引发本次百度网盘安全性质疑的根源,是一个叫做“分享”的功能。这个功能的作用,是把用户上传到百度网盘中的文件,通过生成一个“公开链接”(公链)的方式分享给别人,供他人访问下载,以达到文件共享公用的目的。
这是个很方便实用的功能,也是百度网盘短时间内火起来的原因。
虽然百度网盘也有“私密链接”(私链)的功能,需要用户先输入密码才能看到内容,但此前基于用户体验的考量,百度网盘其实一直都在默认引导用户使用公链。
我们想象一个场景:某天你外出旅行,拍了很多照片存在百度网盘上,朋友让你赶紧分享给TA,哪怕你懂得公链和私链的区别,出于方便你多半也可能是生成公链丢给你朋友。
但问题是,很多人无意间就把自己的秘密“公链(布)”了出去。
“云”已经成为现代生产力的刚需。百度网盘这次的事件之所以会引起如此大的风波,关键点还是在百度网盘“公链”出来的秘密包括了私密照片、身份证驾照扫描件、4S店车主信息,甚至还涉及到一些政府领导的信息和军事机密。
而更让人跌破眼镜的是,许多公司竟然还在百度网盘“公链”基础上,建立了搜索平台。也就是说,这些“私密信息”竟然可以通过第三方平台被搜索整理出来!
面对越来越大的质疑声,百度网盘第一时间发表了声明,主要内容如下:
? 不用分享功能,文件数据是不会泄露出去的;
? 选择“公链”还是“私链”,是用户自己的选择;
? 百度将加大力度打击第三方网盘搜索平台。
固然,百度网盘的产品设计确实存在一些重大安全隐患:比如,百度网盘在很长一段时间里,都在引导用户使用“公链”作为主要分享方式,且没有明显地向用户提示风险;再例如,百度网盘的APP,会默认同步用户本地的通信录和照片到云端,这些“悄无声息的同步动作”都潜在危及到用户的数据隐私安全。
但是,客观地说,用户对互联网产品的“麻痹大意”、和自身“使用习惯不好”,是造成“数据秘密”泄露的根本原因。对于小白用户来说,确实应该深入了解一下“公链”和“私链”的区别;而对于深度用户来说,克服不良使用习惯,意识到信息安全的重要性就是关键。
“安全”并非百度网盘发力点
百度网盘并不是以保护机密数据为初衷而设计的。
它在普通老百姓心目中是“看片神器”,无论从产品还是技术方面,安全都不是百度网盘的发力方向。百度网盘诞生的使命是——帮助百度打造属于自己的账号体系。
我们在搜索时其实不需要登陆任何账号,也就是说,百度很难做到像淘宝和微信一样的精准用户分析与运营。相较于阿里巴巴和腾讯,百度用户的账号体系也是最不完善的。所以百度网盘从一开始,就肩负了打造百度用户体系的重任,想要快速达成这个目标,百度的策略一定是文件的快速传播和分享。
而百度网盘的“私链”,安全性就可以确保么?
我很遗憾地告诉大家,答案是否定的。
一个简单实验:我将一个名为“机密数据.docx”的文件上传到了百度网盘,在使用“私链”功能后,百度网盘给我生成了一个需要输入密码才能打开的链接。
但只要有一个人通过密码打开了“私链”之后,通过简单的方法我就可以拿到这个文件的原始下载地址,这意味着其他人可以完全绕过“私链”的密码来获得这个“机密数据.docx”文件。用非正常手段将百度网盘的“私链”转成“公链”其实并不需要什么高深的技术,只要掌握初级的网页编程能力便完全可以做到。
一个以安全作为出发点的云端系统,遇到类似问题的时候,应该具备一种“阅后即焚”的机制,也就是说,文件打开过一次之后,其他人再访问是失效的,从而可以确保安全。
原创文章,作者:筱凯,如若转载,请注明出处:https://www.jingyueyun.com/ask/544.html
