[很给力] 《奇虎金山互咬 咬出杀毒行业泄密潜规则》摘录

国际上知名互联网安全组织OWASP中国区西南地区负责人Joey在接受 《每日经济新闻》采访时表示，在看到金山发布的消息后，也曾经到谷歌快照下载了从360服务器外泄的日志文件。“由于360第一时间就删除了该数据，但是在谷歌的快照里还可以下载，不过要‘爬墙’。”
Joey指出，在他所下载的总量不超过10%的日志中，感触最深的就是，这些日志中记录了非常详细的用户信息，每台电脑，浏览了什么地址，打开了哪些页面，搜索了什么关键词，“甚至有一部分用户名密码都在里面，光我下载的部分，涉及到用户名密码的就达到200多个。”

Joey认为，“360收录的确实是隐私内容。”据其透露，在利用360收集的用户行为日志中找到了携程某代-理商的身份认证信息，并成功进入该代-理商的携程管理后台。从他手里掌握的已经过滤的达几百个密码文件，因为时间问题并没有挨个进行验证，不过都是各类管理系统后台、论坛、邮箱。

“从技术上准确判断哪个网址触发报警其实并不困难。但是，从泄露出来的日志信息来看，这些正常网址所占比例很高，并不像是‘将触发报警时用户同时打开的网址一起上报至服务器’的。”Joey表示。


《每日经济新闻》从某安全厂商下载到的360服务器泄露的log文件中看到，360日志记录十分详尽，例如某用户在2010年12月8日至20日的23个日志中出现了268次，记录了该用户访问QQ空间，下载软件，看在线电影，使用百度搜索引擎的所有浏览页面行为。此外，可看到网购用户姓名、邮箱、手机、送货地址、订单金额、快递费，下单时间精确到秒。
以20101216-urlreport.log为例，其记录了上海淘宝用户牛小姐12月16日，在淘宝网上购买了一款“秋冬羊毛呢百褶裙109送皮带”，拍下该物品的时间为2010年12月16日晚10时54分，上述信息均在360的日志中记录，其中包括牛小姐的电话、住址、网络订单号等详细信息。
记者随后从牛小姐处确认了上述信息均为真实有效信息，牛小姐也证实自己是360的用户。
对此，淘宝公关人士对记者表示，目前淘宝网络信息安全部已获知该信息，也已介入调查，相关细节暂无法对外公布。

Joey也指出，360白皮书中确实承认“如果您访问的网址不在黑白名单列表中，360安全浏览器会发送到360的服务器”，但像淘宝这样的大网站居然不在360的 “黑白名单列表”中，就不可思议了。

“金山这个性质不一样，360是主动抓取用户数据，金山是被动接受用户提交。不过金山也确实犯了错误，就是用户提交的这些数据它没有处理妥当，还是公开了。这不能不说也是个安全问题。”Joey说。
一位不愿意透露姓名的安全厂商表示，由于地区、人群分布的浏览报告对于电子商务非常有价值，国内许多有渠道的厂商都在做类似的数据分析。
著名互联网专家谢文在接受媒体采访时表示，互联网行业有个不成文的规矩，只要用户上了网，他的很多信息就都是可以看到的。包括谷歌、百度等公司，都会自然生成cookie，这个很容易被读到。“但这是产品提供商的问题，现在要明确的问题是，360是否主观故意在产品设计中系统地收集整理用户隐私信息，是否将这些信息进行商业盈利。”

以上文字来自《凤凰网》，我只摘录了对金山特别有利的一面，至于其它内容，如感兴趣，可参考http://tech.ifeng.com/internet/detail_2011_01/05/3975678_1.shtml

360自古以来就不是个好东西