在2月的最後一天,百度又上了一個熱搜。根據新聞實驗室的報導顯示:在微博用戶的反饋下,百度搜索廣州的很多小學和幼兒園的名字,結果中排在首位的一般都是百度百科,而進入百度百科頁面之後,點擊參考文獻中的“廣州上學網”,卻會進入色情網站。
消息一出,整個互聯網行業都炸開了鍋。隨後不久,百度百科對外發出回應:在個別百科詞條中,所引用的第三方參考資料網站,因為網頁過期失效,被不法分子利用,定向至不良站點。已經緊急刪除了該詞條中被不法分子利用的參考資料網頁,開發團隊即刻全面排查以該域名為參考資料的所有詞條,並進行相應處理。
在部分百科詞條的參考資料網站確實出現不少不良信息的情況下,百度快速響應排查違規域名和違規信息,這至少能夠保證此次新聞實驗室所反映的百科詞條回歸正常。但擺在廣大用戶面前的難題是,未來百度百科究竟還會不會出現這樣的情況?百度百科會否有辦法降低出現這種情況的概率?整個互聯網行業會否還有這樣的情況,大家又應該如何要規避風險。整場百度百科的事件,究竟應該怪誰呢?下面,我們就一起來聊聊這件事情。
百度理應承擔審核義務 但此次事件最大背鍋俠不該是百度
首先,作為目前全中國最權威的百科全書之一,百度百科的內容已經成為社會各界人士了解世界的重要渠道。很多人對於一些專業名詞、明星信息、醫療技術、市場騙局等問題的疑慮,都可以在以中立和權威聞名的百度百科中找到答案。
在本身百度百科各個詞條搜索結果權重非常大並且整體品牌非常權威的情況下,用戶從百科大入口獲得信息過程中鏈接到不良信息的網站,百度百科理應承擔審核的義務要負一部分責任,並且百科自己也強調“參考資料要權威”,要杜絕色情、違法、廣告、虛假、灌水、惡意編輯等現象。
所以從這個角度來說的話,百度肯定還是本次百度百科事件中負有一定的責任。
但是,從某種意義上來說,違法信息的內容,終歸不是存在於百度百科或者百度的伺服器中上,這對於百度來說就是沒有直接的關聯。
更重要的是,作為正常的百度百科用戶,其實用戶了解一個詞條的信息主要還是由百度伺服器提供的百科正文,這些正文內容已經對所有百科參考資料網站中的內容進行精選和篩選,很少有非專業人士會點擊到參考資料那一塊。
因此,從某種程度上來說,儘管目前百度百科對於部分場廣州的小學和幼兒園的一些百度百科詞條,其實也都會有一些內容會在參考資料中跳轉到一些違規的信息之中。但是,不容忽視的是,出現了此次這種情況。其實多方都有責任。並且,透過這件事情,其實也折射出整個行業重大的網絡安全問題,也正是因為很多公司或者機構忽視了對於網站安全的重視性, 才有可能出現被部分的人將網站的內容篡改的情況。所以,從這個角度來說,此次百度百科時間的背鍋俠,不應該只有百度,整個行業的各個體系其實都應該由此付出一些責任。
政務機構網站被篡改屢見不鮮 搶注域名製作不良網站的背後有著怎樣的產業鏈?
舉個例子,就從很多從政務網站以及部分的企業機構網的官文章來說,由於他們本身大多數都是採用像帝國CMS、dedecms等開源系統所搭建的網站,並且大部分都是走招投標或者外包的方式提供一次性的技術服務。
這種情況就導致說一旦開源系統出現一個通用型的漏洞,這些企業或者政務機構的網站因為沒有人專心維護,那麽其實就會在本身運營正常的情況下就被發現非常重要的安全漏洞,進而就被一些黑客或者攻擊人員獲得了網站的權限, 從而可以對網站的內容進行篡改。
其實這種類似的案例,在整個中國互聯網行業都非常常見。在大多數的政務機構的網站都是由第三方的服務機構隻負責技術的情況下,由於缺乏專業的團隊進行持續的維護,後續不管是網站的安全還是說網站的內容維護,其實就都沒有一些。被篡改的例子說起。由於很多政務或者部分傳統企業和機構的網站,大多數都是走招標或外包的方式製作,外部那些網站製作公司隻管以技術方式實現網站的功能卻不太可能長期的保持持續的內容維護和漏洞的發現和修複。
而這樣的公司主要都是以銷售和資源關係型企業為主,這就導致著本身不管是政務網站還是很多企業機構網站,如果不是有專人維護或者有費用不菲的費用給予外包團隊進行維護,會有很多頁面被篡改,尤其是很多二三四線城市。
但事實上,不管是搜索引擎其他的互聯網平台,對於政務網站和很多機構網站都是屬於優待的情況,他們需要配合政務機構部門及時地將信息傳播出去。這樣一來,一方面在搜索結果和流量導入方面會給予他們更多的支持,同時也憑借著政務和機構的品牌影響力,可以更好得讓用戶信賴。
當一大堆網站都採用開源系統進行模板式開發,並且安全和內容方面都疏於管理,不少技術人員通過尋找漏洞然後批量攻擊獲得後台權限之後就可以進行內容發布。甚至很多網站首頁打開是正常,一點擊首頁就調整不良網站,這就是由於過去網站行業的弊端所帶來的一個後果。
不過,在本次的百度百科事件當中,其實更多的應該是屬於用搶注域名的方式,在原網站已經停止運營的情況下繼續以原網站的身份進行信息的發布。這其實,也是一種非常惡劣的方式。
在很多老網站所屬的機構或者主體已經停止運營之後,一到了域名到期的時候,其實很多機構和企業都已經沒有專人來管理這個域名是否還需要保持續費的情況。那麽,對於很多不法人士來說,他們如果搶在其他的之前注冊了這個擁有機構或者企業備案的網站域名,就可以在這個域名備案還沒有被工信部相關部門給注銷的情況繼續使用。
這樣一來,就能利用既有機構或者企業的公信力和企業影響力。除卻這種篡改方式以外,還有一種方式就是搶注政務機構或者具備一定影響力的網站域名,利用備案流程的漏洞快速上線網站保持訪問,從而通過修改頁面利用老站的流量和影響力傳播違規信息。
此次,百度百科事件中的網站就屬於這一列。在一些機構的網站域名即將到期又沒有人管理的情況下,不法人士基於實際的情況將域名搶注的時候,其實就會有一些並不需要將備案信息完全接入的IDC服務商可以為這樣的網站提供伺服器的支撐。一旦這樣的用獲得了這些已經擁有機構或者企業備案的域名之後,他們基於此前這家網站的百度排名,就可以通過新增一些相關的關鍵詞或者頁面來穩住此前的關鍵詞排名。
同時呢,他也可以通過將所有詳情頁網站進行跳轉,並且跳轉到一些違規灰色網站的情況,就讓這家老網站從一個非常具有影響力的正規機構網站淪為了一家提供不法信息的網站,這無疑不是一個好消息。
從這個角度來看,其實就從此次百度百科事件之中我們就能發現,之所以說廣州上學網這麽一個給很多廣州小學和幼兒園提供了權威信息參考的文章會變成一個傳播不良信息的網站,最根本的其實還是在於類似於廣州上學網這樣的機構忽視了整個網站的安全性問題。
如果真正說要談到罪魁禍首,我認為更多是那些在國家有關部門明令禁止的情況下,還給一些違規網站提供服務的的IDC服務商,這其實是整個行業更多應該去反思的一個問題之一。在當前正規伺服器機構會及時對網站內容進行爬取並且審核的情況下,為不良網站提供伺服器服務的廠商,或許問題才更大。
機構網站安全存缺陷 防禦百科事件再現需各方努力
不過,話說回來,其實一些正規的機構或者企業網站被一些有心人士做搶注,這個其實是一個很難以被避免的事情。那麽在未來,究竟大家應該如何努力,才有可能更好地降低出現此次的情況呢?這並不是一個無解的答案。
第一,機構網站定期檢查網站的漏洞問題,在發現漏洞的情況下尋找相關的安全公司前來解決,或者整個網站如果還需要繼續保持運營的情況下就尋找對應的安全公司來進行保護,這已經是一個能夠在源頭上保護好各大機構政務網站的情況。
同時,對於諸多網絡安全公司來說,不僅是保護好一些重要機構擁有大量預算的產品,能夠以標準化的服務給很多企業都提供一個安全的解決方案,這也可以整體提升整個行業的網站安全性,進而降低整個行業出現一些因網絡安全而衍生的問題以及網站被攻擊的風險。對於安全公司來說確實是個機會,但這是一個意識形態的持續普及過程。
那麽,對於百度來說,百度百科在出現了此次參考資料鏈接到一些不法信息的情況下,其實也可以有一些從技術上的改進方向。
在一些網站的信息在當做參考資料的同時,百度可以將這個信息保存起來並且由百度的伺服器來進行內容的存儲和內容的調取服務。這樣一來,不管以後原始提供參考資料的網站是否還存在、是否還保持正常的運營,只要說該信息已經被百度存儲了快照,那麽對於廣大了用戶來說點擊參考資料就依然是點到了經過百科編輯審核符合要求的正常快照內容,整個事情解決起來就容易了很多。
不過呢,要避免這種情況,根本上還需要各大政務機構一些擁有網站的機構或者網站能夠真正提升自己的安全意識。比如在網站的漏洞方面需要尋找或者規避一些風險,或是警惕包括公眾號在內的諸多新媒體平台的账號安全。
比如在域名搶注問題,如果本身自己的公司已經放棄網站,宣布網站停止運營的情況下,走當地通訊局的一個網站注銷流程,就可以讓這個域名不被搶注者當做一個已備案的老域名使用,提升這些提供違規信息的人員 的違規成本。這無疑是一件幸事。
因此,從此次的情況來看,更多的其實不在於百度百科的安全問題,而在於是傳統網站思維在安全方面的欠缺,這需要各大企業的共同努力才有可能去解決完善好這樣的問題。在此次事件中,百度真心不是最大的背鍋俠,如果各大企業都可以增強信息的保護並且在未來做出更多保護的錯失,這勢必會更好地降低互聯網中出現鏈接跳轉到違規網站的情況。
對於未來,互聯網一定會給予廣大用戶提供更加優質的服務。而能否真正從根本上杜絕一些問題,那就得靠全行業的共同努力了。
作者:小謙,互聯網觀察員,多家科技媒體專欄作者,微信聯繫net1996,轉載請注明版權。
香港九龍灣馬來街興發大廈15樓D室