青青子衿, 悠悠我心, 但为君故, 沉吟至今
« Evernote实施三种安全保护功能谷歌地球推出时间风景旅行功能 »

搜狗输入法隐私事件

  摘要:通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示,而仅仅不显示网页快照而已。因此搜狗输入法要通过robots.txt来防止搜索引擎抓取用户隐私信息的方法不可取。

  安全问题反馈平台乌云昨天通过新浪微博发布消息称,搜狗输入法存在可导致大量用户敏感信息泄漏的设计缺陷,用户发送的图片、声音等多媒体短信被搜索引擎抓取并泄露到网上,对此搜狗方面回应称,出现这一问题源于微软Bing等搜索引擎没有遵守禁止协议。而必应中国表示,必应搜索并未违反Robots.txt协议,公司一直遵守有序、健康、道德的市场行为规范。

  上述所谓的漏洞,出自搜狗手机输入法中的“多媒体输入”功能。借助这一去年5月发布的功能,用户之间能够分享图片、语音、文字等信息,而其原理就是将用户想要分享的信息,上传到搜狗服务器中,形成一个可以点击查看的链接。这使得搜狗手机输入法在普通短信中也可发送语音和图片的功能,好友接收到短信后即可收听语音和查看图片。

  在乌云的报告中指出,由于“不严谨造成信息被搜索引擎抓取”。并举例说以关键词“site:pinyin.cn”搜索,在微软Bing中能够得到3700条结果,在Google中能够得到1120条结果。

搜狗输入法隐私事件

搜狗输入法隐私事件

  搜狗认为,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关Robots.txt协议有关,并且指出重点问题出必应搜索引擎。

  而必应针对“搜狗输入法泄露用户隐私事件”相关报道的正式答复称,“必应搜索并未违反Robots.txt协议。作为一个面向全球市场的互联网产品,必应始终遵循有序、健康、道德的市场行为规范,积极推动负责的数字公民理念;以严谨的数字安全考虑,为人们提供可信赖的计算和网络体验。我们呼吁并一贯坚持向用户提供高度安全的互联网服务与产品。”

  微软必应声明的最后还提到,微软已经推出必应输入法等产品,赢得越来越多用户的关注与喜爱。

  对于“搜索引擎的Robots协议”,月光博客早先曾经有专门一篇文章进行过分析,通常认为,robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。然而,robots.txt协议并不是一个规范,而只是约定俗成的,通常搜索引擎会识别这个文件,但也有一些特殊情况。

  通常来说,只要有其他页链接到某个页面,搜索引擎就会对其进行索引,通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,搜索引擎最多就是不显示这个网页的快照而已,在搜索结果中依旧会显示其内容。例如,淘宝网目前就通过robots.txt来屏蔽百度爬虫,但百度依旧收录了淘宝网的内容,百度搜索“淘宝网”,第一个结果也是淘宝网首页地址,只是该页面没有网页快照。

  对于Google来说,使用robots也未必能阻止Google将网址编入索引,但有一种方法可以阻止网页的内容在Google网页索引中(即使有其他网站链接到该网页)出现,实现方法是将下面的一行加入到网页的header部分。

  <meta name="googlebot" content="noindex">

  由此可见,通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示,因此搜狗输入法要通过robots.txt来防止搜索引擎抓取用户隐私信息的方法不可取。

  解决输入法泄露用户隐私的方法有不少,例如对用户生成的链接地址进行访问限制,只允许访问2次,或者链接只在24小时内生效,可以避免隐私信息的大规模泄漏,要想彻底避免隐私的泄漏,就要使用身份验证机制,例如在发送短信时附带一个校验码,打开链接时输入校验码才能查看内容。

  总而言之,用户使用这种“多媒体输入”功能发送短信的时候,可能以为这和普通短信是一样的,并不知道发送的信息可能会泄漏给第三方,因此开发商对这样的隐私漏洞需要谨慎处理,认真保护用户的个人隐私,切不可仅用Robots协议来敷衍了事。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/3494.html
  • 文章排行:
  • 1.david
  • 国内企业不是道德不靠谱就是技术不靠谱……
    卢旭庆 于 2013-6-7 10:33:01 回复
    百度就已经做好隐私保护。
  • 2013/6/6 20:10:51   支持(16)反对(4) 回复
  • 2.谈谈IT
  • 应该要有解释和检讨的诚意
  • 2013/6/6 21:39:58   支持(11)反对(3) 回复
  • 3.AKYeSir
  • 自己技术不行就说他人用过牛的技术来做不道德的事情,搜狗这样的公司不敢直视自己的错误,真是国内企业的备案
  • 2013/6/6 22:43:30   支持(12)反对(5) 回复
  • 4.11098
  • 一直听说月光博客博主厉害,没想到缺在这里放了这么低级的错误,作为一个站长,我自己的实践经验是,robots.txt屏蔽了整个网站的话,那么会收录首页,内页不收录,首页也不展示快照。但是可以搜索到这个网站。但是如果内页用robots.txt屏蔽某个目录,即使有链接指向这些目录里的网页,那么这个网页搜索引擎都不会收录,搜索结果不会展示。但是对于一些robots.txt的复杂的设置,谷歌和百度会遵守而搜狗等搜索却不遵守,比如屏蔽网址中带?的网址等特殊设置。百度谷歌都不会收录,搜狗会收录。

    这些都是我自己测试过的。
  • 2013/6/7 21:21:32   支持(11)反对(5) 回复
  • 6.Lwvehz
  • 本身也只是个自律公约吧。
  • 2013/6/7 12:22:46   支持(11)反对(6) 回复
  • 8.gobp61u
  • 提前一个月通知搜狗也不采取任何措施
  • 2013/6/7 12:38:47   支持(6)反对(2) 回复
  • 9.黑色南极洲
  • “解决输入法泄露用户隐私的方法有不少,例如对用户生成的链接地址进行访问限制,只允许访问2次,或者链接只在24小时内生效,可以避免隐私信息的大规模泄漏,”

    这个方法,太那个啥了。
    当时就另存为了好不好,加密才是王道。
  • 2013/6/7 0:26:18   支持(11)反对(8) 回复
  • 10.ncsglz
  • 求图片妹纸联系方式=================哦耶~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
  • 2013/6/7 8:52:43   支持(8)反对(5) 回复
  • 12.顾琳琳-Linda
  • 网络隐私问题,讨论得快烂掉了。以前总得一切免费,网络真好,其实到头来,你一直在“买单”,以个人信息或内容贡献等形式。也许,到最后问题只有两个,一是你必须知情,自愿,(这可以签协议或合同的方式);二是商用的底线,这部分可能涉及道德,法制。
  • 2013/6/7 9:02:32   支持(7)反对(4) 回复
  • 13.孔子说今晚来儒家找我
  • 今天刚看到这个事情
  • 2013/6/7 11:14:42   支持(6)反对(3) 回复
  • 14.青园_csl
  • 究竟肿么回事,什么样的隐私被泄露了?
  • 2013/6/7 11:20:42   支持(10)反对(7) 回复
  • 16.技朮宅
  • robots妹啊,搜索引擎要收录网址,首先他得知道有这个网址,对于随机字母数字排列的网址,如果不是链接过去的,谁能知道然后去收录?某输入法就在这秀智商下限……
  • 2013/6/7 11:59:44   支持(6)反对(3) 回复
  • 18.大大花生
  • 现在各种服务web化太厉害了,json什么的满天飞,在局域网里嗅探一下,肯定能抓到各种好玩的东西。
  • 2013/6/7 12:34:46   支持(8)反对(5) 回复
  • 20.Wadily
  • 这个“泄露”隐私,容易被误传为搜狗窃取用户隐私。其实不过就是用户共享媒体流文件可以被任何人查看而已。
  • 2013/6/7 8:49:31   支持(9)反对(7) 回复
  • 22.unidevel
  • 这种叫约定,你可以理也可以不理
  • 2013/6/7 11:52:44   支持(6)反对(4) 回复
  • 23.FengJiaJun1994
  • 这里面的原理是什么呢?
  • 2013/6/7 12:19:46   支持(6)反对(4) 回复
  • 24.大概是学姐
  • 拿robots.txt这种东西来保护数据,这不和在墙角写上"谁在这撒尿就是小狗"一样么。全凭自觉。另外。。。为什么要用搜狗,紫光,拼音加加,小狼毫,或者必应拼音都行啊
    卢旭庆 于 2013-6-7 10:32:28 回复
    还有百度。
  • 2013/6/7 8:56:31   支持(6)反对(5) 回复
  • 25.Doer2012
  • 昨天那个搜狗输入法泄露隐私的是指手机还是PC啊?还是both?手机没用搜狗,电脑上的搜狗要卸载吗?求大神指点
    卢旭庆 于 2013-6-7 10:33:54 回复
    卸载了吧 百度无广告的 可以试试
  • 2013/6/7 9:10:32   支持(5)反对(4) 回复
  • 27.btmanm
  • 输入法可以发消息,发图片?
    卢旭庆 于 2013-6-7 10:32:40 回复
    百度的就可以 下载个试试吧
  • 2013/6/7 9:25:33   支持(5)反对(4) 回复
  • 28.奥伊尔萨
  • 早不用搜狗,越来越臃肿,而且双拼支持很渣。
    卢旭庆 于 2013-6-7 10:34:11 回复
    百度的双拼还不错
    奥伊尔萨 于 2013-6-7 16:02:37 回复
    百度支持双拼+全拼混合打字吗?
  • 2013/6/7 9:30:55   支持(4)反对(3) 回复
  • 29.ithink
  • 本来就是君子协议,非君子完全无视。
  • 2013/6/7 11:33:43   支持(4)反对(3) 回复
  • 30.岬沐傪天
  • 不要相信狗屎的不作恶,生意就是生意。
  • 2013/6/7 12:41:47   支持(5)反对(4) 回复
  • 31.好吃懒做的主-淡墨
  • 某输入法根本就是在糊弄……
  • 2013/6/7 13:10:49   支持(6)反对(5) 回复
  • 32.老美
  • 百度、QQ都不碰还用你搜狗?只用google拼音输入。
  • 2013/6/8 7:30:50   支持(4)反对(3) 回复
  • 33.kao
  • 搜狗就是垃圾,王小川就是造垃圾的,还装逼
  • 2013/6/6 23:41:13   支持(6)反对(6) 回复
  • 35.梅花文学网
  • 现在的都是以安全之名大行其道,泄密都是报道出来的。我们这类的网民要是不报怎么会知道这些
  • 2013/6/7 9:18:01   支持(6)反对(6) 回复
  • 36.月亮不孤主
  • 百度不知道,但是谷歌确实遵守robots.txt 的我不然他收录的页面 他就不收录,增长不然他收录 他会显示根据网站设置,不予显示什么的
  • 2013/6/7 11:08:42   支持(5)反对(5) 回复
  • 38.椰壳椰壳yk
  • 好像淘宝的搜索引擎就没抓取
  • 2013/6/7 12:48:47   支持(3)反对(3) 回复
  • 39.文龙在奔跑
  • 这只是保密,不是禁止。
  • 2013/6/7 13:04:48   支持(6)反对(6) 回复
  • 40.北
  • Google输入法用户路过。
    不相信一切国内的云,全TMD噱头。
    像某数字这种无良厂商多了去了,怎么能靠行业规范来保护用户。
    7楼说的好,“拿robots.txt这种东西来保护数据,这不和在墙角写上"谁在这撒尿就是小狗"一样么。”
  • 2013/6/11 14:11:02   支持(6)反对(6) 回复
  • 41.G字头老大
  • 现在还有不偷用户隐私的大程序吗???
    Adam 于 2013-6-7 16:17:31 回复
    估计找不到了,至少国内是如此吧。
  • 2013/6/7 8:38:30   支持(5)反对(6) 回复
  • 42.中关村王叫兽
  • 其实一搜是不遵守的 某朋友有段时间饱受爬虫的巨大流量
  • 2013/6/7 11:33:10   支持(5)反对(6) 回复
  • 43.十送鸿钧的忧郁
  • 这协议又不是强制的……有意义么
  • 2013/6/7 11:45:44   支持(4)反对(5) 回复
  • 44.画笑的米斯特梨
  • 某输入法show下限,自己出了问题不检讨,怪别人转移注意力。一边以莫须有的罪名骂别人,一边偷偷去求别人,呵呵。
  • 2013/6/7 13:01:48   支持(8)反对(9) 回复
  • 45.立波搜应用
  • 一切跟网络有关系的软件,其实这种问题都是存在的
  • 2013/6/7 9:07:32   支持(2)反对(4) 回复
  • 46.砰的一枪
  • 在国内就不要相信什么行业规范了,都是流氓,都得从下限看起,今天遵守不代表明天会遵守,毫无信用可言
  • 2013/6/7 12:56:48   支持(4)反对(6) 回复
  • 47.未眠2008
  • 真的么?我还一直很支持搜狗的~~觉得这个产品做得很好捏``
  • 2013/6/7 8:41:31   支持(3)反对(6) 回复
  • 48.认养粮食猪
  • 學習!好久不上月光的聊天室了!你們可好?
  • 2013/6/7 8:45:31   支持(3)反对(6) 回复
  • 49.Fdgg
  • 搜狗在以前我很多同学就用,但是我从来都不用,因为我早就预感这种输入法绝对有偷窥用户硬盘隐私的后门,现在出这个事之后我的预感果然应验了。
  • 2013/6/7 10:23:11   支持(5)反对(8) 回复
  • 53.Dailone-外贸SEO
  • ”即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示“。所以要robots Disallow,meta noindex,rel nofollow三管齐下 才能彻底屏蔽爬虫和索引。
  • 2013/6/7 9:22:33   支持(3)反对(7) 回复
  • 54.卢旭庆
  • 还是百度比较好,百度在这方面早已做好保密措施,而且百度输入法不论是流畅度还是设计上,都远远超越了搜狗输入法,而且百度输入法在电脑上的表现也比搜狗好,百度无广告。
    za 于 2013-6-11 14:51:18 回复
    百毒狗滚!
  • 2013/6/7 10:31:59   支持(10)反对(14) 回复
  • 56.创业致富
  • 呵呵,其实我个人还是蛮喜欢搜狗输入法的呢
  • 2013/6/7 10:39:54   支持(4)反对(10) 回复
  • 57.须眉浊物_
  • 淘宝不就是robots.txt屏蔽了百度,百度就没有收录
  • 2013/6/7 11:36:43   支持(6)反对(14) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.