近兩周以來，有關(guān)“打假斗士”方舟子質(zhì)疑360瀏覽器引發(fā)業(yè)界關(guān)注，10月25日工信部張峰司長在接受媒體采訪時(shí)表示，工信部已著手調(diào)查某著名科普人士對(duì)于奇虎360進(jìn)行“指控”一事，如果查實(shí)此事確有涉及違法違規(guī)行為，工信部將依法予以嚴(yán)肅處理。

10月26日，360就方舟子質(zhì)疑“360安全瀏覽器”安全性一事進(jìn)行媒體溝通，奇虎360董事長周鴻祎表示，360瀏覽器已經(jīng)提交工信部、公安系統(tǒng)的檢測(cè)機(jī)構(gòu)做檢測(cè)，將借助第三方機(jī)構(gòu)證明產(chǎn)品在用戶隱私上沒有問題。

近兩周以來，有關(guān)“打假斗士”方舟子質(zhì)疑360瀏覽器引發(fā)業(yè)界關(guān)注，10月25日工信部張峰司長在接受媒體采訪時(shí)表示，工信部已著手調(diào)查某著名科普人士對(duì)于奇虎360進(jìn)行“指控”一事，如果查實(shí)此事確有涉及違法違規(guī)行為，工信部將依法予以嚴(yán)肅處理。

對(duì)此，周鴻祎表示，工信部的介入調(diào)查是奇虎360推動(dòng)的，歡迎工信部介入調(diào)查此次事件，并希望能盡快給予調(diào)查結(jié)論。“我們?cè)谥�前就在找第三方政府機(jī)構(gòu)對(duì)產(chǎn)品做一個(gè)鑒定。目前，360已經(jīng)將瀏覽器提交至工信部、公安系統(tǒng)的檢測(cè)機(jī)構(gòu)做檢測(cè)，將借助第三方機(jī)構(gòu)證明產(chǎn)品在用戶隱私上沒有問題。”

據(jù)周鴻祎介紹，360已經(jīng)設(shè)立了專門的辟謠頁面，對(duì)業(yè)界全部與產(chǎn)品有關(guān)的質(zhì)疑逐一進(jìn)行了回應(yīng)與澄清；同時(shí)，早在2010年4月開始，360就已經(jīng)將軟件的源代碼托管在國家信息安全評(píng)測(cè)中心，并定期更新、補(bǔ)充新的產(chǎn)品代碼，以公開源代碼的方式來接受公眾監(jiān)督。

此外，周鴻祎透露，近期方舟子的詆毀言論和競(jìng)爭對(duì)手對(duì)此的大力推動(dòng)傳播，對(duì)360公司的商業(yè)信譽(yù)、企業(yè)形象以及相關(guān)產(chǎn)品的美譽(yù)度造成了極大損害，在360用戶中產(chǎn)生了惡劣影響。為維護(hù)企業(yè)的合法權(quán)益，針對(duì)方舟子和百度公司侵犯360企業(yè)名譽(yù)權(quán)的行為，360公司已經(jīng)完成相關(guān)證據(jù)的收集工作，并向法院起訴方舟子和百度公司。

關(guān)于360安全瀏覽器工作原理的技術(shù)說明

方舟子先生多次轉(zhuǎn)發(fā)各種不敢實(shí)名認(rèn)證公開身份的匿名賬號(hào)（這樣可隨便亂說不用負(fù)責(zé)任）的微博，只想證明一個(gè)觀點(diǎn)：360安全瀏覽器上傳用戶隱私。姑且認(rèn)為方舟子先生不懂360安全瀏覽器的工作原理，所以造成誤解，這里給方舟子先生，還有其他想進(jìn)一步了解真相的用戶，詳細(xì)描述一下360安全瀏覽器的一些技術(shù)細(xì)節(jié)。

同時(shí)，請(qǐng)方舟子先生的“技術(shù)秘書“注意，請(qǐng)用一個(gè)技術(shù)人員應(yīng)有的嚴(yán)謹(jǐn)態(tài)度進(jìn)行溝通，最好實(shí)名認(rèn)證一下，這樣在質(zhì)疑時(shí)能顯得更有誠意，說假話時(shí)多少能有點(diǎn)顧忌。

360安全瀏覽器沒有任何侵犯用戶隱私的行為，因?yàn)榕c其他360軟件一樣，360安全瀏覽器在用戶數(shù)據(jù)處理上遵循了兩個(gè)原則：

第一、尊重用戶選擇權(quán)。互聯(lián)網(wǎng)軟件的一些功能，必須要通過聯(lián)網(wǎng)通信才能實(shí)現(xiàn)。360安全瀏覽器只有在用戶主動(dòng)觸發(fā)這些功能，或者同意360安全瀏覽器的用戶協(xié)議情況下，才會(huì)上傳功能實(shí)現(xiàn)的必要數(shù)據(jù)，同時(shí)也絕不會(huì)涉及用戶隱私資料，包括文檔、圖表、照片、視頻或者其他與用戶隱私相關(guān)的非程序文件和身份信息。

第二、尊重用戶知情權(quán)。360發(fā)布了《用戶隱私保護(hù)白皮書》，與其他互聯(lián)網(wǎng)公司相比，這是最全面、最透明的隱私保護(hù)白皮書。360將各個(gè)軟件的工作原理、實(shí)現(xiàn)哪些功需要上傳什么數(shù)據(jù)，都解釋得一清二楚。

一、聯(lián)網(wǎng)通信不等于上傳用戶隱私

作為一款互聯(lián)網(wǎng)軟件，客戶端和服務(wù)端一定會(huì)有通信，可能會(huì)上傳數(shù)據(jù)，但上傳數(shù)據(jù)不等于上傳用戶隱私，方舟子先生偷換概念，給360安全瀏覽器無端扣了一頂大帽子。

是否上傳數(shù)據(jù)不是判斷是否搜集用戶隱私的標(biāo)準(zhǔn)，而應(yīng)看用戶是否有知情權(quán)和選擇權(quán)。只有用戶完全不知情的情況下私自上傳用戶敏感信息，才涉嫌搜集用戶隱私。

1） 知情權(quán)：用戶對(duì)于上傳行為是否知情，對(duì)于上傳什么內(nèi)容是否了解。

2） 選擇權(quán)：用戶是否可以選擇上傳或者不上傳。

二、 360安全瀏覽器“登錄管家“是用戶充分知情并主動(dòng)選擇的操作

1） 記住密碼是用戶的需求，很多瀏覽器都有這個(gè)功能。

用戶登錄就需要密碼，密碼太簡單會(huì)不安全，太復(fù)雜又記不住。所以記住密碼是用戶的需求。目前市面上主流的瀏覽器，包括IE和chrome都提供記住密碼的功能。360安全瀏覽器也能記住密碼，有明確提示，用戶點(diǎn)擊確認(rèn)后才會(huì)記錄。

同時(shí)會(huì)對(duì)存儲(chǔ)在本機(jī)的密碼進(jìn)行雙重加密，加密機(jī)制摘要如下：

a） 使用SHA1算法生成一個(gè)本機(jī)機(jī)器相關(guān)的密鑰。

b） 再使用AES256加密算法對(duì)用戶保持在本機(jī)的賬號(hào)密碼進(jìn)行雙重加密。

c） 這樣的加密文件即使被盜取，放到另外一臺(tái)電腦上也是無法使用的。

2） 用戶有多臺(tái)電腦，需要同步自己的賬號(hào)信息，所以在用戶確認(rèn)的情況下密碼被加密備份在360服務(wù)器上，Chrome、Firefox等眾多瀏覽器均提供類似功能。

a） 很多用戶都有多臺(tái)電腦：辦公電腦、家庭電腦，出于使用方便的需求，用戶有不同電腦間同步自己賬號(hào)信息的需求。希望在辦公室和家里都可以方便地一鍵登錄網(wǎng)站，而不用一遍一遍地輸那些難記的密碼。

b） 用戶帳號(hào)信息備份功能默認(rèn)關(guān)閉，只有用戶主動(dòng)選擇使用時(shí)才會(huì)開啟，開啟時(shí)會(huì)彈窗提示用戶，進(jìn)行二次確認(rèn)，用戶也可以隨時(shí)關(guān)閉此功能。

在360安全瀏覽器的隱私保護(hù)說明中也對(duì)此有明確描述：

c） 用戶密碼存儲(chǔ)在服務(wù)端也是加密存儲(chǔ)，而且采用了多種加密手段，確保即使服務(wù)器被人攻破，把數(shù)據(jù)庫拖走，也無法解開其中的用戶帳號(hào)數(shù)據(jù)。具體加密機(jī)制如下：

整個(gè)數(shù)據(jù)的傳輸是采用https的方式來進(jìn)行的，而且傳輸過程會(huì)有相關(guān)的校驗(yàn)機(jī)制，可保證在傳輸過程不會(huì)被劫持和盜取。

網(wǎng)絡(luò)獲取唯一密鑰和本地機(jī)器特征碼密鑰相結(jié)合，并且采用雙重加密方式來進(jìn)行存儲(chǔ)，避免了服務(wù)器被拖庫后數(shù)據(jù)批量破解的風(fēng)險(xiǎn)。

如果用戶的本地?cái)?shù)據(jù)和本地密鑰被竊取，如果沒有網(wǎng)絡(luò)下發(fā)的密鑰，數(shù)據(jù)是無法解開的。同理如果數(shù)據(jù)服務(wù)器被攻破，用戶的網(wǎng)絡(luò)數(shù)據(jù)和網(wǎng)絡(luò)密鑰同時(shí)丟失，在第三方的機(jī)器上數(shù)據(jù)也是解不開的，必須到每個(gè)用戶的機(jī)器上才能把數(shù)據(jù)解開，這會(huì)大大增加數(shù)據(jù)破解的難度。

d） 火狐、Chrome都有類似的插件，國內(nèi)不少瀏覽器也都內(nèi)置了這個(gè)功能。此功能會(huì)讓用戶更登錄網(wǎng)站更方便，應(yīng)用很廣泛。

三、 360安全瀏覽器的“網(wǎng)址云安全“能有效攔截掛馬和欺詐網(wǎng)站，不會(huì)侵犯用戶隱私

1） 360安全瀏覽器的“網(wǎng)址云安全“能有效防止網(wǎng)民上網(wǎng)中毒和被騙錢。

i. 截止到目前，360安全瀏覽器通過“網(wǎng)址云安全“技術(shù)，已經(jīng)攔截掛馬和欺詐網(wǎng)站58億次。

ii. 今年1月至6月間，360“網(wǎng)址云安全”共攔截釣魚網(wǎng)站訪問量達(dá)21.7億次（包括360安全瀏覽器和360網(wǎng)盾），相當(dāng)于平均每秒有138個(gè)網(wǎng)民訪問釣魚網(wǎng)站，其中訪問購物釣魚網(wǎng)站的比例約為41.5%。

iii. 今年8月，電商大戰(zhàn)期間，360安全瀏覽器平均每秒攔截購物釣魚網(wǎng)站達(dá)到172次。

2） 360攔截的“惡意網(wǎng)址庫“規(guī)模龐大，無法下發(fā)到用戶電腦中。

i. 360云安全服務(wù)器實(shí)時(shí)更新“惡意網(wǎng)址庫“，確保為用戶第一時(shí)間攔截掛馬和釣魚欺詐惡意網(wǎng)址，目前“惡意網(wǎng)址庫”中的網(wǎng)址已高達(dá)1億條以上。

ii. 最近一周，每天有近30萬的新惡意網(wǎng)址被發(fā)現(xiàn)入庫。

iii. 這樣龐大的惡意網(wǎng)址庫，下發(fā)到用戶機(jī)器上會(huì)占用大量的網(wǎng)絡(luò)帶寬和硬盤資源。

iv. 所以最好的方式是通過云查詢的方式，將惡意網(wǎng)址庫放到服務(wù)端，每個(gè)網(wǎng)址都去服務(wù)端查詢，這樣既節(jié)省用戶硬盤資源，又能保證攔截的及時(shí)性。

3） “網(wǎng)址云安全“聯(lián)網(wǎng)查詢網(wǎng)址（URL）的加密串，不會(huì)泄露用戶隱私。

i. 360安全瀏覽器會(huì)定期與 360 的服務(wù)器進(jìn)行通信，下載被360認(rèn)證的知名網(wǎng)站的白名單列表。

ii. 用戶訪問的網(wǎng)址會(huì)先和白名單匹配，如果在列表中，會(huì)讓用戶繼續(xù)訪問。

iii. 如果不在白名單中，360安全瀏覽器首先將用戶訪問網(wǎng)址進(jìn)行單向加密，然后發(fā)送到360服務(wù)器，和海量的惡意網(wǎng)址庫進(jìn)行比對(duì)，一旦匹配就通知360安全瀏覽器進(jìn)行攔截。

iv. 上傳的網(wǎng)址加密串，是通過hash對(duì)網(wǎng)址（URL）進(jìn)行MD5編碼，服務(wù)端拿到具體的MD5編碼后，是無法還原出用戶的原始訪問鏈接，確保用戶隱私不會(huì)泄露；

v.當(dāng)用戶瀏覽器遭到未入庫的掛馬網(wǎng)頁攻擊時(shí)，安全軟件在技術(shù)上無法定位具體是哪個(gè)網(wǎng)頁包含了惡意代碼，只能將當(dāng)前打開的網(wǎng)址（URL）一并上傳，由云安全服務(wù)器對(duì)可疑網(wǎng)址進(jìn)行分析鑒定，將其中的掛馬網(wǎng)頁加入惡意網(wǎng)址庫。“可疑網(wǎng)址上傳”會(huì)對(duì)用戶進(jìn)行提示，由用戶選擇是否允許，在用戶知情和選擇確認(rèn)的前提才上傳具體網(wǎng)址。

4） “網(wǎng)址云安全“上傳參數(shù)的具體分析：

查詢時(shí)首先會(huì)把url進(jìn)行歸一化，去除隱私數(shù)據(jù)（一些網(wǎng)站不太嚴(yán)謹(jǐn)?shù)貙⒂脩裘�和密碼寫在URL中，我們會(huì)過濾掉，防止用戶隱私泄露），然后拆分為domain、host等，分別進(jìn)行md5編碼。

url查詢數(shù)據(jù)包參數(shù)：

urls： 請(qǐng)求的url單向加密信息。格式如下：

md5|md5|md5t

不同字段之間用tab鍵t分隔，md5與md5之間用|分隔

product： 發(fā)起查詢的產(chǎn)品名稱

combo： 發(fā)起查詢的模塊名稱

v： 版本號(hào)，目前為3

vk： 數(shù)據(jù)包校驗(yàn)碼

src： 云查詢防護(hù)策略。如果是搜索發(fā)起的云查詢請(qǐng)求，則匹配搜索防護(hù)策略；如果是地址欄發(fā)起的云查詢請(qǐng)求，則匹配跳轉(zhuǎn)頁防護(hù)策略

mid： 本機(jī)密鑰

uv： 查詢協(xié)議的版本

5） 360安全瀏覽器的“網(wǎng)址云安全“查詢方式和Chrome一致，完全能夠保證用戶隱私不被泄露。

四、以上功能都是公開的，在2010年就已經(jīng)發(fā)布的《瀏覽器用戶隱私保護(hù)白皮書》中也有非常清晰的說明，歡迎大家驗(yàn)證。

1） 360安全瀏覽器推出的“登錄管家“和”網(wǎng)址云安全“都是基于用戶需求，保證用戶上網(wǎng)安全，幫助用戶更方便登錄網(wǎng)站，使用互聯(lián)網(wǎng)。

2） 無論是“登錄管家“，還是”網(wǎng)址云安全“，都沒有侵犯用戶隱私的行為，充分尊重了用戶的知情權(quán)和選擇權(quán)。歡迎各位技術(shù)人員來驗(yàn)證。

　　推薦閱讀

　　直擊微軟WP8發(fā)布會(huì)現(xiàn)場(chǎng) WP新功能大曝光

“對(duì)我們的團(tuán)隊(duì)來說，這是一個(gè)特殊而重要的項(xiàng)目，它與Windows8有同樣的核心。我知道大家懷抱期待在等待，我們也一樣。”微軟高管貝爾菲奧里在WP發(fā)布會(huì)的開場(chǎng)上說道。 【IT商業(yè)新聞網(wǎng)訊】（記者 沈宣）北京時(shí)間10月30>>>詳細(xì)閱讀

本文標(biāo)題：周鴻祎：360瀏覽器已送國家權(quán)威部門做檢測(cè)

地址：http://www.sdlzkt.com/a/xie/20121229/112662.html

 1/2    1  2 下一頁