关于最近360“收集泄露隐私”的一些看法和疑问

jefffire

最近，360的泄露隐私事件沸沸扬扬。在这几个事件中，我注意到了几个关键点。对于泄露出来的txt文件，研究后发现三个要点：
1、以MD5形式表现的UID
2、UID对应的URL
3、部分URL中的密码，账户号

仔细阅读了360有关隐私的承诺http://www.360.cn/privacy/gaishu.html

摘取如下一些要点：
第三类是个人信息，即通常意义上的隐私信息。“个人信息”指任何可以与某特定个人相关联的信息，包括姓名、签名、工号、社会保障号、电话号码、保险单号码、工作职衔、财务状况、账户号等。

UID能否和特定个人相关联，这里面的特定是什么含义，值得讨论
这是某国外软件的UID


继续查阅看到了如下值得注意的地方 http://www.360.cn/privacy/360se.html

摘取如下一些要点：
网址云安全
360安全浏览器的安全红绿灯功能会定期与 360 的服务器进行通信，以便下载存在网络欺诈内容和恶意软件网站的最新黑名单列表，以及被360认证的知名网站的白名单列表。如果您访问的网址不在黑白名单列表中，360安全浏览器会发送到360的服务器，和服务端海量的恶意网址库进行比对，来保证更快速的拦截一些最新出现的恶意网址。
下载云安全
当您使用360安全浏览器内置的安全下载器下载文件时，360安全浏览器会先将下载链接发送给 360 的服务器，和服务端海量的恶意下载链的网址库进行比对，一旦发现问题，会立刻终止下载，保证您的电脑安全。

这实质上就已经表明了URL确实会被上传。





上传的URL是否应该记录？我觉得不应该，至少不应该将UID和URL对应起来。这就不禁让我想起一些数据挖掘，定向广告的事情来了。


最后关于URL中包含账户及密码的情况，我觉得从技术角度讲这个是可能的存在的，也从另一个侧面显示了我们的网络安全是多么脆弱。

血魔鸳薏

过来学习了

Lgwu

360的错在数据给泄露，让搜索引擎抓取到。这是最不应该的。
至于说里面部分URL中的密码，账户号，只要是采用云验证用户访问网址是否为恶意地址的，都应该存在这个问题。用户登录，帐号和密码总要提交给服务器来验证的，如果验证手段不做过多考虑，简单的就可能如下方式：
Http://www.targetsite .com/Login.asp?username=aaaaaa&password=bbbbb
上传该网址到云端检测对比，自然就会上传username=aaaaaa 和 password=bbbbb
而从金山给出的资料看，也正是对这个地址进行用户名和密码提取，说是在收集用户资料。

jefffire

Lgwu 发表于 2011-1-3 15:01
360的错在数据给泄露，让搜索引擎抓取到。这是最不应该的。
至于说里面部分URL中的密码，账户号，只要是采 ...

密码，账户，这个不是问题。问题焦点在于，UID和URL对应起来保存，显然有收集嫌疑。

庄生

支持

客观公正的对待这次事件

卍解十字架

过来支持下jefffire

Lgwu

回复 4楼 jefffire 的帖子

对应起来，可以理解为有存在收集嫌疑。个人更倾向于是作为一个数据表关键字段来用
，查询算法所引用，优化查询过程所需的。

xiaofeizei

进来支持姐夫的

zhanghusen

支持理性讨论

晚风中的泪

坐等喷子