周大炮开始了：周鸿祎与《每日经济新闻》争论的技术性解读.docVIP

今天下午，360公司以首次媒体开放日的形式对《每日经济新闻》不久前的报道《360黑匣子之谜：奇虎360“癌”性基因大揭秘》进行逐条回应。我以独立媒体人的身份入场(之所以强调这个是因为据说某些技术人员和《每经》的记者被拒绝入行了)，记录下了对问题回应的要点。由于涉及的技术问题比较多，我会尽自己能力进行一些解读，但毕竟不是该行业的技术大牛，有理解偏了的也请海涵、指正。 每日经济新闻的报道可以分为两大部分，一部分是对此前针对360产品安全、商业模式等方面的报道进行的引述、转载，另一部分是通过对技术人员和相关行业人士的采访，得到的调查结果、数据与结论。第一部分涉及面庞杂，时间跨度很大，有些问题360方面也曾以各种形式进行回应，因此现场发问的媒体人不多，我也没有花过多精力去再现。我们主要就每经报道中的新增信息量进行发问与再现。 每经报道中首先提到的是360安全浏览器在用户无操作时也频繁与后台服务器通讯。报道原文如下： 独立调查员为《每日经济新闻》记者进行了现场演示。他特意在自己的电脑上安装了360安全浏览器，并打开网络通信监视工具，这时可以看到，360安全浏览器在其电脑后台上就像一只工蜂，始终不停地忙碌着。 然后，独立调查员又打开IE、腾讯、猎豹、chrome等浏览器，每一个浏览器都很安静，没有任何动作。 “360安全浏览器在干嘛呢？谁也不知道。为什么要这样忙碌呢？作为浏览器，其作用就是可以显示网页服务器或者文件系统的HTML文件内容，并让用户与这些文件交互的一种软件。根据最小特权原则，你是没有理由在我的电脑里不停地‘工作’。你要问他在做什么，他就说，是为了你的安全。” 这段报道可以引出这样一个问题：360浏览器是否在用户没有操作时仍在后台上传了数据？如果有的话，这些数据是否包含了用户信息与隐私？ 360公司董事长周鸿祎在现场回应了这一问题。他表示，360浏览器是世界上首家以安全为主打概念的浏览器。为了将用户实时隔离于恶意网址之外，浏览器会每隔5分钟与服务器通讯一次，查询恶意网址库的更新，并将近期频繁出现的恶意网址库下载到用户机器上进行防护。这一操作并没有传递任何用户信息。 但由于整个恶意网址库数量庞大(即互联网有史以来几乎所有的恶意网址)全部下载到用户电脑中并不现实，因此对打开了恶意网址云检查的用户来说，浏览器会上传用户访问的每个网址与云端恶意网址数据库比对。‘金山、腾讯、卡巴斯基的类似产品也有这种功能设计’。周鸿祎解释称。 对于上传的这部分网址数据，360会采用MD5加密后上传，以保护用户数据。有个别网站设计不规范，会把用户名和密码带在URL中，360对这种网址还会进行保护处理后上传。 而对于这种‘保护’的来历，也与每经报道中的一段历史有关。2010年底，黑客攻破了360的某台服务器，有大量数据被公布在互联网上。报道称，‘此次泄密事件涉及总条数141万条，其中涉及用户名信息的条目有247326个，既包含用户名又包含密码条目有816个。’ 周鸿祎反驳称，这次被攻破的是360的恶意网址查询数据库，外泄信息是主要是浏览器上传的各种用户访问网址，并无涉及用户隐私的敏感信息。但他承认当时在技术上存在两个瑕疵：第一是当时浏览器以明文上传了用户网址；第二是有小部分网站由于设计不周，会将用户名与密码直接带在网址之中，这类网址被上传后，会造成‘上传了用户名与密码’的误读。因此在后续产品设计中，针对这两点进行了功能完善与修补。 而针对360安全卫士上传的数据问题，周鸿祎解释称，产品上传的信息只针对用户电脑中的可执行文件和模块的相关信息，因为木马、病毒均借由此类文件传播；不包括文档、照片等用户敏感信息。可执行文件一般不会包括用户敏感信息。而为了避免木马、病毒拦截这种查杀过程，上传的信息必须进行加密，这种必要的加密并不是媒体所说的‘黑匣子’。 每经报道中披露的第二个问题，是对360安全浏览器的‘绿色网站认证’的质疑。报道原文如下： 独立调查员进行了如下实验，以了解360绿色网站认证机制： 在本机模拟，将招行网银域名劫持到IP为26的网站，并在目标服务器上构建相应目录体系和登录页文件，然后使用360安全浏览器访问招行大众版登录页，从而进入伪装的招行网银页面。 360网购保镖自动检测招行运行环境，几秒钟后完成检测，报告“本次检测未发现风险，现在可以放心网购了！” 此时浏览器地址栏铭牌显示为“招商银行”，点击后弹出“通过绿色网站认证”，披着“招行网银”外衣的劫持网址，即被360认证为招行官方网站。 而同样的操作，使用IE浏览器访问时，IE浏览器地址栏则会以非常显眼的方式告知用户“(网站数字)证书错误”，点击错误信息可知，该网站证书不属于招商银行网站。 …… 而独立调查员演示的证据显示，360浏览器直接屏蔽认证机构VeriSign基于加密体系的可信认证，将其替换成