【IT168 专稿】2006年5月McAfee首次发布了搜索引擎的安全性评估,2006年12月,它第二次发布了审视搜索引擎安全性的研究报告,近日再次发布了五大搜索引擎的安全性状态调查报告。
一、研究方法及主要发现
本次研究的方法是,首先根据Google、Zeitgeist、Yahoo!、AOL、Ask、Lycos、MSN、Wordtracker、Hitwise和其他行业来源的常见搜索列表,整理出一份大约包含2,300个常用关键字的列表。分别对五大搜索引擎中每个关键字搜索结果的前五页进行评估。然后根据搜索结果的位置和类型(自然搜索与赞助商链接搜索)分析站点的安全性。
站点安全性评估来自于McAfee SiteAdvisor的网站安全性数据库,该数据库中存储有820万个流量最高的网站(占Web总流量的90%以上)。
利用McAfee SiteAdvisor的总体评级以及对下列特定行为的组件评级,分析网站的安全性:浏览器漏洞、电子邮件、下载、诈骗、干扰(如弹出窗口)和前往其他此类站点的链接。
结果显示,在所有前五大搜索引擎的搜索结果中均发现了危险站点,且赞助商链接搜索结果的安全性仍大大低于搜索引擎的自然搜索结果。
图1、赞助商搜索结果安全性低
其中AOL返回的搜索结果最安全,而Yahoo!返回的结果中危险网站所占比例最高。
图2、五大搜索引擎返回结果对比
编者注:1、评定为“红色”表示该站点未通过McAfee SiteAdvisor的安全测试。例如,那些分发广告软件、发送大量垃圾邮件或对未经授权而对用户计算机进行更改的站点。
2、评定为“黄色”表示此站点参与某些活动,McAfee SiteAdvisor的安全性测试对这些活动给出了重要的安全公告信息。例如,发送大量“非垃圾”电子邮件,显示众多弹出广告或提示用户更改浏览器设置的站点。
二、搜索引擎比较
自2006年5月以来,Google、AOL和Ask返回的搜索结果的安全性不断提升,而Yahoo!和MSN返回的搜索结果安全性却在下降。AOL返回的结果是最安全的,而Ask的搜索结果进步最为明显,Yahoo!返回的危险站点比例最高,位列“榜首”。
图3、各搜索引擎对比图
图4、各搜索引擎安全性对比图
三、安全性风险类型对比
该项内容显示了搜索结果在下列方面的安全性:漏洞、电子邮件、下载、诈骗、链接
测试表明搜索结果在所有方面均有所改善,包括危险下载、大容量电子邮件或垃圾电子邮件、漏洞、诈骗和危险链接。
图5、搜索结果安全性风险类型对比
四、搜索结果类型安全性
该项测试主要是对比了五大搜索引擎的自然搜索结果与赞助商链接搜索结果的安全性对比。
结果表明,赞助商链接(付费广告)搜索结果的安全性有所提高,但是,赞助商链接搜索结果的危险性仍然较高,其红色和黄色等级的站点数是自然搜索结果的2.4倍。
自然搜索结果的安全性也有了适度的提高,但Yahoo!和MSN自然搜索结果的危险比例却在上升。
图6、赞助商链接搜索结果比自然搜索结果中更危险
图7、两类结果所占百分比
值得一体的是,赞助商链接搜索结果推广了诈骗站点。与自然搜索结果相比,赞助商链接搜索结果中诈骗站点(如出售自由软件的网站、带有误导消费性质的铃声网站,以及欺骗性的居家轻松赚钱网站)的比率要高得多。在所有赞助商链接搜索结果中,诈骗站点占3.2%,而自然搜索结果中只占0.07%。如果搜索引擎能将诈骗站点排除在赞助商链接搜索结果之外,就可以显著降低用户与这些站点进行交互的几率。测试表明,自从2006年5月以来,赞助网商链接搜索结果中诈骗站点的百分比已经从4.1%降到了3.2%。
图8、赞助商链接搜索结果推广了诈骗站点
另外,Google赞助商链接的安全性随链接出现的位置而有所变化。具体而言,显示在Google搜索结果最上方的赞助商链接一般都要比列在右侧的赞助商链接更为安全。只有当广告满足特定的条件(未正式公开,但一般认为包含点击率、相关性以及竞价)时,Google才会把它们置于页面顶端。我们放心地看到,Google认为质量较高的广告也是SiteAdvisor评估中予以肯定的广告。但尽管如此,即便是Google放在首位的广告,平均起来,其安全性仍然要低于自然搜索结果。
图9、按排名列出的Google搜索结果
六、总结:谁才是最安全的搜索引擎?
总体而言,搜索引擎结果与以前相比在安全性上已有所提升。根据McAfee SiteAdvisor的评定结果,无论是Google、AOL还是Ask,目前的自然搜索结果和赞助商链接搜索结果中红色和黄色等级站点的百分比都比去年的低。但Yahoo!和MSN比去年的危险性有所升高。据McAfee在2006年5月的测试,MSN和Yahoo!是当时最安全的两个搜索引擎,但目前,它们的搜索结果中包含危险站点的百分比却最高。2006年12月,AOL取代MSN成为最安全的搜索引擎。根据目前的分析,AOL在总体上仍然是最安全的。
各搜索引擎在赞助商链接搜索结果上的安全性差异最大。Ask的危险站点为4.1%,而Yahoo!则有9.0%。因此,用户在Yahoo!中点击广告后遭遇危险站点的几率是在Ask中的两倍。这些差异说明了搜索引擎对它们所推广的站点的控制力度。尽管搜索引擎可以寻求其他方法制止肆虐的可疑广告,但他们也可以制定并实施严格的编辑策略,将恶意广告拒之门外。遗憾地是,目前的指南主要是为确保广告内容的恰当,而不是网站的安全性。如果目标网页的质量与网站安全性有关,那么Google对目标网页进行的评估或许有助于过滤出危险的广告商。
然而,各搜索引擎竟连最臭名昭著、传播最广泛的诈骗广告都无法阻止,着实令我们吃惊,这有可能是搜索引擎出于商业目标的考虑。禁止恶意广告会减少搜索引擎的收入,因为出价购买广告位的广告商少了。因此各搜索引擎还是极力想留住这些广告客户,尽管他们令人厌恶。司法干预(以及这类干预的威摄力)也许可以进一步对恶意广告进行审核。例如,立法者最近要求取缔免费铃声下载的欺骗性网络联属营销,因为诈骗者在那里看似提供了免费的铃声,其实往往会让用户付出高昂代价。由于目前缺乏在线广告的法规实施,也使得一些不善者乘机蓄意搅乱搜索结果、发布误导性广告。随着干预面的加大加深,法律后果的威摄力有助于撇清搜索结果中的虚假广告。
尽管近期搜索引擎安全性的全面提升让我们受到了鼓舞,但搜索引擎用户在使用搜索引擎时仍然面临严重的安全性风险。平均来讲,各搜索引擎的用户每月进行43.1次搜索,每次搜索点击2.3个结果链接,这种情况下平均每8天就会遇到一个危险站点。积极的搜索引擎用户每天进行11次搜索,每天至少会访问到一个危险站点。
展望搜索引擎安全性的未来,我们很怀疑这种安全趋势是否会一直延续下去。安全搜索引擎和危险搜索引擎之间的差异随着时间的变化还会更加显著吗?如果会,那么安全搜索引擎就会从用户更多的信任中受益,用户也会得益于更好的用户体验。但指望搜索引擎将所有诈骗者和不善者都挡在搜索结果之外现实吗?
令人高兴的是,用户不必等待搜索引擎从搜索结果中清理掉危险网站,也可以安全地进行搜索。McAfee SiteAdvisor的安全评级可以帮助用户把握方向,“向”安全之路,远离危险站点。
