怎样看待所谓「不记录IP、不搜集用户信息」这类声明

不少网站（包括NodeBE4论坛）承诺不记录IP不搜集用户信息，甚至公开自己的源代码来证明自己不记录IP等信息。作出这样的承诺，甚至公开源代码都是很好的。但是承诺和开源就能证明网站不记录你的IP等信息吗？再好好想想。

一句话：这是个无法证明的承诺。

懂技术的和不懂技术的对所谓网站不记录访问者IP这句话的理解可能差十万八千里。

在很多不懂技术的人看来，「一个网站不记录访问者IP」好像意味着自己在这个网站的时候是完全匿名的，世界上没有任何人知道自己的IP地址。更有甚者，一些不懂技术的朋友会以网站是否开源、是否作出这样的承诺来判断这个网站是否保护使用者的隐私，甚至用这个标准来研判网站的安全性。

下面，让我们来逐一破解所谓「不记录IP、不搜集用户信息」的神话：

神话1：网站不知道你的IP地址

No，你访问任何一个网站都知道你完整的IP地址，否则你根本无法访问这个网站。当然，你可以用代理、VPN、TOR去掩盖自己的真实IP，但是你访问的网站是知道你的出口IP的。任何一个网站如果自称不知道你IP地址，那它一定是骗子。

例外，某个Wordpress或Blogspot上的博客，比如编程随想的博客，编程随想本人并不知道访问者的IP地址，但是blogspot知道且记录访问者的IP地址。

神话2：只要网站不记录你的IP地址，就安全了

No，知道你IP地址的可不仅仅是你访问的网站，还有你的ISP、DNS服务器。这篇文章用快递包裹来比喻互联网上的数据包传输，实在再恰当不过。你去淘宝下单时，知道你收货地址的只有网店老板吗？不，淘宝网、快递公司、海关、各种安检、你家小区门卫大爷，全都知道这个包裹的收件人和收货地址。访问网站同样，即便网站真的不把你的IP地址告诉任何人，这中间还有一大堆ISP、DNS服务器、防火墙等等知道你访问了这个网站。否则，你以为金盾工程、防火长城装在哪儿？

除了你和被你访问的网站，还有很多中间环节都知道你访问了某个网站。要保证安全，得靠https、VPN甚至Tor等带有加密属性的措施，让这些中间环节不知道你真实的目的地。

神话3：如果网站不记录访问者IP地址，只要关掉浏览器网站就不知道自己的IP地址了。

Bullshit! 基本上所有的网站服务器都会保留访问日志，访问日志会详细记录你的IP地址，浏览器，操作系统等信息。

有人会问如果网站用了Cloudflare这样的CDN那就掩盖双方的真实IP了。错！Cloudflare官方网站有N篇技术文档教你怎样获得用户的真实IP。

所有的网站服务器都会记录访问者的IP地址，浏览器等信息，无论你是否登录。区别只有这个记录会保留多久，有的是几个小时几天，有的可能是几年。

如果一个网站承诺不记录你的IP地址，它实际的意思是不会永久保留你的IP地址。

神话4 经过技术人员验证，某网站公开的源代码的确没有保留访问者IP地址，所以网站不会记录访问者的IP地址的承诺是真的

Naive！

首先，网站公开的源代码不一定是它实际部署的代码，实际部署的代码你没有办法看到，只有网站后台管理员能看到。

其次，记录访问者IP地址的操作并不需要在网站源代码里实现。对IP地址的记录这种操作是由更底层的服务器软件实现的，比如前面提到的保留服务器的访问日志就根本不需要网站代码来实现。是的，在网站源代码的层面可以不记录你的IP地址，但是更底层的服务器软件还是会记录你的IP地址。服务器必须知道你的IP地址才能为你服务！

那我要怎样才知道一个网站是否记录访问者的IP地址呢？

很不幸，根本就没有办法确切地知道。如果一个网站承诺不会记录你的IP地址，你只能选择相信或不相信，没有任何办法知道他是否遵守了承诺。

那要怎样才能保证自己的安全呢？

只有在自己的电脑上下功夫才能保证自己的安全，无论是VPN，Tor，双虚拟机，前置代理，后置代理，消除浏览器指纹的Tor Browser等等。

不要轻信陌生人的承诺，也不要迷信开源。