关于360安全浏览器工作原理的技术说明
时间:12-10-26 栏目:资讯网摘 作者:炫酷网站设计建设 评论:0 点击: 535 次
方舟子先生多次转发各种不敢实名认证公开身份的匿名账号(这样可随便乱说不用负责任)的微博,只想证明一个观点:360安全浏览器上传用户隐私。姑且认为方舟子先生不懂360安全浏览器的工作原理,所以造成误解,这里给方舟子先生,还有其他想进一步了解真相的用户,详细描述一下360安全浏览器的一些技术细节。
同时,请方舟子先生的“技术秘书“注意,请用一个技术人员应有的严谨态度进行沟通,最好实名认证一下,这样在质疑时能显得更有诚意,说假话时多少能有点顾忌。
360安全浏览器没有任何侵犯用户隐私的行为,因为与其他360软件一样,360安全浏览器在用户数据处理上遵循了两个原则:
第一、尊重用户选择权。互联网软件的一些功能,必须要通过联网通信才能实现。360安全浏览器只有在用户主动触发这些功能,或者同意360安全浏览器的用户协议情况下,才会上传功能实现的必要数据,同时也绝不会涉及用户隐私资料,包括文档、图表、照片、视频或者其他与用户隐私相关的非程序文件和身份信息。
第二、尊重用户知情权。360发布了《用户隐私保护白皮书》,与其他互联网公司相比,这是最全面、最透明的隐私保护白皮书。360将各个软件的工作原理、实现哪些功需要上传什么数据,都解释得一清二楚。
一、联网通信不等于上传用户隐私
作为一款互联网软件,客户端和服务端一定会有通信,可能会上传数据,但上传数据不等于上传用户隐私,方舟子先生偷换概念,给360安全浏览器无端扣了一顶大帽子。
是否上传数据不是判断是否搜集用户隐私的标准,而应看用户是否有知情权和选择权。只有用户完全不知情的情况下私自上传用户敏感信息,才涉嫌搜集用户隐私。
1) 知情权:用户对于上传行为是否知情,对于上传什么内容是否了解。
2) 选择权:用户是否可以选择上传或者不上传。
二、 360安全浏览器“登录管家“是用户充分知情并主动选择的操作
1) 记住密码是用户的需求,很多浏览器都有这个功能。
用户登录就需要密码,密码太简单会不安全,太复杂又记不住。所以记住密码是用户的需求。目前市面上主流的浏览器,包括IE和chrome都提供记住密码的功能。360安全浏览器也能记住密码,有明确提示,用户点击确认后才会记录。如下图:
同时会对存储在本机的密码进行双重加密,加密机制摘要如下:
a) 使用SHA1算法生成一个本机机器相关的密钥。
b) 再使用AES256加密算法对用户保持在本机的账号密码进行双重加密。
c) 这样的加密文件即使被盗取,放到另外一台电脑上也是无法使用的。
2) 用户有多台电脑,需要同步自己的账号信息,所以在用户确认的情况下密码被加密备份在360服务器上,Chrome、Firefox等众多浏览器均提供类似功能。
a) 很多用户都有多台电脑:办公电脑、家庭电脑,出于使用方便的需求,用户有不同电脑间同步自己账号信息的需求。希望在办公室和家里都可以方便地一键登录网站,而不用一遍一遍地输那些难记的密码。
b) 用户帐号信息备份功能默认关闭,只有用户主动选择使用时才会开启,开启时会弹窗提示用户,进行二次确认,用户也可以随时关闭此功能。
在360安全浏览器的隐私保护说明中也对此有明确描述:
c) 用户密码存储在服务端也是加密存储,而且采用了多种加密手段,确保即使服务器被人攻破,把数据库拖走,也无法解开其中的用户帐号数据。具体加密机制如下:
l 整个数据的传输是采用https的方式来进行的,而且传输过程会有相关的校验机制,可保证在传输过程不会被劫持和盗取。
l 网络获取唯一密钥和本地机器特征码密钥相结合,并且采用双重加密方式来进行存储,避免了服务器被拖库后数据批量破解的风险。
l 如果用户的本地数据和本地密钥被窃取,如果没有网络下发的密钥,数据是无法解开的。同理如果数据服务器被攻破,用户的网络数据和网络密钥同时丢失,在第三方的机器上数据也是解不开的,必须到每个用户的机器上才能把数据解开,这会大大增加数据破解的难度。
d) 火狐、Chrome都有类似的插件,国内不少浏览器也都内置了这个功能。此功能会让用户更登录网站更方便,应用很广泛。
三、 360安全浏览器的“网址云安全“能有效拦截挂马和欺诈网站,不会侵犯用户隐私
1) 360安全浏览器的“网址云安全“能有效防止网民上网中毒和被骗钱。
i. 截止到目前,360安全浏览器通过“网址云安全“技术,已经拦截挂马和欺诈网站58亿次。
ii. 今年1月至6月间,360“网址云安全”共拦截钓鱼网站访问量达21.7亿次(包括360安全浏览器和360网盾),相当于平均每秒有138个网民访问钓鱼网站,其中访问购物钓鱼网站的比例约为41.5%。
iii. 今年8月,电商大战期间,360安全浏览器平均每秒拦截购物钓鱼网站达到172次。
2) 360拦截的“恶意网址库“规模庞大,无法下发到用户电脑中。
i. 360云安全服务器实时更新“恶意网址库“,确保为用户第一时间拦截挂马和钓鱼欺诈恶意网址,目前“恶意网址库”中的网址已高达1亿条以上。
ii. 最近一周,每天有近30万的新恶意网址被发现入库。
iii. 这样庞大的恶意网址库,下发到用户机器上会占用大量的网络带宽和硬盘资源。
iv. 所以最好的方式是通过云查询的方式,将恶意网址库放到服务端,每个网址都去服务端查询,这样既节省用户硬盘资源,又能保证拦截的及时性。
3) “网址云安全“联网查询网址(URL)的加密串,不会泄露用户隐私。
i. 360安全浏览器会定期与 360 的服务器进行通信,下载被360认证的知名网站的白名单列表。
ii. 用户访问的网址会先和白名单匹配,如果在列表中,会让用户继续访问。
iii. 如果不在白名单中,360安全浏览器首先将用户访问网址进行单向加密,然后发送到360服务器,和海量的恶意网址库进行比对,一旦匹配就通知360安全浏览器进行拦截。
iv. 上传的网址加密串,是通过hash对网址(URL)进行MD5编码,服务端拿到具体的MD5编码后,是无法还原出用户的原始访问链接,确保用户隐私不会泄露;
v.当用户浏览器遭到未入库的挂马网页攻击时,安全软件在技术上无法定位具体是哪个网页包含了恶意代码,只能将当前打开的网址(URL)一并上传,由云安全服务器对可疑网址进行分析鉴定,将其中的挂马网页加入恶意网址库。“可疑网址上传”会对用户进行提示,由用户选择是否允许,在用户知情和选择确认的前提才上传具体网址。
4) “网址云安全“上传参数的具体分析:
查询时首先会把url进行归一化,去除隐私数据(一些网站不太严谨地将用户名和密码写在URL中,我们会过滤掉,防止用户隐私泄露),然后拆分为domain、host等,分别进行md5编码。
url查询数据包参数:
urls: 请求的url单向加密信息。格式如下:
md5|md5|md5\t
不同字段之间用tab键\t分隔,md5与md5之间用|分隔
product: 发起查询的产品名称
combo: 发起查询的模块名称
v: 版本号,目前为3
vk: 数据包校验码
src: 云查询防护策略。如果是搜索发起的云查询请求,则匹配搜索防护策略;如果是地址栏发起的云查询请求,则匹配跳转页防护策略
mid: 本机密钥
uv: 查询协议的版本
5) 360安全浏览器的“网址云安全“查询方式和Chrome一致,完全能够保证用户隐私不被泄露。
四、以上功能都是公开的,在2010年就已经发布的《浏览器用户隐私保护白皮书》中也有非常清晰的说明,欢迎大家验证。
1) 360安全浏览器推出的“登录管家“和”网址云安全“都是基于用户需求,保证用户上网安全,帮助用户更方便登录网站,使用互联网。
2)无论是“登录管家“,还是”网址云安全“,都没有侵犯用户隐私的行为,充分尊重了用户的知情权和选择权。欢迎各位技术人员来验证。
这篇日志的二维码,扫描一下进行收藏:
- 推荐文章
声明: 本文由( 炫酷网站设计建设 )原创编译,转载请保留链接: 关于360安全浏览器工作原理的技术说明
- 上一篇:404 错误页面:重装上阵
- 下一篇:Raspberry Pi GPU 驱动部分开源
