搜狗没漏洞,是漏气了!

来源:互联网 发布:c语言经典程序100例pdf 编辑:程序博客网 时间:2024/03/29 13:51

转载自http://mp.weixin.qq.com/mp/appmsg/show?__biz=MjM5MzY0MTQ0NQ%3D%3D&appmsgid=10000006&itemidx=1&sign=84f1db6d3008516b4fdca4667ac66dd7&scene=1&uin=NDg3NzU0NQ%3D%3D


昨天,搜狗又被狂黑了。对搜狗被黑本身不来气的,来气的是,搜狗本身漏气了——对这么明显的被黑,反应太慢,就像只被放了气的玩具狗。

  唉。可惜了。

  昨天是看到这样的消息啊:

【搜狗重大安全漏洞】用户反馈,使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝。经验证,这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致。360已紧急通知国家互联网应急中心和搜狗公司。请搜狗浏览器用户务必修改所有账户密码,在搜狗修复漏洞之前暂停使用。

这段文字“善意提醒”啊,提醒的目的,也很明确——将搜狗暂停了。这段文字是哪发的?中国不会有第二家,360呗。

有这么严重吗?已到了这种地步,需要直接将漏洞信息告诉用户,说是要“善意提醒”,其实也可以理解为,是要告诉一切互联网安全犯罪分子,这儿有个漏洞,大家可以从这儿进去,大大地去犯罪?

如果按照这一做法,微软当年IE上的漏洞多了去了,应该有人天天像360这样,不停地天天发布“暂停使用”,那微软早就被“暂停”死掉千百回了。

蹊跷之处又何止于此,请看:“用户反馈,使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝。”这事不是360说的啊,是“用户反馈”的,所以,对此,360不要负责任。为什么360怕负责任呢?因为“用户反馈”说——“使用QQ授权登陆搜狗浏览器,会同步其他用户的账号密码,包括银行、支付宝”,这事闹大了。把银行、支付宝也扯上了。但扯上银行、支付宝的,不是360,是“用户”,与360不相干。

因为360知道,这是典型的恐吓用户啊。这个责任付不起啊!

不过,也有同行提醒筱瞧姐说,事实上要验证这个视频谎言最好的第三方是阿里,只要证明支付宝和淘宝密码不可能被云存储,那谎言就不攻自破了。

筱瞧姐特意还问了阿里的童鞋,据阿里童鞋透露,支付宝的密码是无法保存的,必须安全控件,安全控件是无法保存密码的哦,而淘宝的情况则是可选的,只要用户勾选了“安全控件登录”后就无法保存密码了,但是,筱瞧姐也提醒大家:默认状态下是可以保存密码的哦,因为网页不保存,由浏览器代劳了。

看看,看看,360为什么要说是“用户反馈”了吧!!!

但更诡异的是,后面一句:“经验证,这是搜狗浏览器将大量用户账户密码及收藏夹同步到了他人电脑所致”。这个“经验证”,是谁验证的,不知道,此语无主语。你可以理解为是360验证的,所以,你知道这很权威;当你要追究这个“经验证”人的责任时,你也可以理解为不是360干的。多么巧妙的语言啊。

而事实上,果然有惊喜,经过筱瞧姐的测试,未能重现“漏洞”,而筱瞧姐QQ登录后,也未发现有下载任何数据(筱瞧姐的QQ是首次登录哦),这都不是问题的关键;关键在于,在上述视频中,登录后有长达2分钟的时间跳跃(有兴趣的童鞋可以看视频右下角时间是从51跳到53)这样不完整的剪辑视频给筱瞧姐的第一感觉就是:证据力不足。

为什么这么说呢,很简单,因为视频后面的数据,筱瞧姐可以合理性怀疑是操作者在2分钟跳跃中另外登陆了一个QQ号。

以筱瞧姐仅有的技术认知来看:保持视频的连续性是最基本的要求。以安全专家标榜自己的360,能够解释这个吗?

当然,筱瞧姐还可以追要寻源,看看这场闹剧是怎样泡制出笼的。

昨天早晨8点42分,网名叫@阿波通网络的微博爆出:根据卡饭网友爆料,搜狗浏览器存在重大安全漏洞,用户通过QQ账户授权登陆搜狗浏览器,可以查到大量其他用户的账号,包括银行、支付宝等涉及用户财产的账户信息,甚至可以直接进入其他人的银行,网购账号,进行转账或支付交易。该微博下面还上传了视频作为证据。

而越追究越有趣啊,这个爆料人,也是根据一个“卡饭网友爆料”来写的。而这个卡饭网友在哪?不知道,知道的是,也不知是“@阿波通网络”还是“卡饭网友”,还,这么专心,这么细致,这么有耐心地,“上传了视频作为证据”。这几乎已不是阴谋,而是阳谋了——赤裸裸地上阵了。

果然,接着见底了。晚间,筱瞧姐的“铁杆粉丝”花射掌发文说,那个卡饭发帖人居然声称账号被盗用,早上的帖子非其本人所发!!!

这个事情的过程是这样来还原的:昨天早晨,有人盗了卡饭网友的一个号,将事先准备好的黑搜狗的“漏洞恐吓”文字放上了卡饭。这一做法,最大的好处是,造这个谣,就可以做到与公安躲个小猫猫——公安不是说,网络造谣会被判刑吗?咱这个,你抓不到,你玩完了吧?!

谣源没有了,下面操作就简单了:当然是新浪微博上有个“@阿波通网络”的,发现这个帖子,然后将它放了出来。

再说着,就到了360直接披挂上阵了,直接发微博了。而它的传播路径也很有意思哦,看看吧:很有意思哦:新华网转载的是中国网的稿子,放在了华人频道,36氪的稿子是一个号称社区投稿的,里面行文直接用了“记者”的口吻,新浪科技直接转载了IT之家的笔名是山周的写的。

这样一来,终于有了一条惊天动地的“漏洞消息”让人们“暂停使用”搜狗了!

但有一条,所有的消息源,你能找到任何一个真实的人名不?没有。除了360自己跳出来据“用户反馈”。

不过,从某种意义上讲,360还是有了进步,这次是据“用户反馈”,大家还记得有个上次吗?那次是“据媒体报道”来发布漏洞消息的哦。

而事情到了最后,也最意思了,360安全卫士终于又发了一个微博,是这样写的:

正告搜狗:提醒用户修改密码,比掩饰漏洞更重要!搜狗浏览器漏洞真实存在,360安全中心接到用户反馈后,已多次测试,并经过公证处录制具有法律效力的视频资料。http://t.cn/zR0EXCi我们希望看到此消息的朋友,马上通知您身边曾经使用过搜狗浏览器的朋友,尽快修改密码,减少损失和风险!(筱瞧姐还发现了这段视频的猫腻哦,回复360,筱瞧姐告诉你!)

这一次,是360直接拿出了一段“证据视频”。不过,这段视频,与早晨的那个,是不是一个人操作,筱瞧姐不说,自己看。

说这么多,看官应该知道是怎么回事了。

截止筱瞧姐发稿之时,有网友已经对此表示不满,看这位网友是怎么说的:“尼玛倒不如直接拿把刀去互砍,这样至少不会危害到无辜的人民群众,你妹的,别拿用户的利益开玩笑,把我们当猴耍。”

可大家也看看搜狗的反应,多慢,多无力。难怪有一个“用户”会老惦着你。

在这里,筱瞧姐给搜狗的童鞋们友情提醒:对于这场战争,应该更多底从技术上阐述来否认这些所谓的漏洞之说,支持到更多的专业的技术人员,这类“程序猿”一般都颇有正义感,而且科学的东西谁敢说谎?那就是不专业,你们啥也不说,只否认结论,那对于我们这些不懂技术的小白来说,“不管正方反方都只能推测或合理怀疑”,反而给360搅混水的空间。

 

最后最后,筱瞧姐还要为苦逼的媒体记者们写一段温馨小提示,这些记者们往往知道真相却被编辑逼着要写一些很无趣的稿子,有的时候甚至因为自己对技术不够全面了解无法判断信息的真伪,筱瞧姐特意请教了一些技术大拿,希望对各位同行有所帮助。

Tips:识别技术贴真假的要点

1、发帖者可信度

2、附议者可信度;

3、每个定性评论都有事实支撑;

4、证据视频和图片清晰度,视频时间连续性,模糊的、有PS或剪接痕迹的不可信;

5、视频中每个关键操作的耗时是否在预期范围内(时间太长意味着可能在人为干预网络环境);

6、 对于依赖外部网络环境的功能,应注意证据提供者是否主动展示重要的网络环境参数,例如DNS服务器IP、目标服务器主机IP(ping测试,或网络探测记录等),否则可信度要打个大大的问号;

7、注意证据提供者是否主动展示测试对象的版本号、数字签名及时间等;

8、注意证据提供者是否联机查询标准时间,以确认当前机器日期时间的真实性。


原创粉丝点击