搜狗輸入法隱私事件
摘要:通過robots.txt協議讓搜索引擎不收錄網站內容是行不通的,也無法用其屏蔽搜索引擎的爬蟲,即使在robots.txt協議進行了設置,百度和google還是會繼續為網頁建索引,并在搜索結果中顯示,而僅僅不顯示網頁快照而已。因此搜狗輸入法要通過robots.txt來防止搜索引擎抓取用戶隱私信息的方法不可取。
安全問題反饋平臺烏云昨天通過新浪微博發布消息稱,搜狗輸入法存在可導致大量用戶敏感信息泄漏的設計缺陷,用戶發送的圖片、聲音等多媒體短信被搜索引擎抓取并泄露到網上,對此搜狗方面回應稱,出現這一問題源于微軟bing等搜索引擎沒有遵守禁止協議。而必應中國表示,必應搜索并未違反robots.txt協議,公司一直遵守有序、健康、道德的市場行為規范。
上述所謂的漏洞,出自搜狗手機輸入法中的“多媒體輸入”功能。借助這一去年5月發布的功能,用戶之間能夠分享圖片、語音、文字等信息,而其原理就是將用戶想要分享的信息,上傳到搜狗服務器中,形成一個可以點擊查看的鏈接。這使得搜狗手機輸入法在普通短信中也可發送語音和圖片的功能,好友接收到短信后即可收聽語音和查看圖片。
在烏云的報告中指出,由于“不嚴謹造成信息被搜索引擎抓取”。并舉例說以關鍵詞“site:pinyin.cn”搜索,在微軟bing中能夠得到3700條結果,在google中能夠得到1120條結果。
搜狗認為,用戶的“多媒體輸入”信息泄漏,與搜索引擎沒有遵守相關robots.txt協議有關,并且指出重點問題出必應搜索引擎。
而必應針對“搜狗輸入法泄露用戶隱私事件”相關報道的正式答復稱,“必應搜索并未違反robots.txt協議。作為一個面向全球市場的互聯網產品,必應始終遵循有序、健康、道德的市場行為規范,積極推動負責的數字公民理念;以嚴謹的數字安全考慮,為人們提供可信賴的計算和網絡體驗。我們呼吁并一貫堅持向用戶提供高度安全的互聯網服務與產品。”
微軟必應聲明的最后還提到,微軟已經推出必應輸入法等產品,贏得越來越多用戶的關注與喜愛。
對于“搜索引擎的robots協議”,月光博客早先曾經有專門一篇文章進行過分析,通常認為,robots.txt文件告訴蜘蛛程序在服務器上什么文件是可以被查看的。然而,robots.txt協議并不是一個規范,而只是約定俗成的,通常搜索引擎會識別這個文件,但也有一些特殊情況。
通常來說,只要有其他頁鏈接到某個頁面,搜索引擎就會對其進行索引,通過robots.txt協議讓搜索引擎不收錄網站內容是行不通的,也無法用其屏蔽搜索引擎的爬蟲,搜索引擎最多就是不顯示這個網頁的快照而已,在搜索結果中依舊會顯示其內容。例如,淘寶網目前就通過robots.txt來屏蔽百度爬蟲,但百度依舊收錄了淘寶網的內容,百度搜索“淘寶網”,第一個結果也是淘寶網首頁地址,只是該頁面沒有網頁快照。
對于google來說,使用robots也未必能阻止google將網址編入索引,但有一種方法可以阻止網頁的內容在google網頁索引中(即使有其他網站鏈接到該網頁)出現,實現方法是將下面的一行加入到網頁的header部分。
<meta name="googlebot" content="noindex">
由此可見,通過robots.txt協議讓搜索引擎不收錄網站內容是行不通的,也無法用其屏蔽搜索引擎的爬蟲,即使在robots.txt協議進行了設置,百度和google還是會繼續為網頁建索引,并在搜索結果中顯示,因此搜狗輸入法要通過robots.txt來防止搜索引擎抓取用戶隱私信息的方法不可取。
解決輸入法泄露用戶隱私的方法有不少,例如對用戶生成的鏈接地址進行訪問限制,例如只允許訪問2次,或者鏈接只在24小時內生效,可以避免隱私信息的大規模泄漏,要想徹底避免隱私的泄漏,就要使用身份驗證機制,例如在發送短信時附帶一個校驗碼,打開鏈接時輸入校驗碼才能查看內容。
總而言之,用戶使用這種“多媒體輸入”功能發送短信的時候,可能以為這和普通短信是一樣的,并不知道發送的信息可能會泄漏給第三方,因此開發商對這樣的隱私漏洞需要謹慎處理,認真保護用戶的個人隱私,切不可僅用robots協議來敷衍了事。