10月26日,360就方舟子质疑“360安全浏览器”安全性一事进行媒体沟通,奇虎360董事长周鸿祎表示,360浏览器已经提交工信部、公安系统的检测机构做检测,将借助第三方机构证明产品在用户隐私上没有问题。
近两周以来,有关“打假斗士”方舟子质疑360浏览器引发业界关注,10月25日工信部张峰司长在接受媒体采访时表示,工信部已着手调查某著名科普人士对于奇虎360进行“指控”一事,如果查实此事确有涉及违法违规行为,工信部将依法予以严肃处理。
对此,周鸿祎表示,工信部的介入调查是奇虎360推动的,欢迎工信部介入调查此次事件,并希望能尽快给予调查结论。“我们在之前就在找第三方政府机构对产品做一个鉴定。目前,360已经将浏览器提交至工信部、公安系统的检测机构做检测,将借助第三方机构证明产品在用户隐私上没有问题。”
据周鸿祎介绍,360已经设立了专门的辟谣页面,对业界全部与产品有关的质疑逐一进行了回应与澄清;同时,早在2010年4月开始,360就已经将软件的源代码托管在国家信息安全评测中心,并定期更新、补充新的产品代码,以公开源代码的方式来接受公众监督。
此外,周鸿祎透露,近期方舟子的诋毁言论和竞争对手对此的大力推动传播,对360公司的商业信誉、企业形象以及相关产品的美誉度造成了极大损害,在360用户中产生了恶劣影响。为维护企业的合法权益,针对方舟子和百度公司侵犯360企业名誉权的行为,360公司已经完成相关证据的收集工作,并向法院起诉方舟子和百度公司。
关于360安全浏览器工作原理的技术说明
方舟子先生多次转发各种不敢实名认证公开身份的匿名账号(这样可随便乱说不用负责任)的微博,只想证明一个观点:360安全浏览器上传用户隐私。姑且认为方舟子先生不懂360安全浏览器的工作原理,所以造成误解,这里给方舟子先生,还有其他想进一步了解真相的用户,详细描述一下360安全浏览器的一些技术细节。
同时,请方舟子先生的“技术秘书“注意,请用一个技术人员应有的严谨态度进行沟通,最好实名认证一下,这样在质疑时能显得更有诚意,说假话时多少能有点顾忌。
360安全浏览器没有任何侵犯用户隐私的行为,因为与其他360软件一样,360安全浏览器在用户数据处理上遵循了两个原则:
第一、尊重用户选择权。互联网软件的一些功能,必须要通过联网通信才能实现。360安全浏览器只有在用户主动触发这些功能,或者同意360安全浏览器的用户协议情况下,才会上传功能实现的必要数据,同时也绝不会涉及用户隐私资料,包括文档、图表、照片、视频或者其他与用户隐私相关的非程序文件和身份信息。
第二、尊重用户知情权。360发布了《用户隐私保护白皮书》,与其他互联网公司相比,这是最全面、最透明的隐私保护白皮书。360将各个软件的工作原理、实现哪些功需要上传什么数据,都解释得一清二楚。
一、联网通信不等于上传用户隐私
作为一款互联网软件,客户端和服务端一定会有通信,可能会上传数据,但上传数据不等于上传用户隐私,方舟子先生偷换概念,给360安全浏览器无端扣了一顶大帽子。
是否上传数据不是判断是否搜集用户隐私的标准,而应看用户是否有知情权和选择权。只有用户完全不知情的情况下私自上传用户敏感信息,才涉嫌搜集用户隐私。
1) 知情权:用户对于上传行为是否知情,对于上传什么内容是否了解。
2) 选择权:用户是否可以选择上传或者不上传。
二、 360安全浏览器“登录管家“是用户充分知情并主动选择的操作
1) 记住密码是用户的需求,很多浏览器都有这个功能。
用户登录就需要密码,密码太简单会不安全,太复杂又记不住。所以记住密码是用户的需求。目前市面上主流的浏览器,包括IE和chrome都提供记住密码的功能。360安全浏览器也能记住密码,有明确提示,用户点击确认后才会记录。
同时会对存储在本机的密码进行双重加密,加密机制摘要如下:
a) 使用SHA1算法生成一个本机机器相关的密钥。
b) 再使用AES256加密算法对用户保持在本机的账号密码进行双重加密。
c) 这样的加密文件即使被盗取,放到另外一台电脑上也是无法使用的。
2) 用户有多台电脑,需要同步自己的账号信息,所以在用户确认的情况下密码被加密备份在360服务器上,Chrome、Firefox等众多浏览器均提供类似功能。
a) 很多用户都有多台电脑:办公电脑、家庭电脑,出于使用方便的需求,用户有不同电脑间同步自己账号信息的需求。希望在办公室和家里都可以方便地一键登录网站,而不用一遍一遍地输那些难记的密码。
b) 用户帐号信息备份功能默认关闭,只有用户主动选择使用时才会开启,开启时会弹窗提示用户,进行二次确认,用户也可以随时关闭此功能。
在360安全浏览器的隐私保护说明中也对此有明确描述:
c) 用户密码存储在服务端也是加密存储,而且采用了多种加密手段,确保即使服务器被人攻破,把数据库拖走,也无法解开其中的用户帐号数据。具体加密机制如下:
整个数据的传输是采用https的方式来进行的,而且传输过程会有相关的校验机制,可保证在传输过程不会被劫持和盗取。
网络获取唯一密钥和本地机器特征码密钥相结合,并且采用双重加密方式来进行存储,避免了服务器被拖库后数据批量破解的风险。
如果用户的本地数据和本地密钥被窃取,如果没有网络下发的密钥,数据是无法解开的。同理如果数据服务器被攻破,用户的网络数据和网络密钥同时丢失,在第三方的机器上数据也是解不开的,必须到每个用户的机器上才能把数据解开,这会大大增加数据破解的难度。
d) 火狐、Chrome都有类似的插件,国内不少浏览器也都内置了这个功能。此功能会让用户更登录网站更方便,应用很广泛。
三、 360安全浏览器的“网址云安全“能有效拦截挂马和欺诈网站,不会侵犯用户隐私
1) 360安全浏览器的“网址云安全“能有效防止网民上网中毒和被骗钱。
i. 截止到目前,360安全浏览器通过“网址云安全“技术,已经拦截挂马和欺诈网站58亿次。
ii. 今年1月至6月间,360“网址云安全”共拦截钓鱼网站访问量达21.7亿次(包括360安全浏览器和360网盾),相当于平均每秒有138个网民访问钓鱼网站,其中访问购物钓鱼网站的比例约为41.5%。
iii. 今年8月,电商大战期间,360安全浏览器平均每秒拦截购物钓鱼网站达到172次。
2) 360拦截的“恶意网址库“规模庞大,无法下发到用户电脑中。
i. 360云安全服务器实时更新“恶意网址库“,确保为用户第一时间拦截挂马和钓鱼欺诈恶意网址,目前“恶意网址库”中的网址已高达1亿条以上。
ii. 最近一周,每天有近30万的新恶意网址被发现入库。
iii. 这样庞大的恶意网址库,下发到用户机器上会占用大量的网络带宽和硬盘资源。
iv. 所以最好的方式是通过云查询的方式,将恶意网址库放到服务端,每个网址都去服务端查询,这样既节省用户硬盘资源,又能保证拦截的及时性。
3) “网址云安全“联网查询网址(URL)的加密串,不会泄露用户隐私。
i. 360安全浏览器会定期与 360 的服务器进行通信,下载被360认证的知名网站的白名单列表。
ii. 用户访问的网址会先和白名单匹配,如果在列表中,会让用户继续访问。
iii. 如果不在白名单中,360安全浏览器首先将用户访问网址进行单向加密,然后发送到360服务器,和海量的恶意网址库进行比对,一旦匹配就通知360安全浏览器进行拦截。
iv. 上传的网址加密串,是通过hash对网址(URL)进行MD5编码,服务端拿到具体的MD5编码后,是无法还原出用户的原始访问链接,确保用户隐私不会泄露;
v.当用户浏览器遭到未入库的挂马网页攻击时,安全软件在技术上无法定位具体是哪个网页包含了恶意代码,只能将当前打开的网址(URL)一并上传,由云安全服务器对可疑网址进行分析鉴定,将其中的挂马网页加入恶意网址库。“可疑网址上传”会对用户进行提示,由用户选择是否允许,在用户知情和选择确认的前提才上传具体网址。
4) “网址云安全“上传参数的具体分析:
查询时首先会把url进行归一化,去除隐私数据(一些网站不太严谨地将用户名和密码写在URL中,我们会过滤掉,防止用户隐私泄露),然后拆分为domain、host等,分别进行md5编码。
url查询数据包参数:
urls: 请求的url单向加密信息。格式如下:
md5|md5|md5t
不同字段之间用tab键t分隔,md5与md5之间用|分隔
product: 发起查询的产品名称
combo: 发起查询的模块名称
v: 版本号,目前为3
vk: 数据包校验码
src: 云查询防护策略。如果是搜索发起的云查询请求,则匹配搜索防护策略;如果是地址栏发起的云查询请求,则匹配跳转页防护策略
mid: 本机密钥
uv: 查询协议的版本
5) 360安全浏览器的“网址云安全“查询方式和Chrome一致,完全能够保证用户隐私不被泄露。
四、以上功能都是公开的,在2010年就已经发布的《浏览器用户隐私保护白皮书》中也有非常清晰的说明,欢迎大家验证。
1) 360安全浏览器推出的“登录管家“和”网址云安全“都是基于用户需求,保证用户上网安全,帮助用户更方便登录网站,使用互联网。
2) 无论是“登录管家“,还是”网址云安全“,都没有侵犯用户隐私的行为,充分尊重了用户的知情权和选择权。欢迎各位技术人员来验证。
网友评论