江南科学网—《科学新闻》：“绿坝”硬伤

6月9日，工业以及信息化部以 工信部软[2009]226号文件 的名义发布了题名日期为5月19日的《关在计较机预装绿色上彀过滤软件的通知》，通知明确要求，计较机出产及发卖企业应在2009年6月尾完成 绿坝 花季护航 软件（如下简称 绿坝 ）预装测试等相干事情，2009年7月1往后出厂以及发卖的计较机应预装 绿坝 。动静一出，质疑声四起。这款由郑州金惠计较机体系项目有限公司以及北京年夜正言语常识处置惩罚科技有限公司提供的 绿坝 软件，毕竟可否有用成立起一道结实的绿色堤坝，切实起到为青少年上彀冲浪保驾护航的作用呢？《科学新闻》就此款软件技能层面的问题睁开了查询拜访。美国密歇根年夜学计较机科学与项目系的助理传授J. Alex Halderman于其官方网页上宣布了对于 绿坝 的检测陈诉。该陈诉指出，于对于 绿坝 软件举行短短的一天测试以后，就发明了两个较年夜的保险隐患：起首，该软件于处置惩罚其监控的Web站点历程中存于问题；其次，该软件履行黑名单更新的要领存于缝隙。Alex组织了一个用在演示的URL，当已经经安装了 绿坝 的用户于页面http://wolchok. org:8000/上按下按钮后，将致使用户的阅读器（或者标签页）瓦解。他指出，现实的进犯者可以哄骗该缺陷履行歹意代码。 绿坝 软件的设计缺陷，致使了险些任何一款阅读器均可被不法哄骗。 任何一个消息网，使用这类歹意的URL，都可将用户阅读重视定向至一个网页，以取患上用户计较机的节制权。 Alex说。Alex还指出，第二个问题存于在 绿坝 读取过滤器文件的历程中。 绿坝 接纳不保险的C字符库，易致使典型的缓冲区溢露马脚。对于在那些安装了该软件并开启了主动更新过滤器的计较机来讲， 绿坝 软件提供商可以取患上它们的节制权。此外，更新历程接纳未加密的HTTP和谈，这可能会致使第三方假装成更新办事器，使用这类进犯体式格局来得到计较机节制权。这份测试陈诉总结说，对于在 绿坝 软件的简短测试，证实其存于很是严峻的保险隐患，这些问题反应了代码内部的体系性缺陷。这款软件频仍使用了公以为不保险的编码要领，例如，广受争议的C字符处置惩罚函数sprintf以及fscanf。这款软件于设计上呈现了这么多问题，而且激发了伟大的进犯层面，因为 绿坝 要过滤以及处置惩罚所有互联网流量数据，年夜部门的代码将袒露于进犯之下。Alex于接管《科学新闻》邮件采访时暗示， 绿坝 打造商于其发布的更新版本中改正了测试陈诉中发明的第一个Web过滤隐患，可是， 纵然于更新以后， 绿坝 的Web过滤代码中仍旧存于着一样严峻的保险隐患，这可以被任何Web站点哄骗 。Alex以为，为了让 绿坝 真正保险靠得住，使命还很是艰难。算法机能堪忧于一个由 google文件 上自觉构造的 协作组 ，针对于 绿坝 编写的阐发陈诉中指出， 绿坝 的图象检测进程按照图象数据分散肤色区域以及非肤色区域，于对于肤色区域瓜葛举行阐发后去除了滋扰，提取区域的特性送入已经练习SVM分类器。当图象被检为色情图象后送入人脸检测器，若人脸不是重要部门便确定为色情图象。这个算法的重要问题是，色情图象的辨认严峻依靠在肤色以及肤色外形；而末了使用人脸检测加权判断也只是防止呈现年夜幅人脸辨认为色情图象问题的算法补钉，且经验权值的靠得住性缺少验证。对于在 绿坝 于筛选色情图片方面的体现，《南边周末》6月11日的文章声称， （ 绿坝 ）软件会对于年夜面积的黄色区域的图片敏感，对于年夜块黄色块的图片也会有误判。假如是黑、红肤色的赤身图象，步伐未能辨认。测试包罗呆板猫（蓝白色）、Kitty猫（红白色）以及加菲猫（黄色）邻近姿式图片的网页， 呆板猫 以及 Kitty猫 均能顺遂过关，有部门包罗 加菲猫 图片的网页被判定为不良消息网，被步伐过滤。 Alex的测试陈诉指出，除了了缺乏BSD许可声明以外， 绿坝 的XFImage.xml文件以及OpenCV步伐库中的haarcascade_frontalface_alt2.xml文件彻底一致，这注解 绿坝 使用了OpenCV库举行人脸检测。 绿坝 附带的cximage.dll、CImage.dll、xcore.dll以及Xcv.dll也来自OpenCV的库文件，都反应出 绿坝 重要使用了OpenCV来举行图象方面的处置惩罚。清华年夜学电子系图形图象研究所的一名传授向《科学新闻》暗示，OpenCV是Intel开发的开源计较机视觉库，此中使用C/C++言语实现了图象处置惩罚以及计较机视觉范畴的一些通用算法。OpenCV库的人脸检测算法重要接纳Haar特性以及AdaBoost分类器实现， 凡是将其作为人脸检测试验的基准比力算法，其机能纵然于试验室产物中也不算最佳，至在离现实运用的要求，差距就更年夜了 。Alex告诉《科学新闻》，他们尚未对于 绿坝 中的文本以及图象过滤器的算法机能举行体系的量化测试，但于对于图象过滤举行一些客观性测试时，发明很多黄色图片没有被制止。另外一方面，过滤器却又制止了许多非黄色图片，以至Alex本人于密歇根年夜学消息网上的小我私家照也包孕于内。Alex于测试陈诉中提出，已经有证据注解，于 绿坝 的地址过滤器中，相称多的黑名单来自在美国公司Solid Oak的过滤软件CyberSitter，他们还发明了一个加密的配置文件wfileu.dat，它援用了CyberSitter消息网的黑名单及下载链接。Alex指出， 绿坝 近来的更新再也不使用这些黑名单，但仍安装于计较机上，而且，当前可下载使用的 绿坝 版本依然包罗这些黑名单。 我不是状师。 Alex坦言， 我不想对于由此激发的法令问题举行评论，可是，如许做显然不太适合。 北京维诗状师事件所常识产权部的刘贝状师奉告《科学新闻》，假如 绿坝 简直包罗以上文件，则可能加害了Solid Oak公司的常识产权。一方面，假如技能上可以或许证实该文件来历在CyberSitter软件，则正常可以为金惠加害了Solid Oak公司的软件著述权；另外一方面，假如Solid Oak公司的CyberSitter软件中所包罗的技能于美国或者其他国度及地域得到了相干的专利权，则 绿坝 于相干国度/地域的安装实行会致使专利侵权的问题。此外，思量到金惠公司得到这些文件的路子，还可能触及加害贸易奥秘的胶葛。据称，Solid Oak公司将向中国有关方面提告状讼，该公司已经委托于中国的状师，对于中方这一侵权举动提起法令诉讼。《科学新闻》就此事发邮件接洽了Solid Oak公司总裁Brian Milburn，但截至发稿时还没有收到答复。关在 绿坝 使用OpenCV步伐库，刘贝暗示，OpenCV库接纳的是BSD（Berkeley Software Distribution）许可证，作为自由软件中使用最广泛的许可证之一，BSD软件对于非贸易运用和贸易运用皆免费。可是，BSD要求，对于BSD软件的源代码和二进制可履行类库/软件举行再发布时，需要于类库/软件的文档以及版权声明中包罗声明原代码著述人权力的BSD许可证。Alex于其后续的测试陈诉中声称， 绿坝 更新版本已经经于其帮忙文件中增长了使用OpenCV开源库所需要的BSD许可声明。可是，打造商消息网上正于发布的3.17版 绿坝 中仍旧没有包罗此BSD许可。推延强迫安装新华社6月30号征引中国工业以及信息化部报导称，中国当局将推延履行于小我私家电脑上预装 绿坝 过滤软件的决议。稍后于新华网中文版登出了《工信部新闻讲话人就绿色上彀过滤软件问题答记者问》，新闻讲话人就预装时间说： 最近，一些企业暗示事情量年夜、时间匆匆、预备有余。按照现实环境，可以推延预装。本着对峙标的目的、����APP分步实行的准则，７月１往后继承提供收集免费下载，继承于用在中小黉舍、网吧等大众场合的计较机上安装过滤软件，鼓动勉励已经装过滤软件的计较机厂商踊跃开拓市场。其他计较机怎样预装，工业以及信息化部将进一步征求各方定见，完美方案，革新要领，做好相干事情。 至此，周全奉行安装 绿坝 一事暂告一段落，此事可否就此灰尘落定，照旧将再起波涛，咱们会继承连结存眷。/江南