百度说:360浏览器窥私 支付信息也能搜索到2012年09月03日 06:33
-新快报记者洪文锋 陈庆麟 360说“不回应” 如果你正使用360浏览器,下面的这则报道你应该一字不落地看完:百度互联网数据研发部经理赵明华8月31日在微博上披露了一次针对360搜索的“捉鬼”行动,使用360浏览器浏览一个独立的“鱼饵”网页,几小时后这个网页便被360搜索抓取到,他认为这是“360利用浏览器非法窥私最直接的证据”。对此,360向新快报记者表示“不回应”。但记者发现,通过360搜索竟然可以搜索到360充值中心的交易支付页面,话费充值号码、金额、订单号等个人隐私交易数据被曝光。 百度“放钓”360“上钩” 8月31日,百度互联网数据研发部经理赵明华在其微博上表示,百度的工程师通过一个简单设饵钓鱼的实验,证明360浏览器会把用户浏览过的网页“传递”给360搜索。 赵明华介绍,此次“钓鱼”主要分三步进行。第一步:百度工程师制造了几个特殊的网页,而这些网页链接之前在网络上并不存在。由于搜索引擎爬虫只能通过网页链接抓取内容,因此这个网页是完全封闭的,不可能被搜索引擎抓取到。第二步:在页面制作完成后,百度工程师使用“360安全浏览器”访问了这些页面。第三步:等着360上钩。 几个小时之后,百度工程师在360“综合搜索”中以关键词搜索此前制造的特殊网页,果然在360的搜索结果中发现了“鱼饵页面”,而百度、谷歌、搜狗、搜搜等搜索引擎都搜不到。 “按照搜索引擎的原理,一个网址的地址从来没有出现在网络上,那么它是不可能被搜索到的。但是360并没有遵循这个基本原理,而是利用浏览器来直接非法地收集用户访问隐私,交给它的爬虫抓取,从而使得在360能够搜索到,而其他搜索引擎均搜不到。”赵明华表示,这样会给用户带来很多严重的问题,比如用户隐私暴露于网络、账户被盗取甚至遭受财产损失等等。换句话说,用户通过360浏览器浏览过的网页,都有可能被“传递”给360搜索。 赵明华的“捉鬼”行动诱发了外界对360搜索安全性的担忧。知名互联网人士洪波分析:“360一定会辩解说,为保护用户上网安全,用户访问的所有URL,都会被上传到360云安全服务器进行安全检测,这些被上传的URL经过检测后就会删除,不会被存储,被360搜索索引纯属意外,是工程师失误。但是你信吗?如果你用360浏览器访问的是内网机密信息呢?” 支付信息被360搜索曝光 事实上,也有证据表明360搜索还抓取网上交易的支付页面。新快报记者昨日(2日)上午尝试在360搜索中搜索关键字“请确认您的订单360支付360安全中心”,搜索结果列表中竟然出现了用户支付页面,页面暴露了一位江苏移动手机用户的话费充值交易:订单号码、手机号码、充值面额等关键信息暴露无遗,但用户支付账号、密码等信息则未在该页面上直接显示。上述360搜索结果即可以直接点击打开,也可以通过网页快照打开查看。 记者再用同样的关键字在百度、谷歌、搜搜、搜狗等搜索引擎上搜索,搜索结果列表均未出现用户支付页面。一位搜索企业技术人士向记者分析,网上支付页面属于用户操作页面,跟一般的内容页面(如新闻网页)不同,按照搜索行业惯例搜索引擎是不应该抓取这些用户操作页面的,因为这些页面可能包含敏感的个人隐私信息。一旦这些用户操作页面被搜索引擎抓取并公开,用户购物记录等个人隐私信息也就无法得到保护。 分析 360对用户造成隐私和安全问题 “不是做安全的公司就是安全的。没有人想当第二个陈冠希。”百度一位技术高管昨日在一个技术交流论坛上向新快报记者指出,360搜索无视行业守则,以360浏览器客户端和“流氓爬虫”抓取网页内容,造成隐私和安全问题。 该人士介绍,搜索行业一直以来都严格遵守Robots协议(一个告知搜索引擎什么可以抓取,什么不可以抓取的协议),抓取内容的“爬虫”需要有固定、明示的身份,除非是站长主动提交,否则不允许索引没有出处的页面。“这是不成文的规矩,虽不是法律,但是行规”。但360搜索的“爬虫”并没有遵守这样的规则:无视Robots协议,隐身抓取不表明身份,或者伪装成其他搜索引擎的“爬虫”。“最恐怖的事情是:客户端(360浏览器)发现了一个用户访问数据,直接将其上传到链接库,但如果这是一个机密的链接,‘爬虫’来抓取就会有隐私和安全问题。” |
|
|
