QQ產(chǎn)品博客：我們愿意為您的QQ帳戶安全做更多

Win7之家（ www.airtaxifl.com）：QQ產(chǎn)品博客：我們愿意為您的QQ帳戶安全做更多

新聞來源：QQ的產(chǎn)品博客

一個好友看到360的彈窗，于是在QQ上問我，QQ到底有沒有盜取用戶數(shù)據(jù)，有沒有監(jiān)控競爭對手？的確，這些天來，他不是第一個問我這個問題的人了。在這里，我可以斬釘截鐵的說：“QQ絕沒有進行任何用戶隱私數(shù)據(jù)的掃描、監(jiān)控，更絕對沒有盜取。產(chǎn)品出自我手，沒有人比我更清楚QQ的安全特性和邏輯。”

在360與QQ大戰(zhàn)硝煙彌漫的此時，作為QQ產(chǎn)品的開發(fā)者，我們依然在會議室里談?wù)撝�用戶需求，評審著用戶體驗，關(guān)注著用戶反饋的使用問題。我們深知無論何時，本著以用戶價值為導(dǎo)向的產(chǎn)品理念，是正確無疑的方向。正如我加入QQ團隊以來，與其他成員一起為了保護QQ用戶帳號和電腦環(huán)境安全所做的努力。今天，我想既然我一一說給我的朋友聽，不如將它寫給我們親愛的QQ用戶們。

安全檢查模塊的誕生——QQ為什么要進行安全掃描？

2007年，我加入公司2年的時候，QQ的盜號問題日益顯著，每天有過百萬的QQ用戶帳號被盜號者偷竊，或賣號碼獲取錢財，或在用戶登錄期間伺機發(fā)送廣告牟利。正是在這年，QQ團隊成立了專門的安全小組，負責(zé)保護用戶的帳號安全。我有幸成為其中一員，開始從事QQ帳號的安全保衛(wèi)戰(zhàn)。

針對惡化的木馬盜號現(xiàn)象，傳統(tǒng)防病毒軟件主要只針對病毒，對于專門盜取QQ號碼的盜號木馬，病毒庫往往更新不夠及時，因此防盜號的效果不好。在此狀況下，我們推出了專門針對盜號木馬的登錄前安全檢查功能。用戶根據(jù)設(shè)置，選擇每周、每天在登錄前檢查木馬病毒。程序在每次QQ登錄時拉取最新的盜號木馬病毒庫，在下次啟動QQ時，按照用戶的設(shè)置進行用戶內(nèi)存和文件的本地木馬檢測。

圖 QQ2008正式版中安全檢查功能

安全檢查模塊的機制——有沒有偷窺用戶隱私？

安全檢查模塊從08年起不斷優(yōu)化，一直沿用至今，它有效的防止用戶的QQ密碼泄漏。對于用戶產(chǎn)生誤解的是否該檢查偷窺和盜取了用戶的隱私數(shù)據(jù)，我想有必要再做強調(diào)。“偷窺”的前提是，1、閱讀用戶私人資料；2、將用戶私人資料上傳到服務(wù)器。我們兩件事都沒有做。

1.       我們沒有閱讀用戶私人資料：QQ安全模塊的掃描對象是可執(zhí)行文件（往往是盜號木馬的藏身之處）�？蓤�(zhí)行文件都是公開的程序文件，不是用戶的文檔、密碼等私人資料。模塊一旦掃描到非可執(zhí)行文件，則不會進一步閱讀，所以絕對沒有閱讀用戶的私人資料。

2.       我們沒有將用戶的私人資料上傳到服務(wù)器：安全模塊檢查可執(zhí)行文件的邏輯是在用戶電腦本地進行的，絕對沒有把文件上報的行為。

安全檢查模塊的優(yōu)化——為什么采用無體驗的方式進行檢測？

當(dāng)時有不少用戶不知道盜號木馬的危害，由于急于登錄，經(jīng)常忽略此特性，或中途取消查殺。為了讓更多的用戶使用上安全檢查特性，我們將安全檢查放在登錄后，并采用無界面提示的方式執(zhí)行，以便不騷擾用戶。一旦安全檢查發(fā)現(xiàn)盜號木馬，就會彈出窗口，提示用戶發(fā)現(xiàn)了木馬并提供清除功能。

　圖 檢測到盜號木馬時的彈出窗口
 

今天來想當(dāng)初的這個設(shè)計，用戶無感知本是我們盡量不打擾用戶，還能讓用戶最大可能得受到安全程序保護的設(shè)計初衷。但正是由于這個體驗，被360歪曲為QQ偷偷掃描用戶硬盤，偷窺用戶隱私。沒想到這么一個UI設(shè)計上的疏忽，卻帶給惡意中傷者一個歪曲的理由，從而帶給QQ用戶的困擾，對此我多少感到歉疚。對可能造成用戶誤解的地方，我們開始進行著持續(xù)優(yōu)化，相信一定能夠找到既不干擾用戶正常上網(wǎng)體驗，又能讓用戶了解更多查殺細節(jié)并提供更多查殺選擇的優(yōu)秀方案。對此，我們在2010正式版SP2.2中，主面板界面上增加了提示，顯示安全檢查的整個過程，讓用戶可以點擊查看檢測細節(jié)，并對CPU的占用心中有數(shù)。

圖 QQ2010正式版SP2.2中安全檢查功能

本地應(yīng)用軟件更新的提醒功能的誕生——為什么要做這個功能？

隨著我們對木馬程序的有效查殺，發(fā)現(xiàn)一些缺少系統(tǒng)和應(yīng)用程序補丁的計算機，會反復(fù)被盜號木馬入侵，清除了木馬，但隔幾天又會中毒。木馬病毒還會利用應(yīng)用軟件的漏洞入侵計算機。這時，保持本地應(yīng)用軟件最新就顯得至關(guān)重要。然而，普羅大眾的用戶，不一定會及時升級應(yīng)用軟件。于是在2009年， QQ與軟件管理器結(jié)合，推出了提示用戶軟件更新的功能。軟件管理器是一款提供主流應(yīng)用軟件下載和升級管理的軟件。我們期望通過這個功能，幫助用戶保持本地的應(yīng)用軟件最新，避免受到木馬攻擊。

本地應(yīng)用軟件更新提醒的工作機制——有沒有監(jiān)控競爭對手？

這個提醒機制在用戶的本地執(zhí)行，完全沒有數(shù)據(jù)上報，所以“監(jiān)控對手”這一說完全是無稽之談。QQ客戶端在登錄后，程序會向服務(wù)器詢問軟件管理器的下載服務(wù)是否可以提供，如果確認可以正常提供，便會啟用軟件管理器打包在QQ中的組件，該組件會從服務(wù)器拉取一個可供下載和升級的應(yīng)用軟件列表以及對應(yīng)的最新版本信息回來。這時，程序根據(jù)這個列表，與本地的應(yīng)用軟件進行本地對比。一旦發(fā)現(xiàn)用戶本地的軟件版本不是最新，就在面板下方軟件管理器圖標上面疊加一個紅星星，提示用戶可以調(diào)用獨立的軟件管理器去選擇更新。所有檢查的過程和出現(xiàn)紅星星的過程，均為本地邏輯。 這個特性即是被360大肆渲染的所謂“超級黑名單”，歪曲QQ利用這個名單，對用戶硬盤進行掃描，監(jiān)控競爭對手。其實該特性只是在本地做了軟件的版本檢查及對比，生成一顆升級提示的星星，不上報任何數(shù)據(jù)。為了避免用戶誤會，我們已經(jīng)把這個模塊的服務(wù)暫時停止。在后續(xù)的版本，我們將加上用戶可操作的設(shè)置，由用戶選擇是否進行這個本地應(yīng)用軟件更新提醒。相信優(yōu)化后的功能將更加易懂易用。

圖  QQ與軟件管理器結(jié)合的提示本地應(yīng)用軟件更新的功能
 

除此之外，多年來我們還為用戶打造了許多保護帳號安全和上網(wǎng)安全的功能，比如，密碼框軟鍵盤輸入工具、QQ鎖、安全貼士提醒、一站式安全服務(wù)窗口等。在為保護用戶帳號和上網(wǎng)環(huán)境安全方面的努力我們從未停止，也永不會停止。

能成為QQ安全團隊中的一員，我感到無比驕傲，以前如此，今天依舊。我們的工作，使用戶的網(wǎng)上生活更加安全，我們通過自己的創(chuàng)新，研發(fā)并提供了優(yōu)秀的安全特性及產(chǎn)品。任何一個關(guān)于產(chǎn)品的建議和意見我們都認真聽取并改進著。對于我們的功能被惡意中傷者利用，并肆意歪曲事實，引發(fā)QQ用戶對我們個別功能的誤解，作為產(chǎn)品的開發(fā)者，對當(dāng)初我們在產(chǎn)品設(shè)計上的考慮不周感到歉疚。但也感謝這段經(jīng)歷，它讓我們更加堅定，以用戶價值為目標的產(chǎn)品設(shè)計理念將永不會被中傷者所動搖。

十二年來，有用戶與我們相伴成長，才鼓勵我們在產(chǎn)品進步的道路上不斷前行。我們將不斷努力，陪伴用戶走得更遠。

騰訊產(chǎn)品博客 2011-11-4

關(guān)注：了解前因后果，點擊進入QQ、360生死戰(zhàn)專題 >>