国外亚洲成av人片在线观看,国产在线www,日韩在线一区二区三区四区,欧美日韩二三区,久久久久久久久久久是多少,亚洲天堂av一区二区三区,在线日韩中文字幕

杭州律師訴百度案開(kāi)審　未當(dāng)庭宣判

    日期：2007-12-10     作者：中國(guó)計(jì)算機(jī)安全    閱讀：3,939次

    浙江律師郭力因郵件被在互聯(lián)網(wǎng)上公開(kāi)訴萬(wàn)網(wǎng)和百度侵犯他的通信秘密權(quán)和著作權(quán)一案于12月7日在北京海淀區(qū)法院正式開(kāi)庭，PChome記者旁聽(tīng)了當(dāng)日此案的審理。

據(jù)郭力在法庭上的陳述，他于2006年7月19日用自己的hotmail郵箱向浙江金道律師事務(wù)所發(fā)送求職信后，2006年8月卻發(fā)現(xiàn)求職信的附件內(nèi)容可以通過(guò)互聯(lián)網(wǎng)搜索引擎搜到，并在網(wǎng)上公開(kāi)了30天之久。因該郵件的收信方浙江金道律師事務(wù)所是從萬(wàn)網(wǎng)處租用的郵箱，而郵件附件內(nèi)容是因?yàn)楸话俣瓤煺兆ト〉讲拍鼙凰阉饕嫠训降?，所以郭力以侵害通信秘密?quán)和著作權(quán)為由將萬(wàn)網(wǎng)和百度一并告上了法庭，要求兩被告公開(kāi)致歉，并向兩被告索賠訴訟費(fèi)、差旅費(fèi)等 2628元，以及100萬(wàn)元精神損失費(fèi)。

原告郭力疑點(diǎn)

郭力所提供證物中的郵件不是在郭力hotmail郵箱發(fā)件箱中的信件，而是在其雅虎郵箱的收件箱中。郭力稱因其平時(shí)發(fā)送的重要郵件都會(huì)在發(fā)送同時(shí)抄送至其雅虎的郵箱，所以提供的證物中的郵件會(huì)是取自雅虎郵箱的收件箱。此外，萬(wàn)網(wǎng)代理人在庭上還提到郭力在發(fā)現(xiàn)郵件被公開(kāi)于互聯(lián)網(wǎng)與萬(wàn)網(wǎng)交涉后，曾向萬(wàn)網(wǎng)提出要擔(dān)任萬(wàn)網(wǎng)的法律顧問(wèn)，但被萬(wàn)網(wǎng)拒絕。對(duì)于這一點(diǎn)只是萬(wàn)網(wǎng)的代理人在庭上提及過(guò)，萬(wàn)網(wǎng)和郭力都并沒(méi)有再做解釋。

第一被告萬(wàn)網(wǎng)疑點(diǎn)

對(duì)于萬(wàn)網(wǎng)在郭力郵件被公開(kāi)于互聯(lián)網(wǎng)后增設(shè)Cookie的方法，百度認(rèn)為萬(wàn)網(wǎng)在事發(fā)之前沒(méi)有采取當(dāng)時(shí)技術(shù)允許的更安全的方法。而對(duì)于這點(diǎn)曾主持國(guó)家 863關(guān)于反垃圾郵件項(xiàng)目的安全專家陳勇認(rèn)為，萬(wàn)網(wǎng)之前所采用的108長(zhǎng)字符串URL地址對(duì)于郵箱已經(jīng)是安全的。陳勇還表示，雖然增設(shè)Cookie相對(duì)更安全，但并不代表之前就不安全。

第二被告百度疑點(diǎn)

萬(wàn)網(wǎng)代理人表示，金道律師事務(wù)所郵箱所在的服務(wù)器根目錄下已經(jīng)放置robot.txt文件，按照約定類似百度這樣的搜索引擎看到robot.txt 文件就不會(huì)再抓取其中的內(nèi)容。然而，不知道什么原因百度卻仍然抓取了。據(jù)萬(wàn)網(wǎng)分析有可能是由于金道律師事務(wù)所的人安裝了類似百度搜霸之類的軟件，所以當(dāng)有人在8月打開(kāi)郭力的求職信后才被百度獲得了附件的URL地址，從而引發(fā)被公布在網(wǎng)上。對(duì)此百度代理人則表示，之所以郭力所發(fā)送郵件的附件會(huì)被公開(kāi)在網(wǎng)上，可能是有人已經(jīng)把附件的URL地址放在BBS、博客等網(wǎng)站公開(kāi)后才被百度快照抓取的。另外，百度稱萬(wàn)網(wǎng)所采用的108長(zhǎng)字符串的安全措施不是當(dāng)時(shí)最安全的，所以才造成了URL地址被復(fù)制后別人也能訪問(wèn)。對(duì)于這一點(diǎn)，安全專家陳勇認(rèn)為沒(méi)有最安全，只有更安全。

雖然，開(kāi)庭當(dāng)天并沒(méi)有最后宣判，但是這個(gè)案件卻喚起了很多人對(duì)網(wǎng)絡(luò)安全問(wèn)題的注意，尤其是對(duì)于在一些軟件安裝時(shí)的提示通常人們都直接選擇接受協(xié)議，而事實(shí)上在很多軟件的安裝協(xié)議中都有很重要的提示。像《百度超級(jí)搜霸和百度搜索伴侶安裝協(xié)議》中就明確列出了“為了向用戶提供某個(gè)網(wǎng)站的更多資料，百度超級(jí)搜霸和百度搜索伴侶會(huì)向百度公司發(fā)送網(wǎng)址，使百度公司知道用戶正在訪問(wèn)哪個(gè)網(wǎng)站。”如果用戶在安裝軟件時(shí)明確這些重要內(nèi)容也就不會(huì)把一些涉及隱私等重要信息的內(nèi)容通過(guò)互聯(lián)網(wǎng)誤發(fā)出去而導(dǎo)致被公開(kāi)。

    浙江金道律師事務(wù)所郭力告萬(wàn)網(wǎng)百度一案的責(zé)任分析
 
    事情應(yīng)該是比較清楚了，金道律師事務(wù)所發(fā)給別人的郵件，別人(以下稱為該用戶)使用的是萬(wàn)網(wǎng)企業(yè)郵箱，在萬(wàn)網(wǎng)企業(yè)郵箱中，使用的是隨機(jī)的、會(huì)超時(shí)的長(zhǎng)URL來(lái)訪問(wèn)郵件的附件，而該URL地址被該用戶計(jì)算機(jī)上的某個(gè)軟件(應(yīng)該是百度搜霸一類的百度的搜索引擎輔助客戶端工具)發(fā)送給百度的搜索服務(wù)器，該搜索服務(wù)器在上述URL超時(shí)前就去訪問(wèn)了該URL地址的網(wǎng)頁(yè)，即郵件附件的訪問(wèn)網(wǎng)頁(yè)，并作了快照，因此別人就可以通過(guò)百度快照訪問(wèn)該郵件附件了。

    目前網(wǎng)頁(yè)訪問(wèn)控制使用的控制方法主要就是兩個(gè)，一個(gè)是隨機(jī)的、會(huì)超時(shí)的長(zhǎng)URL，另一個(gè)是Cookie。雖然Cookie比長(zhǎng)URL的方法后出現(xiàn)，但個(gè)人認(rèn)為這兩種方法的安全度是一樣的，當(dāng)時(shí)Cookie出現(xiàn)后也曾有過(guò)安全性的爭(zhēng)議，Cookie實(shí)際上可以理解為把那個(gè)長(zhǎng)URL的部分內(nèi)容放到了Cookie文件中，使URL更簡(jiǎn)短，而安全性上應(yīng)該是一樣的。

    我們?nèi)粘Ｊ褂玫挠脩裘?、口令方式保護(hù)，用戶名應(yīng)該在10個(gè)字符左右，口令也不會(huì)太長(zhǎng)，總長(zhǎng)也就是20個(gè)字符左右。長(zhǎng)URL中的相關(guān)亂碼肯定是超過(guò)這個(gè)長(zhǎng)度的，應(yīng)該在幾十位到上百位，是不可能被猜到的，至少比原來(lái)的用戶名口令要安全，基于水桶原理，最短板不在長(zhǎng)URL，因此長(zhǎng)URL本身是安全的。這個(gè)長(zhǎng)URL如同打開(kāi)一道門(mén)需要使用一把鑰匙，鑰匙上的突起凹陷無(wú)法在短時(shí)間內(nèi)被猜出，因此無(wú)法打開(kāi)這道門(mén)。當(dāng)猜到這把鑰匙的所有突起凹陷時(shí)，這把鎖早已失效(超時(shí)了)，這時(shí)就算復(fù)制了鑰匙，也無(wú)法打開(kāi)這道門(mén)，需要對(duì)新鎖的鑰匙重新猜試。

    能不能說(shuō)使用長(zhǎng)URL而不使用Cookie的方式不夠安全呢？我認(rèn)為不能，因?yàn)檫@只是解決訪問(wèn)控制的兩種方法，而不是Cookie比長(zhǎng)URL更安全。目前除了萬(wàn)網(wǎng)在發(fā)現(xiàn)這個(gè)問(wèn)題后又加上Cookie控制，我沒(méi)有見(jiàn)到哪個(gè)網(wǎng)站同時(shí)使用兩個(gè)方法保護(hù)。萬(wàn)網(wǎng)原先相當(dāng)于用了1把鎖，而現(xiàn)在相當(dāng)于用了2把鎖，但沒(méi)有本質(zhì)區(qū)別，安全性只在這個(gè)具體案例中才有區(qū)別。

    從郵件系統(tǒng)本身來(lái)說(shuō)，萬(wàn)網(wǎng)保證了郵件送達(dá)用戶端這個(gè)過(guò)程中的基本安全，本案例的信息泄露是在用戶看到郵件之后，因此很難說(shuō)萬(wàn)網(wǎng)應(yīng)該對(duì)郵件已經(jīng)安全送達(dá)收件人之后的安全繼續(xù)提供保障，這部分的安全性應(yīng)該是本地安全的問(wèn)題，個(gè)人認(rèn)為要求郵件提供商保證用戶計(jì)算機(jī)本地安全是不現(xiàn)實(shí)的，要求太高了。

    如果這個(gè)長(zhǎng)URL不被泄露出去，用戶的郵件信息是不會(huì)泄露的，這就如同上述這道門(mén)的鑰匙，用戶沒(méi)有給別人或讓別人復(fù)制，別人是無(wú)法進(jìn)入這道門(mén)的。而用戶無(wú)論是主動(dòng)地把這個(gè)長(zhǎng)URL交給別人，還是無(wú)意地被本機(jī)安裝的軟件送了出去，都相當(dāng)于用戶把鑰匙給了別人，這樣這道鎖就失效了，但不能說(shuō)這道鎖不安全。

    再說(shuō)百度。最早的搜索引擎都是靠搜索爬蟲(chóng)自己爬出來(lái)的，比如先訪問(wèn)新浪首頁(yè)，根據(jù)首頁(yè)中的鏈接再爬這些鏈接頁(yè)面，再爬鏈接頁(yè)面的鏈接頁(yè)面。這種由客戶端上報(bào)用戶所訪問(wèn)的網(wǎng)頁(yè)然后搜索服務(wù)去搜的方法是后來(lái)出現(xiàn)的，不少搜索引擎都這么做，是一個(gè)慣例，但這個(gè)慣例大家沒(méi)有關(guān)注它的安全性，也有值得探討的地方。

    搜索客戶端按照大部分人的認(rèn)為，不會(huì)透露用戶隱私內(nèi)容，但這要看大家對(duì)隱私怎么理解。搜索客戶端提交了用戶所訪問(wèn)的URL，當(dāng)然可以提高搜索引擎的搜索效果（大家關(guān)注的網(wǎng)頁(yè)被重點(diǎn)處理），還可以分析用戶的網(wǎng)絡(luò)訪問(wèn)習(xí)慣，這應(yīng)該算一個(gè)不太重要的隱私。如果不是這個(gè)案例，甚至連我都沒(méi)有注意這樣會(huì)存在大的問(wèn)題。但我除了測(cè)試不會(huì)安裝這樣的軟件，我覺(jué)得這只對(duì)百度有好處，對(duì)我有什么好處？讓百度知道我的訪問(wèn)習(xí)慣、知道我訪問(wèn)了哪些網(wǎng)站。。。

    有人會(huì)問(wèn)如果當(dāng)初萬(wàn)網(wǎng)就用Cookie不就沒(méi)這個(gè)問(wèn)題了嗎？我覺(jué)得這只是湊巧，因?yàn)樗阉骺蛻舳塑浖簧蠄?bào)URL而沒(méi)有上報(bào)Cookie，搜索客戶端開(kāi)發(fā)方也許知道Cookie有保護(hù)網(wǎng)絡(luò)信息的作用，而忽視了隨機(jī)的、會(huì)超時(shí)的、長(zhǎng)URL也有保護(hù)網(wǎng)絡(luò)信息的作用，因此搜索客戶端沒(méi)有上報(bào)Cookie，理論上完全可以做，而且兩者的效果是一致的。這好比萬(wàn)網(wǎng)有2把鎖可用，如果沒(méi)有搜索客戶端，長(zhǎng)URL鎖是安全的，百度說(shuō)：你這個(gè)長(zhǎng)URL鎖的鑰匙我要拿走，進(jìn)去看看有什么東西，如果不讓，你得用Cookie鎖，Cookie鑰匙我沒(méi)拿。哈哈，是不是有點(diǎn)荒唐？目前長(zhǎng)URL的問(wèn)題只在用戶計(jì)算機(jī)安裝了自動(dòng)發(fā)送URL的軟件，具體說(shuō)就是搜索客戶端發(fā)現(xiàn)，要求這些網(wǎng)站因此換用Cookie沒(méi)問(wèn)題，但要求他們對(duì)此負(fù)責(zé)好像沒(méi)道理。

    照理，長(zhǎng)URL方案比較早，如果要求萬(wàn)網(wǎng)和百度想到這種情況下有個(gè)安全漏洞，應(yīng)該是百度想到，但是這個(gè)要求對(duì)百度來(lái)說(shuō)，似乎有點(diǎn)高，不出事預(yù)知這個(gè)問(wèn)題有些難度。。。反正我在這個(gè)案子之前也沒(méi)注意到。

    所以單獨(dú)就萬(wàn)網(wǎng)來(lái)說(shuō)，信息泄露是在萬(wàn)網(wǎng)的職權(quán)范圍之外（信息已達(dá)用戶計(jì)算機(jī)、非萬(wàn)網(wǎng)軟件從用戶計(jì)算機(jī)把長(zhǎng)URL送了出去），因此萬(wàn)網(wǎng)應(yīng)該無(wú)責(zé)。

    單獨(dú)就百度來(lái)說(shuō)，雖然把用戶所訪問(wèn)的URL送給百度的做法值得探討，但確實(shí)是業(yè)界的一個(gè)常用方法，并且百度在軟件安裝前，曾提示了會(huì)上報(bào)用戶訪問(wèn)的URL，用戶同意后才會(huì)被安裝，只是用戶不知道會(huì)帶來(lái)什么后果，甚至根本沒(méi)看上述提示，就同意了安裝。因此百度也很難說(shuō)應(yīng)該對(duì)此事負(fù)責(zé)。

    而從用戶角度說(shuō)，他不是專家，他不知道安裝這個(gè)軟件居然會(huì)產(chǎn)生這樣的后果。要求用戶對(duì)提示想到全部后果，也不太現(xiàn)實(shí)。但這個(gè)軟件確實(shí)是用戶同意后才安裝的，恰巧出現(xiàn)了這樣的問(wèn)題。所以雖然這樣說(shuō)可能會(huì)受到用戶的抨擊，但我還是覺(jué)得用戶自己的責(zé)任最大。

    如果把萬(wàn)網(wǎng)和百度作為一個(gè)整體來(lái)看，也許還能說(shuō)這個(gè)整體應(yīng)該對(duì)此事的發(fā)生負(fù)責(zé)，但他們是兩個(gè)獨(dú)立的公司，萬(wàn)網(wǎng)沒(méi)有義務(wù)測(cè)試跟百度的兼容性問(wèn)題，百度也沒(méi)有義務(wù)測(cè)試跟萬(wàn)網(wǎng)的兼容性問(wèn)題。

    另外還有個(gè)細(xì)節(jié)：如果一個(gè)網(wǎng)站不希望搜索引擎搜索它，有個(gè)慣例，是在網(wǎng)站根目錄放置一個(gè)robot.txt文件來(lái)“謝絕”搜索引擎等自動(dòng)機(jī)的訪問(wèn)，之所以說(shuō)是“謝絕”，因?yàn)樗皇且粋€(gè)屏蔽方案，只是搜索引擎應(yīng)該對(duì)根目錄有robot.txt的網(wǎng)站不去搜索，如果不管robot.txt，搜索引擎想搜是可以搜的。萬(wàn)網(wǎng)是否放置了robot.txt，百度是否忽略了robot.txt，我對(duì)當(dāng)時(shí)的情況不得而知，但可以從旁證來(lái)取得，比如：如果有人使用萬(wàn)網(wǎng)郵箱并安裝了google客戶端，照理如果萬(wàn)網(wǎng)放置了robot.txt，google如果先驗(yàn)證robot.txt，則應(yīng)該沒(méi)有搜索結(jié)果，否則google上也應(yīng)該能搜到。萬(wàn)網(wǎng)用戶、百度客戶端、google客戶端的安裝量都很大，應(yīng)該這樣的組合都存在。

    所以，從法律責(zé)任來(lái)說(shuō)，萬(wàn)網(wǎng)應(yīng)該是無(wú)責(zé)的；百度也很難說(shuō)應(yīng)該負(fù)責(zé)。但從維護(hù)互聯(lián)網(wǎng)安全的社會(huì)責(zé)任來(lái)說(shuō)，萬(wàn)網(wǎng)和百度應(yīng)該加強(qiáng)合作，發(fā)現(xiàn)各自系統(tǒng)互動(dòng)中可能出現(xiàn)的新問(wèn)題，這一點(diǎn)我相信無(wú)論這個(gè)案子最后怎么判，萬(wàn)網(wǎng)和百度都會(huì)去做的。

 

最后我想說(shuō)的是：用戶的安全意識(shí)是最重要的，無(wú)論什么軟件都敢裝，無(wú)論什么網(wǎng)站都敢訪問(wèn)，作為安全廠商來(lái)說(shuō)，當(dāng)然會(huì)推出越來(lái)越新、越來(lái)越好的軟件來(lái)保護(hù)用戶的安全，比如360safe已經(jīng)幫助用戶做了很多，但很難做到絕對(duì)安全。用戶的安全意識(shí)會(huì)很大程度上保障自己的安全，不知道的軟件不要裝，不知道的網(wǎng)站不要去。百度和google等搜索引擎的客戶端還算善意軟件，惡意軟件就更不好說(shuō)了，把URL送出去是小事，惡意軟件完全可以把你的內(nèi)容直接送出去、機(jī)密直接送出去。