首页 > 信息安全 > 正文

360:让金山的子弹再飞一会儿

2011-01-05 07:24:00  来源:IT商业新闻网

摘要:2011年1月3日,360公司公布了大量证据,证明金山散布的“360窃取用户隐私”纯属谣言。360技术副总裁谭晓生表示:360采用的是和金山一样的恶意网址上传机制,金山明知道360不可能侵犯用户......
关键词: 360 金山

  2011年1月3日,360公司公布了大量证据,证明金山散布的“360窃取用户隐私”纯属谣言。360技术副总裁谭晓生表示:360采用的是和金山一样的恶意网址上传机制,金山明知道360不可能侵犯用户隐私,却还要发布虚假新闻,故意制造恐慌,是典型的揣着明白装糊涂。

  “12月31日下班前,金山突然召开发布会,对我们搞突然袭击。正好元旦三天放假,就先让金山的子弹飞一会儿。”谭晓生笑称:“只有等到子弹真正命中的时候,大家才会发现,最后倒下的是谁。”

  360提供了大量经过公证的材料,材料显示,通过百度、谷歌、搜狗、必应、搜搜等各大搜索引擎,可以搜索到大量金山从用户电脑上传的网址记录,其中不乏用户名和密码。让人震惊的是,金山公然把这些来自用户访问记录的网址数据制作成网页并公开展示。通过金山官方的pc120.com网站,任何人都可以公开查询到这些网址,包括其中包含的用户名和密码。

  “现在子弹已经命中了,大家看到是:这颗子弹瞄准的是360,倒下的却是金山自己。”谭晓生谈到:“与金山不同的是,我们并不因此就幸灾乐祸,借机攻击金山窃取用户隐私,而是要借此告诉网民事实真相:客观地说,这是由个别网站的技术缺陷引发的巧合事件,包括金山在内,任何安全厂商都没必要、也不可能去窃取用户隐私。”

  据介绍,金山公布的所谓“360窃取用户隐私”的证据,其实是360网盾上传的可疑恶意网址。安全软件在发现用户浏览器受到恶意代码攻击时,会将可疑恶意网址上传到服务器进行自动分析,然后把鉴定出来的挂马网址加入恶意网址库,这是安全行业通用的做法,除了金山和360外,诺顿、趋势等也都有类似的机制。

  “安全软件在上传时,如果用户同时打开了多个网页,在技术上是无法定位具体是哪个网页包含恶意代码的,只能将当前打开的所有网址一并上传,其中就有可能会包含一些企业内网和大网站的网址。另外,通过这次事件我们发现,个别网站的安全机制存在缺陷,会在用户登录时直接将用户名和密码编写在网址链接(URL)中,因此也会被安全软件一并上传到服务器上。”谭晓生介绍说:“据我们统计,包含用户名密码的网址占网址总数的比例不足百万分之一,实际影响到的用户人数极少,但是360还是根据这次发现的问题,对云查询机制进行了修改和完善,设法在上传时识别和去掉其中的用户名和密码。与金山不同的是,360的恶意网址库只保存在内部服务器上,不会像金山那样对外公开这些网址。”

  “作为安全厂商,在发现技术漏洞后,负责任的作法是承认自己的不足,并尽快采取措施堵住漏洞,切实保障用户利益,而不是公开散布网民隐私,捏造谣言制造恐慌,以此来打击竞争对手。”谭晓生表示:“360发现金山的问题后,马上通报给了金山公司,敦促他们尽快解决,而不是像对方那样故意歪曲,大肆炒作。据我们观察,目前金山已堵住了部分漏洞,在各大搜索引擎上也正在紧急清理。”


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:lyfzlj

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。