些浏览器的移动版本，不包括Edge，因为其移动版本在研究时还处于测试阶段。在移动披露在Android和iOS之间有差异的情况下，我们测试了与桌面版本最不同的那个。最后，为了了解披露提供给参与者的可操作信息，我们创建了一个控制条件，其中含有关于保护隐私的毫无意义的模糊断言。03.3 调查场景0我们创建了20个浏览场景，以捕捉私密模式的实际好处和先前记录的误解[13,20]。我们测试了9个私密浏览没有任何效果的场景，以及6个即使保护不完善，私密浏览也有效果的场景。我们还包括了5个私密浏览的效果取决于浏览器或上下文的场景，因为对这些场景的感知会影响对私密模式的整体期望。场景主要有两种形式：区分和比较。16个区分场景衡量了参与者在标准模式和私密模式之间感知到的差异。为此，我们在每种模式下构建了平行的是或否问题，并要求参与者解释为什么在不同的模式下选择了相同或不同的答案。我们分别询问了标准模式和私密模式，以消除对私密模式特定的误解与更广泛的误解的混淆。以下是一个场景的示例问题集：（1）假设在标准模式下使用Onyx，Brian在FunFashion.com上进行网上购物，并将两件商品添加到购物车中。然后Brian关闭Onyx。然后Brian在标准模式下打开Onyx。他的购物车中的商品是否仍然可用？（是，否）（2）您对上一个问题的答案有多大的信心？（非常有信心，有信心，有些有信心，一点也不有信心）（3）假设在私密模式下使用Onyx，Brian在FunFashion.com上进行网上购物，并将两件商品添加到购物车中。然后Brian关闭Onyx。然后Brian在标准模式下打开Onyx。他的购物车中的商品是否仍然可用？（是，否）（4）您对上一个问题的答案有多大的信心？（非常有信心，有信心，有些有信心，一点也不有信心）（5）如果您在标准模式和私密模式下选择了相同的答案，为什么？如果您选择了不同的答案，为什么？除了购物车商品的持久性外，我们还提供了与浏览历史、站点弹出窗口偏好、书签、下载文件列表、下载文件本身和缓存照片在会话之间的持久性相关的区分场景。为了衡量与所访问的网站的跟踪相关的感知，我们提供了关于在浏览会话之间，如果用户登录或未登录到Google账户，Google搜索是否可以与同一用户关联的单独的区分场景。我们还提供了关于来自以下三个实体的跟踪的单独区分场景：互联网服务提供商（ISP）、雇主（在使用雇主的设备时）和广告商（在使用广告商的设备时）。0追踪：网络上的安全与隐私WWW 2018，2018年4月23日至27日，法国里昂Brave-Mobile(Android, v1.0)Chrome-Mobile(iOS, v60)Chrome-Old(v59)Firefox-Mobile(Android, v54)Opera-Mobile(Android, v42)2200WWW 2018，2018年4月23日至27日，法国里昂 吴宇熙，Panya Gupta，Miranda Wei，Yasemin Acar†，Sascha Fahl†，Blase Ur0表1：我们测试的13个条件，以及我们从中提取该披露文本的浏览器版本。所有披露都为假设的Onyx浏览器重新设计。斜体字显示为较大字体作为标题。0名称披露0控制隐私浏览模式。Onyx的隐私浏览模式保护您的隐私，并在您浏览互联网时保持安全。它是由Onyx的工程师精心设计的，让您在浏览时保持隐身。0Brave  (v0.19)这是一个私密标签。私密标签不会记录在页面历史中。使用私密标签的Cookie在关闭浏览器时会消失。在使用私密标签时，仍然可以保存文件下载、新书签和密码，并且在关闭私密标签时不会被删除。请注意：即使您在私密标签中访问的网站不会在本地保存，但它们并不会使您对您的ISP、雇主或正在访问的网站匿名或隐形。0隐私浏览。Onyx不会记住您的任何历史记录或Cookie，但新书签将被保存。0Chrome  (v60)您已进入隐身模式。现在您可以进行私密浏览，使用此设备的其他人将无法看到您的活动。但是，下载和书签将被保存。Onyx不会保存以下信息：您的浏览历史、Cookie和站点数据、表单中输入的信息。您的活动可能仍然对以下人可见：您访问的网站、您的雇主或学校、您的互联网服务提供商。0隐身模式。在隐身模式下，您最近的活动和搜索历史不可用。0您已进入隐身模式。在隐身标签中查看的页面在您关闭所有隐身标签后将不会出现在浏览器的历史记录、Cookie存储或搜索历史中。您下载的任何文件或创建的书签将被保留。但是，您并不是隐形的。隐身模式不会将您的浏览活动对您的雇主、互联网服务提供商或您访问的网站隐藏起来。0Edge  (v40)隐私浏览。当您使用隐私浏览标签时，您的浏览数据（如Cookie、历史记录或临时文件）在您完成后不会保存在设备上。Onyx在关闭所有隐私浏览标签后会从您的设备中删除临时数据。0Firefox  (v54)带有追踪保护的隐私浏览。当您在私密窗口中浏览时，Onyx不会保存：访问的页面、Cookie、搜索、临时文件。Onyx将保存您的：书签、下载。隐私浏览不会使您在互联网上匿名。您的雇主或互联网服务提供商仍然可以知道您访问的页面。追踪。一些网站使用追踪器来监视您在互联网上的活动。使用追踪保护，Onyx将阻止许多可能收集有关您浏览行为信息的追踪器。0隐私浏览+追踪保护。Onyx会阻止可能追踪您浏览活动的页面部分。我们不会记住任何历史记录，但下载的文件和新书签仍将保存在您的设备上。0Opera  (v45)隐私浏览。一旦您关闭所有私密窗口，与它们相关的所有信息都将被删除。如果您想要更多隐私，请打开VPN。0您的秘密是安全的。Onyx不会保存您的私密标签的浏览历史。0Safari  (v10)启用了隐私浏览。Onyx将为此窗口中的所有标签保持浏览历史的隐私。在关闭此窗口后，Onyx不会记住您访问的页面、搜索历史或自动填充信息。0Safari-Mobile（iOS，v10）0私密浏览模式。Onyx在您关闭私密浏览模式的选项卡后，不会记住您访问过的页面、搜索历史或自动填充信息。0网络），以及政府机构。其他场景评估了浏览器扩展是否处于活动状态，IP地址是否在网络上可见，估计地理位置是否可能，以及浏览历史是否可以被具有物理访问权限的取证专家恢复。剩下的四个场景更自然地表达为标准模式和私密模式之间的比较。在这四个比较场景中，我们要求参与者比较两种模式之间某个属性的相对发生率。例如，参与者看到了关于网页加载速度的以下问题和多项选择回答：0（1）标准浏览模式和私密浏览模式下网页加载速度的比较如何？•在私密模式下，网页加载速度比标准模式快得多。•在私密模式下，网页加载速度比标准模式快。•在私密模式下，网页加载速度比标准模式稍快。•网页加载速度相同。•在标准模式下，网页加载速度稍快。•在标准模式下，网页加载速度比私密模式快。•在标准模式下，网页加载速度比私密模式快得多。（2）您对自己的回答有多有信心...（3）为什么？0除了加载速度，我们还提供了关于广告总数、基于先前浏览的定向广告比例以及病毒和其他恶意软件保护的比较场景。03.4定量分析0我们的目标是了解披露或人口统计因素对参与者对所有二十个场景的回答的正确性以及参与者对这些回答的整体信心的影响程度。对于每个参与者，我们通过对其回答正确的场景数（比较场景）或关于私密模式的回答是否正确（区分场景）求和来计算一个正确性得分。根据浏览器或浏览上下文的不同，正确的回答在六个场景中有所不同，这六个场景涉及页面加载速度、特定域偏好的持久性、浏览器扩展是否活动、取证专家可提取的信息、购物车和广告总数。我们排除了这六个场景，并从剩下的十四个场景中计算正确性得分。我们同样为每个参与者创建了一个整体信心得分，该得分是通过对相同场景的参与者自报的信心（从“完全不自信”到“非常自信”的0到3）求和而得。我们使用每个得分作为因变量，使用以下自变量创建了线性回归模型：条件；参与者重新打开披露的次数；参与者的性别、年龄、技术专长和使用私密模式。我们的第二种类型的定量分析旨在更细致地了解参与者看到的披露如何影响每个单独场景（从而影响该场景编码的特定私密浏览功能或误解）。对于每个二十个场景，我们进行了一项综合检验，以确定私密模式下会发生什么的回答是否因看到的13个披露之一而有显著差异。0研讨会：网络安全与隐私WWW 2018，2018年4月23日至27日，法国里昂2210您的秘密是安全的：浏览器的解释如何影响误解...WWW 2018，2018年4月23日至27日，法国里昂0参与者看到了。我们使用Pearson的χ2分析了16个区分场景中私密模式的是/否回答。0检验。当列联表中的期望值小于5时，我们使用Fisher的精确检验（FET）。在四个比较场景中，我们的响应变量是有序的。因此，我们使用非参数的Kruskall-Wallis（KW）H检验进行组间的综合检验。我们在整个过程中使用α =0.05。我们使用Benjamini-Hochberg方法进行多重检验校正。我们选择了12个计划比较（等于实验中的自由度），以研究三个目标研究问题。首先，我们研究了广泛部署的披露是否导致与控制披露相比私密模式的正确概念显著增加。RQ1：每个六个桌面披露与控制披露相比如何？为了回答这个问题，我们进行了以下六个计划比较：Brave vs. Control；Chrome vs.Control；Edge vs. Control；Firefox vs. Control；Opera vs.Control；Safari vs.Control。我们还注意到，桌面版本中的披露与相同浏览器的移动版本的披露往往有很大差异，后者通常要短得多。RQ2：移动版本的披露与相同浏览器的桌面版本中的披露相比如何？为了回答这个问题，我们进行了以下五个计划比较：Brave vs.Brave-Mobile；Chrome vs. Chrome-Mobile；Firefox vs.Firefox-Mobile；Opera vs. Opera-Mobile；Safari vs.Safari-Mobile。最后，由于Chrome的披露在我们进行研究之前不久发生了明显变化，我们研究了这种重新设计对误解的影响。RQ3：最近重新设计的Chrome披露与以前的Chrome披露相比如何？为了回答这个问题，我们进行了以下计划比较：Chrome vs.Chrome-Old。我们只在综合检验显著时进行计划比较。对于十六个区分场景的计划比较，我们再次使用了Pearson的χ2检验（或适当时使用Fisher的精确检验）。对于比较场景中有序回答的计划比较，我们使用了Mann-Whitney U（MW）检验。03.5定性分析0为了了解参与者为何存在特定误解，我们对至少20%的参与者回答错误的十七个场景进行了定性编码。对于每个场景，研究团队的成员阅读了与错误回答相伴随的自由文本解释。随后，研究人员进行了开放性编码，根据需要反复更新编码手册。我们采用了类似的过程来确定参与者使用隐私浏览的原因中的主题。首先，研究团队的成员进行了开放性编码，分别为桌面和移动用户确定了十八个和二十个代码。然后，研究人员使用轴向编码进行整合和澄清，结果为桌面用户确定了十五个主题，移动用户确定了十六个主题。代码不是互斥的；参与者可以给出使用隐私浏览的多个原因。研究团队的另一名成员根据编码手册对所有数据进行了独立编码。每个场景的Cohen'sκ在0.651至0.860之间，中位数为0.716。为了集中注意力0我们只报告了至少有10%错误回答的重复主题的代码。04结果0首先，我们对460名参与者进行了概述（第4.1节），对于那些在日常浏览中使用隐私模式的人，我们还介绍了他们使用隐私模式的原因（第4.2节）。与先前的研究相呼应，我们发现参与者使用隐私模式来隐藏浏览活动、防止保存登录信息和避免Cookie。在此基础上，我们发现一些参与者使用隐私模式来避免广告定向和网页个性化。其余部分关注于披露对参与者对二十个浏览场景的期望产生的影响。在第4.3节中，我们呈现了参与者在各个场景中的正确得分和置信度得分的结果。与我们的对照披露相比，看到Chrome或Chrome-Old披露的参与者给出了更多正确的回答。令人惊讶的是，我们测试的其他披露与无意义的对照披露没有显著差异，我们的结果表明一些披露可能导致了额外的误解。为了更全面地了解错误回答的原因，我们逐个分析了这二十个场景。对于三个场景，参与者的回答绝大多数是正确的（第4.4节）。不幸的是，参与者高估了隐私模式提供的保护措施，对于八个场景，他们低估了保护措施（第4.5节）。这些误解包括对隐私浏览模式能够防止地理定位、广告和病毒，以及对访问的网站和网络提供商进行跟踪的期望。对于这二十个场景中的五个场景，参与者的回答在不同的披露之间有显著差异。这五个场景涉及到定向广告、下载文件列表的持久性，以及由ISP、雇主和政府进行的跟踪。04.1参与者及其浏览器使用情况0在我们的460名参与者中，54.6%自认为男性，44.6%自认为女性，0.8%自认为其他性别。70.9%的参与者年龄在25至54岁之间，8.0%年龄较小，20.8%年龄较大。只有11.5%的参与者被归类为具有技术专长，因为他们拥有计算机科学、IT或相关领域的学位或工作经历。几乎所有参与者定期使用Chrome进行桌面浏览（96.7%），尽管许多人还使用Firefox（64.3%），以及较少程度上使用Edge/InternetExplorer（21.1%）和Safari（14.3%）。Chrome也是移动浏览中最受欢迎的浏览器（73.7%），尽管Safari（33.0%）的使用率超过了Firefox（12.6%）和Edge/InternetExplorer（2.2%）。虽然80.4%的参与者至少在某些时候使用桌面浏览器的隐私浏览模式，但参与者更频繁地使用标准模式。在各种浏览器中，参与者报告称他们在15%（中位数）的浏览中使用隐私模式。与此形成鲜明对比的是，只有19.1%的参与者在移动设备上使用隐私浏览。04.2使用私密浏览模式的原因0对于在自己的浏览中使用私密模式的参与者，我们询问了一个自由回答的问题，询问他们为什么这样做。参与者提供的前六个原因是：隐藏浏览0追踪：Web上的安全与隐私WWW 2018，2018年4月23日至27日，法国里昂2220WWW 2018，2018年4月23日至27日，法国里昂，Yuxi Wu，Panya Gupta，Miranda Wei，Yasemin Acar†，Sascha Fahl†，Blase Ur0表2：线性回归，以参与者正确回答的场景数量为因变量。较高的数字对应更多的正确答案。0因子 β SE t p0（截距）9.53 0.40 24.0 <.001 条件：Brave 0.79 0.49 1.61.108 条件：Brave-Mobile 0.49 0.49 0.08 .940 条件：Chrome1.07 0.49 2.16 .032 条件：Chrome-Mobile 0.62 0.50 1.25.211 条件：Chrome-Old 1.09 0.50 2.20 .028 条件：Edge 0.050.50 0.10 .923 条件：Firefox 0.88 0.59 1.80 .073条件：Firefox-Mobile -0.30 0.50 -0.60 .550 条件：Opera0.57 0.50 1.15 .252 条件：Opera-Mobile -0.34 0.49 -0.70.484 条件：Safari 0.78 0.51 1.53 .127 条件：Safari-Mobile0.95 0.49 1.93 .055 性别：男性 0.50 0.20 2.51 .013 技术：是0.49 0.31 1.60 .111 年龄范围 -0.65 0.52 -1.24 .216使用私密模式浏览的百分比 -0.00 0.01 -0.26 .792重新打开披露次数(#) 0.19 0.16 1.19 .2360历史记录，尤其是访问成人网站；2）防止定向广告和搜索建议；3）实现“更安全”的浏览；4）防止浏览器保存与登录相关的信息；5）避免使用Cookie；6）适应他人的有意或无意使用。我们对1、4和5点的观察与Gao等人的研究结果[20]相吻合。此外，我们观察到一个新的原因——防止定向广告和搜索建议——15.1%的参与者提到了桌面浏览，15.6%的参与者提到了移动浏览。虽然所有六个原因基本上与私密浏览的预期特性相一致，但仔细阅读第三点的自由文本揭示了对“更安全”的浏览存在多种定义。例如，P221简单地指出，“我感觉更安全一些”，而P448报告说，“如果我要访问可能有问题的网站，我会使用私密模式来保护自己。”一些参与者还提到了模糊的追踪概念，比如“我喜欢在浏览网页时不被人跟踪”（P148）。我们在第4.5节进一步分析了相关的误解。最后，使用私密模式的一些原因与设备所有权感有关。总体而言，27名参与者在选择使用私密模式时考虑了桌面或移动设备的共享性质，例如，“这样我家里的其他人就看不到我访问的网站”（P123）。另外47名参与者考虑到了意外的“用户”，比如小偷、找到丢失设备的人或友好的借用者。04.3正确性和信心的综合0我们的第一个目标是在高层次上了解参与者所看到的披露对他们对私密模式的理解程度产生了多大的影响。为此，我们为每个参与者创建了两个指标： •正确性得分：参与者在比较场景和私密模式下区分场景的响应中正确回答的场景数量总和。该指标不包括六个场景，其中正确答案取决于所使用的浏览器或浏览上下文。0如第3.4节所述。较高的值表示回答正确的场景数量更多。 •信心得分：参与者对相同的十四个场景给出的信心评级（每个评级在0-3的范围内）的总和。较高的值表示更大的信心。然后，我们为这两个指标创建了线性回归模型。对于这两个模型，我们使用了以下六个独立变量，代表我们假设可能与正确性或信心相关的研究特定和人口统计特征： • 条件；分类变量，以控制为基准 •参与者的性别；分类变量，以女性为基准 •参与者是否具有技术专长；分类变量，以“否”为基准 •参与者的年龄范围；有序变量，以18-24为基准 •参与者在自己的浏览中以私密模式浏览的时间百分比；连续变量（0-100） •参与者在研究期间重新打开披露的次数；连续变量（0-5，最大观察值）我们测试了十三个披露，其中十二个目前在浏览器中使用。令人惊讶的是，我们发现大多数这些披露与我们毫无意义的模糊控制条件相比，并没有显著影响参与者对私密浏览模式的理解。在这十二个披露中，只有两个披露的正确性得分与控制披露显著不同。如表2所示，看到谷歌Chrome当前使用（Chrome条件）或以前使用（Chrome-Old）的披露的参与者在回答问题的正确场景上比看到控制披露的参与者回答得更多（ p = .032和 p =.028）。在14个场景中，答案不依赖于浏览器或浏览上下文的场景中，控制条件下的参与者平均回答了10.4个正确场景。相比之下，Chrome和Chrome-Old的参与者平均回答了11.1和11.3个正确场景。另外两个披露（Firefox和Safari-Mobile）似乎对正确性得分产生了积极影响。虽然这些披露的p值没有低于我们的α =.05阈值，但它们在统计上是边际显著的（.05 < p <.10），因此可能值得进一步研究。不幸的是，三个移动设备的披露似乎比毫无意义的控制披露更少地向参与者提供关于私密浏览模式的信息。与控制条件（10.4个平均正确性得分）相比，看到Brave-Mobile（10.1）、Firefox-Mobile（9.9）或Opera-Mobile（9.9）的参与者平均正确性得分较低，尽管这些差异在统计上不显著。在人口统计因素中，我们发现只有性别与正确性得分显著相关。自认为男性的参与者的正确性得分高于自认为女性的参与者（ p =.013）如表3所示，参与者看到的披露主要不影响他们对自己答