如何保护个人信息安全
2.6.1 个人信息泄露安全解决办法案例
个人信息泄露的主要途径就是通过网络,如果是在论坛、Blog以及静态网站发布的文章或者消息中包含个人隐私信息,用户将这些包含个人隐私的页面删除后,从表面上来看,似乎解决了个人隐私信息泄露问题,但是由于搜索引擎搜索网页过程中会将页面放入缓存,这个缓存也就是通常说的“网页快照”,网页快照就是搜索引擎在收录网页时,都会做一个备份,大多是文本的,保存了这个网页的主要文字内容,这样当这个网页被删除或连接失效时,用户可以使用网页快照来查看这个网页的主要内容,由于这个快照以文本内容为主,所以会加快访问速度。
在个人信息信息泄露中,一个最大的安全隐患就是搜索引擎抓取的网页快照。一般情况下,搜索引擎都不会自动删除网页快照,只要其被搜索引擎收录,其信息就能访问。因此要解决网站信息泄露问题,其中一个关键的问题就是要删除网页快照。本案例就个人隐私信息泄露安全解决办法进行了探讨,下面是具体的解决办法。
步骤1:删除网页快照,以删除百度搜索引擎为例。删除搜索引擎中的网页快照。有的搜索引擎提供了网页快照删除功能,例如Google,用户需要在网站管理工具中进行注册,然后将一个标识插入到网站首页后,用户就可以管理网页快照。百度没有提供自动删除网页快照功能,只能通过发邮件或者电话联系的方式进行。可以直接给
[email protected]发求助删除网页快照的邮件。
说明
① 直接跟百度联系是一种较好的办法,也可以通过百度自己提供的百度对话平台进行沟通,其访问地址为:[url]http://utility.baidu.com/quality/quality_form.php?word=%2E[/url]。
② 删除程序文件或者更改链接。通过研究帮助文件,发现最为快捷和方便的方法是更改网站泄露文件的名称或者直接删除信息泄露文件或者更改链接地址,不过该方法需要一个月左右才会生效。
步骤2:删除Google搜索引擎中的网页快照。删除Google搜索引擎中的网页快照相对就容易多了,而且在Google的帮助文件中有关于如何删除网页快照的具体方法。具体进入方式为:Google首页->“Google大全”->“搜索帮助”,其中有很多关于删除网页快照的解决方法,详细地址为: [url]https://www.google.com/support/bin/answer.py?answer=61808&hl=zh_CN[/url]。
说明
① Google搜索引擎比较严密,它注意很多细节。
② 使用Google网站管理员工具。Google提供的网站管理员工具使用起来非常方便,不过使用它来管理需要两个前置条件:首先需要拥有Google账号或者Gmail账号,其次需要在需要删除网页快照的网站首页的HTML代码中的第一个head处添加Google的验证标识。验证成功后即可进行网站网页快照的管理,如图2-102所示,在该工具中网站管理员工具中还可以对rotbots文件、网站地图、网站链接等进行管理。
图2-102 Google网站管理员工具
说明
Google网站管理员工具可以有选择地从Google搜索结果中删除内容,删除在六个月内有效。可以删除以下内容:
① 单个网址、网页、图片或其他文件,删除过期或被拦截的网页、图片和其他文档,使其不再出现在 Google 搜索结果中。
② 网站上的目录及所有子目录,删除网站上指定目录内的所有文件和子目录,使其不再出现在Google 搜索结果中。
③ 整个网站,从 Google 搜索结果中删除网站。
④ Google 搜索结果的缓存复本,对已经过期或你已添加无存档元标记的网页,删除其缓存复本和网页说明。
⑤ 网站管理员工具地址:[url]https://www.google.com/accounts/ServiceLogin?service=sitemaps&continue=[/url]
[url]https://www.google.com%2Fwebmasters%2Ftools%2Fsiteoverview%3Fhl%3Dzh_CN%3Fhl%3Dzh_CN&nui=1&hl=[/url]
zh-CN
总之在Google管理员工具中最为方便的就是管理员可以自由选择删除网站内容,可以删除整个网站,可以是网站链接,也可以是文字,如图2-103所示,可以依据其相应的提示进行操作,非常方便。
图2-103 删除快照
步骤3:编写自己的robots.txt。
robots.txt是一个纯文本文件,在这个文件中网站管理者可以声明该网站中不想被robots访问的部分,或者指定搜索引擎只收录指定的内容。当一个搜索机器人(有的叫搜索蜘蛛)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,那么搜索机器人就沿着链接抓取。另外,robots.txt必须放置在一个站点的根目录下,而且文件名必须全部小写。Robots.txt编写很简单,网上有很多关于这方面的资料,我就不赘述了。只列举几个常用的例子供大家使用。
(1)禁止所有搜索引擎访问网站的任何部分。
User-agent: *
Disallow: /
(2)只允许访问searchhistory目录
User-agent: *
Allow: /searchhistory/
Disallow: /
(3)禁止所有搜索引擎访问网站的01、02、03目录
User-agent: *
Disallow: /01/
Disallow: /02/
Disallow: /03/
(4)禁止BadBot搜索引擎的访问
User-agent: BadBot
Disallow: /
(5)只允Crawler搜索引擎的访问
User-agent: Crawler
Disallow:
User-agent: *
Disallow: /
加强程序安全。先前,很多程序员都没有考虑到搜索引擎会自动抓取网站中的网页,因此对于安全方面没有做访问限制;一个好的方法就是对网页进行授权访问,例如只有登录以后的用户可以访问某一些网络资源,而对于普通用户则禁止访问。以asp编程语言为例,可以新建一个checklogin.asp的网页文件,然后在其中输入:
<%
if Session("MySystem_LoginUser")="" then
response.redirect " Login.asp"
end if
%>
在网站需要进行限制访问的网页程序中包含该网页即可。
说明
① 本例只是提出一种简单实现方法,其实限制访问网络资源有很多好方法,当然程序中也得考虑其他安全,例如SQL注入漏洞问题。
② 涉及个人隐私信息的内容和网页时,一定要在安全方面多加考虑。
③ 如果是个人用户发现自己的个人信息泄露了,这个时候就要主动联系信息泄露的源头网站,要求网站解决该问题,而网站管理人员就要积极跟搜索引擎公司联系,从网页快照中将泄露的信息删除,当然更要从程序安全的角度彻底解决个人信息泄露的代码部分。
小结
这里对网站信息泄露,主要是个人信息泄露问题进行了探讨,并就泄露中的网页快照删除问题给出了一些解决方法。网络的安全问题从来都是相对的,没有绝对的安全,安全重在安全思想意识。
2.6.2 其他的个人信息泄露安全解决办法案例
论坛、Blog的信息泄露主要是泄露注册信息,要解决这些信息泄露的安全隐患,可以采取以下一些解决办法:
1.网站在提供个人注册时,让用户选择是否愿意公开个人信息,默认设置为不共享。
2.在个人资料中不显示包含个人隐私信息,例如E-mail地址以及手机号码等信息。
本文节选自电子工业出版社2008年10月出版的 《黑客攻防实战案例解析》。
到当当网购买
到卓越网购买
到china-pub购买
浏览更多精彩文章>>
订阅软件安全电子期刊>>