360再遇“报告门” 互联网隐私安全持续升温
2012-12-11 11:58
627 查看
“方周大战”及其所牵扯的奇虎360安全浏览器涉嫌窃取用户隐私一事,并没有完结。网络浏览器中的用户隐私泄密问题已经成为整个网络世界的一个共同难题。在国外,有微软公司不惜开罪整个广告界,坚持将Windows8中的IE10浏览器默认开启DNT(即“禁止追踪”)功能;在国内,一名85后实习女律师“明知山有虎,偏向虎山行”,向奇虎360提起了维护个人隐私权的民事起诉状。
从互联网诞生之初即伴随着亿万网民享受上网冲浪乐趣的浏览器,从什么时候开始成了泄露你我个人隐私泄漏的大口子?又是谁在悄无声息地窃取这些看似鸡毛蒜皮实质“字字珠玑”的信息?
黑客教父解密浏览器安全问题
11月25日,互联网威慑防御实验室在其官方微博公开发布了两份独立检测报告,直指360浏览器存在疑似后门的机制,对用户信息安全构成潜在威胁。
12月1日,联网威慑防御(IDF)实验室创始人万涛在回复《民营经济报》记者的邮件中表示,IDF实验室所发布的360浏览器报告并未说明其存在泄漏用户隐私的情况,而是通过检测证明其存在疑似后门的机制,这点在部分媒体和网友的文章及讨论中有误读。
据悉,一般来说,浏览器所涉及到的用户隐私主要包含两方面:第一,当前的PC端浏览器都有账户密码保存的功能,很多用户在浏览网站时习惯自动保存账户密码,而这些信息是保存在用户本地电脑,存在被恶意者读取或窃取的风险。一旦读取其明文,便相当于用户的账户、密码信息已经被泄漏。第二,浏览器的历史浏览记录等等作为用户操作的信息,对于部分用户来说会涉及个人隐私,这些记录同样存在被恶意者读取的情况,从而造成隐私泄漏。
万涛指出,他们通过实验证实,360浏览器存在不明文件下载机制,加载这些文件将对上述用户信息及系统安全造成的影响完全由被下载的文件内容所决定。这种机制对于浏览器软件来说是不恰当的,也并未在360发布的隐私保护白皮书及安装许可协议中提及,360官方至今也未对该机制做出合理解释。同时,该机制的存在也给骇客提供了另一种植入恶意代码的机会。对于普通用户来说,这种疑似后门的机制是一种潜在的威胁。
万涛强调IDF的报告是中立,选择在这个时候发布这份报告,是为了“从民间证明网民的举报是不是捏造的”,同时希望360能对报告中提出的问题做正面回应。
隐私维权第一案的意义
11月27日,北京市双利律师事务所85后实习女律师“新元124”在微博中发布了向奇虎360维护个人隐私权的民事起诉状,并对整个起诉过程进行了直播,目前北京市大兴区人民法院已收下起诉状。这是迄今为止中国用户向互联网企业发起的首个隐私权保护诉讼案例。
到截稿时止,“新元124”仍未回复本报记者的采访请求。虽然“新元124”起诉360的真正动机暂时不得而知,但法律界人士对网络隐私权的民事诉讼维权行为并不乐观,原因是目前我国关于网络隐私权侵权没有专项的司法解释,可能造成司法审判上的困难(参见本报11月2日第4版“‘方周大战’持续发酵 网络隐私侵权考量司法”)。
“新元124”所提到的中科院安全报告上周让360公司再次遭遇了一场公关危机。近日,互联网上突然流传一份据说是由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》,报告中的浏览器隐私保护情况研究章节里归纳列举出360安全浏览器存在的三大安全问题:收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定内容之外的功能。
中科院信息工程研究所副所长孟丹在接受媒体采访时曾表示,上述报告仅作为内部研讨时的交流材料,不会做正式文件报告刊发。虽然如此,中科院的这份报告,以及IDF实验室以独立第三方身份发布的研究报告,进一步加深了普通用户对于360浏览器安全威胁的忧虑。
浏览器“禁止跟踪”功能也不靠谱
在对两份质疑报告全盘否认后,360最近又宣布在其360浏览器中推出“禁止跟踪”(DNT,Do Not Track)功能,声称这是追随微软在IE10浏览器默认开启DNT功能的“义举”,代表着中国浏览器的隐私保护水平已经达到国际领先标准。
据了解,“禁止跟踪”是一个能避免用户被来自从未访问过的第三方网站跟踪的浏览器功能,DNT并不采用手段过滤或阻止追踪Cookies,而是当用户提出“Do not track”请求时,具有DNT功能的浏览器会在HTTP数据传输中添加一个“头字段”(headers),这个头字段会告诉商业网站的服务器用户不希望被追踪。
知名IT评论人士炳叔指出,DNT不过是个君子协议,跟搜索引擎的Robot协议一样,对技术流氓是无效的。“你在你的电脑浏览器上设置了无痕浏览,仅仅是在你本机消除了浏览痕迹,但你通过浏览器访问过的任何网站,都会记录你相关的浏览行为。”
IDF实验室也认为,DNT机制会影响到网站站点的广告精确投放,对于广告商及网站来说,是一种经济上的损失,在没有解决好经济与隐私保护之间的平衡问题之前,不会得到积极的支持和普及。
针对普通网民,IDF实验室提供了几条当前较实用的浏览器使用隐私保护tips:登录任何站点后,在退出时最好选择退出账户,而非直接关闭网页;定期清理浏览器的历史浏览记录及cookie记录,以防止未过期的cookie及浏览记录被恶意读取利用;定期更改网络帐号的密码,以保证即使账户信息泄漏也不会丢失个人信息;安装必要的钓鱼网站/恶意网站检测软件,以保证在上网时不会因登录钓鱼网站或恶意网站而丢失个人信息。
从互联网诞生之初即伴随着亿万网民享受上网冲浪乐趣的浏览器,从什么时候开始成了泄露你我个人隐私泄漏的大口子?又是谁在悄无声息地窃取这些看似鸡毛蒜皮实质“字字珠玑”的信息?
黑客教父解密浏览器安全问题
11月25日,互联网威慑防御实验室在其官方微博公开发布了两份独立检测报告,直指360浏览器存在疑似后门的机制,对用户信息安全构成潜在威胁。
12月1日,联网威慑防御(IDF)实验室创始人万涛在回复《民营经济报》记者的邮件中表示,IDF实验室所发布的360浏览器报告并未说明其存在泄漏用户隐私的情况,而是通过检测证明其存在疑似后门的机制,这点在部分媒体和网友的文章及讨论中有误读。
据悉,一般来说,浏览器所涉及到的用户隐私主要包含两方面:第一,当前的PC端浏览器都有账户密码保存的功能,很多用户在浏览网站时习惯自动保存账户密码,而这些信息是保存在用户本地电脑,存在被恶意者读取或窃取的风险。一旦读取其明文,便相当于用户的账户、密码信息已经被泄漏。第二,浏览器的历史浏览记录等等作为用户操作的信息,对于部分用户来说会涉及个人隐私,这些记录同样存在被恶意者读取的情况,从而造成隐私泄漏。
万涛指出,他们通过实验证实,360浏览器存在不明文件下载机制,加载这些文件将对上述用户信息及系统安全造成的影响完全由被下载的文件内容所决定。这种机制对于浏览器软件来说是不恰当的,也并未在360发布的隐私保护白皮书及安装许可协议中提及,360官方至今也未对该机制做出合理解释。同时,该机制的存在也给骇客提供了另一种植入恶意代码的机会。对于普通用户来说,这种疑似后门的机制是一种潜在的威胁。
万涛强调IDF的报告是中立,选择在这个时候发布这份报告,是为了“从民间证明网民的举报是不是捏造的”,同时希望360能对报告中提出的问题做正面回应。
隐私维权第一案的意义
11月27日,北京市双利律师事务所85后实习女律师“新元124”在微博中发布了向奇虎360维护个人隐私权的民事起诉状,并对整个起诉过程进行了直播,目前北京市大兴区人民法院已收下起诉状。这是迄今为止中国用户向互联网企业发起的首个隐私权保护诉讼案例。
到截稿时止,“新元124”仍未回复本报记者的采访请求。虽然“新元124”起诉360的真正动机暂时不得而知,但法律界人士对网络隐私权的民事诉讼维权行为并不乐观,原因是目前我国关于网络隐私权侵权没有专项的司法解释,可能造成司法审判上的困难(参见本报11月2日第4版“‘方周大战’持续发酵 网络隐私侵权考量司法”)。
“新元124”所提到的中科院安全报告上周让360公司再次遭遇了一场公关危机。近日,互联网上突然流传一份据说是由中科院保密技术攻防重点实验室研究撰写的《个人隐私泄露风险的技术研究报告》,报告中的浏览器隐私保护情况研究章节里归纳列举出360安全浏览器存在的三大安全问题:收集用户所打开过的浏览页面地址、收集用户在浏览器地址栏输入的信息以及预留后台端口,在用户不知情的情况利用云端指令,在后台执行《安装许可协议》规定内容之外的功能。
中科院信息工程研究所副所长孟丹在接受媒体采访时曾表示,上述报告仅作为内部研讨时的交流材料,不会做正式文件报告刊发。虽然如此,中科院的这份报告,以及IDF实验室以独立第三方身份发布的研究报告,进一步加深了普通用户对于360浏览器安全威胁的忧虑。
浏览器“禁止跟踪”功能也不靠谱
在对两份质疑报告全盘否认后,360最近又宣布在其360浏览器中推出“禁止跟踪”(DNT,Do Not Track)功能,声称这是追随微软在IE10浏览器默认开启DNT功能的“义举”,代表着中国浏览器的隐私保护水平已经达到国际领先标准。
据了解,“禁止跟踪”是一个能避免用户被来自从未访问过的第三方网站跟踪的浏览器功能,DNT并不采用手段过滤或阻止追踪Cookies,而是当用户提出“Do not track”请求时,具有DNT功能的浏览器会在HTTP数据传输中添加一个“头字段”(headers),这个头字段会告诉商业网站的服务器用户不希望被追踪。
知名IT评论人士炳叔指出,DNT不过是个君子协议,跟搜索引擎的Robot协议一样,对技术流氓是无效的。“你在你的电脑浏览器上设置了无痕浏览,仅仅是在你本机消除了浏览痕迹,但你通过浏览器访问过的任何网站,都会记录你相关的浏览行为。”
IDF实验室也认为,DNT机制会影响到网站站点的广告精确投放,对于广告商及网站来说,是一种经济上的损失,在没有解决好经济与隐私保护之间的平衡问题之前,不会得到积极的支持和普及。
针对普通网民,IDF实验室提供了几条当前较实用的浏览器使用隐私保护tips:登录任何站点后,在退出时最好选择退出账户,而非直接关闭网页;定期清理浏览器的历史浏览记录及cookie记录,以防止未过期的cookie及浏览记录被恶意读取利用;定期更改网络帐号的密码,以保证即使账户信息泄漏也不会丢失个人信息;安装必要的钓鱼网站/恶意网站检测软件,以保证在上网时不会因登录钓鱼网站或恶意网站而丢失个人信息。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- 中科院报告:360产品存在三大隐私安全问题
- 「报告」工业互联网信息安全厂商报告-01
- 陈天桥:欣赏360保护隐私 用户安全永远第一
- APP安全报告第十期:部分美图类APP存在窃取用户隐私数据的风险!
- 百度安全联盟砸场360的中国互联网安全大会说明啥(现场图)
- 互联网用户泛隐私安全热点问题回顾与浅析 (2012年3月)
- 2009年5月份中国电脑病毒疫情及互联网安全报告
- 2008年上半年中国电脑病毒疫情及互联网安全报告(金山发布)
- 2012年中国网购安全报告(360)
- 「报告」工业互联网信息安全厂商报告-02
- 2007上半年度 电脑病毒疫情和互联网安全报告之互联网用户安全威胁分析
- 金山发2009年病毒疫情及互联网安全报告
- APP安全报告第八期:保护用户的隐私数据,网约车你做到了吗?
- 游侠观点:继续谈360用互联网思路做网络安全的路子
- 暑期旅游持续升温 云智慧发布在线旅游网站8月监测报告
- APP安全报告第十三期:教育APP可擅自收集学生隐私信息,并泄漏给第三方!
- 暑期旅游持续升温 云智慧发布在线旅游网站8月监测报告
- 3月份安全软件品牌报告 金山、360负面缠身
- 金山4月中国互联网安全报告:病毒感染量广东稳居第一
- 政府安全资讯精选 2017年第九期 全球互联网企业内容安全责任加重,首批互联网产品隐私条款评审“成绩单”公布