中文字幕影视,欧美一级二级在线观看,av在线激情,亚洲国产福利视频,国产精品久久久久久亚洲影视,亚洲午夜视频在线,日本在线不卡二区

杭州律師訴百度案開審　未當(dāng)庭宣判

    日期：2007-12-10     作者：中國計算機(jī)安全    閱讀：3,942次

    浙江律師郭力因郵件被在互聯(lián)網(wǎng)上公開訴萬網(wǎng)和百度侵犯他的通信秘密權(quán)和著作權(quán)一案于12月7日在北京海淀區(qū)法院正式開庭，PChome記者旁聽了當(dāng)日此案的審理。

據(jù)郭力在法庭上的陳述，他于2006年7月19日用自己的hotmail郵箱向浙江金道律師事務(wù)所發(fā)送求職信后，2006年8月卻發(fā)現(xiàn)求職信的附件內(nèi)容可以通過互聯(lián)網(wǎng)搜索引擎搜到，并在網(wǎng)上公開了30天之久。因該郵件的收信方浙江金道律師事務(wù)所是從萬網(wǎng)處租用的郵箱，而郵件附件內(nèi)容是因?yàn)楸话俣瓤煺兆ト〉讲拍鼙凰阉饕嫠训降模怨σ郧趾νㄐ琶孛軝?quán)和著作權(quán)為由將萬網(wǎng)和百度一并告上了法庭，要求兩被告公開致歉，并向兩被告索賠訴訟費(fèi)、差旅費(fèi)等 2628元，以及100萬元精神損失費(fèi)。

原告郭力疑點(diǎn)

郭力所提供證物中的郵件不是在郭力hotmail郵箱發(fā)件箱中的信件，而是在其雅虎郵箱的收件箱中。郭力稱因其平時發(fā)送的重要郵件都會在發(fā)送同時抄送至其雅虎的郵箱，所以提供的證物中的郵件會是取自雅虎郵箱的收件箱。此外，萬網(wǎng)代理人在庭上還提到郭力在發(fā)現(xiàn)郵件被公開于互聯(lián)網(wǎng)與萬網(wǎng)交涉后，曾向萬網(wǎng)提出要擔(dān)任萬網(wǎng)的法律顧問，但被萬網(wǎng)拒絕。對于這一點(diǎn)只是萬網(wǎng)的代理人在庭上提及過，萬網(wǎng)和郭力都并沒有再做解釋。

第一被告萬網(wǎng)疑點(diǎn)

對于萬網(wǎng)在郭力郵件被公開于互聯(lián)網(wǎng)后增設(shè)Cookie的方法，百度認(rèn)為萬網(wǎng)在事發(fā)之前沒有采取當(dāng)時技術(shù)允許的更安全的方法。而對于這點(diǎn)曾主持國家 863關(guān)于反垃圾郵件項(xiàng)目的安全專家陳勇認(rèn)為，萬網(wǎng)之前所采用的108長字符串URL地址對于郵箱已經(jīng)是安全的。陳勇還表示，雖然增設(shè)Cookie相對更安全，但并不代表之前就不安全。

第二被告百度疑點(diǎn)

萬網(wǎng)代理人表示，金道律師事務(wù)所郵箱所在的服務(wù)器根目錄下已經(jīng)放置robot.txt文件，按照約定類似百度這樣的搜索引擎看到robot.txt 文件就不會再抓取其中的內(nèi)容。然而，不知道什么原因百度卻仍然抓取了。據(jù)萬網(wǎng)分析有可能是由于金道律師事務(wù)所的人安裝了類似百度搜霸之類的軟件，所以當(dāng)有人在8月打開郭力的求職信后才被百度獲得了附件的URL地址，從而引發(fā)被公布在網(wǎng)上。對此百度代理人則表示，之所以郭力所發(fā)送郵件的附件會被公開在網(wǎng)上，可能是有人已經(jīng)把附件的URL地址放在BBS、博客等網(wǎng)站公開后才被百度快照抓取的。另外，百度稱萬網(wǎng)所采用的108長字符串的安全措施不是當(dāng)時最安全的，所以才造成了URL地址被復(fù)制后別人也能訪問。對于這一點(diǎn)，安全專家陳勇認(rèn)為沒有最安全，只有更安全。

雖然，開庭當(dāng)天并沒有最后宣判，但是這個案件卻喚起了很多人對網(wǎng)絡(luò)安全問題的注意，尤其是對于在一些軟件安裝時的提示通常人們都直接選擇接受協(xié)議，而事實(shí)上在很多軟件的安裝協(xié)議中都有很重要的提示。像《百度超級搜霸和百度搜索伴侶安裝協(xié)議》中就明確列出了“為了向用戶提供某個網(wǎng)站的更多資料，百度超級搜霸和百度搜索伴侶會向百度公司發(fā)送網(wǎng)址，使百度公司知道用戶正在訪問哪個網(wǎng)站?！比绻脩粼诎惭b軟件時明確這些重要內(nèi)容也就不會把一些涉及隱私等重要信息的內(nèi)容通過互聯(lián)網(wǎng)誤發(fā)出去而導(dǎo)致被公開。

    浙江金道律師事務(wù)所郭力告萬網(wǎng)百度一案的責(zé)任分析
 
    事情應(yīng)該是比較清楚了，金道律師事務(wù)所發(fā)給別人的郵件，別人(以下稱為該用戶)使用的是萬網(wǎng)企業(yè)郵箱，在萬網(wǎng)企業(yè)郵箱中，使用的是隨機(jī)的、會超時的長URL來訪問郵件的附件，而該URL地址被該用戶計算機(jī)上的某個軟件(應(yīng)該是百度搜霸一類的百度的搜索引擎輔助客戶端工具)發(fā)送給百度的搜索服務(wù)器，該搜索服務(wù)器在上述URL超時前就去訪問了該URL地址的網(wǎng)頁，即郵件附件的訪問網(wǎng)頁，并作了快照，因此別人就可以通過百度快照訪問該郵件附件了。

    目前網(wǎng)頁訪問控制使用的控制方法主要就是兩個，一個是隨機(jī)的、會超時的長URL，另一個是Cookie。雖然Cookie比長URL的方法后出現(xiàn)，但個人認(rèn)為這兩種方法的安全度是一樣的，當(dāng)時Cookie出現(xiàn)后也曾有過安全性的爭議，Cookie實(shí)際上可以理解為把那個長URL的部分內(nèi)容放到了Cookie文件中，使URL更簡短，而安全性上應(yīng)該是一樣的。

    我們?nèi)粘Ｊ褂玫挠脩裘?、口令方式保護(hù)，用戶名應(yīng)該在10個字符左右，口令也不會太長，總長也就是20個字符左右。長URL中的相關(guān)亂碼肯定是超過這個長度的，應(yīng)該在幾十位到上百位，是不可能被猜到的，至少比原來的用戶名口令要安全，基于水桶原理，最短板不在長URL，因此長URL本身是安全的。這個長URL如同打開一道門需要使用一把鑰匙，鑰匙上的突起凹陷無法在短時間內(nèi)被猜出，因此無法打開這道門。當(dāng)猜到這把鑰匙的所有突起凹陷時，這把鎖早已失效(超時了)，這時就算復(fù)制了鑰匙，也無法打開這道門，需要對新鎖的鑰匙重新猜試。

    能不能說使用長URL而不使用Cookie的方式不夠安全呢？我認(rèn)為不能，因?yàn)檫@只是解決訪問控制的兩種方法，而不是Cookie比長URL更安全。目前除了萬網(wǎng)在發(fā)現(xiàn)這個問題后又加上Cookie控制，我沒有見到哪個網(wǎng)站同時使用兩個方法保護(hù)。萬網(wǎng)原先相當(dāng)于用了1把鎖，而現(xiàn)在相當(dāng)于用了2把鎖，但沒有本質(zhì)區(qū)別，安全性只在這個具體案例中才有區(qū)別。

    從郵件系統(tǒng)本身來說，萬網(wǎng)保證了郵件送達(dá)用戶端這個過程中的基本安全，本案例的信息泄露是在用戶看到郵件之后，因此很難說萬網(wǎng)應(yīng)該對郵件已經(jīng)安全送達(dá)收件人之后的安全繼續(xù)提供保障，這部分的安全性應(yīng)該是本地安全的問題，個人認(rèn)為要求郵件提供商保證用戶計算機(jī)本地安全是不現(xiàn)實(shí)的，要求太高了。

    如果這個長URL不被泄露出去，用戶的郵件信息是不會泄露的，這就如同上述這道門的鑰匙，用戶沒有給別人或讓別人復(fù)制，別人是無法進(jìn)入這道門的。而用戶無論是主動地把這個長URL交給別人，還是無意地被本機(jī)安裝的軟件送了出去，都相當(dāng)于用戶把鑰匙給了別人，這樣這道鎖就失效了，但不能說這道鎖不安全。

    再說百度。最早的搜索引擎都是靠搜索爬蟲自己爬出來的，比如先訪問新浪首頁，根據(jù)首頁中的鏈接再爬這些鏈接頁面，再爬鏈接頁面的鏈接頁面。這種由客戶端上報用戶所訪問的網(wǎng)頁然后搜索服務(wù)去搜的方法是后來出現(xiàn)的，不少搜索引擎都這么做，是一個慣例，但這個慣例大家沒有關(guān)注它的安全性，也有值得探討的地方。

    搜索客戶端按照大部分人的認(rèn)為，不會透露用戶隱私內(nèi)容，但這要看大家對隱私怎么理解。搜索客戶端提交了用戶所訪問的URL，當(dāng)然可以提高搜索引擎的搜索效果（大家關(guān)注的網(wǎng)頁被重點(diǎn)處理），還可以分析用戶的網(wǎng)絡(luò)訪問習(xí)慣，這應(yīng)該算一個不太重要的隱私。如果不是這個案例，甚至連我都沒有注意這樣會存在大的問題。但我除了測試不會安裝這樣的軟件，我覺得這只對百度有好處，對我有什么好處？讓百度知道我的訪問習(xí)慣、知道我訪問了哪些網(wǎng)站。。。

    有人會問如果當(dāng)初萬網(wǎng)就用Cookie不就沒這個問題了嗎？我覺得這只是湊巧，因?yàn)樗阉骺蛻舳塑浖簧蠄骍RL而沒有上報Cookie，搜索客戶端開發(fā)方也許知道Cookie有保護(hù)網(wǎng)絡(luò)信息的作用，而忽視了隨機(jī)的、會超時的、長URL也有保護(hù)網(wǎng)絡(luò)信息的作用，因此搜索客戶端沒有上報Cookie，理論上完全可以做，而且兩者的效果是一致的。這好比萬網(wǎng)有2把鎖可用，如果沒有搜索客戶端，長URL鎖是安全的，百度說：你這個長URL鎖的鑰匙我要拿走，進(jìn)去看看有什么東西，如果不讓，你得用Cookie鎖，Cookie鑰匙我沒拿。哈哈，是不是有點(diǎn)荒唐？目前長URL的問題只在用戶計算機(jī)安裝了自動發(fā)送URL的軟件，具體說就是搜索客戶端發(fā)現(xiàn)，要求這些網(wǎng)站因此換用Cookie沒問題，但要求他們對此負(fù)責(zé)好像沒道理。

    照理，長URL方案比較早，如果要求萬網(wǎng)和百度想到這種情況下有個安全漏洞，應(yīng)該是百度想到，但是這個要求對百度來說，似乎有點(diǎn)高，不出事預(yù)知這個問題有些難度。。。反正我在這個案子之前也沒注意到。

    所以單獨(dú)就萬網(wǎng)來說，信息泄露是在萬網(wǎng)的職權(quán)范圍之外（信息已達(dá)用戶計算機(jī)、非萬網(wǎng)軟件從用戶計算機(jī)把長URL送了出去），因此萬網(wǎng)應(yīng)該無責(zé)。

    單獨(dú)就百度來說，雖然把用戶所訪問的URL送給百度的做法值得探討，但確實(shí)是業(yè)界的一個常用方法，并且百度在軟件安裝前，曾提示了會上報用戶訪問的URL，用戶同意后才會被安裝，只是用戶不知道會帶來什么后果，甚至根本沒看上述提示，就同意了安裝。因此百度也很難說應(yīng)該對此事負(fù)責(zé)。

    而從用戶角度說，他不是專家，他不知道安裝這個軟件居然會產(chǎn)生這樣的后果。要求用戶對提示想到全部后果，也不太現(xiàn)實(shí)。但這個軟件確實(shí)是用戶同意后才安裝的，恰巧出現(xiàn)了這樣的問題。所以雖然這樣說可能會受到用戶的抨擊，但我還是覺得用戶自己的責(zé)任最大。

    如果把萬網(wǎng)和百度作為一個整體來看，也許還能說這個整體應(yīng)該對此事的發(fā)生負(fù)責(zé)，但他們是兩個獨(dú)立的公司，萬網(wǎng)沒有義務(wù)測試跟百度的兼容性問題，百度也沒有義務(wù)測試跟萬網(wǎng)的兼容性問題。

    另外還有個細(xì)節(jié)：如果一個網(wǎng)站不希望搜索引擎搜索它，有個慣例，是在網(wǎng)站根目錄放置一個robot.txt文件來“謝絕”搜索引擎等自動機(jī)的訪問，之所以說是“謝絕”，因?yàn)樗皇且粋€屏蔽方案，只是搜索引擎應(yīng)該對根目錄有robot.txt的網(wǎng)站不去搜索，如果不管robot.txt，搜索引擎想搜是可以搜的。萬網(wǎng)是否放置了robot.txt，百度是否忽略了robot.txt，我對當(dāng)時的情況不得而知，但可以從旁證來取得，比如：如果有人使用萬網(wǎng)郵箱并安裝了google客戶端，照理如果萬網(wǎng)放置了robot.txt，google如果先驗(yàn)證robot.txt，則應(yīng)該沒有搜索結(jié)果，否則google上也應(yīng)該能搜到。萬網(wǎng)用戶、百度客戶端、google客戶端的安裝量都很大，應(yīng)該這樣的組合都存在。

    所以，從法律責(zé)任來說，萬網(wǎng)應(yīng)該是無責(zé)的；百度也很難說應(yīng)該負(fù)責(zé)。但從維護(hù)互聯(lián)網(wǎng)安全的社會責(zé)任來說，萬網(wǎng)和百度應(yīng)該加強(qiáng)合作，發(fā)現(xiàn)各自系統(tǒng)互動中可能出現(xiàn)的新問題，這一點(diǎn)我相信無論這個案子最后怎么判，萬網(wǎng)和百度都會去做的。

 

最后我想說的是：用戶的安全意識是最重要的，無論什么軟件都敢裝，無論什么網(wǎng)站都敢訪問，作為安全廠商來說，當(dāng)然會推出越來越新、越來越好的軟件來保護(hù)用戶的安全，比如360safe已經(jīng)幫助用戶做了很多，但很難做到絕對安全。用戶的安全意識會很大程度上保障自己的安全，不知道的軟件不要裝，不知道的網(wǎng)站不要去。百度和google等搜索引擎的客戶端還算善意軟件，惡意軟件就更不好說了，把URL送出去是小事，惡意軟件完全可以把你的內(nèi)容直接送出去、機(jī)密直接送出去。