TikTok 力压谷歌微软登顶；微信 PC 版重磅更新；阿里云回应处罚；IE 将被淘汰；Log4j 连曝漏洞｜架构周报

本周架构视点：TikTok 力压谷歌微软，登顶 2021 全球域名流量榜；微信 PC 版重磅更新；阿里云回应处罚；IE 将被淘汰；Log4j 连曝漏洞；DuckDuckGo 将发新浏览器；违规使用开源代码，TikTok 遭质疑。

万万没想到

力压谷歌微软，TikTok 登顶 2021 全球流量冠军

近日，Cloudflare 整理发布《互联网年度影响力报告》，该报告通过综合统计应用程序使用情况及用户在网络浏览器上访问网站的时间来判断网站影响力。本次报告最大的一个看点是，短视频巨头 TikTok 击败 Google，登顶 2021 年互联网访问量最大的网站。

Cloudflare 表示，Google 高居全球网络流量榜首已久，2020 年还处于明显领先地位，当时 TikTok 还处于第七位。但今年以来，Google 单日流量已时不时被 TikTok 超过，到了 10 月 和 11 月，TikTok 在大多数时候的流量都超过了 Google。TikTok 不但超越 Google 成为最受欢迎网站，也超越知名的 Facebook 成为最受欢迎社交软件。

另外，在移动互联网端，TikTok 早已霸榜多时，在互联网统计网站 Sensor Tower 发布的报告中，自今年 2 月份以来，TikTok 便保持全球下载次数最多的非游戏类应用榜首。在今年 9 月份，TikTok 称其全球月度活跃用户超 10 亿。据称，TikTok 人气飙升的原因之一是新冠疫情的影响，因疫情在家的用户更愿意寻找娱乐内容。

完整排名链接：https://radar.cloudflare.com/

重磅更新，微信文件传输助手网页版上线

最近，微信 PC 版再次迎来更新，除了大家了解的“自动登录该设备”外，本次更新还带来了一项用户期望已久的功能，就是增加“仅传输文件”的选项。

用户在点击该选项后会自动跳转到微信文件传输助手的网页版，然后可以通过手机微信扫码进行登录。登录后打开的网页版文件传输助手仅支持接收手机传输的文件这一项功能，用户可以通过手机微信的信息栏顶部入口或是直接搜索添加“文件传输助手”为好友，随后进行文件传输。

这个功能一定程度上减少了用户的隐私泄露可能，如果只需要将手机的文件通过微信传输到当前的陌生 PC 上时，就可以不登录微信，只登录微信文件传输助手即可。虽然微信有很多让人诟病的地方，也希望它能变得更加人性化，至少最近的几次更新让用户看到了一点诚意。

阿里云回应工信部处罚：早期未意识到 Log4j2 漏洞的严重性，将强化漏洞管理

事件起因源于今年 11 月 24 日，阿里云安全团队发现 Apache Log4j2 组件存在远程代码执行漏洞，并将漏洞情况告知 Apache 软件基金会。 但是作为工信部网络安全威胁信息共享平台合作单位的阿里云，没有及时将这个安全漏洞报告给工信部网安局。直到 12 月 9 日，工业和信息化部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构的报告，称 Apache Log4j2 组件存在严重安全漏洞。

工信部称，阿里云发现网络安全漏洞却不及时向电信主管部门报告，未有效支撑工信部开展网络安全威胁和漏洞管理，因此暂停阿里云作为工信部网络安全威胁信息共享平台合作单位的资格半年，并在暂停期满后，根据阿里云公司整改情况，再研究是否恢复其合作单位的资格。

此后，阿里云发布了一份关于 Apache Log4j2 的详细声明。声明称，阿里云一名研发工程师发现 Log4j2 组件的一个安全 bug，遂按业界惯例以邮件方式向软件开发方 Apache 开源社区报告这一问题请求帮助。Apache 开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

声明还指出，阿里云因在早期未意识到该漏洞的严重性，未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识，积极协同各方做好网络安全风险防范工作。

违规使用 OBS 开源代码，TikTok 遭质疑

TikTok 正在开发一款名为 TikTok Live Studio 的全新 Windows 桌面直播应用，据称，这是一款允许用户允许用户从游戏等桌面应用中直播视频的直播软件，此举似乎是想让 TikTok 脱离移动设备，像 Twitch 一样在 PC 游戏直播市场分一杯羹。

但该软件上线后便遭到了质疑，推特用户 HunterAP 称，他发现 TikTok Live Studio 涉嫌在未遵循 GPL 许可的情况下使用 OBS 的源代码。OBS 使用的 GPLv2 开源许可表明：只要一个软件使用过 GPL 协议下的产品，该软件产品也必须采用 GPL 协议，并且必须是开源的。TikTok 并未开源其直播软件“TikTok Live Studio”。

从 TikTok Live Studio 的反编译代码来看，安装程序似乎与 OBS 的安装程序巧合，这一点也经过 OBS 开发者 Ben Torrell 发文证实。OBS 称，“从 TikTok 流媒体应用的完整反编译可以看出，它在实际构建中使用了多个 OBS 代码实例，比如游戏抓包。我们承诺真诚地处理违反 GPL 的行为。对于 TikTok/Bytedance，只要他们遵守许可，我们很乐意与他们建立友好的工作关系”。

目前，TikTok 已删除 TikTok Live Studio 发布下载页面，暂时未对此事做出回应。

IT 科技新闻

Log4j 连曝漏洞，何时是个头

12 月 9 日，Apache Log4j2 被曝出一个高危漏洞，攻击者通过 jndi 注入攻击的形式可以轻松远程执行任何代码。该漏洞被命名为 Log4Shell，编号 CVE-2021-44228。随后官方紧急推出了 2.15.0 和 2.15.0-rc1 新版本修复，依然未能完全解决问题。

12 月 12 日，安全公司 Blumira 发现 Log4j 漏洞出现了另外一种攻击载体，它通过使用底层的 JavaScript WebSocket 连接，通过驱动式的破坏，在本地服务器上触发远程代码执行（RCE）漏洞进行攻击。换句话说，攻击者可以利用漏洞攻击那些并不暴露于任何网络内部系统中的以 localhost 运行的服务。12 月 14 日，Apache Log4j 2 团队发布了 Log4j 2.16.0 版本，主要修复第二个漏洞 CVE-2021-45046。

12 月 15 日，安全公司 Praetorian 的研究人员警告说，为修复最初的 Log4Shell 而发布的 Log4j 2.15.0 版存在第三个安全漏洞。在某些情况下，攻击者可以利用第三个漏洞来窃取敏感数据。不过 Praetorian 表示，为了避免出现更大的问题，不会公开分享技术细节，但已经将相关细节告知了 Apache 基金会。

12 月 17 日，Apache 软件基金会紧急发布了修补后的 2.17.0 新版本，并随后发布了一个新补丁。官方承认 2.16.0 版本无法在查找评估中妥善防止无限递归，因而易受 CVE-2021-45105 攻击的影响。

虽然已经过去了十多天，但 Log4j 中暴露出的安全漏洞仍在肆虐。

新图片格式 QOI 开源，比 PNG 快 20 倍

国外一位开发者 Dominic Szablewski 做出了一种新的图片文件格式，他将其命名为 QOI：Quite OK Image Format，中文译为相当好的图片格式。

作者 Szablewski 表示，他认为世界需要一种新的图像格式，因为 PNG、JPEG、MPEG 等等“充满了复杂性”。他还提到，大多数常见的编解码器都是陈旧封闭的，需要庞大的库，计算量大且难用。Szablewski 认为他可以做得更好，所以就开发了 QOI 并将其开源到 GitHub 上。

Szablewski 也承认 QOI 不会像优化 PNG 编码器那样压缩图像，但他声称“无损压缩的 QOI 图像也能拥有与 PNG 相似的大小，同时提供 20-50 倍的编码速度和 3-4 倍的解码速度。”

目前，已经有一个 Linux 发行版 SerenityOS 支持了 QOI 格式，也有许多不同语言和库利用 QOI 实现。至于 QOI 能掀起多大的浪花，还需要时间来证明。

项目地址：https://github.com/phoboslab/qoi

DuckDuckGo 将发布新浏览器，不使用 Chromium 核心

DuckDuckGo 宣布将于近日推出 PC 和 Mac 可用的浏览器，专注于让用户更好地控制他们的浏览体验，并防止他们在网上冲浪时被跟踪。该程序以注重隐私的搜索引擎命名，将以直观、轻量级的方式将移动应用程序的优势带到 PC 上，远离谷歌的影响。

不过，DuckDuckGo 并未透露 PC 和 Mac 可用的浏览器会在什么时候推出，只说明不会使用 Chromium 等现有第三方浏览器核心。早在今年 3 月份，DuckDuckGo 曾公开批评谷歌会追踪用户隐私，不使用 Chromium 也在意料之中。

DuckDuckGo 已经针对 Android、iOS 平台提供浏览器应用，但在 PC 和 Mac 平台尚未提供，这次是通过移动版浏览器形式以自行打造方式设计，借此确保用户浏览网页时的隐私安全，并且以更简单方式让用户了解个人个人隐私被如何使用。只不过新的浏览器核心是否能在浏览器市场冲出一条新赛道仍是未知之数。

IE 即将淘汰：Win 10 弹窗建议用户切换至 Edge

近日，有用户发现，在 Win 10 上访问 IE 浏览器的时候，会出现弹窗建议用户使用 Edge 浏览器。该弹窗告知用户，IE 浏览器正在被淘汰，并建议用户使用 Edge 浏览器以获得更好的浏览器使用体验。

早在今年 6 月，Windows 11 首次发布后，微软就确定 IE 浏览器将在 Windows 11 中被放弃，Edge 会作为新的默认浏览器。而从 2021 年 8 月 17 日开始，部分微软应用和服务也不在支持最新的 IE11 浏览器，而到了 2022 年 6 月 15 日，IE11 桌面程序将正式开始退役。不过在 Windows 10 的 LTSC（长期服务渠道）中将继续包括 IE 浏览器，并且对 IE 模式的支持至少会到 2029 年。

目前来看，如果你对 IE 浏览器仍有需求，比如报名考试、机关单位官网、银行网页等等只兼容 IE，那么 Windows 10 LTSC 版本是比较合适的选择。不过 Edge 浏览器也提供了兼容模式供用户临时选择。