百度工程师设饵钓鱼实验 360浏览器抓取用户隐私现形(组 ...

http://www.hbtv.com.cn/news/2012/0902/94513.shtml



今天上午，360搜索推出独立域名，周鸿祎强调360搜索是基于机器学习技术的第三代搜索引擎，具备“自学习、自进化”能力，发现用户最需要的搜索结果。360搜索的机器学习究竟有何奥秘?百度工程师通过一个设饵钓鱼的实验，让360浏览器抓取用户隐私的秘密暴露无遗。

首先，百度工程师制作了一个保存在服务器个人文件夹下的简单网页，没有任何外链，由于搜索引擎爬虫只能通过链接爬行网页，因此这个网页是完全封闭的，不可能被搜索引擎抓取到。

第二步，百度工程师用360浏览器打开了这个网页。并通过各种搜索引擎不间断试验，显示网页均未被抓取。

但约2小时之后，却发生了令人大跌眼镜的事情。百度工程师试着在360搜索中输入以上关键词，结果这个网页赫然出现在搜索结果第一行，并可以直接点击进入浏览网页内容。再换百度、谷歌(微博)、搜狗、搜搜等其他浏览器搜索相同内容，却仍然无法返回相应网页。

1346486070573.jpg (26.7 KB, 下载次数: 0)

下载附件 保存到相册

2012-9-2 23:02 上传

为什么一个完全封闭的网页竟然能被360搜索引擎抓取到，并呈现在搜索结果之中?百度工程师解释道，核心原因就在于他曾用360浏览器打开过这个网页。

在360浏览器的隐私策略中，注明了360安全浏览器会在用户的计算机上记录有关浏览历史记录的实用信息。这些信息包括： 浏览历史记录、用户访问过的大部分网页的的屏幕截图、Cookie或网络存储数据、访问网站时留下的临时文件、地址栏下拉列表、最近关闭的标签列表、关闭窗口时的未关闭标签列表、使用内置安全下载器的下载记录、浏览器插件中保存的内容等。

360搜索的爬虫正是根据360浏览器抓取的数据信息，再去相应的网页爬取内容快照。由此，360搜索就能成功抓取一个完全封闭的网页。

1346486186870.jpg (56.35 KB, 下载次数: 0)

下载附件 保存到相册

2012-9-2 23:02 上传

这一钓鱼流程揭示了360搜索存在可怕的安全隐患：只要您通过360浏览器访问过一个网页，无论是包含私人账号密码的信息，还是公司内网机密数据信息，360浏览器都能够记录下来，并让360搜索爬虫抓取、上传到360服务器上。其他用户用360搜索查询相关关键词时，都可能直接查看您的机密数据!

如果一位证券公司的工作人员，不慎用360浏览器查看了客户的姓名、银行账号、密码等信息，那么有人在360搜索了某个客户姓名，那么所有客户的账号和密码可能就会公之于众;如果一个公司高层，用360浏览器查看了公司内部机密数据，那么这个公司的核心商业机密可能就会被竞争对手直接搜索到。

http://www.hbtv.com.cn/news/2012/0902/94513.shtml



今天上午，360搜索推出独立域名，周鸿祎强调360搜索是基于机器学习技术的第三代搜索引擎，具备“自学习、自进化”能力，发现用户最需要的搜索结果。360搜索的机器学习究竟有何奥秘?百度工程师通过一个设饵钓鱼的实验，让360浏览器抓取用户隐私的秘密暴露无遗。

首先，百度工程师制作了一个保存在服务器个人文件夹下的简单网页，没有任何外链，由于搜索引擎爬虫只能通过链接爬行网页，因此这个网页是完全封闭的，不可能被搜索引擎抓取到。

第二步，百度工程师用360浏览器打开了这个网页。并通过各种搜索引擎不间断试验，显示网页均未被抓取。

但约2小时之后，却发生了令人大跌眼镜的事情。百度工程师试着在360搜索中输入以上关键词，结果这个网页赫然出现在搜索结果第一行，并可以直接点击进入浏览网页内容。再换百度、谷歌(微博)、搜狗、搜搜等其他浏览器搜索相同内容，却仍然无法返回相应网页。

1346486070573.jpg (26.7 KB, 下载次数: 0)

下载附件 保存到相册

2012-9-2 23:02 上传

为什么一个完全封闭的网页竟然能被360搜索引擎抓取到，并呈现在搜索结果之中?百度工程师解释道，核心原因就在于他曾用360浏览器打开过这个网页。

在360浏览器的隐私策略中，注明了360安全浏览器会在用户的计算机上记录有关浏览历史记录的实用信息。这些信息包括： 浏览历史记录、用户访问过的大部分网页的的屏幕截图、Cookie或网络存储数据、访问网站时留下的临时文件、地址栏下拉列表、最近关闭的标签列表、关闭窗口时的未关闭标签列表、使用内置安全下载器的下载记录、浏览器插件中保存的内容等。

360搜索的爬虫正是根据360浏览器抓取的数据信息，再去相应的网页爬取内容快照。由此，360搜索就能成功抓取一个完全封闭的网页。

1346486186870.jpg (56.35 KB, 下载次数: 0)

下载附件 保存到相册

2012-9-2 23:02 上传

这一钓鱼流程揭示了360搜索存在可怕的安全隐患：只要您通过360浏览器访问过一个网页，无论是包含私人账号密码的信息，还是公司内网机密数据信息，360浏览器都能够记录下来，并让360搜索爬虫抓取、上传到360服务器上。其他用户用360搜索查询相关关键词时，都可能直接查看您的机密数据!

如果一位证券公司的工作人员，不慎用360浏览器查看了客户的姓名、银行账号、密码等信息，那么有人在360搜索了某个客户姓名，那么所有客户的账号和密码可能就会公之于众;如果一个公司高层，用360浏览器查看了公司内部机密数据，那么这个公司的核心商业机密可能就会被竞争对手直接搜索到。