超级军网不单单是隐私了,怎么现在某些软件连别人的密码都记录啊
来源:百度文库 编辑:超级军网 时间:2024/04/29 18:48:56
邮箱,用户名,密码,登陆网址,曾经用的搜索关键字全都记录在案,还有点人事么?
邮箱,用户名,密码,登陆网址,曾经用的搜索关键字全都记录在案,还有点人事么?
http://tech.qq.com/a/20101231/000326.htm
是说这个吗
是说这个吗
刚才想查别人超大密码来着,可惜已经迟了
很神奇,怎么搜的。
yanzi_sy 发表于 2011-1-1 00:02 
没听说过键盘记录软件么?你电脑上有了这种东西人家要你密码还不简单?
没听说过键盘记录软件么?你电脑上有了这种东西人家要你密码还不简单?
怎么搜的??
360这次赚大了{:jian:}
360搜集用户隐私证据曝光:涉及百万用户帐号
2010年12月31日18:01腾讯科技[微博]乐天我要评论(70) 字号:T|T
2010年12月31日18:01腾讯科技[微博]乐天我要评论(70) 字号:T|T
360的解释是记录恶意网址是正常行为。根据这个解释,果断发现新浪、谷歌、百度全部都是恶意网址,连用户的密码也都是
银河战士 发表于 2011-1-1 00:15
某款“安全软件”搜集并记录在自己服务器上的,后来泄露到了谷歌的服务器上,今天下午可以用谷歌的快照搜到邮箱、密码等信息,晚上谷歌把结果过滤了,已经搜不到了
某款“安全软件”搜集并记录在自己服务器上的,后来泄露到了谷歌的服务器上,今天下午可以用谷歌的快照搜到邮箱、密码等信息,晚上谷歌把结果过滤了,已经搜不到了
果断发现数字果然强大,前一阵子无凭无据都能弄个满城风雨,现在证据确凿也能无声无息
PS:数字号称10万年才能破解的密盘也已经被破解
PS:数字号称10万年才能破解的密盘也已经被破解
灌溉满京华 发表于 2011-1-1 00:36
360公司严正声明如下:
一、金山公布的所谓“证据”,是360安全卫士在用户受到恶意网页攻击时上传的URL访问记录,不存在收集用户个人隐私的行为,更不会上传可定位用户的信息(如:用户ID、电脑名称等)。上传可疑网址信息是安全软件的通用技术,很多安全软件都有类似功能。可笑的是,金山自己的软件金山网盾也会在用户访问可疑网址后上传网页浏览记录(如附2所示),难道也是在“收集用户隐私”?
二、金山公司用炮制假证据的手法陷害对手由来已久,上一次是在微点案中,当时的金山公司负责人指示金山安全专家李铁军在关键性的伪证材料上盖章,进而导致微点公司副总经理田亚奎含冤入狱。这一次金山污蔑360的行为,不过是使用了同样的手法。对此,360保留起诉金山公司的权利。
三、自从360推出免费杀毒以来,传统杀毒厂商对360的各种谣言就从未停止过,其惯用手法之一就是说360侵犯用户隐私,说实话我们对此已习以为常。360早已将产品源代码公开托管到中国信息安全测评中心,并发布了业内最详尽的《用户隐私保护白皮书》(附1),欢迎用户随时监督检测,反观那些污蔑360的公司,没有一家能够做到这两点。对于金山公布的所谓证据,360将在随后逐项予以反驳。
360公司严正声明如下:
一、金山公布的所谓“证据”,是360安全卫士在用户受到恶意网页攻击时上传的URL访问记录,不存在收集用户个人隐私的行为,更不会上传可定位用户的信息(如:用户ID、电脑名称等)。上传可疑网址信息是安全软件的通用技术,很多安全软件都有类似功能。可笑的是,金山自己的软件金山网盾也会在用户访问可疑网址后上传网页浏览记录(如附2所示),难道也是在“收集用户隐私”?
二、金山公司用炮制假证据的手法陷害对手由来已久,上一次是在微点案中,当时的金山公司负责人指示金山安全专家李铁军在关键性的伪证材料上盖章,进而导致微点公司副总经理田亚奎含冤入狱。这一次金山污蔑360的行为,不过是使用了同样的手法。对此,360保留起诉金山公司的权利。
三、自从360推出免费杀毒以来,传统杀毒厂商对360的各种谣言就从未停止过,其惯用手法之一就是说360侵犯用户隐私,说实话我们对此已习以为常。360早已将产品源代码公开托管到中国信息安全测评中心,并发布了业内最详尽的《用户隐私保护白皮书》(附1),欢迎用户随时监督检测,反观那些污蔑360的公司,没有一家能够做到这两点。对于金山公布的所谓证据,360将在随后逐项予以反驳。
拥护CD谠 发表于 2011-1-1 00:44
不觉得真可笑么?记录用户受到攻击的记录需要把密码也记下来?新网、谷歌、百度全都是恶意网址?
至于第二条,数字真是把“谎言重复一千遍就是真理”用到了极致啊,前一阵子数字弹窗说这个事的时候金山就把当年的法院的判决书全文发出来打他脸了,现在还在说啊?
不觉得真可笑么?记录用户受到攻击的记录需要把密码也记下来?新网、谷歌、百度全都是恶意网址?
至于第二条,数字真是把“谎言重复一千遍就是真理”用到了极致啊,前一阵子数字弹窗说这个事的时候金山就把当年的法院的判决书全文发出来打他脸了,现在还在说啊?
拥护CD谠 发表于 2011-1-1 00:44
不觉得真可笑么?记录用户受到攻击的记录需要把密码也记下来?新浪、谷歌、百度全都是恶意网址?
至于第二条,数字真是把“谎言重复一千遍就是真理”用到了极致啊,前一阵子数字弹窗说这个事的时候金山就把当年的法院的判决书全文发出来打他脸了,现在还在说啊?
不觉得真可笑么?记录用户受到攻击的记录需要把密码也记下来?新浪、谷歌、百度全都是恶意网址?
至于第二条,数字真是把“谎言重复一千遍就是真理”用到了极致啊,前一阵子数字弹窗说这个事的时候金山就把当年的法院的判决书全文发出来打他脸了,现在还在说啊?
呵呵,我笑笑
这么吊阿
360的解释没LZ截图有力呀,不相信金山都难.
我觉得应该申讨金山,谁TMD让你忙联系谷歌删除的。俺都还没看呢。
灌溉满京华 发表于 2011-1-1 00:57
作为一个web程序员,可以告诉你,关于网址后面的搜索关键字,用户名和密码,都是符合http协议的明文传输,是很正常的,类似的信息如果你用流量监控软件来检查你的路由器,也会看到。
简单说,在http协议中传递的字符串都没有加密,问题不是出在360身上,是这些浏览的网页没有在客户端进行加密,或者没有使用https协议。
更简单的说,是你浏览的这些网站的问题,不是360的问题,那些密码和keyword之类的不是360收集的,更加不是可笑的“键盘监控软件”,而是网页写的不好。
而360认为这些url是有安全泄漏问题也是非常正确的。
我个人认为,普通人混淆这些信息很正常,但是金山的人有故意混淆的嫌疑。
360收集这些信息是正确的,但上传云空间,并且存储不力,这是严重失职。
欢迎技术人士继续补充。
作为一个web程序员,可以告诉你,关于网址后面的搜索关键字,用户名和密码,都是符合http协议的明文传输,是很正常的,类似的信息如果你用流量监控软件来检查你的路由器,也会看到。
简单说,在http协议中传递的字符串都没有加密,问题不是出在360身上,是这些浏览的网页没有在客户端进行加密,或者没有使用https协议。
更简单的说,是你浏览的这些网站的问题,不是360的问题,那些密码和keyword之类的不是360收集的,更加不是可笑的“键盘监控软件”,而是网页写的不好。
而360认为这些url是有安全泄漏问题也是非常正确的。
我个人认为,普通人混淆这些信息很正常,但是金山的人有故意混淆的嫌疑。
360收集这些信息是正确的,但上传云空间,并且存储不力,这是严重失职。
欢迎技术人士继续补充。
cos22 发表于 2011-1-1 12:05
是你浏览的这些网站的问题,不是360的问题
可是这次的问题包括了几乎所有的大型网站,谷歌、百度、新浪、搜狐…………都有,难不成我得相信所有网站都有问题,就360没问题?
360认为这些网址是风险网址是正确的?仔细看看吧,这里面还有百度首页和新浪邮件首页呢,难不成他们也恶意网址了?
是你浏览的这些网站的问题,不是360的问题
可是这次的问题包括了几乎所有的大型网站,谷歌、百度、新浪、搜狐…………都有,难不成我得相信所有网站都有问题,就360没问题?
360认为这些网址是风险网址是正确的?仔细看看吧,这里面还有百度首页和新浪邮件首页呢,难不成他们也恶意网址了?
金山的水军不行啊,换360早就是另一番景象了,可惜,没好戏看了
要是按这个逻辑,那360这类的安全软件还有什么用?反正只要http开头的就都是不安全网址了,也不需要他们来鉴定是不是安全了,
qq是扫描,360是扫描加上传,现在还泄露了,真有意思
灌溉满京华 发表于 2011-1-1 12:43
唉。。我又不是来洗地
我就是告诉你,所有使用http协议的网页都是一样不会对字符串加密。pwd本来就是要在服务器端匹配md5之类的,除非网站很负责的在客户端自行加密,但也是仅对pwd一个字段而已,userid跟kewword也根本没必要。就现在网站而言,如此考虑的网页并不多。
顺便说一下,新浪邮箱本来就是这德行,上次我看一个破解无限路由的帖子,那个lz用抓包软件一样把新浪密码抓出来了。
你相信也好不信也好,事实就是这样。
这些网页没有加密,360当然可以认为是存在安全漏洞的,有什么问题吗?
所谓恶意网址,相信不过是一个概念而已。
你不妨理解成“存在安全隐患”的意思就行了。
顺便说一句,lz你觉得网络很安全么?想当年,还能搜索到别人邮箱里面的信件呢。
唉。。我又不是来洗地
我就是告诉你,所有使用http协议的网页都是一样不会对字符串加密。pwd本来就是要在服务器端匹配md5之类的,除非网站很负责的在客户端自行加密,但也是仅对pwd一个字段而已,userid跟kewword也根本没必要。就现在网站而言,如此考虑的网页并不多。
顺便说一下,新浪邮箱本来就是这德行,上次我看一个破解无限路由的帖子,那个lz用抓包软件一样把新浪密码抓出来了。
你相信也好不信也好,事实就是这样。
这些网页没有加密,360当然可以认为是存在安全漏洞的,有什么问题吗?
所谓恶意网址,相信不过是一个概念而已。
你不妨理解成“存在安全隐患”的意思就行了。
顺便说一句,lz你觉得网络很安全么?想当年,还能搜索到别人邮箱里面的信件呢。
cos22 发表于 2011-1-1 12:05
有道理,顶一个
有道理,顶一个
灌溉满京华 发表于 2011-1-1 12:47
http开头的网站本来都是不安全网址啊,所以都用于公共信息和公共搜索方面。你看看真正有安全要求的网站,不都是用https的?而且,又不是说全部网页都这样,网页当然可以自己在客户端加密,但只要看url就能看出来他是否加密过。
一般来说,网页使用最多的md5加密,根本是不可逆的。如果它在客户端进行过加密,360不可能有那个技术解密出来,即便实现碰撞,也不可能在客户端如此轻易的完成。能的话,可以拿菲尔兹奖和沃尔夫奖了。连拿5年都行。
上面截图里的url,搞网页的人都能看出来是怎么回事。不跟你解释了。。。
http开头的网站本来都是不安全网址啊,所以都用于公共信息和公共搜索方面。你看看真正有安全要求的网站,不都是用https的?而且,又不是说全部网页都这样,网页当然可以自己在客户端加密,但只要看url就能看出来他是否加密过。
一般来说,网页使用最多的md5加密,根本是不可逆的。如果它在客户端进行过加密,360不可能有那个技术解密出来,即便实现碰撞,也不可能在客户端如此轻易的完成。能的话,可以拿菲尔兹奖和沃尔夫奖了。连拿5年都行。
上面截图里的url,搞网页的人都能看出来是怎么回事。不跟你解释了。。。
cos22 发表于 2011-1-1 13:02
我只是不懂要是所有http开头都是“存在安全隐患”网页的话,那360这样的会鉴定网页是否安全的软件还有存在的意义么?反正几乎所有的都是,还鉴定啥啊?
另外,你如果看了1楼的截图的话,记录内容还包括了用户曾经在搜索引擎输入的关键字、在购物网站搜索过的商品种类,那就请技术高手告诉我别人搜过什么商品跟安全有啥关系吧,本人实在搞不懂这个
我只是不懂要是所有http开头都是“存在安全隐患”网页的话,那360这样的会鉴定网页是否安全的软件还有存在的意义么?反正几乎所有的都是,还鉴定啥啊?
另外,你如果看了1楼的截图的话,记录内容还包括了用户曾经在搜索引擎输入的关键字、在购物网站搜索过的商品种类,那就请技术高手告诉我别人搜过什么商品跟安全有啥关系吧,本人实在搞不懂这个
cos22 发表于 2011-1-1 13:07
那就请搞网页的人告诉我360为什么要记录用户曾经在搜索引擎输入过的关键字和在购物网站搜索过的商品名吧?这个跟安全关系一定很大,不记录下来会严重危害我们的上网安全,不过我们这种不懂技术的搞不明白其中的逻辑关系而已,真心求教,望能指点迷津,不胜感激。
那就请搞网页的人告诉我360为什么要记录用户曾经在搜索引擎输入过的关键字和在购物网站搜索过的商品名吧?这个跟安全关系一定很大,不记录下来会严重危害我们的上网安全,不过我们这种不懂技术的搞不明白其中的逻辑关系而已,真心求教,望能指点迷津,不胜感激。
另,虽然现在不会搞网页了,但在win95那会儿还是曾经会过几天的。http不安全不是啥秘密,但是这不是把人的行为都一一记录下来的理由吧?上面那些网站360自己的安全卫士也是鉴定为安全的,360安全卫士认为这些是安全网址,但被发现记录信息后就说记录不安全网址是正常行为,那么,我可不可以认为他是在左右互搏呢?
也请住家们指点下迷津,我到底是该相信360的声明,认为这些都是不安全网址呢,还是该相信360安全卫士的鉴定结果,认为这些是安全网址呢,唉,真是太迷惘了啊。
也请住家们指点下迷津,我到底是该相信360的声明,认为这些都是不安全网址呢,还是该相信360安全卫士的鉴定结果,认为这些是安全网址呢,唉,真是太迷惘了啊。
cos22 发表于 2011-1-1 13:07
你这个解释很不给力啊,http安不安全是一回事,搜集上传是另一回事,你家玻璃是透明的,我就能随便拿个炮筒往里看往里拍照吗。
你这个解释很不给力啊,http安不安全是一回事,搜集上传是另一回事,你家玻璃是透明的,我就能随便拿个炮筒往里看往里拍照吗。
http的安全问题是一回事,360为什么要搜集上传呢?他能搜集URL,那也能搜集硬盘里面的东西,别忘了,360补丁升级有个P2P模式,普通用户又有几个去注意这个呢?走这个途径360想上传点硬盘里面的东西普通人又有几个会意识到呢?
cos22 发表于 2011-1-1 13:07
讨论技术吧,别的不说
我很奇怪的是,lZ提供的截图
据我所知,taobao的搜索时,在URL上会对搜索内容使用是2次base64编码,百度的也是用base64编码的,为什么截图里是明文的?不知道这个360在那里获得这个信息。
还有,只要不是太搓的网站,都会对密码进行加密的,也不知道360怎么抓到的。
从截图看,应该不是键盘捕获的。不知道是不是IE里面嵌入了什么东西。
讨论技术吧,别的不说
我很奇怪的是,lZ提供的截图
据我所知,taobao的搜索时,在URL上会对搜索内容使用是2次base64编码,百度的也是用base64编码的,为什么截图里是明文的?不知道这个360在那里获得这个信息。
还有,只要不是太搓的网站,都会对密码进行加密的,也不知道360怎么抓到的。
从截图看,应该不是键盘捕获的。不知道是不是IE里面嵌入了什么东西。
厂家的争论还是让厂家来完成吧
换超大一片纯净的天空
换超大一片纯净的天空
从没用过360也不想用360的表示拿个小板凳看戏{:cha:}
cos22 发表于 2011-1-1 13:02
专业人士…
专业人士…
被骗一次是你坏,被骗两次是我笨,对于能信流氓软件之父的人,我不知道该用什么样的表情面对
灌溉满京华 发表于 2011-1-1 13:19
在http下,不管是在google,baidu等搜索引擎中进行搜索,在购物网站搜索商品,还是输入用户名密码登录网站,本质上都是和用户输入一个URL访问网页是一样的,完全一样,从后台截获的GET数据基本上区分不开。从这一点上看不出360的“险恶用心”,它只是截获所有请求的URL并上传回服务器。这也是为什么安全性要求比较高的网站,要么用https,要么用ActiveX控件输入密码并加密。
但360这样做确实极不道德,在没有告诉用户的情况下,把用户访问的所有URL都上传回服务器了,这是多数人不能接受的。
在http下,不管是在google,baidu等搜索引擎中进行搜索,在购物网站搜索商品,还是输入用户名密码登录网站,本质上都是和用户输入一个URL访问网页是一样的,完全一样,从后台截获的GET数据基本上区分不开。从这一点上看不出360的“险恶用心”,它只是截获所有请求的URL并上传回服务器。这也是为什么安全性要求比较高的网站,要么用https,要么用ActiveX控件输入密码并加密。
但360这样做确实极不道德,在没有告诉用户的情况下,把用户访问的所有URL都上传回服务器了,这是多数人不能接受的。
需要明确的几个问题
360是商人
360搜集密码应该是存在的
问题在于,360真的主动上传的吗?
先讨论下360为什么上传,基本应该是两个原因中的一个,第一,是谷歌给了360钱,在360那里买来的这些信息。 第二360没有保管好,谷歌窃取了这些信息。 如果谁认为360没收到任何好处,又主动把密码上传到网上,那就 太可笑了。 我认为360还不会傻到如此白痴的地步,这与把自己搜藏的宝贝扔到大街上让别人白捡没任何的区别。 作为商人不会去做这种损人不利己的事情吧。
如果是360没有保管好这些信息的话,那么360也同样存在巨大的过失。这一点是无需解释的。 我就是想知道,金山这些公司就真的干净吗。???
PS:这个事情上,我觉得360里面出的内鬼了;P
360是商人
360搜集密码应该是存在的
问题在于,360真的主动上传的吗?
先讨论下360为什么上传,基本应该是两个原因中的一个,第一,是谷歌给了360钱,在360那里买来的这些信息。 第二360没有保管好,谷歌窃取了这些信息。 如果谁认为360没收到任何好处,又主动把密码上传到网上,那就 太可笑了。 我认为360还不会傻到如此白痴的地步,这与把自己搜藏的宝贝扔到大街上让别人白捡没任何的区别。 作为商人不会去做这种损人不利己的事情吧。
如果是360没有保管好这些信息的话,那么360也同样存在巨大的过失。这一点是无需解释的。 我就是想知道,金山这些公司就真的干净吗。???
PS:这个事情上,我觉得360里面出的内鬼了;P
大侠飘随风 发表于 2011-1-1 21:14
不是保管不保管的问题,他就算把这些信息放在自己服务器也不对啊,他不是前两天还攻击别人侵犯隐私么?怎么这就事无巨细的搜集客户行为了?难不成这些东西没泄露到谷歌那儿,他就没错了?
不是保管不保管的问题,他就算把这些信息放在自己服务器也不对啊,他不是前两天还攻击别人侵犯隐私么?怎么这就事无巨细的搜集客户行为了?难不成这些东西没泄露到谷歌那儿,他就没错了?
灌溉满京华 发表于 2011-1-1 13:14
首先说明,我不是哪方的fans,对于360这种技术不过关还贪心,还跟风玩云计算的,被人骂死也活该.
对于你说的,我想再说一些.
先举个例子,淘宝网和支付宝网是大家常用的.支付宝显然安全要求高,所以全程用的https协议.淘宝有公众搜索的需求,所以用http协议.
但是对于淘宝最重要的密码来说,你直接输入,是敲不进去的,必须加装淘宝专门的安全控件.这控件就是用于在客户端进行加密.
所以单纯看所使用的协议,看不出什么来.还要看网页的设计,是否有需求,以及是否有能力.毕竟,开发控件也好,用页面脚本语言加密也好,都是很重要的工作.
在这件事的原委上,我想说的很明确
1.图片中所有的url,都是网站自己的网页提交或者连接,生成的地址.其中包含的信息也都是网站自己写的.如果包含未加密信息,那么是网站自己的事情.360不用主动去收集这些url,因为浏览器每天的浏览历史就包含这些信息.至于你说的搜索商品历史,也是浏览器记录下来的.
2.如果网站很负责的使用加密技术,360根本解不了.他们没那本事.当然使用键盘监控软件可以实现,但他肯定不敢这么干.
3.360的错误在于,贪心的妄图使用这些信息,不管出于什么目的.也许可能真的是为了所谓的分析网站安全情况的分布.我不知道.只这样做也没什么,很多软件都这么干.但他们愚蠢在于将这些信息放在自己的云层里,而又没能力去保护这些资料.
对于整件事情,我想举个例子.
假设有个路人甲,他在路上走,看到一个钱包.也许他贪心想占有,也许他觉得,既然不知道失主是谁,先拿回家,打开钱包找找有没有联系方式再联系失主,也许想拿去公安局.我们不知是何目的,反正他把包揣进自己口袋,继续往前走.
路人乙看到了这一幕.乙与甲有愁.他没有上去威胁甲要平分钱包,也没有叫警察,也没有喊刚走不远的失主.也许,乙本来想自己检这钱包的,也许他一直瞄着甲出错,我不知道.反正他开始大叫了:"群众们,抓小偷啊!".
失主一听,回来联合群众将甲一顿暴打.
甲检钱包不是错,因为钱包就在地上,好奇的人看到了捡起来很正常.但是,不管啥目的,揣进自己兜是错.不报警察不喊失主两声就往前走,错上加错.检钱包却不注意隐蔽动作,被别人发现,一错再错.
这种人挨打,活该.
小总结:甲是个贪心的废物球子.乙是阴险小人.
首先说明,我不是哪方的fans,对于360这种技术不过关还贪心,还跟风玩云计算的,被人骂死也活该.
对于你说的,我想再说一些.
先举个例子,淘宝网和支付宝网是大家常用的.支付宝显然安全要求高,所以全程用的https协议.淘宝有公众搜索的需求,所以用http协议.
但是对于淘宝最重要的密码来说,你直接输入,是敲不进去的,必须加装淘宝专门的安全控件.这控件就是用于在客户端进行加密.
所以单纯看所使用的协议,看不出什么来.还要看网页的设计,是否有需求,以及是否有能力.毕竟,开发控件也好,用页面脚本语言加密也好,都是很重要的工作.
在这件事的原委上,我想说的很明确
1.图片中所有的url,都是网站自己的网页提交或者连接,生成的地址.其中包含的信息也都是网站自己写的.如果包含未加密信息,那么是网站自己的事情.360不用主动去收集这些url,因为浏览器每天的浏览历史就包含这些信息.至于你说的搜索商品历史,也是浏览器记录下来的.
2.如果网站很负责的使用加密技术,360根本解不了.他们没那本事.当然使用键盘监控软件可以实现,但他肯定不敢这么干.
3.360的错误在于,贪心的妄图使用这些信息,不管出于什么目的.也许可能真的是为了所谓的分析网站安全情况的分布.我不知道.只这样做也没什么,很多软件都这么干.但他们愚蠢在于将这些信息放在自己的云层里,而又没能力去保护这些资料.
对于整件事情,我想举个例子.
假设有个路人甲,他在路上走,看到一个钱包.也许他贪心想占有,也许他觉得,既然不知道失主是谁,先拿回家,打开钱包找找有没有联系方式再联系失主,也许想拿去公安局.我们不知是何目的,反正他把包揣进自己口袋,继续往前走.
路人乙看到了这一幕.乙与甲有愁.他没有上去威胁甲要平分钱包,也没有叫警察,也没有喊刚走不远的失主.也许,乙本来想自己检这钱包的,也许他一直瞄着甲出错,我不知道.反正他开始大叫了:"群众们,抓小偷啊!".
失主一听,回来联合群众将甲一顿暴打.
甲检钱包不是错,因为钱包就在地上,好奇的人看到了捡起来很正常.但是,不管啥目的,揣进自己兜是错.不报警察不喊失主两声就往前走,错上加错.检钱包却不注意隐蔽动作,被别人发现,一错再错.
这种人挨打,活该.
小总结:甲是个贪心的废物球子.乙是阴险小人.