河北网络安全博客

河北博客是一个关注网络安全、网站设计、网站推广、网站优化SEO、网站建设的河北地方博客。

« 16家上市银行日赚30亿 利息收入仍为主要来源广州警方:河北保定女子借爱国之名煽动破坏地铁被警告 »

有图有真相 百度工程师设饵钓鱼实验发现360浏览器抓取用户隐私

        今天上午,360搜索推出独立域名,周鸿祎强调360搜索是基于机器学习技术的第三代搜索引擎,具备“自学习、自进化”能力,发现用户最需要的搜索结果。360搜索的机器学习究竟有何奥秘?百度工程师通过一个设饵钓鱼的实验,让360浏览器抓取用户隐私的秘密暴露无遗。

        首先,百度工程师制作了一个保存在服务器个人文件夹下的简单网页,没有任何外链,由于搜索引擎爬虫只能通过链接爬行网页,因此这个网页是完全封闭的,不可能被搜索引擎抓取到。

        第二步,百度工程师用360浏览器打开了这个网页。并通过各种搜索引擎不间断试验,显示网页均未被抓取。

        但约2小时之后,却发生了令人大跌眼镜的事情。百度工程师试着在360搜索中输入以上关键词,结果这个网页赫然出现在搜索结果第一行,并可以直接点击进入浏览网页内容。再换百度、谷歌(微博)、搜狗、搜搜等其他浏览器搜索相同内容,却仍然无法返回相应网页。

        为什么一个完全封闭的网页竟然能被360搜索引擎抓取到,并呈现在搜索结果之中?百度工程师解释道,核心原因就在于他曾用360浏览器打开过这个网页。

        在360浏览器的隐私策略中,注明了360安全浏览器会在用户的计算机上记录有关浏览历史记录的实用信息。这些信息包括: 浏览历史记录、用户访问过的大部分网页的的屏幕截图、Cookie或网络存储数据、访问网站时留下的临时文件、地址栏下拉列表、最近关闭的标签列表、关闭窗口时的未关闭标签列表、使用内置安全下载器的下载记录、浏览器插件中保存的内容等。

        360搜索的爬虫正是根据360浏览器抓取的数据信息,再去相应的网页爬取内容快照。由此,360搜索就能成功抓取一个完全封闭的网页。

        这一钓鱼流程揭示了360搜索存在可怕的安全隐患:只要您通过360浏览器访问过一个网页,无论是包含私人账号密码的信息,还是公司内网机密数据信息,360浏览器都能够记录下来,并让360搜索爬虫抓取、上传到360服务器上。其他用户用360搜索查询相关关键词时,都可能直接查看您的机密数据!

        如果一位证券公司的工作人员,不慎用360浏览器查看了客户的姓名、银行账号、密码等信息,那么有人在360搜索了某个客户姓名,那么所有客户的账号和密码可能就会公之于众;如果一个公司高层,用360浏览器查看了公司内部机密数据,那么这个公司的核心商业机密可能就会被竞争对手直接搜索到。 

站内导读:
[360安全卫士可能拦截百度广告 百度360攻防战升级]
[河北博客:360推浏览器应用开放平台 斥百万吸引开发者 ]
[河北博客:百度凤巢吸金术威力不减 滥权现监管缺位]




  • quote 33.白癜风基金
  • http://4000101199.com

  • 不要让梦想毁在别人的嘴里,因为别人不会为你的梦想负责.所以请百分之一万的相信你自己.不要踌躇,不要害怕失败,即使是最亲近的朋友也只能给你建设性的意见,最终,我们还是要为自己的梦想负责,而不是活在别人的世界。

    白癜风援助http://wap.4000101199.com
  • 2016-10-27 15:38:30 回复该留言

发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

订阅河北博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • google reader
  • 鲜果
  • 抓虾
  • QQ邮箱

河北博客站内搜索

河北博客相关链接

河北博客热文排行

Powered By kingwq's blog

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.冀ICP备09002514号.Copyright www.kingwq.cn.2010