Voices of VR 播客
介绍
大家好,我是 Kent Bye,欢迎收听 Voices of VR 播客。我有机会参加了 VR Privacy Summit,会议上有来自整个 VR 行业的代表,包括学术界、医疗领域以及不同公司的技术专家。其中有 Diane Hossfeld,她是 Mozilla Emerging Technologies 的 Servo 和混合现实团队的一员。她一直在思考浏览器安全以及在开放网络上工作意味着什么,尤其是在把它转变为沉浸式开放网络时,涉及到了哪些问题:在使用沉浸式技术时,会暴露出各种私人生物识别数据。这意味着什么?当你访问一个网站时,这个网站能看到什么数据?这些数据又如何确保它们会保持私密?Diane 正是针对这些问题进行深思,并试图从开放网络中吸取教训,避免重蹈覆辙,同时也看到沉浸式开放网络在应对隐私问题上将会面临的更多挑战。
访谈开始
这次与 Diane 的访谈发生在 2018 年 11 月 8 日,地点是在加利福尼亚州帕罗阿尔托的斯坦福大学 VR Privacy Summit。所以我们现在就开始吧。
Diane Hossfeld:我在 Mozilla Emerging Technologies 的 Servo 和混合现实团队工作。我的工作主要是研究如何保护 Servo 浏览器引擎的安全,该引擎是用 Rust 编写的。我想将我在这方面的工作理念更广泛地应用于沉浸式网络浏览器的体验,思考在此过程中涉及到的问题和风险,找到潜在的减缓措施。我们希望从过去 20 年 web 发展的错误中吸取教训。沉浸式网络具有与 2D web 相同的问题,只不过这些问题被放大了,更难处理。这些问题并不止于此,我并不想采用悲观的描述,但它们的后果更为严峻,特别是当你失去对生物识别隐私的控制时,你无法改变它,也无法恢复它。
我们看到,在沉浸式网络上的后果更为微妙,但也同时更具风险和危险。因此,我和 Blair McIntyre 在 Mozilla Mixed Reality 团队中思考了在沉浸式网络环境中如何减少不良权限的问题。我们已经知道人们在权限通知上存在烦恼,我自己也如此。面对 cookie 同意通知时,我也会非常生气,然后不断点击直到它消失。所以我们该如何思考,创造一个既能实现虚拟与增强现实空间中人们轻松的沉浸式体验的网络?我们的最终结论是我们所称的 PACE 原则。这四个词分别是渐进的、负责任的、舒适的和令人印象深刻的。
2D 网络的错误
那么,2D 网络有哪些错误,如果我们不注意的话,很可能会在沉浸式网络中重蹈覆辙呢?直观一点的例子就是被访问过的设计规则。如果你访问某个网页并查看了其中的链接,这个页面如果可以通过链接的颜色区别你访问过的链接,那它就会了解到你的浏览历史,这被称为微不足道的历史泄漏漏洞。那么我们该如何保护你的历史记录呢?这不仅仅是来自于 2D 网络,因为一般来说,越来越多的传感器,以及特别是总是处于开启状态的功能,会对丰富的体验产生显著影响。
举个例子,你知道你的手机加速度计可以用来远程确定你的密码,这就意味着你泄漏了如何解锁手机的信息。而且还有很多这类的例子,我们认为自己了解这些传感器可以暴露哪些形式的数据,但当独立的安全研究人员将这些数据与其他相关或无意中链接的数据组合时,就很难判断这些传感器数据组合可能造成的后果。而且甚至更难向普通人传达这些信息。我们会看到,专家在领域中的思考未能连接这些点,直到独立研究人员指出来,我们如何能期待我的 93 岁的祖母能理解这些呢?但另一方面,我们还希望能够在疗养院等地方使用这些 VR 体验,对吧?这已经在进行中。
隐私与安全
你能否谈谈加密安全方面的一些隐喻或教训,以及哪些方面可以适用于虚拟和增强现实的隐私层面?
Diane Hossfeld:当然,一个问题可能是使用单一传感器或多个传感器组合收集数据的粒度。这一点可以与时序侧信道攻击进行类比。我的意思是,针对时序侧信道攻击的一种缓解措施是引入噪声。然而,如果你有一个非随机的数学模型分布,然后在其上插入一个随机噪声发生器,仍然有可能从中提取出那个非随机的数据,尤其是当你的随机数据并不如你想象的那样好,而我们作为人类在处理随机性上非常糟糕。
举例来说,在 2D 网络中我们可以使用 cookies,而在沉浸式网络中,我们则能跟踪各种敏感数据,例如你所观看的内容以及你的生物识别数据。如果考虑开放网络,你会发现里面有许多实体,看似对于它们能够捕获和使用哪些数据似乎没有明确的规则。这些问题反映到 Servo 和浏览器层面上,是什么样的措施能够缓解或优化这一点?或是否这只是在探讨如何应对这一切的一个开放性问题?
Diane Hossfeld:我认为这是一个开放性问题,这就是我们所设计的 PACE 原则中“负责任”这一原则的原因。如果你知道哪些页面正在收集、发送、存储或保持哪些数据,或者说你已经给了某个应用程序或网页访问你设备上的文件的权限,而它们正在改变这些文件,那么它们就需要对所做的事情负责。这个可能听起来有些幼稚,但我们在经历了 Spectre 和 Meltdown 攻击后,浏览器要么已经移动到所谓的“站点隔离”,要么正在进行中,这意味着不同的源运行在不同的进程中,以避免泄漏这些侧信道数据的进程的干扰。
工具与教育
今天提到的一个工具是 Lightbeam,它可以提供透明度,显示哪些行为实际上正在被追踪。它是一个 Mozilla 扩展。此外,如果在 VR 中使用 Lightbeam,怎样才能更直观地显示出可能的黑暗前景呢?我不想给大家带来坏主意,但我很想听听您对 Lightbeam 作为教育工具的看法,以及在沉浸式技术中是否需要类似的工具来可视化风险。
Diane Hossfeld:我认为这是一个很好的主意,它已经在我的待办事项列表上了。所以我现在没有确切的答案,但我会认真思考并努力实现这一点。我们一直在讨论如何教育人们,这可不是简单的事情,这绝对是我在不久的未来的个人目标,关注如何让人们了解传感器的使用、潜在后果以及现在真正意义上的知情同意有多么不充分。
VR隐私峰会的收获
Kent Bye:对于你而言,VR Privacy Summit 的一些重要亮点或值得铭记的收获是什么?
Diane Hossfeld:我特别兴奋能听到来自医学界的专家们的意见,因为我们在尝试带走知情同意这一概念,这无疑起源于医学研究和医学本身。他们在这个问题上经历了许多。他们已经提出了思路,并建立了审查委员会以尽量消除偏见。而在 XR 或 MR 的范畴内,当我们引入了物理性的新维度进入技术体验时,我们实际上对人们的感官产生了影像。因此,这与身体自主权和行为修正等观念紧密相关,这些都是令人担忧的事情。与来自医学领域做这项研究的人交流并学习,从隐私保护的角度能吸取到的教训对我而言是特别令人振奋的。
虚拟与增强现实的潜力
Kent Bye:对你而言,虚拟和增强现实的终极潜力是什么,它有可能实现什么?
Diane Hossfeld:哦,天哪,这可真是个难题。我想象的梦想是显现。这是因为我身在国外,我的家人在美国,我非常想念我的家人。因此,真正的梦想是创造一个更紧密、更全球化的世界,也许能够在曾经孤立的社区中创造更多的同理心,推动一个更能将所有人视为人类的世界。对我个人而言,这确实使我可以在虚拟中更靠近我的家人。但是更一般地说,我认为如果我们都能把注意力集中在彼此的相似之处而非差异上,这在虚拟世界中是非常真实的,世界将会变得更美好。天哪,这听起来太傻了,但我确实认为这是最终的承诺。
总结
感谢您今天的参与,非常荣幸能为您提供这次访谈。
这次访谈的重点是,沉浸式开放网络将面临与开放网络相同的所有问题,只不过更加复杂且具有更高的挑战性。开放网络上通常会有许多独立的安全研究人员不断思考如何发现安全漏洞,探索数据组合的不同方式。因此来自开放网络社区的观点确实能让我们更好地理解信息的拼接方式。
虽然这些信息本身不一定有害,然而,当你将许多其他信息组合在一起时,就可能产生对个体有害的情况。Diane 提到,我们会看到越来越多的独立研究人员开始利用生物识别和沉浸式数据,并将其与其他数据结合,从而推断出许多不同的信息和见解。目前这一现象在一定程度上已经在发生了,这与人们步态等生物信息有关,并且可以被视为个人识别信息,因为每个人的骨骼结构和身体运动方式都是相当一致的。当你在 VR 中应用这些思路时,匿名的沉浸式探索将变得异常困难。
在虚拟环境中,当你向其他人广播信息时,没有什么可以阻止他们捕获这些信息。因此,我们不仅需要担心这些公司是否在存储所有这些生物数据,也需要考虑这生物数据是否会被普遍捕获和记录。这样的控制将会变得越来越困难。令人不安的是,在未来的某个时刻,有可能会发现越来越多的生物特征签名源于这些存储的数据,并能以不同方式解锁这些数据。
Diane 和 Blair McIntyre 提出的 PACE 原则,就是渐进、负责任、舒适且令人印象深刻的原则。这些原则希望在整个沉浸式网络体验中简化权限管理过程。真正做好透明和问责制,我们才可能在沉浸式开放网络中安全使用用户的生物识别数据。
感谢您收听 Voices of VR 播客。如果您喜欢这个播客,请帮助我们传播,告诉您的朋友,考虑成为 Patreon 的会员。我们的播客运作需要依靠您的捐款。您可以在 patreon.com/voiceofvr 上注册成为会员并支持我们。