网络安全

由于偷窥未成年用户隐私而被 Google 开除的工程师 David Barksdale 的麻烦很可能刚刚开始，如果他被确认违反了联邦电子通讯隐私法案的话，等待他的将是多至五年的监禁。 一般来说，Barksdale 这样的网络工程师的工作过程是一定会接触到用户信息的，但是主动有目的去偷窥就是另外一回事了。大多数初犯者都会被允许使用罚款替代牢狱之苦。但是法律规定类似事件需要走民事诉讼流程，但是唯一可以证明经济损失的原告——也就是 Google 显然希望这个事情尽快的过去，所以 Barksdale 貌似不太容易靠缴纳罚款来躲过这一劫了。 via gawker © gkp 发表于 谷奥——探寻谷歌的奥秘 ( http://www.google.org.cn ) , 2010. | 5 条评论 | 永久链接 | 关于谷奥 | 投稿/爆料 Post tags: Google Company , Google Fail , Googler 欢迎订阅谷安子站，关注Android新闻，技巧及更多

电子前哨基金会（EFF）发出警告，建议用户停止使用帮助伊朗网民绕过防火墙的翻墙软件Haystack。 Haystack开发者、审查研究中心（Censorship Research Center）联合创始人Austin Heap在个人网站上承认，安全社区在Haystack的透明度和安全性上的许多观点是正确的，为了确保Haystack的安全，他们已经决定停止测试Haystack以等候安全检查。他们已开始通知Haystack用户停止使用软件。《华盛顿邮报》引用一位工程师的话称，Haystack的安全缺陷可能会伤害到伊朗的用户。Haystack不是一个开源项目，它的目标是为去年曾经走上街头抗议选举不公的伊朗网民，提供没有任何审查的互联网服务。Danny O’Brien发表评论认为，Haystack的开发者过于乐观，他们不可能在没有外界的帮助下去创建一个安全而可靠的系统，尤其是他们面对是一个强大而且有丰富资源的国家级对手。

WebQQ 2.0 上线 ， 腾讯又多了款重量级的应用 ，但是用过程中发现其 Gmail 模块存在钓鱼的嫌疑。当使用 Chrome 访问其 Gmail 模块时提示为诱骗网站。 展开这个页面的 iframe 地址，发现是在 qq.com 域下 https://web2.qq.com/cgi/gmail/gmail.html 但页面的形式与 Google 的风格一致，非常能让用户混淆这就是 Google 自家的页面。 查看其源代码，发现并没有提交到 Google 的痕迹。 然后我们查看其相关的 gmail.js（ https://web2.qq.com/cgi/gmail/gmail.js ），发现其中有段代码为 var option = {retype:3,callback:”parent.qqweb.app.gmail.getListMail”}; if (u != null && p != null) { option.u = u; // Google 帐户用户名 option.p = p; // Google 帐户密码 } formSend( GMAIL_SERVER_DOMAIN + “cgi/qqweb/gmail.do”,{method : “POST”, data : option} ); 这段应该就是往 GMAIL_SERVER_DOMAIN POST 用户名和密码登录了，那么 GMAIL_SERVER_DOMAIN 的值是什么呢？就在本文件的第 14 行 var GMAIL_SERVER_DOMAIN = ‘https://web2.qq.com/’; 也就是说，你的 Gmail 用户名和密码实际上是提交到了 https://web2.qq.com/cgi/qqweb/gmail.do 这个地址。 那么，作为个技术人，我不禁想问： “腾讯，你想干什么？！” 同时建议已经使用过该模块的用户尽快更改您的 Google 帐号密码，并检查 Gmail 过滤器中有无可疑的项目。 PS，这次的 WebQQ2.0 放弃了 YUI，使用了名为 Jet 的 JavaScript 框架 ，对其感兴趣的可以关注。 UPDATE 该 URL 在 Firefox 中也已被人举报为恶意网站 该 Gmail 应用已经被撤下 ，对应的 JS 文件也已被删除 — EOF —