作者| 小谦笔记 来源| 小谦笔记的雪球原创专栏
在2月的最后一天,百度$百度(BIDU)$又上了一个热搜。根据新闻实验室的报道显示:在微博用户的反馈下,百度搜索广州的很多小学和幼儿园的名字,结果中排在首位的一般都是百度百科,而进入百度百科页面之后,点击参考文献中的“广州上学网”,却会进入色情网站。
消息一出,整个互联网行业都炸开了锅。随后不久,百度百科对外发出回应:在个别百科词条中,所引用的第三方参考资料网站,因为网页过期失效,被不法分子利用,定向至不良站点。已经紧急删除了该词条中被不法分子利用的参考资料网页,开发团队即刻全面排查以该域名为参考资料的所有词条,并进行相应处理。
在部分百科词条的参考资料网站确实出现不少不良信息的情况下,百度快速响应排查违规域名和违规信息,这至少能够保证此次新闻实验室所反映的百科词条回归正常。但摆在广大用户面前的难题是,未来百度百科究竟还会不会出现这样的情况?百度百科会否有办法降低出现这种情况的概率?整个互联网行业会否还有这样的情况,大家又应该如何要规避风险。整场百度百科的事件,究竟应该怪谁呢?下面,我们就一起来聊聊这件事情。
百度理应承担审核义务 但此次事件最大背锅侠不该是百度
首先,作为目前全中国最权威的百科全书之一,百度百科的内容已经成为社会各界人士了解世界的重要渠道。很多人对于一些专业名词、明星信息、医疗技术、市场骗局等问题的疑虑,都可以在以中立和权威闻名的百度百科中找到答案。
在本身百度百科各个词条搜索结果权重非常大并且整体品牌非常权威的情况下,用户从百科大入口获得信息过程中链接到不良信息的网站,百度百科理应承担审核的义务要负一部分责任,并且百科自己也强调“参考资料要权威”,要杜绝色情、违法、广告、虚假、灌水、恶意编辑等现象。
所以从这个角度来说的话,百度肯定还是本次百度百科事件中负有一定的责任。
但是,从某种意义上来说,违法信息的内容,终归不是存在于百度百科或者百度的服务器中上,这对于百度来说就是没有直接的关联。
更重要的是,作为正常的百度百科用户,其实用户了解一个词条的信息主要还是由百度服务器提供的百科正文,这些正文内容已经对所有百科参考资料网站中的内容进行精选和筛选,很少有非专业人士会点击到参考资料那一块。
因此,从某种程度上来说,尽管目前百度百科对于部分场广州的小学和幼儿园的一些百度百科词条,其实也都会有一些内容会在参考资料中跳转到一些违规的信息之中。但是,不容忽视的是,出现了此次这种情况。其实多方都有责任。并且,透过这件事情,其实也折射出整个行业重大的网络安全问题,也正是因为很多公司或者机构忽视了对于网站安全的重视性,才有可能出现被部分的人将网站的内容篡改的情况。所以,从这个角度来说,此次百度百科时间的背锅侠,不应该只有百度,整个行业的各个体系其实都应该由此付出一些责任。
政务机构网站被篡改屡见不鲜 抢注域名制作不良网站的背后有着怎样的产业链?
举个例子,就从很多从政务网站以及部分的企业机构网的官文章来说,由于他们本身大多数都是采用像帝国CMS、dedecms等开源系统所搭建的网站,并且大部分都是走招投标或者外包的方式提供一次性的技术服务。
这种情况就导致说一旦开源系统出现一个通用型的漏洞,这些企业或者政务机构的网站因为没有人专心维护,那么其实就会在本身运营正常的情况下就被发现非常重要的安全漏洞,进而就被一些黑客或者攻击人员获得了网站的权限,从而可以对网站的内容进行篡改。
其实这种类似的案例,在整个中国互联网行业都非常常见。在大多数的政务机构的网站都是由第三方的服务机构只负责技术的情况下,由于缺乏专业的团队进行持续的维护,后续不管是网站的安全还是说网站的内容维护,其实就都没有一些。被篡改的例子说起。由于很多政务或者部分传统企业和机构的网站,大多数都是走招标或外包的方式制作,外部那些网站制作公司只管以技术方式实现网站的功能却不太可能长期的保持持续的内容维护和漏洞的发现和修复。
而这样的公司主要都是以销售和资源关系型企业为主,这就导致着本身不管是政务网站还是很多企业机构网站,如果不是有专人维护或者有费用不菲的费用给予外包团队进行维护,会有很多页面被篡改,尤其是很多二三四线城市。
但事实上,不管是搜索引擎其他的互联网平台,对于政务网站和很多机构网站都是属于优待的情况,他们需要配合政务机构部门及时地将信息传播出去。这样一来,一方面在搜索结果和流量导入方面会给予他们更多的支持,同时也凭借着政务和机构的品牌影响力,可以更好得让用户信赖。
当一大堆网站都采用开源系统进行模板式开发,并且安全和内容方面都疏于管理,不少技术人员通过寻找漏洞然后批量攻击获得后台权限之后就可以进行内容发布。甚至很多网站首页打开是正常,一点击首页就调整不良网站,这就是由于过去网站行业的弊端所带来的一个后果。
不过,在本次的百度百科事件当中,其实更多的应该是属于用抢注域名的方式,在原网站已经停止运营的情况下继续以原网站的身份进行信息的发布。这其实,也是一种非常恶劣的方式。
在很多老网站所属的机构或者主体已经停止运营之后,一到了域名到期的时候,其实很多机构和企业都已经没有专人来管理这个域名是否还需要保持续费的情况。那么,对于很多不法人士来说,他们如果抢在其他的之前注册了这个拥有机构或者企业备案的网站域名,就可以在这个域名备案还没有被工信部相关部门给注销的情况继续使用。
这样一来,就能利用既有机构或者企业的公信力和企业影响力。除却这种篡改方式以外,还有一种方式就是抢注政务机构或者具备一定影响力的网站域名,利用备案流程的漏洞快速上线网站保持访问,从而通过修改页面利用老站的流量和影响力传播违规信息。
此次,百度百科事件中的网站就属于这一列。在一些机构的网站域名即将到期又没有人管理的情况下,不法人士基于实际的情况将域名抢注的时候,其实就会有一些并不需要将备案信息完全接入的IDC服务商可以为这样的网站提供服务器的支撑。一旦这样的用获得了这些已经拥有机构或者企业备案的域名之后,他们基于此前这家网站的百度排名,就可以通过新增一些相关的关键词或者页面来稳住此前的关键词排名。
同时呢,他也可以通过将所有详情页网站进行跳转,并且跳转到一些违规灰色网站的情况,就让这家老网站从一个非常具有影响力的正规机构网站沦为了一家提供不法信息的网站,这无疑不是一个好消息。
从这个角度来看,其实就从此次百度百科事件之中我们就能发现,之所以说广州上学网这么一个给很多广州小学和幼儿园提供了权威信息参考的文章会变成一个传播不良信息的网站,最根本的其实还是在于类似于广州上学网这样的机构忽视了整个网站的安全性问题。
如果真正说要谈到罪魁祸首,我认为更多是那些在国家有关部门明令禁止的情况下,还给一些违规网站提供服务的的IDC服务商,这其实是整个行业更多应该去反思的一个问题之一。在当前正规服务器机构会及时对网站内容进行爬取并且审核的情况下,为不良网站提供服务器服务的厂商,或许问题才更大。
机构网站安全存缺陷 防御百科事件再现需各方努力
不过,话说回来,其实一些正规的机构或者企业网站被一些有心人士做抢注,这个其实是一个很难以被避免的事情。那么在未来,究竟大家应该如何努力,才有可能更好地降低出现此次的情况呢?这并不是一个无解的答案。
第一,机构网站定期检查网站的漏洞问题,在发现漏洞的情况下寻找相关的安全公司前来解决,或者整个网站如果还需要继续保持运营的情况下就寻找对应的安全公司来进行保护,这已经是一个能够在源头上保护好各大机构政务网站的情况。
同时,对于诸多网络安全公司来说,不仅是保护好一些重要机构拥有大量预算的产品,能够以标准化的服务给很多企业都提供一个安全的解决方案,这也可以整体提升整个行业的网站安全性,进而降低整个行业出现一些因网络安全而衍生的问题以及网站被攻击的风险。对于安全公司来说确实是个机会,但这是一个意识形态的持续普及过程。
那么,对于百度来说,百度百科在出现了此次参考资料链接到一些不法信息的情况下,其实也可以有一些从技术上的改进方向。
在一些网站的信息在当做参考资料的同时,百度可以将这个信息保存起来并且由百度的服务器来进行内容的存储和内容的调取服务。这样一来,不管以后原始提供参考资料的网站是否还存在、是否还保持正常的运营,只要说该信息已经被百度存储了快照,那么对于广大了用户来说点击参考资料就依然是点到了经过百科编辑审核符合要求的正常快照内容,整个事情解决起来就容易了很多。
不过呢,要避免这种情况,根本上还需要各大政务机构一些拥有网站的机构或者网站能够真正提升自己的安全意识。比如在网站的漏洞方面需要寻找或者规避一些风险,或是警惕包括公众号在内的诸多新媒体平台的账号安全。
比如在域名抢注问题,如果本身自己的公司已经放弃网站,宣布网站停止运营的情况下,走当地通讯局的一个网站注销流程,就可以让这个域名不被抢注者当做一个已备案的老域名使用,提升这些提供违规信息的人员 的违规成本。这无疑是一件幸事。
因此,从此次的情况来看,更多的其实不在于百度百科的安全问题,而在于是传统网站思维在安全方面的欠缺,这需要各大企业的共同努力才有可能去解决完善好这样的问题。在此次事件中,百度真心不是最大的背锅侠,如果各大企业都可以增强信息的保护并且在未来做出更多保护的错失,这势必会更好地降低互联网中出现链接跳转到违规网站的情况。
对于未来,互联网一定会给予广大用户提供更加优质的服务。而能否真正从根本上杜绝一些问题,那就得靠全行业的共同努力了。