Sent to you by iStone via Google Reader:
via 张伽 by 11142@qq.com(张伽) on 12/31/10
针对金山指责360泄漏用户隐私,360辩称"所谓'收集隐私'只是正常功能,金山自己也有"(见http://bbs.360.cn/3237987/41693940.html?recommend=1但是,我想请问一下,用户隐私在此次事件中,的确被泄漏了。您如何解释呢?您如何解释那些包含用户密码和其它隐私的文件为什么会被google索引,并进而被广大网民获取?至少,您连自己的服务器都没管好,怎么帮助广大网民管好机器?
即便我相信您的"收集隐私"真的只是正常功能,您至少犯了如下两个低级错误,而且我想不出您有啥可以解释的:
1. 在服务器上明文存储这些可能包含用户密码和其它隐私的文件,哪怕只是一些URL,会导致可以接触该服务器的所有管理人员都可以访问这些文件,这不符合分级权限管理的原则;
2. 服务器设置错误,导致google可以索引并获取这些文件,这更可怕,直接导致所有互联网用户都可以访问这些文件。
犯了这两个低级错误,您一点愧疚之心都没有?您不需要站出来道个歉?您却把这个归咎于别人也有?别人杀人,您就可以去杀人么?即便别人真的也这么做了,至少人家没有外泄到整个互联网。
谈完这两点您无法辩解的低级错误,我们来谈谈"收集隐私"真的只是正常功能么?您说"360会把网址送到360云安全计算中心,进行连网安全检测。电脑连网与恶意网址数据库比对检测,所提交的数据仅为URL网址,不包含可追踪定位用户的信息(如:用户ID、电脑名称等)"。这句话的前半部分,我相信。但是"不包含可追踪定位用户的信息(如:用户ID、电脑名称等)"这点,值得商榷。事实上,用户在提交表单的时候,完全可能把用户名和密码以明文方式以URL的形式提交到网站上,这取决于网站是如何设计的。当然,现在会这样做的网站比较少。您为什么要将about:blank这样的网址都上传呢?您为什么要将URL的全部都提交呢,而不是只提交HOST部分?您不觉得您收集得有点儿多么?您可能会辩称有些网站是二级甚至是三级网址才存在恶意行为,这样可能需要上传URL的全部?那我认为,您的云安全还不够智能。您完全可以先上传部分,譬如http://mail.sina.com.cn
您真的一点愧疚都没有么?我想您那个管理服务器的同事应该被裁了吧?您真的不想道个歉?
最后,我要给360,包括金山等其它安全厂商,针对"恶意网址上传"功能提出如下建议:
1. 仅仅上传HOST部分,不上传整个URL;
2. 即便要上传其余部分,点到即止,哪些可以传,哪些不可以传,我相信您比我还清楚;
3. 分析后请立刻删除,不要保存在服务器上。
Things you can do from here:
- Subscribe to 张伽 using Google Reader
- Get started using Google Reader to easily keep up with all your favorite sites
没有评论:
发表评论
謝謝留言!促進人權,從我做起!
注意:只有此博客的成员才能发布评论。