月光博客 » 业界动态 » 搜狗输入法隐私事件

搜狗输入法隐私事件

  摘要:通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示,而仅仅不显示网页快照而已。因此搜狗输入法要通过robots.txt来防止搜索引擎抓取用户隐私信息的方法不可取。

  安全问题反馈平台乌云昨天通过新浪微博发布消息称,搜狗输入法存在可导致大量用户敏感信息泄漏的设计缺陷,用户发送的图片、声音等多媒体短信被搜索引擎抓取并泄露到网上,对此搜狗方面回应称,出现这一问题源于微软Bing等搜索引擎没有遵守禁止协议。而必应中国表示,必应搜索并未违反Robots.txt协议,公司一直遵守有序、健康、道德的市场行为规范。

  上述所谓的漏洞,出自搜狗手机输入法中的“多媒体输入”功能。借助这一去年5月发布的功能,用户之间能够分享图片、语音、文字等信息,而其原理就是将用户想要分享的信息,上传到搜狗服务器中,形成一个可以点击查看的链接。这使得搜狗手机输入法在普通短信中也可发送语音和图片的功能,好友接收到短信后即可收听语音和查看图片。

  在乌云的报告中指出,由于“不严谨造成信息被搜索引擎抓取”。并举例说以关键词“site:pinyin.cn”搜索,在微软Bing中能够得到3700条结果,在Google中能够得到1120条结果。

搜狗输入法隐私事件

搜狗输入法隐私事件

  搜狗认为,用户的“多媒体输入”信息泄漏,与搜索引擎没有遵守相关Robots.txt协议有关,并且指出重点问题出必应搜索引擎。

  而必应针对“搜狗输入法泄露用户隐私事件”相关报道的正式答复称,“必应搜索并未违反Robots.txt协议。作为一个面向全球市场的互联网产品,必应始终遵循有序、健康、道德的市场行为规范,积极推动负责的数字公民理念;以严谨的数字安全考虑,为人们提供可信赖的计算和网络体验。我们呼吁并一贯坚持向用户提供高度安全的互联网服务与产品。”

  微软必应声明的最后还提到,微软已经推出必应输入法等产品,赢得越来越多用户的关注与喜爱。

  对于“搜索引擎的Robots协议”,月光博客早先曾经有专门一篇文章进行过分析,通常认为,robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。然而,robots.txt协议并不是一个规范,而只是约定俗成的,通常搜索引擎会识别这个文件,但也有一些特殊情况。

  通常来说,只要有其他页链接到某个页面,搜索引擎就会对其进行索引,通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,搜索引擎最多就是不显示这个网页的快照而已,在搜索结果中依旧会显示其内容。例如,淘宝网目前就通过robots.txt来屏蔽百度爬虫,但百度依旧收录了淘宝网的内容,百度搜索“淘宝网”,第一个结果也是淘宝网首页地址,只是该页面没有网页快照。

  对于Google来说,使用robots也未必能阻止Google将网址编入索引,但有一种方法可以阻止网页的内容在Google网页索引中(即使有其他网站链接到该网页)出现,实现方法是将下面的一行加入到网页的header部分。

  <meta name="googlebot" content="noindex">

  由此可见,通过robots.txt协议让搜索引擎不收录网站内容是行不通的,也无法用其屏蔽搜索引擎的爬虫,即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示,因此搜狗输入法要通过robots.txt来防止搜索引擎抓取用户隐私信息的方法不可取。

  解决输入法泄露用户隐私的方法有不少,例如对用户生成的链接地址进行访问限制,只允许访问2次,或者链接只在24小时内生效,可以避免隐私信息的大规模泄漏,要想彻底避免隐私的泄漏,就要使用身份验证机制,例如在发送短信时附带一个校验码,打开链接时输入校验码才能查看内容。

  总而言之,用户使用这种“多媒体输入”功能发送短信的时候,可能以为这和普通短信是一样的,并不知道发送的信息可能会泄漏给第三方,因此开发商对这样的隐私漏洞需要谨慎处理,认真保护用户的个人隐私,切不可仅用Robots协议来敷衍了事。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    david   说道:
    国内企业不是道德不靠谱就是技术不靠谱……
    卢旭庆 于 2013-6-7 10:33:01 回复
    百度就已经做好隐私保护。
    支持(16反对(4回复
  1. 2
    谈谈IT   说道:
    应该要有解释和检讨的诚意
    支持(11反对(3回复
  1. 3
    AKYeSir   说道:
    自己技术不行就说他人用过牛的技术来做不道德的事情,搜狗这样的公司不敢直视自己的错误,真是国内企业的备案
    支持(12反对(5回复
  1. 4
    11098   说道:
    一直听说月光博客博主厉害,没想到缺在这里放了这么低级的错误,作为一个站长,我自己的实践经验是,robots.txt屏蔽了整个网站的话,那么会收录首页,内页不收录,首页也不展示快照。但是可以搜索到这个网站。但是如果内页用robots.txt屏蔽某个目录,即使有链接指向这些目录里的网页,那么这个网页搜索引擎都不会收录,搜索结果不会展示。但是对于一些robots.txt的复杂的设置,谷歌和百度会遵守而搜狗等搜索却不遵守,比如屏蔽网址中带?的网址等特殊设置。百度谷歌都不会收录,搜狗会收录。

    这些都是我自己测试过的。
    支持(11反对(5回复
  1. 5
    自勖Incision   说道:
    轮到搜狗了。。。
    支持(7反对(2回复
  1. 6
    Lwvehz   说道:
    本身也只是个自律公约吧。
    支持(11反对(6回复
  1. 7
    AT赵延涛   说道:
    早不用搜狗了。
    支持(11反对(7回复
  1. 8
    gobp61u   说道:
    提前一个月通知搜狗也不采取任何措施
    支持(6反对(2回复
  1. 9
    黑色南极洲   说道:
    “解决输入法泄露用户隐私的方法有不少,例如对用户生成的链接地址进行访问限制,只允许访问2次,或者链接只在24小时内生效,可以避免隐私信息的大规模泄漏,”

    这个方法,太那个啥了。
    当时就另存为了好不好,加密才是王道。
    支持(11反对(8回复
  1. 10
    ncsglz   说道:
    求图片妹纸联系方式=================哦耶~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    支持(8反对(5回复
  1. 11
    压力山大猫   说道:
    google输入法呢?
    支持(8反对(5回复
  1. 12
    顾琳琳-Linda   说道:
    网络隐私问题,讨论得快烂掉了。以前总得一切免费,网络真好,其实到头来,你一直在“买单”,以个人信息或内容贡献等形式。也许,到最后问题只有两个,一是你必须知情,自愿,(这可以签协议或合同的方式);二是商用的底线,这部分可能涉及道德,法制。
    支持(7反对(4回复
  1. 今天刚看到这个事情
    支持(6反对(3回复
  1. 14
    青园_csl   说道:
    究竟肿么回事,什么样的隐私被泄露了?
    支持(10反对(7回复
  1. 15
    宇涵同学   说道:
    真是业界良心!
    支持(6反对(3回复
  1. 16
    技朮宅   说道:
    robots妹啊,搜索引擎要收录网址,首先他得知道有这个网址,对于随机字母数字排列的网址,如果不是链接过去的,谁能知道然后去收录?某输入法就在这秀智商下限……
    支持(6反对(3回复
  1. 17
    丁帅   说道:
    google也会?
    支持(8反对(5回复
  1. 18
    大大花生   说道:
    现在各种服务web化太厉害了,json什么的满天飞,在局域网里嗅探一下,肯定能抓到各种好玩的东西。
    支持(8反对(5回复
  1. 19
    林建辉   说道:
    习以为常就好了。
    支持(8反对(5回复
  1. 20
    Wadily   说道:
    这个“泄露”隐私,容易被误传为搜狗窃取用户隐私。其实不过就是用户共享媒体流文件可以被任何人查看而已。
    支持(9反对(7回复
  1. 21
    mmxpeng   说道:
    搜狗输入法真矫情
    支持(5反对(3回复
  1. 22
    unidevel   说道:
    这种叫约定,你可以理也可以不理
    支持(6反对(4回复
  1. 23
    FengJiaJun1994   说道:
    这里面的原理是什么呢?
    支持(6反对(4回复
  1. 24
    大概是学姐   说道:
    拿robots.txt这种东西来保护数据,这不和在墙角写上"谁在这撒尿就是小狗"一样么。全凭自觉。另外。。。为什么要用搜狗,紫光,拼音加加,小狼毫,或者必应拼音都行啊
    卢旭庆 于 2013-6-7 10:32:28 回复
    还有百度。
    支持(6反对(5回复
  1. 25
    Doer2012   说道:
    昨天那个搜狗输入法泄露隐私的是指手机还是PC啊?还是both?手机没用搜狗,电脑上的搜狗要卸载吗?求大神指点
    卢旭庆 于 2013-6-7 10:33:54 回复
    卸载了吧 百度无广告的 可以试试
    支持(5反对(4回复
  1. 26
    单反   说道:
    已经site不到任何信息!
    支持(6反对(5回复
  1. 27
    btmanm   说道:
    输入法可以发消息,发图片?
    卢旭庆 于 2013-6-7 10:32:40 回复
    百度的就可以 下载个试试吧
    支持(5反对(4回复
  1. 28
    奥伊尔萨   说道:
    早不用搜狗,越来越臃肿,而且双拼支持很渣。
    卢旭庆 于 2013-6-7 10:34:11 回复
    百度的双拼还不错
    奥伊尔萨 于 2013-6-7 16:02:37 回复
    百度支持双拼+全拼混合打字吗?
    支持(4反对(3回复
  1. 29
    ithink   说道:
    本来就是君子协议,非君子完全无视。
    支持(4反对(3回复
  1. 30
    岬沐傪天   说道:
    不要相信狗屎的不作恶,生意就是生意。
    支持(5反对(4回复
  1. 31
    好吃懒做的主-淡墨   说道:
    某输入法根本就是在糊弄……
    支持(6反对(5回复
  1. 32
    老美   说道:
    百度、QQ都不碰还用你搜狗?只用google拼音输入。
    支持(4反对(3回复
  1. 33
    kao   说道:
    搜狗就是垃圾,王小川就是造垃圾的,还装逼
    支持(6反对(6回复
  1. 34
    EchoScorpius   说道:
    什么是白帽子?
    支持(6反对(6回复
  1. 35
    梅花文学网   说道:
    现在的都是以安全之名大行其道,泄密都是报道出来的。我们这类的网民要是不报怎么会知道这些
    支持(6反对(6回复
  1. 36
    月亮不孤主   说道:
    百度不知道,但是谷歌确实遵守robots.txt 的我不然他收录的页面 他就不收录,增长不然他收录 他会显示根据网站设置,不予显示什么的
    支持(5反对(5回复
  1. 37
    空指针指空   说道:
    360是不理会robots协议的
    支持(7反对(7回复
  1. 38
    椰壳椰壳yk   说道:
    好像淘宝的搜索引擎就没抓取
    支持(3反对(3回复
  1. 39
    文龙在奔跑   说道:
    这只是保密,不是禁止。
    支持(6反对(6回复
  1. 40
      说道:
    Google输入法用户路过。
    不相信一切国内的云,全TMD噱头。
    像某数字这种无良厂商多了去了,怎么能靠行业规范来保护用户。
    7楼说的好,“拿robots.txt这种东西来保护数据,这不和在墙角写上"谁在这撒尿就是小狗"一样么。”
    支持(6反对(6回复
  1. 41
    G字头老大   说道:
    现在还有不偷用户隐私的大程序吗???
    Adam 于 2013-6-7 16:17:31 回复
    估计找不到了,至少国内是如此吧。
    支持(5反对(6回复
  1. 42
    中关村王叫兽   说道:
    其实一搜是不遵守的 某朋友有段时间饱受爬虫的巨大流量
    支持(5反对(6回复
  1. 43
    十送鸿钧的忧郁   说道:
    这协议又不是强制的……有意义么
    支持(4反对(5回复
  1. 44
    画笑的米斯特梨   说道:
    某输入法show下限,自己出了问题不检讨,怪别人转移注意力。一边以莫须有的罪名骂别人,一边偷偷去求别人,呵呵。
    支持(8反对(9回复
  1. 45
    立波搜应用   说道:
    一切跟网络有关系的软件,其实这种问题都是存在的
    支持(2反对(4回复
  1. 46
    未眠2008   说道:
    真的么?我还一直很支持搜狗的~~觉得这个产品做得很好捏``
    支持(3反对(6回复
  1. 47
    认养粮食猪   说道:
    學習!好久不上月光的聊天室了!你們可好?
    支持(3反对(6回复
  1. 48
    Fdgg   说道:
    搜狗在以前我很多同学就用,但是我从来都不用,因为我早就预感这种输入法绝对有偷窥用户硬盘隐私的后门,现在出这个事之后我的预感果然应验了。
    支持(5反对(8回复
  1. 49
    小鱼西游   说道:
    他们不是不知道这个。
    支持(5反对(8回复
  1. 50
    砰的一枪   说道:
    在国内就不要相信什么行业规范了,都是流氓,都得从下限看起,今天遵守不代表明天会遵守,毫无信用可言
    支持(4反对(7回复
  1. 51
    零度DE   说道:
    还有现在的各种云应用
    支持(4反对(8回复
  1. 52
    Dailone-外贸SEO   说道:
    ”即使在robots.txt协议进行了设置,百度和Google还是会继续为网页建索引,并在搜索结果中显示“。所以要robots Disallow,meta noindex,rel nofollow三管齐下 才能彻底屏蔽爬虫和索引。
    支持(3反对(7回复
  1. 53
    卢旭庆   说道:
    还是百度比较好,百度在这方面早已做好保密措施,而且百度输入法不论是流畅度还是设计上,都远远超越了搜狗输入法,而且百度输入法在电脑上的表现也比搜狗好,百度无广告。
    za 于 2013-6-11 14:51:18 回复
    百毒狗滚!
    支持(10反对(14回复
  1. 54
    李冰libing   说道:
    这个保密方法很傻很天真
    支持(2反对(6回复
  1. 55
    狂徒大作   说道:
    君子协定就是个屁!
    支持(4反对(8回复
  1. 56
    创业致富   说道:
    呵呵,其实我个人还是蛮喜欢搜狗输入法的呢
    支持(4反对(10回复
  1. 57
    须眉浊物_   说道:
    淘宝不就是robots.txt屏蔽了百度,百度就没有收录
    支持(6反对(14回复

发表留言