(这条文章已经被阅读了 226 次) 时间:2001-08-10 13:42:33 来源:舒迅 (shuxun) 原创-IT
图文:Lycos搜索引擎到底会不会让用户的PC崩溃?
shuxun
赛迪网资讯中心8月7日发表的《Lycos搜索引擎可使用户PC崩溃》一文,指出根据外电报道,Lycos的搜索引擎中存在一个严重的bug,可使恶意的网页造成用户PC的崩溃。次日资讯中心又发表了《Lycos澄清其搜索引擎导致死机的报道》,其中Lycos中国公司解释说:“作为Lycos搜索引擎的结果页面,Lycos的技术人员把所有搜索到的网页的属性解释为是对网页的一段描述,所有的脚本代码(JavaScript/VBScript), 都经过转码,从而保证其不会执行,而只是显示。如果其中有JavaScript或VBScript,都只是显示其内容,而不是运行这段代码,所以,不可能产生恼人的跳出窗口,也不会对本地计算机的浏览器及硬盘的内容产生影响,所以用户大可放心……”
但是,事实研究是怎样呢?
对于Lycos搜索引擎这一bug的最早报道应该是今年7月中旬,8月初著名的搜索引擎研究网站:searchenginewatch.com正式公布了这一消息(原文见:http://www.searchenginewatch.com/sereport/01/08-security.html),searchenginewatch.com发布的文章中甚至给出了一个实例:即在Lycos搜索“www.digital-ca.com”这一关键词时,可以看到检索结果页面中,被Lycos索引的内容出现了两个表单(form),如图1(实例见:http://search.lycos.com/main/?query=www.digital-ca.com&rd=y)。
图1
我们可以看到,其实在Lycos搜索引擎的搜索结果页面中,被索引内容的HTML代码的确是被IE解析了,其原理大概是这样的:在正常的HTML代码中,开发人员如果想给出HTML的标志而不想让浏览器把它认为是正常的代码,就会使用“<”和“>”,例如,一个BODY标志将被写成“<BODY> ”,而这样的代码被Lycos搜索引擎索引后,却能被当做正常的HTML被IE解析,所以,如果有黑客利用这一bug,用&符号标出一个JavaScript指针,然后把它放在网页的顶端,就可以在Lycos搜索引擎的结果网页上运行JavaScript。如果使用Lycos搜索引擎的用户是第一次遇到这一搜索结果网页,从理论上讲,恶意的JavaScript脚本就会开始执行,并可以使用户的PC崩溃,甚至有更严重的后果。
我们知道,Lycos的网页检索是由Fast提供,然而笔者在Fast的大本营alltheweb.com对这个实例进行测试时发现,alltheweb.com并没有出现如同Lycos一样的情况。所以,可以认为这一个bug是Lycos在对Fast搜索引擎产品进行二次开发后造成的。令人遗憾的是Lycos所用的Fast搜索引擎以网页索引库7亿多网页数量更新周期控制在10-12天而在界业著名,但这一bug在7月中旬被发现后,Lycos一直没有及时的修正,Lycos搜索引擎的使用率虽然不能与Yahoo、AOL、MSN、Google等相比,当仍然是世界上使用最为广泛的搜索引擎之一,这一bug如果被人恶意利用,其后果将是严重的。但这也仅仅是理论上而已,目前根据笔者的查询,世界上还没有用户曾经因使用Lycos搜索引擎而造成PC崩溃的报道,可见这一bug是否已经被人恶意使用还是个未知数。
图2
值得一提的是,笔者在Lycos中国站进行测试时发现,Lycos中国搜索引擎并不存在这一bug,见图2。所以这一个可怕的bug也仅仅是在英文Lycos存在而已。正如一位国内著名搜索引擎的负责人对笔者所说,我们不可能因为某个产品有问题就不用了,即便如WINDOWS,问题依然很多,但我们却离不开它,搜索引擎也是如此。
附,今日lycos似乎已修正了这个bug,但未见正式报道。