798
周鴻禕:360瀏覽器已送國家權威部門做檢測
10月26日,360就方舟子質疑“360安全瀏覽器”安全性一事進行媒體溝通,奇虎360董事長周鴻禕表示,360瀏覽器已經提交工信部、公安係統的檢測機構做檢測,將借助第三方機構證明產品在用戶隱私上沒有問題。
10月26日,360就方舟子質疑“360安全瀏覽器”安全性一事進行媒體溝通,奇虎360董事長周鴻禕表示,360瀏覽器已經提交工信部、公安係統的檢測機構做檢測,將借助第三方機構證明產品在用戶隱私上沒有問題。
近兩周以來,有關“打假鬥士”方舟子質疑360瀏覽器引發業界關注,10月25日工信部張峰司長在接受媒體采訪時表示,工信部已著手調查某著名科普人士對於奇虎360進行“指控”一事,如果查實此事確有涉及違法違規行為,工信部將依法予以嚴肅處理。
對此,周鴻禕表示,工信部的介入調查是奇虎360推動的,歡迎工信部介入調查此次事件,並希望能盡快給予調查結論。“我們在之前就在找第三方政府機構對產品做一個鑒定。目前,360已經將瀏覽器提交至工信部、公安係統的檢測機構做檢測,將借助第三方機構證明產品在用戶隱私上沒有問題。”
據周鴻禕介紹,360已經設立了專門的辟謠頁麵,對業界全部與產品有關的質疑逐一進行了回應與澄清;同時,早在2010年4月開始,360就已經將軟件的源代碼托管在國家信息安全評測中心,並定期更新、補充新的產品代碼,以公開源代碼的方式來接受公眾監督。
此外,周鴻禕透露,近期方舟子的詆毀言論和競爭對手對此的大力推動傳播,對360公司的商業信譽、企業形象以及相關產品的美譽度造成了極大損害,在360用戶中產生了惡劣影響。為維護企業的合法權益,針對方舟子和百度公司侵犯360企業名譽權的行為,360公司已經完成相關證據的收集工作,並向法院起訴方舟子和百度公司。
關於360安全瀏覽器工作原理的技術說明
方舟子先生多次轉發各種不敢實名認證公開身份的匿名賬號(這樣可隨便亂說不用負責任)的微博,隻想證明一個觀點:360安全瀏覽器上傳用戶隱私。姑且認為方舟子先生不懂360安全瀏覽器的工作原理,所以造成誤解,這裏給方舟子先生,還有其他想進一步了解真相的用戶,詳細描述一下360安全瀏覽器的一些技術細節。
同時,請方舟子先生的“技術秘書“注意,請用一個技術人員應有的嚴謹態度進行溝通,最好實名認證一下,這樣在質疑時能顯得更有誠意,說假話時多少能有點顧忌。
360安全瀏覽器沒有任何侵犯用戶隱私的行為,因為與其他360軟件一樣,360安全瀏覽器在用戶數據處理上遵循了兩個原則:
第一、尊重用戶選擇權。互聯網軟件的一些功能,必須要通過聯網通信才能實現。360安全瀏覽器隻有在用戶主動觸發這些功能,或者同意360安全瀏覽器的用戶協議情況下,才會上傳功能實現的必要數據,同時也絕不會涉及用戶隱私資料,包括文檔、圖表、照片、視頻或者其他與用戶隱私相關的非程序文件和身份信息。
第二、尊重用戶知情權。360發布了《用戶隱私保護白皮書》,與其他互聯網公司相比,這是最全麵、最透明的隱私保護白皮書。360將各個軟件的工作原理、實現哪些功需要上傳什麼數據,都解釋得一清二楚。
一、聯網通信不等於上傳用戶隱私
作為一款互聯網軟件,客戶端和服務端一定會有通信,可能會上傳數據,但上傳數據不等於上傳用戶隱私,方舟子先生偷換概念,給360安全瀏覽器無端扣了一頂大帽子。
是否上傳數據不是判斷是否搜集用戶隱私的標準,而應看用戶是否有知情權和選擇權。隻有用戶完全不知情的情況下私自上傳用戶敏感信息,才涉嫌搜集用戶隱私。
1) 知情權:用戶對於上傳行為是否知情,對於上傳什麼內容是否了解。
2) 選擇權:用戶是否可以選擇上傳或者不上傳。
二、 360安全瀏覽器“登錄管家“是用戶充分知情並主動選擇的操作
1) 記住密碼是用戶的需求,很多瀏覽器都有這個功能。
用戶登錄就需要密碼,密碼太簡單會不安全,太複雜又記不住。所以記住密碼是用戶的需求。目前市麵上主流的瀏覽器,包括IE和chrome都提供記住密碼的功能。360安全瀏覽器也能記住密碼,有明確提示,用戶點擊確認後才會記錄。
同時會對存儲在本機的密碼進行雙重加密,加密機製摘要如下:
a) 使用SHA1算法生成一個本機機器相關的密鑰。
b) 再使用AES256加密算法對用戶保持在本機的賬號密碼進行雙重加密。
c) 這樣的加密文件即使被盜取,放到另外一台電腦上也是無法使用的。
2) 用戶有多台電腦,需要同步自己的賬號信息,所以在用戶確認的情況下密碼被加密備份在360服務器上,Chrome、Firefox等眾多瀏覽器均提供類似功能。
a) 很多用戶都有多台電腦:辦公電腦、家庭電腦,出於使用方便的需求,用戶有不同電腦間同步自己賬號信息的需求。希望在辦公室和家裏都可以方便地一鍵登錄網站,而不用一遍一遍地輸那些難記的密碼。
b) 用戶帳號信息備份功能默認關閉,隻有用戶主動選擇使用時才會開啟,開啟時會彈窗提示用戶,進行二次確認,用戶也可以隨時關閉此功能。
在360安全瀏覽器的隱私保護說明中也對此有明確描述:
c) 用戶密碼存儲在服務端也是加密存儲,而且采用了多種加密手段,確保即使服務器被人攻破,把數據庫拖走,也無法解開其中的用戶帳號數據。具體加密機製如下:
整個數據的傳輸是采用https的方式來進行的,而且傳輸過程會有相關的校驗機製,可保證在傳輸過程不會被劫持和盜取。
網絡獲取唯一密鑰和本地機器特征碼密鑰相結合,並且采用雙重加密方式來進行存儲,避免了服務器被拖庫後數據批量破解的風險。
如果用戶的本地數據和本地密鑰被竊取,如果沒有網絡下發的密鑰,數據是無法解開的。同理如果數據服務器被攻破,用戶的網絡數據和網絡密鑰同時丟失,在第三方的機器上數據也是解不開的,必須到每個用戶的機器上才能把數據解開,這會大大增加數據破解的難度。
d) 火狐、Chrome都有類似的插件,國內不少瀏覽器也都內置了這個功能。此功能會讓用戶更登錄網站更方便,應用很廣泛。
三、 360安全瀏覽器的“網址雲安全“能有效攔截掛馬和欺詐網站,不會侵犯用戶隱私
1) 360安全瀏覽器的“網址雲安全“能有效防止網民上網中毒和被騙錢。
i. 截止到目前,360安全瀏覽器通過“網址雲安全“技術,已經攔截掛馬和欺詐網站58億次。
ii. 今年1月至6月間,360“網址雲安全”共攔截釣魚網站訪問量達21.7億次(包括360安全瀏覽器和360網盾),相當於平均每秒有138個網民訪問釣魚網站,其中訪問購物釣魚網站的比例約為41.5%。
iii. 今年8月,電商大戰期間,360安全瀏覽器平均每秒攔截購物釣魚網站達到172次。
2) 360攔截的“惡意網址庫“規模龐大,無法下發到用戶電腦中。
i. 360雲安全服務器實時更新“惡意網址庫“,確保為用戶第一時間攔截掛馬和釣魚欺詐惡意網址,目前“惡意網址庫”中的網址已高達1億條以上。
ii. 最近一周,每天有近30萬的新惡意網址被發現入庫。
iii. 這樣龐大的惡意網址庫,下發到用戶機器上會占用大量的網絡帶寬和硬盤資源。
iv. 所以最好的方式是通過雲查詢的方式,將惡意網址庫放到服務端,每個網址都去服務端查詢,這樣既節省用戶硬盤資源,又能保證攔截的及時性。
3) “網址雲安全“聯網查詢網址(URL)的加密串,不會泄露用戶隱私。
i. 360安全瀏覽器會定期與 360 的服務器進行通信,下載被360認證的知名網站的白名單列表。
ii. 用戶訪問的網址會先和白名單匹配,如果在列表中,會讓用戶繼續訪問。
iii. 如果不在白名單中,360安全瀏覽器首先將用戶訪問網址進行單向加密,然後發送到360服務器,和海量的惡意網址庫進行比對,一旦匹配就通知360安全瀏覽器進行攔截。
iv. 上傳的網址加密串,是通過hash對網址(URL)進行MD5編碼,服務端拿到具體的MD5編碼後,是無法還原出用戶的原始訪問鏈接,確保用戶隱私不會泄露;
v.當用戶瀏覽器遭到未入庫的掛馬網頁攻擊時,安全軟件在技術上無法定位具體是哪個網頁包含了惡意代碼,隻能將當前打開的網址(URL)一並上傳,由雲安全服務器對可疑網址進行分析鑒定,將其中的掛馬網頁加入惡意網址庫。“可疑網址上傳”會對用戶進行提示,由用戶選擇是否允許,在用戶知情和選擇確認的前提才上傳具體網址。
4) “網址雲安全“上傳參數的具體分析:
查詢時首先會把url進行歸一化,去除隱私數據(一些網站不太嚴謹地將用戶名和密碼寫在URL中,我們會過濾掉,防止用戶隱私泄露),然後拆分為domain、host等,分別進行md5編碼。
url查詢數據包參數:
urls: 請求的url單向加密信息。格式如下:
md5|md5|md5\t
不同字段之間用tab鍵\t分隔,md5與md5之間用|分隔
product: 發起查詢的產品名稱
combo: 發起查詢的模塊名稱
v: 版本號,目前為3
vk: 數據包校驗碼
src: 雲查詢防護策略。如果是搜索發起的雲查詢請求,則匹配搜索防護策略;如果是地址欄發起的雲查詢請求,則匹配跳轉頁防護策略
mid: 本機密鑰
uv: 查詢協議的版本
5) 360安全瀏覽器的“網址雲安全“查詢方式和Chrome一致,完全能夠保證用戶隱私不被泄露。
四、以上功能都是公開的,在2010年就已經發布的《瀏覽器用戶隱私保護白皮書》中也有非常清晰的說明,歡迎大家驗證。
1) 360安全瀏覽器推出的“登錄管家“和”網址雲安全“都是基於用戶需求,保證用戶上網安全,幫助用戶更方便登錄網站,使用互聯網。
2) 無論是“登錄管家“,還是”網址雲安全“,都沒有侵犯用戶隱私的行為,充分尊重了用戶的知情權和選擇權。歡迎各位技術人員來驗證。
最後更新:2017-04-02 15:15:26