從谷歌搜索中復(fù)制粘貼URL 會(huì)泄露之前的搜索記錄?

2015-11-09 09:30:00 來(lái)源:伯樂(lè)在線(xiàn) 作者:佚名 人氣: 次閱讀 140 條評(píng)論

某天,我的朋友給我發(fā)了一個(gè)搜索結(jié)果頁(yè)的鏈接。我點(diǎn)開(kāi)了鏈接,但是在我跳轉(zhuǎn)到目標(biāo)頁(yè)面之前,我看到了另外一個(gè)搜索結(jié)果頁(yè),那個(gè)頁(yè)面是她早些時(shí)候?qū)σ粋€(gè)不知道定義的詞語(yǔ)的搜...

網(wǎng)絡(luò)釣魚(yú) 谷歌搜索引擎 谷歌搜索安全

作者注:這個(gè)情況已經(jīng)通過(guò)合適的渠道反饋給了 Google,但他們決定不修復(fù)這個(gè)泄露行為。

某天,我的朋友給我發(fā)了一個(gè)搜索結(jié)果頁(yè)的鏈接。我點(diǎn)開(kāi)了鏈接,但是在我跳轉(zhuǎn)到目標(biāo)頁(yè)面之前,我看到了另外一個(gè)搜索結(jié)果頁(yè),那個(gè)頁(yè)面是她早些時(shí)候?qū)σ粋€(gè)不知道定義的詞語(yǔ)的搜索結(jié)果,而這個(gè)詞其實(shí)很常見(jiàn)。

我差點(diǎn)就把這些都寫(xiě)下來(lái)了,但是我意識(shí)到我不能這么做。

究竟發(fā)生了什么?

我觀(guān)察了一下她發(fā)給我的 URL,URL 的結(jié)構(gòu)大致如下:

https://www.google.com/search?q=first+search&ie=utf-8&oe=utf-8#q=second+search

你可以通過(guò)以下步驟復(fù)現(xiàn)這個(gè) URL:

  • 打開(kāi) Chrome 或者 Firefox;
  • 在搜索欄查找 X,然后再搜索 Y ;
  • 在地址欄中的 URL 中,查詢(xún)字段同時(shí)包含了 X 和 Y。

這個(gè)問(wèn)題的后果是顯而易見(jiàn)的。那些在復(fù)制粘貼之前沒(méi)有閱讀整個(gè)查詢(xún)字符串的用戶(hù)可能會(huì)意外地把敏感的搜索詞發(fā)送給第三方。這并不是危言聳聽(tīng),我的朋友也的確因?yàn)樗B一個(gè)常用詞匯的意思都不知道而感到尷尬。

我向朋友解釋了我是如何知道她搜索過(guò)這個(gè)關(guān)鍵詞的,然后她給我發(fā)了下面這個(gè) URL:

https://www.google.com/search?q=penis+enlarger&oq=penis+&aqs=chrome.0.69i59j69i65j69i57j0l3.998j0j7&sourceid=chrome&es_sm=91&ie=UTF-8#q=hamlet+the+play

你可以想象得到,人們可能通過(guò)這種方式無(wú)意間就泄露出去各種各樣的敏感信息。

對(duì)網(wǎng)絡(luò)釣魚(yú)行為的影響

這種行為也有可能被常見(jiàn)的網(wǎng)絡(luò)欺詐所利用,比如下面這個(gè)例子:

親愛(ài)的 $W:

我是位于 $X 國(guó)家的研究員,我們國(guó)家的 google 搜索引擎被屏蔽了(又黑我天朝 :) 譯者注)。如果你能把“$Y”關(guān)鍵詞的 Google 搜索結(jié)果連同結(jié)果頁(yè)的 URL(因?yàn)槲倚枰眠@個(gè)鏈接)一起發(fā)給我的話(huà),我會(huì)對(duì)你的幫助感激不盡的。

祝好,

$Z

如果走運(yùn)的話(huà),用戶(hù)會(huì)使用已有的搜索會(huì)話(huà)來(lái)搜索結(jié)果,然后把 URL 暴露給你,同時(shí)也暴露了之前的搜索內(nèi)容。而之前的這些搜索可能包含了敏感信息。

我們?cè)摴终l(shuí)呢?

有些人說(shuō)用戶(hù)應(yīng)該對(duì)這種情況負(fù)責(zé),畢竟是他們自己復(fù)制了信息并且發(fā)給了別人——如果他們注重隱私的話(huà),他們就會(huì)確認(rèn)發(fā)出去的鏈接是否正確。然而一般用戶(hù)是不會(huì)想到 URL 也能泄露隱私的情況的,因?yàn)橛脩?hù)會(huì)想當(dāng)然地認(rèn)為分享 URL 的行為應(yīng)當(dāng)是安全的。這種泄露行為也不符合現(xiàn)實(shí)生活中的用戶(hù)預(yù)期——我們只是隨意地復(fù)制粘貼 URL,尤其是像這種搜索結(jié)果頁(yè)的 URL。沒(méi)有人真的會(huì)檢查復(fù)制的 URL 是否包含了隱私信息的。

想象一下,如果你走進(jìn)圖書(shū)館,找了幾本有關(guān)你的一些難以啟齒的病狀的書(shū)籍。之后你把它們還回去,借了一本《1984》。后來(lái)你把 《1984》這本書(shū)推薦給了朋友,而他們?nèi)D書(shū)館的借書(shū)的時(shí)候也發(fā)現(xiàn)了你上次在圖書(shū)館看過(guò)的書(shū)!當(dāng)然,其實(shí)在 48 個(gè)州都有立法保護(hù)圖書(shū)館借閱記錄的隱私信息。而 Google 自動(dòng)把之前的搜索關(guān)鍵詞包含進(jìn) URL 也是一種對(duì)用戶(hù)隱私權(quán)的侵犯。他們應(yīng)該修復(fù)這個(gè)問(wèn)題。

與此同時(shí),請(qǐng)你再三檢查要發(fā)給別人的 URL,即使你發(fā)的頁(yè)面看起來(lái)并不包含敏感信息,并且你也應(yīng)當(dāng)提醒你的朋友和家人加倍小心。

    無(wú)相關(guān)信息