爱爱网站免费观看,国产精彩视频在线

業(yè)內動態(tài)

杭州律師訴百度案開審　未當庭宣判

日期：2007-12-10 作者：中國計算機安全閱讀：3,924次

浙江律師郭力因郵件被在互聯(lián)網上公開訴萬網和百度侵犯他的通信秘密權和著作權一案于12月7日在北京海淀區(qū)法院正式開庭，PChome記者旁聽了當日此案的審理。

據郭力在法庭上的陳述，他于2006年7月19日用自己的hotmail郵箱向浙江金道律師事務所發(fā)送求職信后，2006年8月卻發(fā)現求職信的附件內容可以通過互聯(lián)網搜索引擎搜到，并在網上公開了30天之久。因該郵件的收信方浙江金道律師事務所是從萬網處租用的郵箱，而郵件附件內容是因為被百度快照抓取到才能被搜索引擎搜到的，所以郭力以侵害通信秘密權和著作權為由將萬網和百度一并告上了法庭，要求兩被告公開致歉，并向兩被告索賠訴訟費、差旅費等 2628元，以及100萬元精神損失費。

原告郭力疑點

郭力所提供證物中的郵件不是在郭力hotmail郵箱發(fā)件箱中的信件，而是在其雅虎郵箱的收件箱中。郭力稱因其平時發(fā)送的重要郵件都會在發(fā)送同時抄送至其雅虎的郵箱，所以提供的證物中的郵件會是取自雅虎郵箱的收件箱。此外，萬網代理人在庭上還提到郭力在發(fā)現郵件被公開于互聯(lián)網與萬網交涉后，曾向萬網提出要擔任萬網的法律顧問，但被萬網拒絕。對于這一點只是萬網的代理人在庭上提及過，萬網和郭力都并沒有再做解釋。

第一被告萬網疑點

對于萬網在郭力郵件被公開于互聯(lián)網后增設Cookie的方法，百度認為萬網在事發(fā)之前沒有采取當時技術允許的更安全的方法。而對于這點曾主持國家 863關于反垃圾郵件項目的安全專家陳勇認為，萬網之前所采用的108長字符串URL地址對于郵箱已經是安全的。陳勇還表示，雖然增設Cookie相對更安全，但并不代表之前就不安全。

第二被告百度疑點

萬網代理人表示，金道律師事務所郵箱所在的服務器根目錄下已經放置robot.txt文件，按照約定類似百度這樣的搜索引擎看到robot.txt 文件就不會再抓取其中的內容。然而，不知道什么原因百度卻仍然抓取了。據萬網分析有可能是由于金道律師事務所的人安裝了類似百度搜霸之類的軟件，所以當有人在8月打開郭力的求職信后才被百度獲得了附件的URL地址，從而引發(fā)被公布在網上。對此百度代理人則表示，之所以郭力所發(fā)送郵件的附件會被公開在網上，可能是有人已經把附件的URL地址放在BBS、博客等網站公開后才被百度快照抓取的。另外，百度稱萬網所采用的108長字符串的安全措施不是當時最安全的，所以才造成了URL地址被復制后別人也能訪問。對于這一點，安全專家陳勇認為沒有最安全，只有更安全。

雖然，開庭當天并沒有最后宣判，但是這個案件卻喚起了很多人對網絡安全問題的注意，尤其是對于在一些軟件安裝時的提示通常人們都直接選擇接受協(xié)議，而事實上在很多軟件的安裝協(xié)議中都有很重要的提示。像《百度超級搜霸和百度搜索伴侶安裝協(xié)議》中就明確列出了“為了向用戶提供某個網站的更多資料，百度超級搜霸和百度搜索伴侶會向百度公司發(fā)送網址，使百度公司知道用戶正在訪問哪個網站?！比绻脩粼诎惭b軟件時明確這些重要內容也就不會把一些涉及隱私等重要信息的內容通過互聯(lián)網誤發(fā)出去而導致被公開。

浙江金道律師事務所郭力告萬網百度一案的責任分析

事情應該是比較清楚了，金道律師事務所發(fā)給別人的郵件，別人(以下稱為該用戶)使用的是萬網企業(yè)郵箱，在萬網企業(yè)郵箱中，使用的是隨機的、會超時的長URL來訪問郵件的附件，而該URL地址被該用戶計算機上的某個軟件(應該是百度搜霸一類的百度的搜索引擎輔助客戶端工具)發(fā)送給百度的搜索服務器，該搜索服務器在上述URL超時前就去訪問了該URL地址的網頁，即郵件附件的訪問網頁，并作了快照，因此別人就可以通過百度快照訪問該郵件附件了。

目前網頁訪問控制使用的控制方法主要就是兩個，一個是隨機的、會超時的長URL，另一個是Cookie。雖然Cookie比長URL的方法后出現，但個人認為這兩種方法的安全度是一樣的，當時Cookie出現后也曾有過安全性的爭議，Cookie實際上可以理解為把那個長URL的部分內容放到了Cookie文件中，使URL更簡短，而安全性上應該是一樣的。

我們日常使用的用戶名、口令方式保護，用戶名應該在10個字符左右，口令也不會太長，總長也就是20個字符左右。長URL中的相關亂碼肯定是超過這個長度的，應該在幾十位到上百位，是不可能被猜到的，至少比原來的用戶名口令要安全，基于水桶原理，最短板不在長URL，因此長URL本身是安全的。這個長URL如同打開一道門需要使用一把鑰匙，鑰匙上的突起凹陷無法在短時間內被猜出，因此無法打開這道門。當猜到這把鑰匙的所有突起凹陷時，這把鎖早已失效(超時了)，這時就算復制了鑰匙，也無法打開這道門，需要對新鎖的鑰匙重新猜試。

能不能說使用長URL而不使用Cookie的方式不夠安全呢？我認為不能，因為這只是解決訪問控制的兩種方法，而不是Cookie比長URL更安全。目前除了萬網在發(fā)現這個問題后又加上Cookie控制，我沒有見到哪個網站同時使用兩個方法保護。萬網原先相當于用了1把鎖，而現在相當于用了2把鎖，但沒有本質區(qū)別，安全性只在這個具體案例中才有區(qū)別。

從郵件系統(tǒng)本身來說，萬網保證了郵件送達用戶端這個過程中的基本安全，本案例的信息泄露是在用戶看到郵件之后，因此很難說萬網應該對郵件已經安全送達收件人之后的安全繼續(xù)提供保障，這部分的安全性應該是本地安全的問題，個人認為要求郵件提供商保證用戶計算機本地安全是不現實的，要求太高了。

如果這個長URL不被泄露出去，用戶的郵件信息是不會泄露的，這就如同上述這道門的鑰匙，用戶沒有給別人或讓別人復制，別人是無法進入這道門的。而用戶無論是主動地把這個長URL交給別人，還是無意地被本機安裝的軟件送了出去，都相當于用戶把鑰匙給了別人，這樣這道鎖就失效了，但不能說這道鎖不安全。

再說百度。最早的搜索引擎都是靠搜索爬蟲自己爬出來的，比如先訪問新浪首頁，根據首頁中的鏈接再爬這些鏈接頁面，再爬鏈接頁面的鏈接頁面。這種由客戶端上報用戶所訪問的網頁然后搜索服務去搜的方法是后來出現的，不少搜索引擎都這么做，是一個慣例，但這個慣例大家沒有關注它的安全性，也有值得探討的地方。

搜索客戶端按照大部分人的認為，不會透露用戶隱私內容，但這要看大家對隱私怎么理解。搜索客戶端提交了用戶所訪問的URL，當然可以提高搜索引擎的搜索效果（大家關注的網頁被重點處理），還可以分析用戶的網絡訪問習慣，這應該算一個不太重要的隱私。如果不是這個案例，甚至連我都沒有注意這樣會存在大的問題。但我除了測試不會安裝這樣的軟件，我覺得這只對百度有好處，對我有什么好處？讓百度知道我的訪問習慣、知道我訪問了哪些網站。。。

有人會問如果當初萬網就用Cookie不就沒這個問題了嗎？我覺得這只是湊巧，因為搜索客戶端軟件只上報URL而沒有上報Cookie，搜索客戶端開發(fā)方也許知道Cookie有保護網絡信息的作用，而忽視了隨機的、會超時的、長URL也有保護網絡信息的作用，因此搜索客戶端沒有上報Cookie，理論上完全可以做，而且兩者的效果是一致的。這好比萬網有2把鎖可用，如果沒有搜索客戶端，長URL鎖是安全的，百度說：你這個長URL鎖的鑰匙我要拿走，進去看看有什么東西，如果不讓，你得用Cookie鎖，Cookie鑰匙我沒拿。哈哈，是不是有點荒唐？目前長URL的問題只在用戶計算機安裝了自動發(fā)送URL的軟件，具體說就是搜索客戶端發(fā)現，要求這些網站因此換用Cookie沒問題，但要求他們對此負責好像沒道理。

照理，長URL方案比較早，如果要求萬網和百度想到這種情況下有個安全漏洞，應該是百度想到，但是這個要求對百度來說，似乎有點高，不出事預知這個問題有些難度。。。反正我在這個案子之前也沒注意到。

所以單獨就萬網來說，信息泄露是在萬網的職權范圍之外（信息已達用戶計算機、非萬網軟件從用戶計算機把長URL送了出去），因此萬網應該無責。

單獨就百度來說，雖然把用戶所訪問的URL送給百度的做法值得探討，但確實是業(yè)界的一個常用方法，并且百度在軟件安裝前，曾提示了會上報用戶訪問的URL，用戶同意后才會被安裝，只是用戶不知道會帶來什么后果，甚至根本沒看上述提示，就同意了安裝。因此百度也很難說應該對此事負責。

而從用戶角度說，他不是專家，他不知道安裝這個軟件居然會產生這樣的后果。要求用戶對提示想到全部后果，也不太現實。但這個軟件確實是用戶同意后才安裝的，恰巧出現了這樣的問題。所以雖然這樣說可能會受到用戶的抨擊，但我還是覺得用戶自己的責任最大。

如果把萬網和百度作為一個整體來看，也許還能說這個整體應該對此事的發(fā)生負責，但他們是兩個獨立的公司，萬網沒有義務測試跟百度的兼容性問題，百度也沒有義務測試跟萬網的兼容性問題。

另外還有個細節(jié)：如果一個網站不希望搜索引擎搜索它，有個慣例，是在網站根目錄放置一個robot.txt文件來“謝絕”搜索引擎等自動機的訪問，之所以說是“謝絕”，因為它不是一個屏蔽方案，只是搜索引擎應該對根目錄有robot.txt的網站不去搜索，如果不管robot.txt，搜索引擎想搜是可以搜的。萬網是否放置了robot.txt，百度是否忽略了robot.txt，我對當時的情況不得而知，但可以從旁證來取得，比如：如果有人使用萬網郵箱并安裝了google客戶端，照理如果萬網放置了robot.txt，google如果先驗證robot.txt，則應該沒有搜索結果，否則google上也應該能搜到。萬網用戶、百度客戶端、google客戶端的安裝量都很大，應該這樣的組合都存在。

所以，從法律責任來說，萬網應該是無責的；百度也很難說應該負責。但從維護互聯(lián)網安全的社會責任來說，萬網和百度應該加強合作，發(fā)現各自系統(tǒng)互動中可能出現的新問題，這一點我相信無論這個案子最后怎么判，萬網和百度都會去做的。

最后我想說的是：用戶的安全意識是最重要的，無論什么軟件都敢裝，無論什么網站都敢訪問，作為安全廠商來說，當然會推出越來越新、越來越好的軟件來保護用戶的安全，比如360safe已經幫助用戶做了很多，但很難做到絕對安全。用戶的安全意識會很大程度上保障自己的安全，不知道的軟件不要裝，不知道的網站不要去。百度和google等搜索引擎的客戶端還算善意軟件，惡意軟件就更不好說了，把URL送出去是小事，惡意軟件完全可以把你的內容直接送出去、機密直接送出去。

分享到： QQ空間新浪微博微信

圖片新聞