博客首页|TW首页| 同事录|业界社区
2012-03-02

前些天发生了某银行用户信用卡未离身遭盗刷的情况,该银行称凭密码交易银行无责。

由于信用卡设置密码之后,银行就不负责任,因此以我多年的信用卡使用经验,用户可以考虑从以下几个方面来保证信用卡的安全使用:

1、选择提供失卡保障的信用卡发卡行(购买过保险的银行,比如我使用的招行的普卡是有1万元赔偿额度。);

2、不设置密码,(信用卡一设置密码,银行就不会赔偿损失了。没有密码的话,保险公司会帮银行赔偿用户损失,设置密码后,就是用户保管密码不当的问题了,这种情况保险公司不赔偿。);

3、不开通ATM提现,不开通网银;

4、消费额度调整1万元以下(大多数失卡保障只保1万元);

5、盗刷后24小时内联系银行,已经以上步骤,信用卡被盗刷后,可以向银行申请补偿, 每年有1万元的保障。

从理论上讲,凭签名消费的信用卡丢失或被盗后,由于不是本人签字,在追究责任时,笔迹专家很容易就分辨出真伪,责任就转移到了刷卡的商家身上,因为商家有义务核对清楚签名,如果签名模仿得非常逼真,商家的收银员分辨不出真伪,那么保险公司将根据协议向银行赔付,持卡人不需要承担损失。

国内很多银行在发行信用卡时也都承诺,信用卡丢失后只要及时向银行挂失,则挂失前24小时或者48小时内(各家银行具体规定不同)发生的被盗用损失将由银行分担。而在密码确认制下,一旦卡片和密码丢失被盗刷或提现,损失可能完全由持卡人承担。

虽然如此,但是中国的银行服务和信誉都不好,无密码信用卡遭盗刷,持卡人获赔也非易事。持卡人需要向银行挂失后,还要提供公安部门出具的被盗刷报案证明,填写银行《失卡保障受理表》后,再等待银行核实,一般盗刷发生后银行都先入账由持卡人承担损失,破案后才能返还。

2012-02-29

也许对Apple来说,Nokia从来就不是什么王者,所以他们可以轻易地踏着其傲人的市场数据而过,去开拓属于自己的疆土。——题记

和封建的君主制一样,管理者贤明则光明一片,管理者黑暗则浑沌异常。所幸苹果公司属于前者,在已逝乔布斯的带领下,已经达到了前所未有的高度。所以大家对乔布斯的生病如此关心,乔布斯的咳嗽都可以影响华尔街的股价。其实与其说乔布斯是一位贤明的君主,倒不如说他是一个聪明的人,从2007年7月发售1代的iPhone开始,到现在的iPhone4,我们可以看出乔布斯构建苹果公司整个生态体系的3个要素:

1.给你我们认为最好的体验

在苹果的字典里,用户这个词可以有很多种解释,“购买者”,“体验者”,“粉丝”,但是从来没有一个含义被解释为“上帝”。乔布斯多次表达过“用户不知道自己要什么”的观点,所以苹果的做法很简单,制定整套规则,也就是前述的“统一”,然后尽量微调到最佳状态。道理很简单,既然你不知道你要什么,我们就来告诉你你需要什么。所以iPhone 1代发布的时候可以连摄像头都没有,苹果全部产品连电池都不可更换,MBA的接口更是少的可怜。用户在这里被抽象成一种参观者的状态,你无法干预整个过程,你只需看到一个华丽的结果。而要能把这个理念做好的基础就在于“统一”。

2.提高盗版门槛

对于苹果移动设备最津津乐道的话题就是越狱,绕过App Store的限制来安装软件,苹果设下重重限制,对于苹果和开发者,这是一个双赢的决定,具体可以参见下面的这张图。只有提高了开发者的兴趣,才会有更多优质App的出现,而事实证明消费者为了让自己舒服愿意支付费用,只要这个费用合理。而有了消费这个强劲的理由,一个完美的自循环体系的闭环就形成了。

 

 

苹果体系的正向循环

而没有办法遏制盗版的结果,看看PC平台上的单机游戏就知道了。

3.崇尚封建制

在我们平时的印象里,IT和封建是两个截然相反的词汇,IT的骨子里应该更多的应该是开放和兼容并包。可是苹果却反其道而行之,机器配置,硬件设计到软件结构,以及App Store的生态链,开发iOS程序必须以OS X为平台,甚至连用户如何体验都是苹果说了算。苹果如同神灵一般勾勒并且制定了整个规则。而在手机这片红海,除了以黑莓当家的RIM,从来没有一个厂商有如此可怕的控制欲。而封建制的效率体系在乔布斯手中发挥的淋漓尽致,因为当统治者足够强大时,封建制将拥有远高于民主制的效率,不需要讨论,不需要会议,不需要流程,只需要一个命令和一个制定好的规则,对于整个Apple生态体系,都验证了Jobs对于封建制的深深迷恋。

这个模式所带来的优点是显而易见的:

1、消除不确定性:除了生产,苹果制定了整个游戏的规则,这将使得整个环节的不确定性降低到最低,也使得苹果能对每个环节都提供专业的服务。

2、便利开发者:对于开发者来说,统一产品模型对代码,尤其是界面的适配带来了巨大的便利。这点对于Android来说体现最明显。

3、品牌打造:这将决定消费者的品牌认知感,不管是哪一个产品都能让人察觉到Apple的烙印,这是一个无与伦比的品牌宣传。

很多时候,封建制对于国家可能不是好事,但是在商界,却可以有另外一种结果。而很显然,Jobs的这些措施影响的不仅仅是Apple,Microsoft也对此摩拳擦掌,跃跃欲试。我将在下一篇文章中谈谈这些手段是如何影响到Microsoft这个行业巨头,以至于让其在Windows Phone 7的构建上做出某些让人难以理解的举动。

来源:作者Albert Gao投稿,原文链接。

2012-02-28

在 Google ,我(前 Google 工程师 Edward Ho)和我最优秀的产品经理一起工作过,我会根据自己的经历出一个列表。由于我不是项目经理,所以这些结论都是我在 Google 观察最优秀的产品经理后的结果。

1. 对产品以及所有相关的问题负责。这会让你积极主动,你是第一个寻找bug的人,第一个与用户沟通的人,以及第一个担心产品是否合格的人。你总是第一个自愿为产品或团队做各种任务的志愿者,像是做会议记录、给客户发邮件、填补临时的空缺、为bug确定优先级,或是快速做出一个实体模型。始终持有这样一个想法:这不是别人的责任,这就是你的责任。当你这么做的时候,你会发现第2条会更容易。

2. 具备难以置信的说服力。(我不知道这是如何做到的,但每天我都会看到)你希望把事情完成,但你不是负责人,所以只能去说服别人。没有哪个团队向你汇报,也没有任何人会按照你的说法行事。在 Google ,你需要通过使别人信服而不是发号施令来完成事情。如果你正在做第1条,事情会变得简单,因为每个人都知道如果有人攻击这个产品,你和他们会位于同一个战壕。

3. 成为一名工程师。我并不是说你真的需要为产品编写代码。我想说的是,你应当像一名工程师那样对产品的构造过程具有好奇心。你应该了解产品功能在开发过程需要的成本,以及为什么开发成本会变得这么高。那个特性使用的是什么算法?为什么这个页面会呈现得很慢?大的架构变动对产品会产生影响,团队中的每个工程师都会对此非常重视,你也应该如此。如果你遇到项目的负责人,他们想要知道一些具体的事情,你应该能够为他们解释一些主要的工程方面的决定以及之前的利弊权衡。在谷歌,最好的的产品经理都会尽可能地变得更加技术化并乐此不疲。

4. 积极,再积极一点。你的团队很可能全部由工程师组成,并且中的一些可能非常愤世嫉俗。一个非常积极向上的产品经理能够在团队中创造一种包容的氛围。尽管每时每刻都保持积极看上去很可笑,但是积极是有传染性的,你的团队会依赖上它。请记住,你和主要的工程师(技术负责人)可能会列出百万种让你沮丧的事情,但是团队中的其他人不应该知道这一切。因为你是产品经理,所以不应该沉浸在自己的担心中,这样会帮助他们更好地完成工作。你就是团队面向整个公司其他部门的窗口和信使。如果你变得消极,团队就会因此认为公司里其他人也是这么看待他们的工作。

5. 不要自我推荐。这是显而易见的,如果你这么做了,不但非常无聊而且对自身也有害。赞美团队中的其他人,你和技术负责人(们)已经是项目的主要联系人,因而不要做任何的推荐。如果你拿别人的辛苦劳动用来为自己博得赞赏,你不仅错了而且不会得逞。要心胸宽广。无论是撰写项目博客,还是产品新特性的午餐视频发布会,最优秀的产品经理都应该推荐团队的其他成员。看看谷歌最优秀的产品博客,你就会发现这些博客的作者并不总是由产品经理,反而会是团队中的各个成员。产品经理会积极推荐其他人。(请不要误解我这里所说的“推荐” promotion ,这和升职是完全不同的。顺便说一下,在谷歌升职是和绩效考核紧密相关的。)

6. 无所畏惧。这个名词如果是作家来解释可能会更好,但请你不要被字面意思所迷惑。最好的产品经理向领导汇报的内容和给团队中的工程师或设计师讲述的内容应该是一样的。如果你在被领导质问产品设计所作的决定时默不作声,你肯定不会成功。做出简洁明了的回答,并无所畏惧地为你团队的创意辩护。

希望上述内容能有所帮助。

英文原文:Edward Ho 中文编译:伯乐在线 – 唐尤华

2012-02-27

中国微博的高速发展是从2010年开始的,这一年当中微博的概念得到了空前的传播,各大门户网站也在这一年纷纷开通微博频道,以新浪、腾讯为代表的微博之争愈演愈烈,微博以高速增长的态势引领着中国互联网服务的发展。经过这一年来的激烈竞争,2011年中国的微博依旧是比较受欢迎的服务,但总的增长速度有所降低,甚至出现了一定下降,这说明微博服务经过一两年的高速发展后,行业开始逐步进入平稳期,本文通过百度指数和谷歌趋势两个第三方系统对于目前国内各个门户微博进行一番统计。

百度指数和谷歌趋势都是通过用户在百度和谷歌的搜索量为数据基础,以关键词为统计对象,分析并计算出各个关键词在搜索引擎网页搜索中搜索频次的加权和,并以曲线图的形式展现。谷歌网站趋势还可以分析所有网站的流量和受欢迎程度,类似Alexa工具。下面月光博客就以百度指数、谷歌趋势、谷歌网站趋势三个工具对于2011年的门户微博流量和搜索量进行一份统计和分析,门户微博选择流量较为排前的四大门户微博:新浪微博、腾讯微博、搜狐微博、网易微博。

先使用百度指数来分析各个微博关键字的关注度,根据百度指数显示,在用户关注度上,“新浪微博”和“腾讯微博”的图表显示,新浪微博的知名度依然大为领先腾讯微博,但2011年新浪微博的增长势头放缓,甚至出现了下降趋势。 

 

腾讯微博和网易微博,搜狐微博的用户关注度比较看,腾讯微博还是具有领先优势,并且呈现上升趋势,网易微博,搜狐微博的用户关注度平稳地下降。 

 

四大微博在谷歌趋势上的关注度和百度指数的数据基本一致。 

 

通过谷歌网站趋势可以大致估算出各个门户微博的实际流量情况,以下是四大门户的流量对比。

 

 

数据解读:

1)谷歌网站趋势显示的流量数据与百度指数和谷歌趋势的关键字搜索量差距很大,其中腾讯微博的数据变化最大,新浪微博早先的“一枝独秀”忽然变成了和腾讯微博的“二龙戏珠”,可见腾讯微博的用户对于搜索引擎的使用率偏低,而过于依赖QQ客户端。

2)谷歌趋势的流量数据显示,新浪微博在2011年4月份开启了新域名weibo.com,因此四月份之前没数据,而在2011年全年大部分时间里,腾讯微博流量数据均超过新浪微博,直到年底才被新浪微博反超,从这里也可以看出,新浪微博的流量和知名度均较为领先,但新用户增长速度已经趋缓,而腾讯微博的流量太依赖QQ客户端,使得其实际流量与用户知名度形成较大反差。

3)2012年1月份是春节放假,此时腾讯微博的流量下降较快,而新浪微博的流量则在这时反超腾讯微博,我估计这方面的原因,可能是因为1月份方舟子、韩寒的论战在新浪微博进行的如火如荼,这一事件营销导致新浪微博的流量得到不少提升。

4)无论从流量和知名度上看,搜狐微博和网易微博都已经没有机会了。

5)从百度指数上看,新浪微博的百度搜索量高的惊人,不仅仅超过了国内最大的SNS网站人人网和开心网,并且在年中超过了QQ,但下半年增长速度趋缓,并没有将优势拉大。

 

 

6)腾讯微博的流量过于依赖QQ客户端,缺少像新浪微博那样的事件炒作案例,因此在竞争中处于一定劣势。

7)从商业模式看,投资者希望新浪把自己打造成一家类似于Facebook、不仅依赖广告的企业。对不差钱的腾讯而言,所有这些都不算什么问题。尽管腾讯也推出了自己的微博,但腾讯微博主要是做为拖住新浪的一种工具,确保新浪不会挑战腾讯在中国社交网站领域的领先地位。

总的来看,和2010年微博的高速发展不同,经过1年多的发展后,微博的发展趋缓,甚至出现了一定程度的下降趋势,可见,微博做为一种新型服务,在经过了一段时间的高速发展后,行业开始逐渐进入平稳期,随着2012年3月份微博实名制的全面实施,将导致微博行业逐渐进入到洗牌期的阶段,微博服务是否能继续发展可能会面临一定的挑战,因此,在未来的发展过程中,各个门户微博企业需要做出不断进行功能创新,保持用户黏性,提高自己的核心竞争力,才能在未来的发展中占有一席之地。

2012-02-22

去年底爆发的互联网泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中,该用户还测试了其他品牌的手机浏览器。

为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,手机端通过这个WiFi热点上网。

 

 

在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。

  

为什么HTTPS是安全的?

HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。

我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。

比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解。但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。

可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。

UC浏览器的问题

从上面的分析可知,使用手机内置的浏览器,在不安全的WiFi下访问HTTPS仍然是相对安全的,然而UC浏览器是一种中转压缩的技术进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到附近的一台UC服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。

针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。

对UC用户的建议

目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。

剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争。为什么叫神仙战争,因为你根本看不懂这五篇报道。

1,《谷歌被曝绕过Safari隐私设定追踪用户浏览记录》

2,《谷歌因Safari隐私问题遭用户起诉侵权》

3,《微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”》

4,《微软宣称谷歌秘密记录IE用户》

5,《Google回应微软称P3P隐私策略已不适用》

在前几篇文章中,笔者介绍了网络信息收集,广告流通手段,以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以,专业人士可以无视它。

我们就来看看这些和外交辞令没什么区别的新闻,到底在说什么。

报道-1: 

 图1,Google Plus同时使用Google Analytics与Doubleclick收集用户信息

在最早一起报道中,有人指责当使用Apple Safari访问Google Plus服务时,谷歌绕过了Safari的Cookie策略,进行了追踪用户的行为。

事实:

Google是最大的互联网广告商,它通过Google Analytics,Doubleclick,Google Adsense,Google Admob等一系列业务进行广泛的用户兴趣爱好收集,和相应的广告投放业务。

使用浏览器访问Google Plus时,会从一系列域名请求不同的内容,以组成Google Plus的网页,其中,有两个域名对达成Google Plus本身的页面,功能而言是完全不必要的:它们分别是doubleclick.com和google-analytics.com。

google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联,但不等同),并收集该网站(这里就是Google Plus)的用户行为;doubleclick.com的作用也类似,但侧重于让谷歌的广告系统在别的网站上也能认出该用户,以投放精准广告。这些编号存储在cookie中。然而,Safari默认不允许第三方网站设置cookie,也就是说,在本例中,只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的,谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下——这就是所谓的“绕过Safari隐私设置”。 

 

图2,Apple Safari默认不允许来自第三方域名的内容设置cookie

报道没有提到(隐瞒)的事实:

1,所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于,有的浏览器是借助IE核心运行的,它们往往和IE使用同一个Cookie配置设定)。

2,谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的

报道-2:

没过几天,微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范”

事实:

在IE6刚推出的时候,浏览器往往支持一个由W3C设立的,基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”,它要求第三方网站在需要跟踪用户时,向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别,当双方不一致时,浏览器就会提醒用户是否愿意接受网站的条款,若用户不愿意,则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而,事实上浏览器最多只能在Cookie的程度支持P3P。

  

P3P的本意是想达到一种“明码标价”的作用,一方面通过网页代码让浏览器识别,另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情,目前只有IE系列(6,7,8,9)浏览器强制开启了P3P,并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性,当网站给出的精简隐私政策不符合规范时,IE依然会允许该网站读写Cookie。

因此,和Apple的不同,当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时,谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。

另一方面,事实上P3P是普遍不被接受的,但是为了与IE保持兼容,广告公司可能会给出P3P条款,但其它网站通常会“伪造”一份P3P协议,类似于Flash使用跨域名内容时必需的crossdomain.xml,这些“伪造”的协议只包括了浏览器能阅读的部分,并没有可供人阅读的正式文本。

不被(第三方)浏览的浏览器

微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’,拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动”

笔者在之前的文章中提到过IE追踪保护功能的亮点:自动识别用于收集信息的第三方内容,并加以阻止。

更好的选择

和P3P一样,现在W3C又推出了一个”Do Not Track”的标准,允许用户在不希望网站记录用户行踪时,向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说,如果你真的想控制信息的流出,你就应该在你的主场,也就是你的浏览器上下手,而不是像慈禧太后那样“量中华之物力,结与国之欢心”,把责任推给对方。

真正有用的,是跟踪保护,以及各种形形色色浏览器扩展所提供的功能。特别是后者,它们不站在大公司的角度,是真正的接受用户“用脚投票”的工具,自然会卖力地帮助用户减少信息泄漏。当然,其中的大部分又是业余时间的兴趣之作,没有质保。

UC浏览器访问HTTPS网页的泄漏问题

这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。

事实

UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能):通过代理服务器将网页重新排版、压缩,使得页面适应手机屏幕,并减少流量消耗。对于一般的明文连接,这没有问题。但是这项功能不兼容加密的HTTPS连接,唯一的方法是让代理服务器负责与目标网站进行HTTPS握手,这样代理服务器才能知道HTTPS连接中被加密的内容,从而将其重排版、压缩而转交给用户。

这么做有巨大风险:

1,HTTPS保证了只要服务方和证书提供方没有问题,则只有用户和服务方本身才能知晓双方通讯的内容,有很高的保密性。UC浏览器破坏了这套安全系统,导致信息在UC方的代理服务器与用户之间的传递变成明文,如同公厕。

2,用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的),光是这一点就已是涉嫌犯罪的行为了。

报道没有提到的事实:

UC强调“因访问钓鱼WIFI”,却有意忽略了问题的本质:UC浏览器本身破坏了HTTPS连接的安全性,导致了原本即便经过钓鱼WIFI热点传输,也依然安全的连接,变成了明文的,谁都可以看到的无线数据。

我们知道,公共WIFI热点一般都是不加密的,这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子,完全不需要辛苦地钓鱼,只要拿一台笔记本电脑,在有公共WIFI热点的地方坐上几个小时,就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。

为什么UC会“本末倒置”?

如果UC要确保用户的安全,就必须放弃对HTTPS网页进行云端加速,站在UC的角度,这也许是不可接受的。同样的,千方百计地通知用户:进行云端加速则会失去HTTPS页面的安全性,同样也可能是无法接受的。如同最近的熊胆事件一样,如果你把一生都放在熊胆提取上,你会允许别人“说三道四”吗?

笔者认为,应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页,直到这些软件提供明确的说明。这样,在保护自己的同时,也不会触犯任何一方的利益。

原则

第一方记录你的浏览历史是无可非议的,当然你总是可以不提供任何信息(通常而言,这总是意味着你无法使用该服务)

所有第三方内容都可以被阻止,只要不影响你的正常使用(第三方需要为自己负责)

但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中,以便均衡负载压力,分类不同内容,或是因为确实需要由第三方向用户提供服务。这个时候,用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。

有人觉得,因为国情,大家都不注重个人隐私,以上内容都是空谈。

事实:所有你的信息最初一定都是由你提供的,除非碰到病毒(其实,病毒也是你‘不小心’,或这是‘默认地’请进来的)或者是刑侦需要,所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义,广告商往往需要为某一项具体行为付出一定的责任,用户在提交信息时更有信心;而在这里,你更需要依靠自己。

无论在哪里,早起的鸟儿有果子吃。如果不愿意早起,还是等天上的掉下的馅饼更好。

Google在一份声明中说“需要强调的是,这些广告Cookie不会收集个人信息,这一点很重要”。

那么笔者也学着“强调”一下:只要是收集信息的内容,不管它和个人有多深的关联,用户总是可以阻止,这一点很重要。

来源:fcerebel投稿。

2012-02-21

随着移动设备越来越先进,对HTML5的支持度越来越高,我们进军移动领域的时候,都会遇到一个问题,是选择HTML5和还是Native(用原生代码编写的本地程序)?HTML5的前景无疑是诱人的,一句“Write once, run anywhere”就可以秒杀一切。笔者最近两年来对HTML5与Native有较为深入的研究,觉得两者之间不能仅仅是二分法来选择,还要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择。

HTML5的发展前景我无疑是非常看好的,各大公司也不遗余力的推动,目前主流的三大智能机操作系统iOS、Android和WIndows Phone都已经支持大部分的HTML5特性。而移动设备硬件军备竞赛也为HTML5扫清硬件障碍。按照现在的发展速度,我判断是在三年以内甚至更快,移动设备运行HTML5将会完全没有压力,无论是标准还是硬件。现在主流的智能机已经配置双核处理器(之前笔误为浏览器)和1G及以上的内存,今年再出智能机没这个配置你都不好意思发布了。

谈谈HTML5

1.HTML5可以让你摆脱对平台的依赖,用户打开浏览器,直接就可以访问你的应用,而不需要经过各种Store的审核。

2.实时更新,通常平台的审核都需要七个工作日左右的时间,如果你发布之后发现问题怎么办?Web方式就不存在这种问题。

3.Write once, run anywhere?

这是多少程序员的梦想,也曾经是Java让人心动的地方,但真正做过跨平台解决方案的人都知道,这只是一句口号而已,跨平台没那么容易玩转的。没错,HTML5可以实现Write once, run anywhere,但我们总不能写一个Hello World来run anywhere吧。不同平台有自己的特性,不同平台用户也有自己的操作习惯,如果你想讨好所有人,也就意味着你无法讨好任何人。

4.减少开发工作量或者让开发变得更简单?

对老板来说,这是一个非常诱人话题,因为工作量的减少就意味着节省更多的钱,没有老板不喜欢用更少的钱办更多的事。而且目前一个非常大的问题是,移动设备开发人员特别是iOS开发人员非常不好找,因为技术好的都自己做应用了,人家自己也能赚个月薪上万甚至更多,为什么要进你的公司?怎么说也是自己的事业,拥有无限可能,还可以充分享受自由。但如果可以充分利用HTML5,那么我们就可以招聘Web前端的开发人员来构建移动应用,这样就不愁招人的有问题。因为在许多人的眼里,HTML5/CSS/Javascript都是没多大技术含量的东西,实在找不到人,找些实习生学学也就会了。

但问题是,工作量真的会减少吗?技术门槛真的那么低么?答案是NO!

我曾经花了半年的时间去开发一个基于HTML5的移动框架,用来模拟Native应用,让HTML5应用看起来尽可能看起来像本地应用,注意:是像。这有点像jTouch,但不一样的是,它能和Native程序很好地交互,并且能调用本地资源等等特性。但最后结果确不是那么令人满意,比如HTML5在动画切换的时候,有时候候会有一些莫名其妙的问题,当然你可以告诉我把动画效果关了,但这看起来很死板,最后我不得不关闭某些动画。而用Objective-c编写程序就没这么多事了,几句简单的代码可以实现很酷的动画,用HTML5需要更多的代码,甚至根本无法实现。

而且移动设备上的HTML5开发对开发人员的技术有非常高的要求,不是一般的Web前端人员能解决的,通常拥有这样技术的人才,工资水平也不会比Native开发人员低多少。如果你仅仅是要开发一个移动设备上的网站,这会简单很多,但如果你希望模拟Native应用,并且拥有较高的效率和优雅的用户体验,这就很有技术含量了。不要小看Javascript这类Web开发语言,通常我的看法是越简单的语言越会体现出技术人员的水平,特别是规划设计能力。

5.其它问题,资源调用的限制,比如说在iOS中有Javascript运行不能超过15秒的限制,不能调用本地硬件设备(如相机等),无法使用推送服务等。

如何选择?

是否这样,我们就不要选择HTML5了呢?我在前面说过:“要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择”,我最近在关于HTML5讨论的微博上也有谈到:“HTML5是战略性方向,Facebook和Google已经布局,Google Mobile在iPhone上的体验可以媲美Native。基本上Native+Web App可以秒杀多数应用,如果不愿意受制于各种Store,单独的Web App也是一个不错的方向。对于游戏类和对硬件环境依赖严重的应用,只能是是Native”。仅管有这样那样的问题,但HTML5是一种趋势,在未来三至五年,HTML5将会取代很多本地应用,但就像多年前我们一直在谈B/S架构取代C/S架构一样,这需要一个过程。

通常在HTML与Native之间,我们有三种选择——HTML5、Native App以及HTML5+Native,HTML5就是指纯Web的移动应用,用户需要打开浏览器,然后输入应用的网址访问。Native指的是基于特定平台开发的应用。Native+HTML5实际上是一种加壳的方式,将HTML5用和浏览器封装起来,但这对用户是不可见的,用户没有任何异物感,和Store上下载的App没有什么两样。

就我个人而言,我是比较推崇HTML5+Native的,这种加壳的方式,可以让你享受Native与HTML5的双重好处,但缺点是对技术含量要求较高。当然我这里指的不是简单地把HTML5封装到一个浏览器里面,Native与HTML5会有许多的交互,实际上这有点像混合硬盘,我们即便享受SSD的快速,但我们又想获得机械硬盘的高性价比。我认为在5-10年内,这都会是一种不错的解决方案,当HTML5和硬件发展到一定水平之后,我们再完全转向HTML5成本也会非常低的。

如何做?

假定现有一个对本地环境依赖不那么严重的项目,如微博客户端,各种社交美食甚至LBS应用,我们都可以采用HTML5+Native。如图所示,我们可以将核心的代码Core层用封装起来,这个代码和平台无关,主要是业务逻辑以及和Shell的交互,代码用Web语言编写。在Core层上我们再根据不同的移动平台制作不同的UI。最后我们将上述两层放到各平台的Shell中,这个Shell主要是由浏览器来完成工作,当然还包括一些硬件操作和读取本地资源,如GPS、重力感应、相机调用、地图、推送通知或者IAP等。

我们可以把Web的升级部分部署到服务器上,用户运行App后,App会向服务器讲求获取最新的Web程序并下载运行,这样可以达到跳过各种Store的更新审核,达到快速更新的目的。而且假如用户无法访问互联网,我们可以让用户使用上一个版本的程序,不会像纯Web App那样要求用户一定要联网

好处

1.用户可以离线使用

2.更新下载量及少,可以全部更新,也可以选择替换部分文件

3.代码很安全安全,众所周知Web应用有一个很大的问题就是代码安全的问题,但现在我们可以将Web代码全部加密,本地应用解密后再运行,大大的提供了代码的安全性。

4.可以通过浏览器作为中介充分利用Native的好处,比如说可以使用GPS、照相机、本地相册、读取本地联系人,也可以使用推送功能等,最重要的是,某些Web无法实现的功能,我们可以利用Native来实现。

5.跨平台,多数核心代码不用重写,Javascript的代码用得好的话,在许多地方都可以用到,包括移动应用、移动网站、PC网站、各种浏览器插件,甚至可以用WebKit封装作为跨平台的应用程序。诚然,这种方式并非完全跨平台,但这样也足以减少很多工作量了,特别是后期的维护。而且完全的跨平台是没有意义的,不同平台有自己的风格,为了更好的用户体验,界面层还是需要针对性开发的。

坏处

我觉得最大的坏处是技术难度高,如果仅仅是简单的浏览器封装几个HTML文件,那没什么技术难度,但如果要打造一个系统级的东西,这就很有技术难度了。这要求有人要了解三个主流平台的浏览器特性,通晓Native程序的开发,要精通HTML5/CSS3/Javascript,最重要的是,要有较强的架构设计能力。

如果要再找一个坏处的话,就是它不能满足所有的需要,它并不能代替Native,但我认为他可以替代大部的Native。

适合我们吗?

首先从产品的角度考虑,你的产品是否严重依赖于本地环境,比如说图像处理和华丽的游戏之类的。第二要考虑的是你的技术团队的构成,如果你们的团队有一个能解决这些问题的牛人,并且有一些清通Web前端的人,那我觉得你可以考虑用这种方式。技术选型非常重要,稍有不慎,后患无穷。第三个要考虑你们公司的战略,对HTML5未来发展的看法,愿意在移动互联网上付出多少代价,是否愿意做前瞻性的事,是否愿意在前期投入较多的资源,是否允许试错等等。

本文来自涂雅,原文链接。

2012-02-20

也许在五年前拥有一部智能手机还是件让人羡慕的事,想想那时的诺基亚是何等的威风,对于普通的国人来说,智能手机一定程度上就是诺基亚N系列,HTC还叫多普达,黑莓貌似压根就不属于我们,智能手机市场的格局很清晰,可以说那时候并不是智能手机的天下,一款诺基亚1110就足够了。

s40已经达到娱乐的目的了,iPhone的诞生确实给了世界一个不小的轰动,智能手机风暴正在悄然来临,但是昂贵的价格还是让很多普通人望尘莫及,此时诺基亚依旧占有市场的很大份额,Symbian系统已经深入人心,有利可图的市场必然会出现搅局者,谷歌正如日中天,当起了这个搅局者的角色。

安迪.鲁宾发明的android系统基于linux内核,这是从系统级与苹果iOS的最大不同,众所周知iOS采用的是unix内核,内核不同,但这丝毫不影响android强大的图形化操作。

最重要的是这样一款能和iOS媲美的手机操作系统是开源的,开源是一种精神,开源也让智能手机市场的格局骤变,智能手机生产商开始走向android阵营,MileStone想必体现的就是摩托罗拉要重新崛起,此时对于采用android操作系统的手机制造商可以说都是一个里程碑,接下来详细回顾下安卓带来的变革:

1.智能手机不再是奢侈品

开源的android使使用智能手机的门槛降低,如果你对手机硬件配置要求不太高,那么也许花几百元就能拿到一部智能手机,当然它的操作系统是android.

2.android开发者成为程序员中的新宠

为了打造了一个开放的开发者平台,谷歌在开源android的同时也开放了android API,开发的核心语言是程序员熟悉的java,因此对于很多传统的程序员来说,开发门槛较低,能从j2EE或者j2ME迅速转型,急需人才的android开发市场也让程序员的薪水大涨。

3.创业公司和它们的优秀应用

开放的android平台和较低的创业门槛吸引了众多的创业者,有的甚至打着曲线救国的口号研发自己的应用,可见创业青年们是何等的热血沸腾。

4.软件商店已成必然

即使有苹果的AppStore作为先例,但是AppStore毕竟只有一个,而第三方的android应用商店已经形成一道亮丽的风景线。

5.移动广告平台的爆炸式增长

依靠软件商店,好的app可以达到很高的下载量,但是别忘了这都是免费的,玩游戏大家都喜欢FTP,和谷歌的初衷一样,做平台,然后靠广告赚钱,app赚钱也可以采用广告模式,因此也造就了一个繁荣的移动广告平台市场。

6.成熟的第三方ROM市场

第三方可以修改android原生态的ROM,也基于原生态的android系统太过简单,所以第三方ROM几乎覆盖了所有的android设备。

7.引领移动互联网真正的革命

伴随着智能手机的普及以及基于智能手机的各种应用和服务的滋生,移动互联网真正意义上进入高速发展的阶段。

以下是android和iOS以及WP7的比较:

1)android和iOS相比

android是开源的,iOS是封闭的,对于开发者,android设备相对于iOS便宜,所以很多开发者还是乐于选择做android开发,对于系统本身,android接纳的其他服务会很多,但是封闭的iOS也许会排斥这些相关的服务,虽然iOS目前是开发者赚钱最多的平台,但是依靠广告以及其他模式,android也会厚积而薄发。

2)android和WP7相比

虽然之前微软出过WM系统,但是比起WP7来说还是后者更加成功,所以就拿android和WP7做一个比较,微软和手机巨头诺基亚合作,依靠诺基亚和微软的资本,WP7会取得一定的市场份额,但是具体的情况目前还是个未知数,不过也难抵android开源的力量。

以上可以说是对android一个大概的总结,出自本人对android的认识,也遗漏了些东西,比如android的第三方服务产业,典型的就是android开发者社区,再比如安卓培训等,在这里拿它和iOS,WP7比较,不是为了证明android就一定比其它的强,只是为了说明Android促使了移动互联网高速发展,可以说是一个风向标。

来源:雷锋网供稿。

2012-02-17

编者按:本文作者为SocialBeta执行主编范怿,本科日本筑波大学国际关系,目前留学美国华盛顿大学,若有读者要和作者深入探讨,可以在新浪微博@范怿Ryan。

今天偶尔在爱范儿上看到吴晔飞的一篇《当科技博客遇见知乎》,在文中分析了知乎(国内问答社区) 与科技博客的区别与长短,还谈到了科技博客发展的可能性。那么处在中间的内容性科技博客到底在什么位置?

身为专注社会化媒体的内容博客 SocialBeta的一员,我也不请自来说上几句我的想法。

媒体性的科技博客与内容性科技博客的区别

现在中国的科技博客,主要存在特定领域下的资讯媒体类博客,与特定领域下的深度内容类的博客。

如36氪的属性是科技媒体,它的内容以互联网创业的快报为主。爱范儿给自己定位在发现创新价值的科技媒体,其主要内容也是以科技快讯为主。而内容博客是抓住在某个主题范围之下的独立博客,其主要内容为原创的观点性文章居多。如长城会旗下的专注移动互联网行业的深度内容博客的 MobiSights,他们聚集了 移动互联网行业的专业人士,能定期提供很多该行业的观点性文章。

相比之下,SocialBeta是专注在社会化 媒体领域的内容博客,它集合了国内外的内容贡献者,提供海外的专业文章的编译和国内行业专业人士的原创投稿。 无论是 Mobisights,SocialBeta还是其他一些优秀的内容博客,它们的专注点都更小众,文章的原创性和观点性更强。

可是,比起实时性与新鲜度更强的资讯类科技博客,它们的被注度更小,只被很小众的一部 分人注。

虽然科技内容类博客不具备媒体属性的快讯,但是对于特定话题的观点性很强。 就算同样一个事件,小众的内容博客也保证了从这个博客的读者的角度,去诠释内容与读者对话。

科技独立博客的窘境

在中国,靠写原创做博客你想独立混口饭吃,这是难得登天的事情。而在大洋彼岸,我们却能看到非常多形形色色的独立博客,光社会化媒体营销这一个小众的领域你都能找到大概有 10来个非常受欢迎的。

这个 是为什么?为什么在中国你想靠自己的长处与爱好坚持做一件事情这么难? 我曾经看过雷锋网采访 LBS观景台的博主的董焘一文章。文中第八段谈到了他对LBS观景台的一些发展预测与是否商业化想法,他说的都是大实话。

说白了,在中国,你靠做媒体也就是拉广告的盈利模式赚大钱,这是不现实的。

1)缺乏长期安定的盈利模式。

我曾经采访过某美食博客的博主,虽然美食博客注册的门槛很低,能吸引大众的心,但是你想靠博客,获得广告赞助来谋生还是非常艰难的。你不得不去挖掘一些周边相关的盈利生存方式,如写书,上美食节目,或者与食品厂商合作等。 在社会化媒体盛行的今天, Digital Marketing成长的非常快,越来越多的人始关注社会化媒体营销。很多食品企业在几年前就已经开始把关注度放在了社会化媒体营销这个领域上。但是在中国,虽然大家非常关心社会化媒体营销,但是大部分的广告主仍然把目光放在了大众型的社交媒体和导航类网站上。而更多存在的小众型内容博客,很难被厂商关注。

这并不代表这些内容博客没有广告的价值,只是大部分的广告主,一是没有找到他们需要的合作模式,二是规模上的 ROI返利太小不值得花成本去关注。阎大为在 他最近写的一文章《品牌应该如何应对变身 “搜索达人”的消费者》文章中提到这样一个观点,“这么多的媒体形式(电视,报纸,杂志,电台,网站,新媒体)的出现,并没有降低品商的宣传成本,反而 是增加了品上的宣传成本,这个宣传成本并不是广告投放的费用,还有是广告内容的生产及管理的成 本。在多元化的媒体形式分散的时候,品商就需要投入更多的人力和物力 ”。

而对于拥有有限数量的读者 的小众型内容博客而言,这个 ROI是非常不来的。这也是为什么靠投放原创内容却不讨好的内容博客活得这么艰苦的原因之一。

2)缺乏合理的管理与经营。

美国是一个非常注重个性与多元的国家。而独立博客就是这个文化下的产物,他们会被人关注,也会被人认可其价值,从中得到相应的回报。而在中国,大部分的博主或者小团队靠兴趣坚持做事情,但是也是局限于兴趣。大部分的人仍然是一边工作一遍贡献。所以这可以解决一个不生不死也能混过去,得到一小票人支持的现状。

可是,当你真心想要跳出趣这个范畴,想为一票小众的读者做更好的东西的时候,首先,第一座墙就是盈利模式的问题。其次,假设前者靠储蓄挺住了,遇到的第二个问题是,大部分的草根博主,致力于特定领域下创造内容,可是把经营博客这个东西去商业化,这里就出现了一座大山。无论你是去做科技媒体,还是去做内容博客,靠写字靠原创生存在中国是非常难走的路。在科技创业板块热火朝天,国内外的VC都把关注放在了互联网创业这个版块。但是做科技媒体,去写博客仍然不是一个被大众关注的行业,也不是一个一日之间就能返利好几倍的 “蛋 ”。

我们这些写字的朋友要么省一点,自力更生。要么寻找周边关联的支持营收的模式,有了靠谱的盈利模式才能把内容与浏览体验做的更上一层楼。无论是做哪一种模式,这里面不单单需要的是内容的生产力,在商业上经营与管理能力的需求则被放的更大化, 而这也是为什么如此多的内容博客,跳不出靠兴趣,辛苦的做一点是一点的情况。

社会化媒体时代对于小众性媒体的机遇

纵看这个社会,我们需要不断的有更多的人站出来去创造内容。现在我们看到的大部分的文章,并不是它 们本身质量不好,而是文章本身这个东西就是一个消耗品,人们在资讯类的文章的目光停留时间越来越 短,愿意停下来去写思考,提问,写很长的评论的人更是少而又少。

这是互联网信息大爆发后的一个后遗症, 140字的微博的普及后这个现象更为泛滥。

但是,正因为这样一个现象,我认为,浅度阅读与深度阅读的三八线被画得更为清晰。

读者对于自己的阅读需求,与资讯的收集需求的区分会更加明显。在这样一个 变化面前,小众的内容博客更需要站出来去,对自己的特定读者去写原创,去掘阅读的需求。 同时,社会化媒体的起给了媒体新的机遇,让更多的读者可以去接近媒体,认识媒体与媒体背后工作的 人。读者甚至会在免费的信息中进行自我筛选与过滤。他们会去关注一些他们认识的,信赖的,或者他们的朋友也在关心的媒体与媒体微博。

在个性化阅读时代中,越来越多读者会在如 Flipboard这样的阅读应用 中,寻找的不是他们 心主题,而是他们认识的媒体。比如你心社会化媒体营销,更多的读者会直接在 阅读器上搜索 SocialBeta,而不是去注一些大众型的媒体。而这一层,媒体与读者关系的建立,除了去坚持挖掘阅读需求,创作好的内容之外,媒体在社会化媒体上如何经营自己,与读者们交流与对话也变得越来越重要。如 SocialBeta在新浪微博上,它并不是像其他一些媒体类微博一样地去同步网站上日发布的 更新文章,而是会花费更多人力成本去与读者对话,做起微讨论,转发读者的观点与评论。

小众的内容类博客永远是行业中的冰山一角,它的价值是原创内容本身,也是创造内容背后的人的价值被 。通过社会化媒体,读者会始认识渐渐去认识这些 “小而美”的媒体,和他们做朋友,与文章背后的人进行交流。

用更社会化的方式去做科技博客

无论是媒体类科技博客还是内容类科技博客,除了切入点不同,受众的定位不一样之外,模式最后很有可能都走成一个样子,那就是社会化(众包)。

吴晔飞在爱范儿的《当科技博客遇见知乎》文中谈到他对科技博客的期望在有效的众包,而 LBS观景台的董焘也在访谈中提到,科技博客作为一个产品,就应该是 2.0,依靠UGC和民主趋势做才会做好。 我们 SocialBeta也深以为是。我和puting多次在交谈勾画中SB的未来的时候,都在想如何去实现一个真正 符合中国模式的众包型的内容博客。让更多有观点,有想法的人可以参与进来,去把信息与信息,人与人的这层关系链接起来,撞出新的价值。要说 SocialBeta这个博客的最大的特点也是在这个社会化的运用方式上。 SocialBeta集合了许许多多的社会化媒体的从业者与爱好者,我们的参与者分布在世界各地,通过不 同的方式对 SocialBeta做出贡献。

这中社会化的运用模式,是一个创新的模式,也是一件非常难的事情。这背后需要有支持社会化模式的经营管理的能力去连接这些分散的人,来最大化每个人的价值。

同时,这也需要一个靠谱的盈利模式来支持平台整体的运营,让贡献者可以在世界的任何地方,以最小的创造成本投入内容,得到最大的回馈;让读者更容易的找到他们需要的内容,和内容背后的创造者。我们用长远的眼光去看社会化的运作模式,是一个开放,公平,形成一个共赢的,人人都是英雄的舍小我成大我的精 神。这整个模式,是一个创新,也是一个 Mission Impossible的挑战。我们都在摸索中。

来源:雷锋网投稿。

2012-02-16

据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他网站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联网行业人心惶惶。同样,在用户数据最为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码,一旦有一家网站发生信息泄露,该用户在其他网站的账户信息便难以保证安全。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年“泄密门”事件的后遗症。

电商网站负有责任

对于客户个人账户被盗刷,电商网站负有一定责任。去年天涯、CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

找到这些用户之后,就可以对其采取进一步的措施:

1、给这些用户的电子邮箱或手机发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

电商网站的义务

显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

1、企业不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。最终造成网络应用漏洞很多,让不法分子有机可趁。

2、国家在网络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业网站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

3、主动服务用户的意识淡漠,没有把用户的利益放在第一位,对用户不负责任。

网民的责任

另一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

如果网民贪图方便,上网只使用一个密码,那么在密码被泄露之后,应该在第一时间去各个网站修改密码,并尽快采取密码分级管理的措施。

技术解决方案

解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己手机上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

动态密码技术可以免费安装在用户的智能手机上,因此对于用户来说,几乎没有成本,唯一的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的手机令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。