2012年2月28日星期二

构建苹果生态体系的三要素

  也许对Apple来说,Nokia从来就不是什么王者,所以他们可以轻易地踏着其傲人的市场数据而过,去开拓属于自己的疆土。——题记

  和封建的君主制一样,管理者贤明则光明一片,管理者黑暗则浑沌异常。所幸苹果公司属于前者,在已逝乔布斯的带领下,已经达到了前所未有的高度。所以大家对乔布斯的生病如此关心,乔布斯的咳嗽都可以影响华尔街的股价。其实与其说乔布斯是一位贤明的君主,倒不如说他是一个聪明的人,从2007年7月发售1代的iPhone开始,到现在的iPhone4,我们可以看出乔布斯构建苹果公司整个生态体系的3个要素:

  1.给你我们认为最好的体验

  在苹果的字典里,用户这个词可以有很多种解释,“购买者”,“体验者”,“粉丝”,但是从来没有一个含义被解释为“上帝”。乔布斯多次表达过“用户不知道自己要什么”的观点,所以苹果的做法很简单,制定整套规则,也就是前述的“统一”,然后尽量微调到最佳状态。道理很简单,既然你不知道你要什么,我们就来告诉你你需要什么。所以iPhone 1代发布的时候可以连摄像头都没有,苹果全部产品连电池都不可更换,MBA的接口更是少的可怜。用户在这里被抽象成一种参观者的状态,你无法干预整个过程,你只需看到一个华丽的结果。而要能把这个理念做好的基础就在于“统一”。

  2.提高盗版门槛

  对于苹果移动设备最津津乐道的话题就是越狱,绕过App Store的限制来安装软件,苹果设下重重限制,对于苹果和开发者,这是一个双赢的决定,具体可以参见下面的这张图。只有提高了开发者的兴趣,才会有更多优质App的出现,而事实证明消费者为了让自己舒服愿意支付费用,只要这个费用合理。而有了消费这个强劲的理由,一个完美的自循环体系的闭环就形成了。

苹果体系的正向循环

苹果体系的正向循环

  而没有办法遏制盗版的结果,看看PC平台上的单机游戏就知道了。

  3.崇尚封建制

  在我们平时的印象里,IT和封建是两个截然相反的词汇,IT的骨子里应该更多的应该是开放和兼容并包。可是苹果却反其道而行之,机器配置,硬件设计到软件结构,以及App Store的生态链,开发iOS程序必须以OS X为平台,甚至连用户如何体验都是苹果说了算。苹果如同神灵一般勾勒并且制定了整个规则。而在手机这片红海,除了以黑莓当家的RIM,从来没有一个厂商有如此可怕的控制欲。而封建制的效率体系在乔布斯手中发挥的淋漓尽致,因为当统治者足够强大时,封建制将拥有远高于民主制的效率,不需要讨论,不需要会议,不需要流程,只需要一个命令和一个制定好的规则,对于整个Apple生态体系,都验证了Jobs对于封建制的深深迷恋。

乔布斯构建苹果的生态系统

乔布斯构建苹果的生态系统

  这个模式所带来的优点是显而易见的:

  1、消除不确定性:除了生产,苹果制定了整个游戏的规则,这将使得整个环节的不确定性降低到最低,也使得苹果能对每个环节都提供专业的服务。

  2、便利开发者:对于开发者来说,统一产品模型对代码,尤其是界面的适配带来了巨大的便利。这点对于Android来说体现最明显

  3、品牌打造:这将决定消费者的品牌认知感,不管是哪一个产品都能让人察觉到Apple的烙印,这是一个无与伦比的品牌宣传

  很多时候,封建制对于国家可能不是好事,但是在商界,却可以有另外一种结果。而很显然,Jobs的这些措施影响的不仅仅是Apple,Microsoft也对此摩拳擦掌,跃跃欲试。我将在下一篇文章中谈谈这些手段是如何影响到Microsoft这个行业巨头,以至于让其在Windows Phone 7的构建上做出某些让人难以理解的举动。

  来源:作者Albert Gao投稿,原文链接

2012年2月27日星期一

如何在Google成为一名优秀的产品经理?

  在 Google ,我(前 Google 工程师 Edward Ho)和我最优秀的产品经理一起工作过,我会根据自己的经历出一个列表。由于我不是项目经理,所以这些结论都是我在 Google 观察最优秀的产品经理后的结果。

  1. 对产品以及所有相关的问题负责。这会让你积极主动,你是第一个寻找bug的人,第一个与用户沟通的人,以及第一个担心产品是否合格的人。你总是第一个自愿为产品或团队做各种任务的志愿者,像是做会议记录、给客户发邮件、填补临时的空缺、为bug确定优先级,或是快速做出一个实体模型。始终持有这样一个想法:这不是别人的责任,这就是你的责任。当你这么做的时候,你会发现第2条会更容易。

  2. 具备难以置信的说服力。(我不知道这是如何做到的,但每天我都会看到)你希望把事情完成,但你不是负责人,所以只能去说服别人。没有哪个团队向你汇报,也没有任何人会按照你的说法行事。在 Google ,你需要通过使别人信服而不是发号施令来完成事情。如果你正在做第1条,事情会变得简单,因为每个人都知道如果有人攻击这个产品,你和他们会位于同一个战壕。

  3. 成为一名工程师。我并不是说你真的需要为产品编写代码。我想说的是,你应当像一名工程师那样对产品的构造过程具有好奇心。你应该了解产品功能在开发过程需要的成本,以及为什么开发成本会变得这么高。那个特性使用的是什么算法?为什么这个页面会呈现得很慢?大的架构变动对产品会产生影响,团队中的每个工程师都会对此非常重视,你也应该如此。如果你遇到项目的负责人,他们想要知道一些具体的事情,你应该能够为他们解释一些主要的工程方面的决定以及之前的利弊权衡。在谷歌,最好的的产品经理都会尽可能地变得更加技术化并乐此不疲。

  4. 积极,再积极一点。你的团队很可能全部由工程师组成,并且中的一些可能非常愤世嫉俗。一个非常积极向上的产品经理能够在团队中创造一种包容的氛围。尽管每时每刻都保持积极看上去很可笑,但是积极是有传染性的,你的团队会依赖上它。请记住,你和主要的工程师(技术负责人)可能会列出百万种让你沮丧的事情,但是团队中的其他人不应该知道这一切。因为你是产品经理,所以不应该沉浸在自己的担心中,这样会帮助他们更好地完成工作。你就是团队面向整个公司其他部门的窗口和信使。如果你变得消极,团队就会因此认为公司里其他人也是这么看待他们的工作。

  5. 不要自我推荐。这是显而易见的,如果你这么做了,不但非常无聊而且对自身也有害。赞美团队中的其他人,你和技术负责人(们)已经是项目的主要联系人,因而不要做任何的推荐。如果你拿别人的辛苦劳动用来为自己博得赞赏,你不仅错了而且不会得逞。要心胸宽广。无论是撰写项目博客,还是产品新特性的午餐视频发布会,最优秀的产品经理都应该推荐团队的其他成员。看看谷歌最优秀的产品博客,你就会发现这些博客的作者并不总是由产品经理,反而会是团队中的各个成员。产品经理会积极推荐其他人。(请不要误解我这里所说的“推荐” promotion ,这和升职是完全不同的。顺便说一下,在谷歌升职是和绩效考核紧密相关的。)

  6. 无所畏惧。这个名词如果是作家来解释可能会更好,但请你不要被字面意思所迷惑。最好的产品经理向领导汇报的内容和给团队中的工程师或设计师讲述的内容应该是一样的。如果你在被领导质问产品设计所作的决定时默不作声,你肯定不会成功。做出简洁明了的回答,并无所畏惧地为你团队的创意辩护。

如何在Google成为一名优秀的产品经理?

  希望上述内容能有所帮助。

2012年2月26日星期日

中国微博市场2011年度数据分析

  中国微博的高速发展是从2010年开始的,这一年当中微博的概念得到了空前的传播,各大门户网站也在这一年纷纷开通微博频道,以新浪、腾讯为代表的微博之争愈演愈烈,微博以高速增长的态势引领着中国互联网服务的发展。经过这一年来的激烈竞争,2011年中国的微博依旧是比较受欢迎的服务,但总的增长速度有所降低,甚至出现了一定下降,这说明微博服务经过一两年的高速发展后,行业开始逐步进入平稳期,本文通过百度指数和谷歌趋势两个第三方系统对于目前国内各个门户微博进行一番统计。

  百度指数和谷歌趋势都是通过用户在百度和谷歌的搜索量为数据基础,以关键词为统计对象,分析并计算出各个关键词在搜索引擎网页搜索中搜索频次的加权和,并以曲线图的形式展现。谷歌网站趋势还可以分析所有网站的流量和受欢迎程度,类似Alexa工具。下面月光博客就以百度指数、谷歌趋势、谷歌网站趋势三个工具对于2011年的门户微博流量和搜索量进行一份统计和分析,门户微博选择流量较为排前的四大门户微博:新浪微博、腾讯微博、搜狐微博、网易微博。

  先使用百度指数来分析各个微博关键字的关注度,根据百度指数显示,在用户关注度上,“新浪微博”和“腾讯微博”的图表显示,新浪微博的知名度依然大为领先腾讯微博,但2011年新浪微博的增长势头放缓,甚至出现了下降趋势。

“新浪微博”和“腾讯微博”

  腾讯微博和网易微博,搜狐微博的用户关注度比较看,腾讯微博还是具有领先优势,并且呈现上升趋势,网易微博,搜狐微博的用户关注度平稳地下降。

门户微博

  四大微博在谷歌趋势上的关注度和百度指数的数据基本一致。
 

门户微博

  通过谷歌网站趋势可以大致估算出各个门户微博的实际流量情况,以下是四大门户的流量对比。

门户微博

  数据解读:

  1)谷歌网站趋势显示的流量数据与百度指数和谷歌趋势的关键字搜索量差距很大,其中腾讯微博的数据变化最大,新浪微博早先的“一枝独秀”忽然变成了和腾讯微博的“二龙戏珠”,可见腾讯微博的用户对于搜索引擎的使用率偏低。

  2)谷歌趋势的流量数据显示,新浪微博在2011年4月份开启了新域名weibo.com,因此四月份之前没数据,而在2011年全年大部分时间里,流量数据均超过新浪微博,直到年底才被新浪微博反超,从这里也可以看出,新浪微博的流量和知名度均较为领先,但新用户增长速度已经趋缓,而腾讯微博的流量太依赖QQ客户端,使得其实际流量与用户知名度形成较大反差。

  3)2012年1月份是春节放假,此时腾讯微博的流量下降较快,而新浪微博的流量则在这时反超腾讯微博,我估计这方面的原因,可能是因为1月份方舟子、韩寒的论战在新浪微博进行的如火如荼,这一事件营销导致新浪微博的流量得到不少提升。

  4)无论从流量和知名度上看,搜狐微博和网易微博都已经没有机会了。

  5)从百度指数上看,新浪微博的百度搜索量高的惊人,不仅仅超过了国内最大的SNS网站人人网和开心网,并且在年中超过了QQ,但下半年增长速度趋缓,并没有将优势拉大。

门户微博

  6)腾讯微博的流量过于依赖QQ客户端,缺少像新浪微博那样的事件炒作案例,因此在竞争中处于一定劣势。

  总的来看,和2010年微博的高速发展不同,经过1年多的发展后,微博的发展趋缓,甚至出现了一定程度的下降趋势,可见,微博做为一种新型服务,在经过了一段时间的高速发展后,行业开始逐渐进入平稳期,随着2012年3月份微博实名制的实施,将导致微博行业逐渐进入到洗牌期的阶段,微博服务是否能继续发展可能会面临一定的挑战,因此,在未来的发展过程中,各个门户微博企业需要做出不断进行功能创新,保持用户黏性,提高自己的核心竞争力,才能在未来的发展中占有一席之地。

应用商店,殊途同归

  现在距离 Windows 8 Consumer Preview 发布还有几天。记得在九月份,微软曾经宣布 Windows 应用商店将作为 Windows 8 的一部分提供,也就是说,数天后我们便可以一睹 Windows 应用商店的风采。

  此前我曾撰文说明为何应用程序商店是软件销售的变革,那是 Mac App Store 横空出世的时候。时隔一年,越来越多应用商店开始出现,市场竞争逐渐变得异常激烈,就连微软,也迅速加入了这场战斗。

   

  起源

应用商店

  应用商店早已不是什么新鲜玩意儿了。早在大约 15 年之前,Motricity 公司便创立了PalmGear。它是 Palm OS 最大的软件在线销售网站,曾拥有多达 31,000 种各式各样的应用程序。

  后来随着 Palm 逐渐衰落,尽管中途有类似 Steam、Windows Marketplace 这样的应用商店出现,但是“应用商店”这个名词早已淡出我们的生活。要说这个名词真正再为世人所知,则是苹果 App Store 出现之后的事情了。这一次,应用商店的战场从 PC 烧到了 Smart Phone。

  发展

  App Store 被誉为是软件销售模式的革命,虽然它有极其严格的审核程序,但是它使得开发者从此可以能够绕开万恶的运营商,直接接触到用户,不再受他人摆布。除此之外,它也简化了购买流程。在大多数时候,用户只需要轻轻一按、再加确认即可完成。

  尽管在刚开始时许多人不看好 App Store 的发展,但是它却出乎意料地成功了,而且创造出一个巨大的产业链。这让其他人也开始察觉到这一模式的美好未来。

  其实诺基亚很早就已经意识到了这个新趋势。早在 2008 年,诺基亚推出了 Ovi Store,一个程序商店和多媒体内容商店的集合体,现在应用数量已经超过十万,仍是仅次于 App Store 和 Android Market 的第三大应用商店。

  不久之后,谷歌推出了 Android Market,这是全球两大应用商店之一。尽管发布时间略晚,但是胜在发展迅速。距离发布还不到一年,应用数量便超过十万。除此之外,它还是主流应用商店里免费应用占比最高的。

  看到上述三大应用商店的成功后,其它厂商也陆续推出自己的应用商店,其中包括运营商甚至是第三方。但是,值得注意的是,这些应用商店大多参差不齐,普遍存在应用质量差、扣费陷阱多、应用数量少的问题。

  回归

  不得不说,苹果总是引领着业界大步前进。自从苹果在移动设备市场依靠App Store 大获全胜后,在 2011 年,苹果将 App Store 模式搬到 Mac,意图大幅提高 Mac OS X 的软件数量,构造一个与微软一样庞大的应用程序生态圈。

  发布后仅仅一天,Mac App Store 的应用程序销量便冲破了百万。虽然这一应用商店发展趋势强差人意,应用数量增长较为缓慢,但是已经基本达到目的。

  苹果在下一盘很大的棋。从此之后,Mac OS X 与 iOS 整合的步伐便逐渐加快,这在最近推出的 Mountain Lion 开发者预览版中显露无疑。苹果希望电脑可以变得更加简单和易于操作,且将界面和功能逐渐向 iOS 靠拢,尝试通过 iCloud 来连接这个苹果帝国。

Windows Store

  但是,谁也不能小看微软,因为微软也在下一盘很大的棋。微软同样拥有极其敏锐的战略眼光。众所周知,微软拥有三大王牌业务,Windows、Office、Xbox。Windows 拥有无数程序;Office 拥有大量用户,Xbox 拥有许多游戏。那么,当 Windows 将这一切整合起来再加应用商店时,世界将会变成怎样?

  Windows 应用商店是 Windows 8 系统的重要组成部分,就像 Internet Explorer 10 一样,不可分割。面对开发者,它提供了更为合理的收入分成(当销售额达到 25000 美元时,微软只收取 20% 提成);面对消费者,它提供了更为优秀的购买体验。

  除此之外,用户借助云服务 SkyDrive,可以轻松实现文档、音乐、图片、视频、应用等内容的同步。也就是说,在不遥远的未来,无论你在使用哪一台设备,都可以继续编写文档、视频,甚至是继续游戏,所作的修改也会被同步至你的所有设备。

  这样一来,与 Mac App Store 相比,Windows 应用商店的优势非常明显,以下只列出一小部分:

  1. 拥有大量用户。

  2. 覆盖全球 231 个国家和地区。

  3. 支持多种商业模型。

  (例如免费、试用、付费、订阅、拍卖、广告、应用程序内购买等)

  4. 提供完善的开发工具包。

  5. 个人仅需 49 美元即可注册成为开发者。

  6. 与微软多种服务紧密结合。

  7. 支持以 HTML 5 进行开发。

  这场战争中,苹果和微软走的是不同的路线。一个希望依靠移动设备扶持桌面设备,另一个则截然不同。应用商店,殊途同归。究竟谁会赢得战争?谁会赢得棋局?

    作者:EMLink投稿,原文链接

2012年2月24日星期五

中国网民发起“占领奥巴马Google+”活动

  这两天,中国网民发起了“占领奥巴马G+”的活动,美国总统奥巴马在Google+的每一条新信息后面,都有大量中国网友抢楼和围观,目前奥巴马的Google+评论已经成功的变成了中文版,并且最新的留言都超过了500条上限而自动关闭了。

  奥巴马和他的团队非常热衷于社交网络,其网络营销和传播工作做得丰富多彩。在Facebook上,奥巴马竞选主页的粉丝已有2400万。在Twitter上,奥巴马竞选主页的粉丝已有1100万。奥巴马的Twitter帐号在他出任美国总统之前就已经存在。在这些社交网络上,奥巴马总是在第一时间公布自己的观点和行程,及时迅速,成为公共关系的“第一窗口”,与网民互动交流,拉近距离,将其鲜活的形象展示给公众,见效非常之好。

  不过,奥巴马在2009年承认从未使用过Twitter,其发布的信息由团队“代笔”,从去年6月开始,奥巴马宣布将会时不时使用一下Twitter和Facebook。

  在去年11月份,奥巴马开通了他的Google+实名认证帐户,并与网民互动。由于当时Google+无法从中国访问,因此并没有太多中国用户留言。

中国网民发起“占领奥巴马Google+”活动

  自从Google+在前几日突然“解封”http://www.williamlong.info/blog/archives/1067.html后,中国网民就开始在上面“狂欢”,由于中国用户无法访问Facebook和Twitter,因此Google+就成为中国网民近距离接触世界的窗口,而美国总统奥巴马却鬼使神差成为中国网民的“围观”对象。

中国网民发起“占领奥巴马Google+”活动

  去年台湾领导人马英九登录Google+的时候,也引起了大批大陆网友的“围观”,跟随马英九的用户会出现“刷屏”现象,大陆网友对此戏称“刷屏求解放”。

  可见,“围观”已经成为中国的社交网络上的一种独特的“文化”。

  奥巴马的Google+地址是:https://plus.google.com/110031535020051778989/posts

  最后广告一下,我的Google+帐号地址是:https://plus.google.com/112646999948608559077

2012年2月22日星期三

UC浏览器的危机应对

  这次的UC泄密问题也算是一个小小的危机,可能会对UC产生不小的影响,处理不好的话UC会非常被动,如果UC承认其全线产品都有这个漏洞,势必引起UC浏览器2亿多用户的恐慌,导致用户转移到其他浏览器上。但是不承认的话,事实情况却有很难否定,所以UC在这方面只好采取回避的策略。

  当然,任何产品都是有漏洞的,别人爆料漏洞其实是一件好事,遇到外部指出的漏洞,第一时间就说是竞争对手攻击,这不太妥当,应该好好分析一下产品,在产品的技术上多做一些工作,将产品做的更好,这才是对用户负责的态度。

UC浏览器被指明文传输用户密码

  去年底爆发的互联网泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。

  该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中,该用户还测试了其他品牌的手机浏览器。

  为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,然后手机端通过这个WiFi热点上网。

UC浏览器

  在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。

UC浏览器被指明文传输用户密码

  为什么HTTPS是安全的?

  HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。

  我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。

  比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解,但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。

  可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。

  UC浏览器的问题

  使用iPhone内置的浏览器,在不安全的WiFi下访问HTTPS是安全的,然而UC浏览器是一种通过中转压缩方式进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当深圳用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到广州的一台服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过UC浏览器登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。

  针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。

  对UC用户的建议

  目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。

2012年2月21日星期二

谷歌到底怎么绕过浏览器的隐私设定

  剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争。为什么叫神仙战争,因为你根本看不懂这五篇报道。

  1,《谷歌被曝绕过Safari隐私设定追踪用户浏览记录

  2,《谷歌因Safari隐私问题遭用户起诉侵权

  3,《微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”

  4,《微软宣称谷歌秘密记录IE用户

  5,《Google回应微软称P3P隐私策略已不适用

  在前几篇文章中,笔者介绍了网络信息收集,广告流通手段,以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以,专业人士可以无视它。

  我们就来看看这些和外交辞令没什么区别的新闻,到底在说什么。

  报道-1:

谷歌到底怎么绕过浏览器的隐私设定

图1,Google Plus同时使用Google Analytics与Doubleclick收集用户信息

  在最早一起报道中,有人指责当使用Apple Safari访问Google Plus服务时,谷歌绕过了Safari的Cookie策略,进行了追踪用户的行为。

  事实:

  Google是最大的互联网广告商,它通过Google Analytics,Doubleclick,Google Adsense,Google Admob等一系列业务进行广泛的用户兴趣爱好收集,和相应的广告投放业务。

  使用浏览器访问Google Plus时,会从一系列域名请求不同的内容,以组成Google Plus的网页,其中,有两个域名对达成Google Plus本身的页面,功能而言是完全不必要的:它们分别是doubleclick.com和google-analytics.com。

  google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联,但不等同),并收集该网站(这里就是Google Plus)的用户行为;doubleclick.com的作用也类似,但侧重于让谷歌的广告系统在别的网站上也能认出该用户,以投放精准广告。这些编号存储在cookie中。然而,Safari默认不允许第三方网站设置cookie,也就是说,在本例中,只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的,谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下------这就是所谓的“绕过Safari隐私设置”。

谷歌到底怎么绕过浏览器的隐私设定

图2,Apple Safari默认不允许来自第三方域名的内容设置cookie

  报道没有提到(隐瞒)的事实:

  1,所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于,有的浏览器是借助IE核心运行的,它们往往和IE使用同一个Cookie配置设定)。

  2,谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的

  报道-2:

  没过几天,微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范”

  事实:

  在IE6刚推出的时候,浏览器往往支持一个由W3C设立的,基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”,它要求第三方网站在需要跟踪用户时,向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别,当双方不一致时,浏览器就会提醒用户是否愿意接受网站的条款,若用户不愿意,则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而,事实上浏览器最多只能在Cookie的程度支持P3P。

谷歌到底怎么绕过浏览器的隐私设定

  P3P的本意是想达到一种“明码标价”的作用,一方面通过网页代码让浏览器识别,另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情,目前只有IE系列(6,7,8,9)浏览器强制开启了P3P,并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性,当网站给出的精简隐私政策不符合规范时,IE依然会允许该网站读写Cookie。

  因此,和Apple的不同,当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时,谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。

  另一方面,事实上P3P是普遍不被接受的,但是为了与IE保持兼容,广告公司可能会给出P3P条款,但其它网站通常会“伪造”一份P3P协议,类似于Flash使用跨域名内容时必需的crossdomain.xml,这些“伪造”的协议只包括了浏览器能阅读的部分,并没有可供人阅读的正式文本。

  不被(第三方)浏览的浏览器

  微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’,拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动”
笔者在之前的文章中提到过IE追踪保护功能的亮点:自动识别用于收集信息的第三方内容,并加以阻止。

  更好的选择

  和P3P一样,现在W3C又推出了一个”Do Not Track”的标准,允许用户在不希望网站记录用户行踪时,向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说,如果你真的想控制信息的流出,你就应该在你的主场,也就是你的浏览器上下手,而不是像慈禧太后那样“量中华之物力,结与国之欢心”,把责任推给对方。

  真正有用的,是跟踪保护,以及各种形形色色浏览器扩展所提供的功能。特别是后者,它们不站在大公司的角度,是真正的接受用户“用脚投票”的工具,自然会卖力地帮助用户减少信息泄漏。当然,其中的大部分又是业余时间的兴趣之作,没有质保。

  UC浏览器访问HTTPS网页的泄漏问题

  这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。

  事实

  UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能):通过代理服务器将网页重新排版、压缩,使得页面适应手机屏幕,并减少流量消耗。对于一般的明文连接,这没有问题。但是这项功能不兼容加密的HTTPS连接,唯一的方法是让代理服务器负责与目标网站进行HTTPS握手,这样代理服务器才能知道HTTPS连接中被加密的内容,从而将其重排版、压缩而转交给用户。

  这么做有巨大风险:

  1,HTTPS保证了只要服务方和证书提供方没有问题,则只有用户和服务方本身才能知晓双方通讯的内容,有很高的保密性。UC浏览器破坏了这套安全系统,导致信息在UC方的代理服务器与用户之间的传递变成明文,如同公厕。

  2,用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的),光是这一点就已是涉嫌犯罪的行为了。

  报道没有提到的事实:

  UC强调“因访问钓鱼WIFI”,却有意忽略了问题的本质:UC浏览器本身破坏了HTTPS连接的安全性,导致了原本即便经过钓鱼WIFI热点传输,也依然安全的连接,变成了明文的,谁都可以看到的无线数据。

  我们知道,公共WIFI热点一般都是不加密的,这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子,完全不需要辛苦地钓鱼,只要拿一台笔记本电脑,在有公共WIFI热点的地方坐上几个小时,就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。

  为什么UC会“本末倒置”?

  如果UC要确保用户的安全,就必须放弃对HTTPS网页进行云端加速,站在UC的角度,这也许是不可接受的。同样的,千方百计地通知用户:进行云端加速则会失去HTTPS页面的安全性,同样也可能是无法接受的。如同最近的熊胆事件一样,如果你把一生都放在熊胆提取上,你会允许别人“说三道四”吗?

  笔者认为,应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页,直到这些软件提供明确的说明。这样,在保护自己的同时,也不会触犯任何一方的利益。

  原则

  第一方记录你的浏览历史是无可非议的,当然你总是可以不提供任何信息(通常而言,这总是意味着你无法使用该服务)

  所有第三方内容都可以被阻止,只要不影响你的正常使用(第三方需要为自己负责)

  但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中,以便均衡负载压力,分类不同内容,或是因为确实需要由第三方向用户提供服务。这个时候,用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。

  有人觉得,因为国情,大家都不注重个人隐私,以上内容都是空谈。

  事实:所有你的信息最初一定都是由你提供的,除非碰到病毒(其实,病毒也是你‘不小心’,或这是‘默认地’请进来的)或者是刑侦需要,所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义,广告商往往需要为某一项具体行为付出一定的责任,用户在提交信息时更有信心;而在这里,你更需要依靠自己。

  无论在哪里,早起的鸟儿有果子吃。如果不愿意早起,还是等天上的掉下的馅饼更好。

  Google在一份声明中说“需要强调的是,这些广告Cookie不会收集个人信息,这一点很重要”。

  那么笔者也学着“强调”一下:只要是收集信息的内容,不管它和个人有多深的关联,用户总是可以阻止,这一点很重要。

  来源:fcerebel投稿。

2012年2月20日星期一

移动开发中HTML5能否替代本地程序?

  随着移动设备越来越先进,对HTML5的支持度越来越高,我们进军移动领域的时候,都会遇到一个问题,是选择HTML5和还是Native(用原生代码编写的本地程序)?HTML5的前景无疑是诱人的,一句“Write once, run anywhere”就可以秒杀一切。笔者最近两年来对HTML5与Native有较为深入的研究,觉得两者之间不能仅仅是二分法来选择,还要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择。

  HTML5的发展前景我无疑是非常看好的,各大公司也不遗余力的推动,目前主流的三大智能机操作系统iOS、Android和WIndows Phone都已经支持大部分的HTML5特性。而移动设备硬件军备竞赛也为HTML5扫清硬件障碍。按照现在的发展速度,我判断是在三年以内甚至更快,移动设备运行HTML5将会完全没有压力,无论是标准还是硬件。现在主流的智能机已经配置双核处理器(之前笔误为浏览器)和1G及以上的内存,今年再出智能机没这个配置你都不好意思发布了。

  谈谈HTML5

  1.HTML5可以让你摆脱对平台的依赖,用户打开浏览器,直接就可以访问你的应用,而不需要经过各种Store的审核。

  2.实时更新,通常平台的审核都需要七个工作日左右的时间,如果你发布之后发现问题怎么办?Web方式就不存在这种问题。

  3.Write once, run anywhere?

  这是多少程序员的梦想,也曾经是Java让人心动的地方,但真正做过跨平台解决方案的人都知道,这只是一句口号而已,跨平台没那么容易玩转的。没错,HTML5可以实现Write once, run anywhere,但我们总不能写一个Hello World来run anywhere吧。不同平台有自己的特性,不同平台用户也有自己的操作习惯,如果你想讨好所有人,也就意味着你无法讨好任何人。

  4.减少开发工作量或者让开发变得更简单?

  对老板来说,这是一个非常诱人话题,因为工作量的减少就意味着节省更多的钱,没有老板不喜欢用更少的钱办更多的事。而且目前一个非常大的问题是,移动设备开发人员特别是iOS开发人员非常不好找,因为技术好的都自己做应用了,人家自己也能赚个月薪上万甚至更多,为什么要进你的公司?怎么说也是自己的事业,拥有无限可能,还可以充分享受自由。但如果可以充分利用HTML5,那么我们就可以招聘Web前端的开发人员来构建移动应用,这样就不愁招人的有问题。因为在许多人的眼里,HTML5/CSS/Javascript都是没多大技术含量的东西,实在找不到人,找些实习生学学也就会了。

  但问题是,工作量真的会减少吗?技术门槛真的那么低么?答案是NO!

  我曾经花了半年的时间去开发一个基于HTML5的移动框架,用来模拟Native应用,让HTML5应用看起来尽可能看起来像本地应用,注意:是像。这有点像jTouch,但不一样的是,它能和Native程序很好地交互,并且能调用本地资源等等特性。但最后结果确不是那么令人满意,比如HTML5在动画切换的时候,有时候候会有一些莫名其妙的问题,当然你可以告诉我把动画效果关了,但这看起来很死板,最后我不得不关闭某些动画。而用Objective-c编写程序就没这么多事了,几句简单的代码可以实现很酷的动画,用HTML5需要更多的代码,甚至根本无法实现。

  而且移动设备上的HTML5开发对开发人员的技术有非常高的要求,不是一般的Web前端人员能解决的,通常拥有这样技术的人才,工资水平也不会比Native开发人员低多少。如果你仅仅是要开发一个移动设备上的网站,这会简单很多,但如果你希望模拟Native应用,并且拥有较高的效率和优雅的用户体验,这就很有技术含量了。不要小看Javascript这类Web开发语言,通常我的看法是越简单的语言越会体现出技术人员的水平,特别是规划设计能力。

  5.其它问题,资源调用的限制,比如说在iOS中有Javascript运行不能超过15秒的限制,不能调用本地硬件设备(如相机等),无法使用推送服务等。

  如何选择?

  是否这样,我们就不要选择HTML5了呢?我在前面说过:“要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择”,我最近在关于HTML5讨论的微博上也有谈到:“HTML5是战略性方向,Facebook和Google已经布局,Google Mobile在iPhone上的体验可以媲美Native。基本上Native+Web App可以秒杀多数应用,如果不愿意受制于各种Store,单独的Web App也是一个不错的方向。对于游戏类和对硬件环境依赖严重的应用,只能是是Native”。仅管有这样那样的问题,但HTML5是一种趋势,在未来三至五年,HTML5将会取代很多本地应用,但就像多年前我们一直在谈B/S架构取代C/S架构一样,这需要一个过程。

  通常在HTML与Native之间,我们有三种选择——HTML5、Native App以及HTML5+Native,HTML5就是指纯Web的移动应用,用户需要打开浏览器,然后输入应用的网址访问。Native指的是基于特定平台开发的应用。Native+HTML5实际上是一种加壳的方式,将HTML5用和浏览器封装起来,但这对用户是不可见的,用户没有任何异物感,和Store上下载的App没有什么两样。

  就我个人而言,我是比较推崇HTML5+Native的,这种加壳的方式,可以让你享受Native与HTML5的双重好处,但缺点是对技术含量要求较高。当然我这里指的不是简单地把HTML5封装到一个浏览器里面,Native与HTML5会有许多的交互,实际上这有点像混合硬盘,我们即便享受SSD的快速,但我们又想获得机械硬盘的高性价比。我认为在5-10年内,这都会是一种不错的解决方案,当HTML5和硬件发展到一定水平之后,我们再完全转向HTML5成本也会非常低的。

  如何做?

  假定现有一个对本地环境依赖不那么严重的项目,如微博客户端,各种社交美食甚至LBS应用,我们都可以采用HTML5+Native。如图所示,我们可以将核心的代码Core层用封装起来,这个代码和平台无关,主要是业务逻辑以及和Shell的交互,代码用Web语言编写。在Core层上我们再根据不同的移动平台制作不同的UI。最后我们将上述两层放到各平台的Shell中,这个Shell主要是由浏览器来完成工作,当然还包括一些硬件操作和读取本地资源,如GPS、重力感应、相机调用、地图、推送通知或者IAP等。

移动开发中HTML5能否替代本地程序

  我们可以把Web的升级部分部署到服务器上,用户运行App后,App会向服务器讲求获取最新的Web程序并下载运行,这样可以达到跳过各种Store的更新审核,达到快速更新的目的。而且假如用户无法访问互联网,我们可以让用户使用上一个版本的程序,不会像纯Web App那样要求用户一定要联网

  好处

  1.用户可以离线使用

  2.更新下载量及少,可以全部更新,也可以选择替换部分文件

  3.代码很安全安全,众所周知Web应用有一个很大的问题就是代码安全的问题,但现在我们可以将Web代码全部加密,本地应用解密后再运行,大大的提供了代码的安全性。

  4.可以通过浏览器作为中介充分利用Native的好处,比如说可以使用GPS、照相机、本地相册、读取本地联系人,也可以使用推送功能等,最重要的是,某些Web无法实现的功能,我们可以利用Native来实现。

  5.跨平台,多数核心代码不用重写,Javascript的代码用得好的话,在许多地方都可以用到,包括移动应用、移动网站、PC网站、各种浏览器插件,甚至可以用WebKit封装作为跨平台的应用程序。诚然,这种方式并非完全跨平台,但这样也足以减少很多工作量了,特别是后期的维护。而且完全的跨平台是没有意义的,不同平台有自己的风格,为了更好的用户体验,界面层还是需要针对性开发的。

  坏处

  我觉得最大的坏处是技术难度高,如果仅仅是简单的浏览器封装几个HTML文件,那没什么技术难度,但如果要打造一个系统级的东西,这就很有技术难度了。这要求有人要了解三个主流平台的浏览器特性,通晓Native程序的开发,要精通HTML5/CSS3/Javascript,最重要的是,要有较强的架构设计能力。

  如果要再找一个坏处的话,就是它不能满足所有的需要,它并不能代替Native,但我认为他可以替代大部的Native。

  适合我们吗?

  首先从产品的角度考虑,你的产品是否严重依赖于本地环境,比如说图像处理和华丽的游戏之类的。第二要考虑的是你的技术团队的构成,如果你们的团队有一个能解决这些问题的牛人,并且有一些清通Web前端的人,那我觉得你可以考虑用这种方式。技术选型非常重要,稍有不慎,后患无穷。第三个要考虑你们公司的战略,对HTML5未来发展的看法,愿意在移动互联网上付出多少代价,是否愿意做前瞻性的事,是否愿意在前期投入较多的资源,是否允许试错等等。

  本文来自涂雅,原文链接

2012年2月19日星期日

Android能否引领移动互联网革命

  也许在五年前拥有一部智能手机还是件让人羡慕的事,想想那时的诺基亚是何等的威风,对于普通的国人来说,智能手机一定程度上就是诺基亚N系列,HTC还叫多普达,黑莓貌似压根就不属于我们,智能手机市场的格局很清晰,可以说那时候并不是智能手机的天下,一款诺基亚1110就足够了。

  s40已经达到娱乐的目的了,iPhone的诞生确实给了世界一个不小的轰动,智能手机风暴正在悄然来临,但是昂贵的价格还是让很多普通人望尘莫及,此时诺基亚依旧占有市场的很大份额,Symbian系统已经深入人心,有利可图的市场必然会出现搅局者,谷歌正如日中天,当起了这个搅局者的角色。

  安迪.鲁宾发明的android系统基于linux内核,这是从系统级与苹果iOS的最大不同,众所周知iOS采用的是unix内核,内核不同,但这丝毫不影响android强大的图形化操作。

Android

  最重要的是这样一款能和iOS媲美的手机操作系统是开源的,开源是一种精神,开源也让智能手机市场的格局骤变,智能手机生产商开始走向android阵营,MileStone想必体现的就是摩托罗拉要重新崛起,此时对于采用android操作系统的手机制造商可以说都是一个里程碑,接下来详细回顾下安卓带来的变革:

  1.智能手机不再是奢侈品

  开源的android使使用智能手机的门槛降低,如果你对手机硬件配置要求不太高,那么也许花几百元就能拿到一部智能手机,当然它的操作系统是android.

  2.android开发者成为程序员中的新宠

  为了打造了一个开放的开发者平台,谷歌在开源android的同时也开放了android API,开发的核心语言是程序员熟悉的java,因此对于很多传统的程序员来说,开发门槛较低,能从j2EE或者j2ME迅速转型,急需人才的android开发市场也让程序员的薪水大涨。

  3.创业公司和它们的优秀应用

  开放的android平台和较低的创业门槛吸引了众多的创业者,有的甚至打着曲线救国的口号研发自己的应用,可见创业青年们是何等的热血沸腾。

  4.软件商店已成必然

  即使有苹果的AppStore作为先例,但是AppStore毕竟只有一个,而第三方的android应用商店已经形成一道亮丽的风景线。

  5.移动广告平台的爆炸式增长

  依靠软件商店,好的app可以达到很高的下载量,但是别忘了这都是免费的,玩游戏大家都喜欢FTP,和谷歌的初衷一样,做平台,然后靠广告赚钱,app赚钱也可以采用广告模式,因此也造就了一个繁荣的移动广告平台市场。

  6.成熟的第三方ROM市场

  第三方可以修改android原生态的ROM,也基于原生态的android系统太过简单,所以第三方ROM几乎覆盖了所有的android设备。

  7.引领移动互联网真正的革命

  伴随着智能手机的普及以及基于智能手机的各种应用和服务的滋生,移动互联网真正意义上进入高速发展的阶段。

  以下是android和iOS以及WP7的比较:

  1)android和iOS相比

  android是开源的,iOS是封闭的,对于开发者,android设备相对于iOS便宜,所以很多开发者还是乐于选择做android开发,对于系统本身,android接纳的其他服务会很多,但是封闭的iOS也许会排斥这些相关的服务,虽然iOS目前是开发者赚钱最多的平台,但是依靠广告以及其他模式,android也会厚积而薄发。

  2)android和WP7相比

  虽然之前微软出过WM系统,但是比起WP7来说还是后者更加成功,所以就拿android和WP7做一个比较,微软和手机巨头诺基亚合作,依靠诺基亚和微软的资本,WP7会取得一定的市场份额,但是具体的情况目前还是个未知数,不过也难抵android开源的力量。

  以上可以说是对android一个大概的总结,出自本人对android的认识,也遗漏了些东西,比如android的第三方服务产业,典型的就是android开发者社区,再比如安卓培训等,在这里拿它和iOS,WP7比较,不是为了证明android就一定比其它的强,只是为了说明Android促使了移动互联网高速发展,可以说是一个风向标。

  来源:雷锋网供稿。

成都消费类网站为什么做不起来

  成都被称之为休闲之都,成都人们的消费意识非常超前,成都的奢侈品市场据说全国第三, 成都私家车保有量也是全国第三,在成都一到周末大家讨论的就是去哪里“耍”,甚至连上班时间如果太阳好的时候就会有很多人感叹“不想工作了,这么好的太阳应该出去喝茶打麻将”。由此会引起很多创业者会认为成都的生活消费类市场很多,做这样的网站或者手机应用会很有市场,于是我们看到街旁网二线城市拓展首先选择成都,大众点评网在几年已经就曾经进入成都,杭州19楼一直觊觎成都市场据说今年也要正式进驻,成都本地每年也都会涌现中各种生活消费类的网站和应用,我在06年从事这个领域的时候曾经初略统计成都本地做消费打折优惠卡的就有20十几家,其中包括中国电信、携程、招商银行信用卡等等。

  但是事实上目前位置成都都还没有一个在全国知名的生活消费类网站或者应用,那些沿海知名企业的分公司也大都铩羽而归,于是我总结的结论就是成都的消费类网站根本做不起来,是一个看起来很美的伪市场,如果你的创业项目选择的是成都消费类市场,那么会死的很惨,如果你是全国网站把成都作为重点拓展城市,同样不会获得很好的回报。为什么会出现这样的情况? 为什么用户消费意识这么强烈的市场却无法孕育中一个优秀的网站? 这里列举一些我个人的观点,欢迎大家一起讨论。

  1.消费意识强烈,同样线下消费渠道异常发达

  成都人爱吃爱玩,喜欢休闲,由此使得成都线下各种门店非常多,成都的城市不大,大街小巷各种消费门店一样俱全,大部分的生活小区附近,餐饮、KTV、茶馆、电影院等消费都很便利,同时都很有特色,可以说美食遍地,而北京上海的城市想找个吃的地方就不那么容易,基本上就那么几个商圈,城市比较大,人们消费一次的时间成本提高,使得为了不白跑一趟,很多人会在网上充分对比之后在选定某个地点。我们知道互联网最重要的就是解决信息不对称的问题,这点在成都完全不存在,因为成都人好吃,使得口碑传播成为信息传递的主要方式,根本不需要去网上查找,问一下周边的朋友就知道哪家好吃哪家不好吃,消费起来也很便利,家里或者办公室附近500米以内一定会有好吃的好玩的;

  2.成都网民互联网使用意识不够强烈

  最新的数据统计四川网民也在全国前十名,普及率接近30%,从用户基数上看起来很好,但是还有个一现象就是成都的网络游戏市场在全国占据很重要的位置,也就是说成都有很大一部分网民主要的互联网应用是玩游戏,同时除了口碑传播好吃好玩的地方之外,成都还有一个独特的美食判断方法。就是随便走在大街上看哪家门前有很多人排队,那就基本判断这家店的吃的不错,成都网民没有通过互联网或手机应用查找消费场所的习惯;

  3.成都消费服务类商家没有互联网推广意识

  成都被称为休闲之都,同样成都的门店老板们也被称之为“翘脚老板”,他们很大一部分每天的生活就是上午在茶馆喝茶打麻将,下午到店里看看收钱,对于店铺推广的意识比较淡,完全依靠产品特色口碑相传,东西好吃自然会传播出去,东西不好怎么打广告也不会获得持久的用户,同时还有一个区域消费特点,由此使得这些商家老板们对互联网的推广根本不感冒,即使你做了一个网站或者应用有很多的用户,去找这些商家打广告,他们也不会愿意付费,生活消费类平台没有商家的支持怎么可能发展下去。

  总体来说个人不看好所有的以成都本地为主要战场的生活消费类产品,当然或许成都人们的互联网消费方式还没有被激发出来,或许未来会有那么创新的生活消费类应用爆发发展,也很想听听各位的看法,欢迎探讨。

  来源:王佳伦投稿

2012年2月17日星期五

是谁在偷窥我们的网络隐私

  1993年7月5日,彼得·施泰纳在《纽约客》上发表了一幅著名的漫画《在网上,没人知道你是一条狗》。用以描述互联网的匿名特性。

  可是,即便在十年前说这句话,也已经是不负责任的了。

  当然,这篇文章不是讨论如何防御病毒的,更不可能教授特工技能。但是,不要拿“国情”、“大家都没有隐私观念”之类当借口,只要是你的东西,在离开电脑以前,都是你的。

图1 《在网上,没人知道你是一条狗》

图1,《在网上,没人知道你是一条狗》

  精准广告(也叫定向广告)

  广告主绝对不是为了收集用户信息而收集用户信息的,他们日夜思念着的是钱。10前的互联网广告商就已经在收集用户信息,以推送最接近用户需求的信息。这使得互联网产业如此发达。

  所以,有关隐私的概念,其实是因人而异的。任何与你有关的内容,都可能是隐私,无非那些能直接关联到你身份信息的内容,更为重要而敏感。

  现在的广告商已经能整合大量的用户信息,以进行最优的猜测。一个著名的例子是,Gmail会根据用户邮箱中的内容,通过自动算法展示最相关的广告。现在这样的广告已经比比皆是。

  实际例子

图2,IE9跟踪保护中的“个人列表”

图2,IE9跟踪保护中的“个人列表”

  我们拿IE9为例:

  微软在IE8中悄悄地提供了一个叫InPrivate Filter的工具;在IE9里面,它被大张旗鼓地重命名为Tracking Protect List(跟踪保护列表),用户可以永久启用它。

  先做一个小实验:

  在TPL中开启“个人列表”,不导入任何定制的TPL列表,也不使用隐私浏览模式(InPrivate浏览)。

  1,打开一个导航网站,把其首页上的每个网站链接都打开一遍。

  2,再回到TPL的“个人列表”,原本的空白变成了一串黑名单:

  左侧有51yes,alimama,baidu,cnzz,doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating

  右侧则频频出现log,stat,ads,beacon等词汇,以及like,followbutton

  只要你学过点英文,就猜得出这些内容多多少少和统计、广告有点关系。而且,你好像在什么地方也见到过“喜欢”按钮。

  等等,这个列表中的大部分网站刚才可没有访问过,何况你很可能都不认识它们。IE怎么会知道它们的存在,而且还要信誓旦旦地告诉你,这些内容被“自动阻止”了?

图3,IE9阻止了第三方收集信息

图3,IE9阻止了第三方收集信息

  打开IE自带的开发工具,以新浪首页为例,看看发生了什么:

  开发者工具显示,跟踪保护阻止了向这些第三方(即不是新浪的)网站发送数据。

  这样一个请求被阻止了,链接里面有这么一段s=1920x1080x32&l=zh-cn

  这句话就是说,笔者当前的显示器设置是1920×1080像素,32位色深,语言是zh-cn(中国大陆的简体中文)。

  这是什么意思呢

  按照业界常用的做法(这一点可以在各个统计服务、广告联盟的业务内容中看到),当你进入新浪首页的同时,你还会告诉Wrating(万瑞数据)、Imrworldwide(尼尔森)、Mediav(聚胜万合)以及Google Analytics(谷歌统计)这些内容:

  1,你从哪里来(ip地址),用的是什么语言,从哪个页面跳转来的

  2,你在新浪首页待了多久,关注了哪些部分(最近很流行的热力图)

  3,你接下来会去哪里(点击了页面上哪个链接)

  4,你的显示器分辨率设置是什么

  5,你的浏览器安装了哪些插件(plugin,注,非浏览器扩展--extension)

  然后,这四家公司都会在你的浏览器里留下各自的标记,这样以后只要你访问了使用到它们业务的网站,它们就能认出你。这种标记叫作Cookie,是一种很小的数据片段,网站通过在浏览器中保存cookie来识别用户,Mozilla曾经称之为“精致的美味”。

  当你访问的每一个网站都使用了相同的统计服务商时,就意味着他已经完整地知道了你的上网习惯。在全球范围里,Google Analytics正是这样的统计服务商。

  仅仅这样还不太容易将你的上网习惯与现实中的你关联在一起。因此有人(往往是收集信息的一方)觉得这不是个人隐私。

  社交网络

  如果前面的第三方统计只是过家家的话,这可就不得了:

  首先,你心甘情愿地告诉它你是谁,就读于哪个学校,家住哪里,在什么地方上班;然后,为了防止被盗号,你又告诉了它你的手机号码;为了维持和你的老同学之间的联系,你还上传了通讯录。关键的是,这一切都是你心甘情愿的。

  ——什么,你说人家有隐私条款?

  ——笔者:……

  泼出去的水是收不回来的。

  “分享”按钮

  你不点击,人家至少知道现实的你访问了这个网站;一旦你点击了,人家还能知道现实的你很在意这个页面。其价值不可估量。

  这种“分享”按钮方式要比悄悄地搜集信息人性化地多,无论如何,用户总是明确地知道他访问的网页上有第三方内容。当然,你同样不能拒绝这种信息收集,除非使用特制的工具。

图4,分享按钮

图4,分享按钮

  举个例子:

  情人节刚刚过去,MOMO看到蓝星人各种秀恩爱,心里不平衡了,于是也在网上浏览各种汪星人的照片。

图5,MOMO:“它怎么知道汪是汪星人,怎么知道汪想征婚?”

图5,MOMO:“它怎么知道汪是汪星人,怎么知道汪想征婚?”

  ——MOMO: “麻麻,好多照片,汪都要数不过来了。”

  ——麻麻:……

  ——MOMO:“麻麻,它怎么知道汪是想征婚的?汪不过看了几张照片而已。”

  ——麻麻:……

  实际上MOMO在浏览汪星人照片的过程中,发生了这么多事情。

图6,MOMO是这样收到精准广告的

图6,MOMO是这样收到精准广告的

  第三方服务商记录了MOMO的浏览历史,从而推测出他可能在找对象,于是,MOMO就收到了征婚广告。

  如何抑制提交个人信息

  向第一方信息提交是不可避免的,毕竟你也在使用人家的服务;然而向第三方提供信息,通常是不必要的,可以在这一点上出手。

  可惜的是,大部分旨在保护此类信息泄漏的工具都是Mozilla Firefox与Google Chrome独占的。如果你在使用国内的三大天王(IE6、IE8、360安全浏览器,只有它们的占有率超过20%,数据由CNZZ提供),大多数时候你只好望洋兴叹了。

  自动化工具:

  1,跟踪保护(TPL),适用于Microsoft Internet Explorer 9(8)

  前面提到的跟踪保护就是一个很方便的隐私保护工具。它是自动化的,只要启用“个人列表”,它就会在后台默默地阻断向第三方上传信息。在IE8中使用InPrivate Filter可能需要修改注册表。

  TPL实际上是一个设置内容策略的工具,因此也能导入定制好的列表。

  用户可以在微软官方提供的TPL订阅处获得几种常见的过滤配置,如EasyPrivacy,以更有效地阻止向第三方发送你的浏览历史。有些地方还提供了适用与TPL的广告过滤配置,然而,受到TPL性能的限制,你不能指望TPL在这一方面可以达到在Adblock Plus的效果。

  TPL“个人列表”的原理是:

  当IE9在多个(默认是3)网站的页面上发现相同的来自第三方的内容时,TPL就会将该内容自动加入“个人列表”。当该内容再次以第三方形式出现时,IE9就会阻止对其的访问,从而防止不必要的信息泄漏。

  2,Do Not Track Plus

  跟踪保护工具在阻止社交网络追踪时出现了问题,你不能在某些站点使用“喜欢”按钮的同时,阻止另外网站上社交网络的第三方信息收集行为。

  这个Firefox扩展程序解决了以上问题。你可以轻易地为不同网站设定规则,让社交网络、广告公司只能在限定的网站上记录你的信息。

图7,Do Not Track Plus

图7,Do Not Track Plus

  3,Adblock(适用于Google Chrome),Adblock plus(适用于Firefox,Google Chrome),以及其它本是用于过滤广告的工具

  某种意义上,阻止追踪和阻止广告是一回事。

  这两个浏览器扩展程序其实更为专业,它们本是用于过滤广告的。实际上,除了没有类似于“个人列表”的功能以外,它们是远比TPL强大的内容策略管理工具。在订阅这类模式中,它们的效果是最好的。

  其实Adblock Plus是地球上用户数量最多的浏览器扩展,仅在Firefox上就拥有几乎达到一千五百万的日均活跃用户。而Adblock在Chrome Web Store上,也是除了几个google官方的”快捷方式”以外,最流行的扩展程序。

  Easylist、EasyPrivacy、Chinalist等列表从一开始就是为Adblock Plus设计的。至于那些提供过滤功能的杀毒、安全软件,你也可以通过一些自动化工具,将这些列表翻译成兼容的版本以使用。

  4,Noscript(适用于Firefox),ScriptNo(适用于Google Chrome)

  第三方在搜集用户信息时,主要依靠在用户浏览器中执行一些javascript程序实现的。这两个浏览器扩展都能让用户决定浏览器可以执行来自哪些域名的javascript代码,浏览器插件等元素。当出现不必要的第三方成分时,这两个扩展就会给出提示,由用户决定是否阻止它们运行。这两个工具各自还有一些独有的功能,供进阶者使用。正确使用它们需要一定的互联网知识。

图8,NoScript

图8,NoScript

  5,RequestPolicy

  还是Firefox扩展,它适合专业的、或有明确需要(如抵御CSRF)的用户。它通过约束网络请求的来源及目标,以控制一切内容的访问。这是一个大杀器,提供了非常严格的控制,作为日常使用的话,开销很大。

图9,RequestPolicy

图9,RequestPolicy

  6,浏览器的隐私模式,限制浏览器记录cookie

  浏览器在开启隐私模式后,将不会向外发送已有的cookie信息。在登录特定的互联网服务的账户以前,统计商、广告商将难以知道你的身份。限制cookie记录也能达到类似效果。作为代价,用户需要付出丧失浏览历史等代价。

  7,有一些广告公司组成联盟,允许用户设定为“不要追踪”的状态。大部分读者就别指望了,这份名单中只有google analytics在国内是有业务的。

  为什么“三大天王”浏览器不行?

  你根本找不到适用它们的工具,即便有用于广告过滤的扩展,也是语法不通用,且没有人撰写、翻译相应的规则。
IE8的InPrivate Filter的功能与IE9的跟踪保护(TPL)完全相同。然而你必须修改注册表才能让它保持运行,此外,它不兼容TPL的过滤规则。

  几乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。

  值得一提的是,市面上有很多的Chromium”克隆版”,它们往往能兼容Chrome的扩展。至于如何判断”克隆”Chromium,这里引用一句来自《苹果APP审核指南》的话:“最高法院的法官曾有言:‘它出现时我自然心中有数’。”

  阻断第三方信息记录的代价:

  如果MOMO真的彻底阻断了广告商记录你的信息,就会发生这样的事情:

图10,阻断向第三方提供信息后,MOMO收到了不合适的广告

图10,阻断向第三方提供信息后,MOMO收到了不合适的广告

  虽然抑制了信息泄漏,但MOMO却也是自找苦吃;对于广告商、广告主,则是浪费。对谁都不讨好。

  另一方面,用户多少要在操控这些隐私保护工具上,总要浪费一些时间;因为设计缺陷或者可能会导致网页的正常运行;同时,这些工具大多又是用javascript写的,执行效率普遍不高(即便有JIT),会拖慢浏览器的速度。其次,它们往往是开发者在业余时间编写的,代码质量没有保证,也不太可能进行大规模的稳定性测试(除了非常流行的工具以外),比一般软件更有可能会带来新的漏洞。

  笔者的观点

  互联网离不开第三方的信息收集,但你总是可在能力范围之内,阻止不必要的部分。

  现在的网络不太可能是匿名的,但是,获得个人信息应是有成本。

  版权说明

  1,漫画《在网上,没人知道你是一条狗》是1993年7月5日彼得·施泰纳在《纽约客》上发表的,在本文中出现属合理使用。

  2,感谢bearsun@weibo提供了文中的萨摩狗MOMO的照片。

  3,如”Mozilla Firefox”等某些图标、名称可能是商标等有版权的。

  附录:Chromium”克隆版”:

  指那些基于Chromium源代码进行二次开发,并且与Chromium有相似界面的浏览器。它们的扩展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的扩展程序。

  Chromium是Google主导开发的开源浏览器,因为它所使用的开源条款(BSD等)相对宽松,加上Google Chrome的流行,因此有很多的“克隆”Chromium。

  Google Chrome是Google在Chromium的基础上,加入了一些私有的代码后的产品。

  浏览器插件(plguin)与扩展(extension)

  文中扩展(Extension)指那些利用浏览器的底层能力,并加以扩展的浏览器辅助程序。插件(Plugin)往往指使用了浏览器本身并不具备能力的辅助程序。比方说Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API对内容进行拦截,是扩展;Adobe Flash Player则通过ActiveX/NPAPI/PPAPI接口为浏览器提供了播放Flash内容的能力,是插件。正文中提到的所有辅助工具都是扩展,或浏览器本身具备的能力。

  来源:fcerebel投稿。

2012年2月16日星期四

小众性内容博客的窘境与机遇

  编者按:本文作者为SocialBeta执行主编范怿,本科日本筑波大学国际关系,目前留学美国华盛顿大学,若有读者要和作者深入探讨,可以在新浪微博@范怿Ryan。

  今天偶尔在爱范儿上看到吴晔飞的一篇《当科技博客遇见知乎》,在文中分析了知乎(国内问答社区) 与科技博客的区别与长短,还谈到了科技博客发展的可能性。那么处在中间的内容性科技博客到底在什么位置?

  身为专注社会化媒体的内容博客 SocialBeta的一员,我也不请自来说上几句我的想法。

  媒体性的科技博客与内容性科技博客的区别

  现在中国的科技博客,主要存在特定领域下的资讯媒体类博客,与特定领域下的深度内容类的博客。

  如36氪的属性是科技媒体,它的内容以互联网创业的快报为主。爱范儿给自己定位在发现创新价值的科技媒体,其主要内容也是以科技快讯为主。而内容博客是抓住在某个主题范围之下的独立博客,其主要内容为原创的观点性文章居多。如长城会旗下的专注移动互联网行业的深度内容博客的 MobiSights,他们聚集了 移动互联网行业的专业人士,能定期提供很多该行业的观点性文章。

  相比之下,SocialBeta是专注在社会化 媒体领域的内容博客,它集合了国内外的内容贡献者,提供海外的专业文章的编译和国内行业专业人士的原创投稿。 无论是 Mobisights,SocialBeta还是其他一些优秀的内容博客,它们的专注点都更小众,文章的原创性和观点性更强。

  可是,比起实时性与新鲜度更强的资讯类科技博客,它们的被注度更小,只被很小众的一部 分人注。

  虽然科技内容类博客不具备媒体属性的快讯,但是对于特定话题的观点性很强。 就算同样一个事件,小众的内容博客也保证了从这个博客的读者的角度,去诠释内容与读者对话。

小众性内容博客的窘境与机遇

  科技独立博客的窘境

  在中国,靠写原创做博客你想独立混口饭吃,这是难得登天的事情。而在大洋彼岸,我们却能看到非常多形形色色的独立博客,光社会化媒体营销这一个小众的领域你都能找到大概有 10来个非常受欢迎的。

  这个 是为什么?为什么在中国你想靠自己的长处与爱好坚持做一件事情这么难? 我曾经看过雷锋网采访 LBS观景台的博主的董焘一文章。文中第八段谈到了他对LBS观景台的一些发展预测与是否商业化想法,他说的都是大实话。

  说白了,在中国,你靠做媒体也就是拉广告的盈利模式赚大钱,这是不现实的。

  1)缺乏长期安定的盈利模式。

  我曾经采访过某美食博客的博主,虽然美食博客注册的门槛很低,能吸引大众的心,但是你想靠博客,获得广告赞助来谋生还是非常艰难的。你不得不去挖掘一些周边相关的盈利生存方式,如写书,上美食节目,或者与食品厂商合作等。 在社会化媒体盛行的今天, Digital Marketing成长的非常快,越来越多的人始关注社会化媒体营销。很多食品企业在几年前就已经开始把关注度放在了社会化媒体营销这个领域上。但是在中国,虽然大家非常关心社会化媒体营销,但是大部分的广告主仍然把目光放在了大众型的社交媒体和导航类网站上。而更多存在的小众型内容博客,很难被厂商关注。

  这并不代表这些内容博客没有广告的价值,只是大部分的广告主,一是没有找到他们需要的合作模式,二是规模上的 ROI返利太小不值得花成本去关注。阎大为在 他最近写的一文章《品牌应该如何应对变身 “搜索达人”的消费者》文章中提到这样一个观点,“这么多的媒体形式(电视,报纸,杂志,电台,网站,新媒体)的出现,并没有降低品商的宣传成本,反而 是增加了品上的宣传成本,这个宣传成本并不是广告投放的费用,还有是广告内容的生产及管理的成 本。在多元化的媒体形式分散的时候,品商就需要投入更多的人力和物力 ”。

  而对于拥有有限数量的读者 的小众型内容博客而言,这个 ROI是非常不来的。这也是为什么靠投放原创内容却不讨好的内容博客活得这么艰苦的原因之一。

  2)缺乏合理的管理与经营。

  美国是一个非常注重个性与多元的国家。而独立博客就是这个文化下的产物,他们会被人关注,也会被人认可其价值,从中得到相应的回报。而在中国,大部分的博主或者小团队靠兴趣坚持做事情,但是也是局限于兴趣。大部分的人仍然是一边工作一遍贡献。所以这可以解决一个不生不死也能混过去,得到一小票人支持的现状。

  可是,当你真心想要跳出趣这个范畴,想为一票小众的读者做更好的东西的时候,首先,第一座墙就是盈利模式的问题。其次,假设前者靠储蓄挺住了,遇到的第二个问题是,大部分的草根博主,致力于特定领域下创造内容,可是把经营博客这个东西去商业化,这里就出现了一座大山。无论你是去做科技媒体,还是去做内容博客,靠写字靠原创生存在中国是非常难走的路。在科技创业板块热火朝天,国内外的VC都把关注放在了互联网创业这个版块。但是做科技媒体,去写博客仍然不是一个被大众关注的行业,也不是一个一日之间就能返利好几倍的 “蛋 ”。

  我们这些写字的朋友要么省一点,自力更生。要么寻找周边关联的支持营收的模式,有了靠谱的盈利模式才能把内容与浏览体验做的更上一层楼。无论是做哪一种模式,这里面不单单需要的是内容的生产力,在商业上经营与管理能力的需求则被放的更大化, 而这也是为什么如此多的内容博客,跳不出靠兴趣,辛苦的做一点是一点的情况。

  社会化媒体时代对于小众性媒体的机遇

  纵看这个社会,我们需要不断的有更多的人站出来去创造内容。现在我们看到的大部分的文章,并不是它 们本身质量不好,而是文章本身这个东西就是一个消耗品,人们在资讯类的文章的目光停留时间越来越 短,愿意停下来去写思考,提问,写很长的评论的人更是少而又少。

  这是互联网信息大爆发后的一个后遗症, 140字的微博的普及后这个现象更为泛滥。

  但是,正因为这样一个现象,我认为,浅度阅读与深度阅读的三八线被画得更为清晰。

  读者对于自己的阅读需求,与资讯的收集需求的区分会更加明显。在这样一个 变化面前,小众的内容博客更需要站出来去,对自己的特定读者去写原创,去掘阅读的需求。 同时,社会化媒体的起给了媒体新的机遇,让更多的读者可以去接近媒体,认识媒体与媒体背后工作的 人。读者甚至会在免费的信息中进行自我筛选与过滤。他们会去关注一些他们认识的,信赖的,或者他们的朋友也在关心的媒体与媒体微博。

  在个性化阅读时代中,越来越多读者会在如 Flipboard这样的阅读应用 中,寻找的不是他们 心主题,而是他们认识的媒体。比如你心社会化媒体营销,更多的读者会直接在 阅读器上搜索 SocialBeta,而不是去注一些大众型的媒体。而这一层,媒体与读者关系的建立,除了去坚持挖掘阅读需求,创作好的内容之外,媒体在社会化媒体上如何经营自己,与读者们交流与对话也变得越来越重要。如 SocialBeta在新浪微博上,它并不是像其他一些媒体类微博一样地去同步网站上日发布的 更新文章,而是会花费更多人力成本去与读者对话,做起微讨论,转发读者的观点与评论。

  小众的内容类博客永远是行业中的冰山一角,它的价值是原创内容本身,也是创造内容背后的人的价值被 。通过社会化媒体,读者会始认识渐渐去认识这些 “小而美”的媒体,和他们做朋友,与文章背后的人进行交流。

  用更社会化的方式去做科技博客

  无论是媒体类科技博客还是内容类科技博客,除了切入点不同,受众的定位不一样之外,模式最后很有可能都走成一个样子,那就是社会化(众包)。

  吴晔飞在爱范儿的《当科技博客遇见知乎》文中谈到他对科技博客的期望在有效的众包,而 LBS观景台的董焘也在访谈中提到,科技博客作为一个产品,就应该是 2.0,依靠UGC和民主趋势做才会做好。 我们 SocialBeta也深以为是。我和puting多次在交谈勾画中SB的未来的时候,都在想如何去实现一个真正 符合中国模式的众包型的内容博客。让更多有观点,有想法的人可以参与进来,去把信息与信息,人与人的这层关系链接起来,撞出新的价值。要说 SocialBeta这个博客的最大的特点也是在这个社会化的运用方式上。 SocialBeta集合了许许多多的社会化媒体的从业者与爱好者,我们的参与者分布在世界各地,通过不 同的方式对 SocialBeta做出贡献。

  这中社会化的运用模式,是一个创新的模式,也是一件非常难的事情。这背后需要有支持社会化模式的经营管理的能力去连接这些分散的人,来最大化每个人的价值。

  同时,这也需要一个靠谱的盈利模式来支持平台整体的运营,让贡献者可以在世界的任何地方,以最小的创造成本投入内容,得到最大的回馈;让读者更容易的找到他们需要的内容,和内容背后的创造者。我们用长远的眼光去看社会化的运作模式,是一个开放,公平,形成一个共赢的,人人都是英雄的舍小我成大我的精 神。这整个模式,是一个创新,也是一个 Mission Impossible的挑战。我们都在摸索中。

  来源:雷锋网投稿。

2012年2月15日星期三

京东商城账户盗刷的对策

  据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他网站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

  去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联网行业人心惶惶。同样,在用户数据最为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码,一旦有一家网站发生信息泄露,该用户在其他网站的账户信息便难以保证安全。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年“泄密门”事件的后遗症。

  电商网站负有责任

  对于客户个人账户被盗刷,电商网站负有一定责任。去年天涯、CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

  扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

  找到这些用户之后,就可以对其采取进一步的措施:

  1、给这些用户的电子邮箱或手机发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

  2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

  3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

  电商网站的义务

  显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

  1、企业不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。最终造成网络应用漏洞很多,让不法分子有机可趁。

  2、国家在网络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业网站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

  3、主动服务用户的意识淡漠,没有把用户的利益放在第一位,对用户不负责任。

  网民的责任

  另一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

  如果网民贪图方便,上网只使用一个密码,那么在密码被泄露之后,应该在第一时间去各个网站修改密码,并尽快采取密码分级管理的措施。

  技术解决方案

  解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己手机上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

Google

  动态密码技术可以免费安装在用户的智能手机上,因此对于用户来说,几乎没有成本,唯一的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的手机令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。

2012年2月14日星期二

也看iPad商标权之争

  美国苹果公司(Apple Inc)与唯冠科技(深圳)有限公司的“iPad”商标权争夺案,尽管苹果公司提起上诉,但全国多地工商部门介入调查,石家庄也不例外——苹果门店不仅下架iPad,还将面临数额不详的罚款。(《河北青年报》2月13日)

  据报道,2月8日,河北省石家庄新华区工商局经济检查大队他们接到唯冠科技(深圳)有限公司代理律师函件,称“苹果公司iPad商标侵权”。该经济检查大队立即对辖区苹果专营店及苹果产品销售门店开展了侵权产品查处行动。对涉嫌商标侵权的商品依法一律没收,并处非法所得五倍以下罚款。经过两天的摸排查处,该经济检查大队已查扣苹果iPad 45台,全部为iPad 2系列。

工商执法人员清理被查扣的苹果iPad 2

工商执法人员清理被查扣的苹果iPad 2

  针对河北省石家庄市工商部门查扣苹果iPad,业内知识产权律师今天表示,这一行为可能不当。因为工商部门作出查扣iPad的举动时,是认定苹果侵权行为已经成立。目前法院审理的为商标行政确权纠纷,且一审判决还没有生效。两家的侵权纠纷尚没有司法上的审理,工商机关过早认定侵权可能不当。如果各地工商部门都对苹果iPad产品进行查扣,但最终结果如果认定苹果侵权行为不成立,这可能给苹果带来巨大经济损失。

  按照目前的法律,消费者购买了商标侵权商品并在使用过程中发现商品存在质量问题的,按照消费者权益保护法相关规定,商家应该给消费者退货退款,而iPad做为一个全球知名的产品,当然不是真的假冒伪劣,不可能侵害消费者权利,不会危害公共安全,也没有什么质量问题,因此对于iPad的收缴损害的是消费者和商家的利益。

  所谓iPad商标权之争,本质上是中美企业的利益之争,在中国企业看来,是美国公司侵犯了其商标,而在美国苹果公司看来,是中国企业不讲诚信,将商标出售后,现在又通过法律漏洞再敲一笔竹杠。而做为执法部门,工商部门不应该通过行政力量来影响这种尚在诉讼中的案件,否则网民会质疑,工商部门是否在为自己谋取私利(免费使用iPad),质疑每当有利可图的时候,他们总是冲锋陷阵跑在最前面。

2012年2月11日星期六

WINDOWS 8图片密码真的安全吗?

  污渍可能泄露你的密码,远处可以看到你的密码,摄像头可以拍下你的密码,省事省时心理和突出部位让你的密码更容易被破解,Windows 8 图片密码真的安全吗?

  为进一步利用平板电脑的优势和改善用户体验,微软为 Windows 8 准备了图片密码功能,可以极大地方便触摸屏用户。普通电脑借助鼠标也可以使用图片密码功能,但更多是种娱乐功能。

  图片密码的核心由图片和用户绘制的手势组成:图片部分,用户可以自由选择图片作为图片密码登录界面的背景,这将有助于用户增加密码的安全性和易记忆性。这张图片现在看起来就像是手机锁屏一样,用户可以任意决定;手势部分:包含点、线和圈三个手势,Windows 8 会记住手势的起点和终点,画圈的手势区别顺时针和逆时针。

  图片密码确实有助于节省登录时间,微软称,图片密码登录耗时仅为手动输入密码耗时的1/3不到,用户重复使用该功能,熟悉后使用手势4秒钟即可完成任务,普通登录模式则耗时17秒(有这么长吗?)。

  Windows 8 的图片密码有着华丽的外表,而且看起来确实很棒,但该功能能否提供传统密码验证方式相当的安全性是用户最关心的问题,也成了安全界关心的重点。

  对于很大数量的使用传统的由键盘输入简单密码的用户,基于手势的验证系统可能会安全一点。但可以说 Windows 8 图片密码真的安全吗?

WINDOWS 8图片密码真的安全吗?

  除了人们普遍认识到屏幕上的污渍痕迹可能泄露用户密码之外,它还存在其他问题,比如用户在使用该功能登录系统的时候,即使是从很远的地方也能看到用户划出的手势,如果是在公共场合,这还安全吗?如果是有摄像头监控的地方,这还安全吗?

  以上讨论的是影响图片密码功能安全性的外界因素,那么图片密码功能本身又有什么问题呢?

  最最讽刺的不是国内最知名的程序员网站会被暴库,最最讽刺的是,居然国内最知名的程序员网站居然会使用明文密码。“电脑高手”聚集的 CSDN 的用户密码难道又显得有多高级?专业人士都这样了,更别说非专业人士了,电脑小白到在 Windows 7 的PC时代是电脑小白,而到了 Windows 8 的平板时代也只会继续是“平板小白”。

  按照微软的理论,由5个手势的图片密码最多有398万亿种组合可能,而传统的基于键盘的5字符密码最多仅有1.82亿种组合可能,传统的8位密码也仅有9万亿中组合可能。

  但实际情况会是怎样的呢?一个平板电脑,会有多少人设置一个由5个手势组成的图片密码呢?Our4.org 猜想用户设置图片密码的手势数更多会类似正态分布,而正态分布的顶端对应的手势数更可能为1,或者2,最多3,保守估计,用户为了省事省时,由1-3个手势组成的图片密码要占到用户设置的图片密码的60%以上,保守估计1个手势组成的图片密码要占到30%以上。

  也许你会说我这是纯粹猜想,那就让事实来证明一切,但请不要高估人们对于密码保护的意识。

  另外,关于密码,易记忆性恐怕是最最重要的一个因素,试想,如果你设置的密码,连自己都记不住,哪里还有什么安全性。而图片密码的另外一个问题是其易记忆性问题,其易记忆性可能确实不会差,但那是要付出代价的。

  先看文章开通微软给出的示例图,该示例图显示的是一个3个手势组成的图片密码。手势划出的地方全是人物的突出部位:头部、鼻子。但即使微软把登录界面的背景图片切成N多个网格,一张图片上的突出部分又有多少?(难道要把毕业照设置成背景?)在突出部位设置图片密码基本上符合人的心理,很少有人会在不突出的地方设置密码。也就是说,其实一般人使用的密码还是极有规律可循的,而密码可能组合数不可能像微软给出的数学算法得出的数字那样大,甚至比字符密码还要小。

  污渍可能泄露你的密码,远处可以看到你的密码,摄像头可以拍下你的密码,省事省时心理和突出部位让你的密码更容易被破解,Windows 8 图片密码真的安全吗?

  来源:Our4.org投稿,原文链接

2012年2月10日星期五

保护你的隐私,五种控制Android应用的权限的方法

  这篇文章目的在于介绍Android系统上控制权限的方法,读者只要使用过Android,或是对智能机平台有所了解,就能看懂,不需要专门的编程知识。

  1  为什么Android总是事无巨细地告诉你应用索取的每一项权限?

  相比Apple,Microsoft严格控制生态系统(从苹果给开发者的"App Store Guideline"可见一斑),只允许通过官方应用商店安装应用,并对每份上传进行仔细地审查而言,Android的开放就意味着,Google需要向用户提供一系列用于为自己负责的流程、工具。所以在安装应用前,Android总是要事无巨细地告诉你,应用肯需要控制什么权限。

  同样,开发者也制作了一系列易用的工具,用以鉴别可疑的应用程序,或是控制权限。

Android权限

图1 Android 官方市场会强制提醒用

  Andoird哪里开放了?

  在Android中,用户能自由从本地安装应用,自由地对SD卡进行操作,自由选择应用市场。

  如果愿意放弃保修,用户还能轻易地实行root,解锁基带(baseband)。只有一些产品会严密地锁定bootloader(如摩托罗拉)。

  最重要的是,因为ASOP(Android源代码开放计划)的存在,绝大部分的Android代码都是开源的,开发者可以由此对Android系统进行深入的修改,甚至可以自行编写一个符合Android规范的系统实例(如Cyanogen Mod)。正是因为ASOP,这篇文章才可能介绍多达5种原理不同的权限控制方法。

图2, Android开源计划的标志

图2 Android开源计划的标志

  开放的风险

  不考虑Symbian,Windows Phone 6.5(及以下)平台,那么几乎所有的智能手机病毒都是Android平台的,甚至官方Android Market也闹过几次乌龙。在国内水货横行的市场,情况更是火上浇油,不法业者可以在手机的ROM,甚至是bootloader中做好手脚,让用户有病无法医。

  在Android中,用户可以允许系统安装来自"未知源"(也就是非Google官方的,或手机预置市场的)应用程序。于是,移动平台最重要的门神------数字签名就被绕过了。

图3 Android 允许未知安装未知来源的应用程

图3 Android 允许未知安装未知来源的应用程

  出于Android的开放性,也有不允许"未知源"的反例:亚马逊的Kindle Fire平板使用了深度定制的Android,它只允许安装来自亚马逊官方商店的应用程序。

图4 亚马逊的 Kindle Fire 仅允许通过自带的市场安装应用

图4 亚马逊的 Kindle Fire 仅允许通过自带的市场安装应用

 

  2  Android有哪些"权限"

  首先需要明确一下Android中的种种"权限"。Android是在Linux内核上建立一个硬件抽象层(Android HAL),通过Dalvik以及各种库来执行android应用的。在手机启动时,首先需要由Bootloader(HTC手机上称作Hboot)引导Linux及手机上各个硬件设备的驱动程序,之后才启动Android系统。所以其实我们会涉及到四种不同涵义的权限:

  Android权限(Permission)

  这指Android中的一系列"Android.Permission.*"对象,是本文的中心内容。

  Google在Android框架内把各种对象(包括设备上的各类数据,传感器,拨打电话,发送信息,控制别的应用程序等)的访问权限进行了详细的划分,列出了约一百条"Android.Permission"。应用程序在运行前必须向Android系统声明它将会用到的权限,否则Android将会拒绝该应用程序访问通过该"Permission"许可的内容。

  比方说,搜狗输入法提供了一个智能通讯录的功能,用户可以在输入联系人拼音的前几个字符,或首字母,输入法就能自动呈现相关联系人的名字。为了实现这个功能,输入法必须声明它需要读取手机中联系人的能力,也就是在相关代码中加上声明"android.permission.READ_CONTACTS"对象。

图5 搜狗输入法的智能联系人功能

图5 搜狗输入法的智能联系人功能

  原生Android只提供了对"一刀切"式的管理,要么同意使用,否则就根本就不安装应用程序。当用户遇到希望使用程序的同时,又想禁止部分Permission的场合,他就无路可走。

  于是,不少开发者就捣鼓出了"第三条道路";可惜的是,没有一种方法能同时做到既不需要将手机固件Root,又完全不涉及对原始应用程序进行反向工程的方法。

  Root

  Root指获得Android所在的Linux系统的Root(根)权限,有了根权限,你才能对Linux做出任意的修改。iOS中的越狱(Jailbreak) 相当于获得iOS系统的Root权限(iOS是一种类Unix系统,和Linux都使用Root的概念)。在已Root的设备中,通常都是使用一个叫"Superuser"(简称SU)的应用程序来向许可的程序授以Root权限。

  Bootloader的解锁(Unlock)

  利用数字签名,Bootloader可以限定只有正确签名的系统可以被引导。在修改固件以获得Root以前,解锁Bootloader通常是必须的。安装第三方修改、编译的固件也需要解锁Bootloader。

  基带(Radio)解锁

  在Android系统中,基带是上层软件与手机中无线设备(手机网络,Wi-Fi,蓝牙等)的驱动程序之间的中介。国外的网络运营商很喜欢锁定基带,从而保证用户只能使用运营商自己指定的sim卡。在我国,锁定基带是非法的,手机制造商、网络运营商也不可以通过锁定基带的方法对待违约客户。iOS的"解锁"就是解锁iOS中的基带软件。

  为什么要控制Android权限

  鱼和熊掌不可兼得,Android的世界有很多自由,坏人也能自由地做坏事。它的生态系统很强调自主:用户可以自主地减小风险,仅使用官方市场的应用程序,也可以自主地解除安全限制,从而获得更多自由。因此,在遇到坏事的时候,用户也不得不自主一下:

  1, 抵制不道德,乃至非法行为

  几乎所有的Android安全软件都能对来电、信息进行控制,以减少骚扰。

  另一方面,很多应用都会要求它们实际功能以外的权限,表现在非(主动)告知地搜集设备序列号,位置信息,诱使用户默认地上传联系人列表等方面。

  更坏一点的应用程序,则会踏入犯罪的范畴,比如能偷偷发出扣费信息,或是作为黑客的偷窥工具。

  2, 减少恶意软件的损害

  恶意软件即便潜伏成功,也难以获得权限,从而减少损失。

  3, 用户有权自主地在抑制应用程序的部分权限时,继续使用该应用程序,而只承担由于自行设置不当而带来的后果。

  用户拥有设备的所有权,因此有权自主控制设备上的内容、传感器等对象的访问;同时有权(不)运行,(不)编译设备上的应用程序。

  大多数应用程序在运行时,并未达成主动告知的义务,是失误;然而即使主动告知,用户还是可以不理会。

  为什么Android官方市场的强制提醒权限的行为不属于主动告知:

  通过Android官方市场,"打包安装器"安装应用程序时,所显示的"权限"仅是在安装包内AndroidManifest.xml声明的值,而非应用程序实际上会调用的内容。该值仅用来表明Android系统能向应用授予的最大可能的权限。即便一个"Hello World"式的应用程序,也可以在AndroidManifest.xml中声明所有可能的Android Permission。

  这就是说,在AndroidManifest.xml中声明的值与应用程序实际调用的权限有关联,但不等同,且这种提示是由Android系统负责实施的强制行为。

  正确的理解是:"应用程序(被迫地)让Android系统告知用户,它在AndroidManifest.xml中所声明的事项。"

  这意味着应用程序在使用重要权限前,依然需要自行、主动地通知用户相关事宜。
  然而,即便只是让一半的应用程序达到以上的标准,也是不可能的。应用程序需要通过收集用户信息,程序的错误日志。从而统计用户的喜好,改进程序。另一方面,这也是发送精确广告但不追溯到用户身份信息的方式,这一点对于免费应用而言,是极其重要的。我们之所以能知道不同型号手机的占有率,应用软件的流行度,是与这样的统计不可分离的。

  一旦每个应用程序都专业地主动发出提醒,不专业的用户(大多数用户都是不专业的)通常会将之视为如同海啸警报一般的危机。

  这么做对谁都没有好处------用户方的隐私权是毋庸置疑的,然而应用程序方面的获取信息记录的需求也是无可阻挡的。如果每个用户都打算阻止,只会落得被迫接受不平等条约的下场,在温饱以前,不会有人考虑小康的问题。

  于是,现状就变得有趣:用户人享受着相同的服务;其中大部分用户出于不知情/好意,默默地向开发者、广告商提供了信息,剩下的少数用户则能阻断这种劳务。而作为维持Android平台的信息商人Google,只确保在它的地盘里,不会发生触碰底线的事情。

  一句话总结:

  设备是我的,不管你怎么说,反正我说了算,但我说的话大多是不算数的。    

  3  权限控制的方法

  这里开始介绍各种控制Android权限的办法。可惜的是,几乎所有的手段都需要对设备进行Root,如果不这么做,则需要付出不小代价。

  App Shield(国内常见的名字:权限修改器)

  它是一个需要付费的Android应用,其原理是修改应用程序的apk安装包,删除其中AndroidManifest.xml文件内,用于声明权限的对应"Android.Permission.*"条目,然后再用一个公开的证书对安装包重新签名(需要允许"未知源"),这样一来,应用程序就不会向系统申请原先所需的权限。当应用运行至相应的流程时,系统将直接拒绝,从而达到用户控制权限的目的。

  对于已安装的应用,AppShield也会按照同样方法制作好apk安装包,然后让用户先卸载原始的应用,再安装调整过的应用。除了该应用数字签名外,用户可以随时通过执行同样的流程,将吊销的权限恢复。

  Apk文件的结构

  Android应用都是打包成以.apk扩展名结尾,实际上是zip的文件格式。

  一个合法的apk至少需要这些成分:

  根目录下的"AndroidManifest.xml"文件,用以向Android系统声明所需Android权限等运行应用所需的条件。

  根目录下的classes.dex(dex指Dalvik Exceptionable),应用(application)本身的可执行文件(Dalvik字节码) 。

  根目录下的res目录,包含应用的界面设定。(如果仅是一个后台执行的"service"对象,则不必需)

  Apk根目录下的META-INF目录也是必须的,它用以存放应用作者的公钥证书与应用的数字签名。

  当应用被安装后,这个apk文件会原封不动地移至设备的data/app目录下,实际运行的,则是Dalvik将其中Classes.dex进行编译后的Classes.odex(存放在Dalvik缓存中,刷机时的''cache wipe就是清除Dalvik的odex文件缓存'')。

  优点:

  完全不需要Root,适用于所有版本的Android设备。不会损坏系统,可以吊销任意一项Android权限。

  问题:

  1,需要重新安装应用,该行为可能会丢失应用的配置、历史记录。

  2,执行权限吊销的应用的数字签名会被更改,无法直接更新。对于那些设计不良(没有意料到''不声明权限''情况的),或有额外自校验的应用,可能会无法运行。

  3,无法用于设备上的预装应用,除非制造商好心地将该应用设置为"可以删除"的状态。

  4,这个方法修改了apk包中的内容------尽管实际上AndroidManifest.xml和数字签名并不算是应用程序的本身,但修改它们可能引发著作权的问题。

  5,需要开启"未知源"。

  6,这是一个收费应用。 

  CyanogenMod 7.1(及以上版本)

  Cyanogenmod是一款著名的第三方编写的开源Android ROM。

  CM7.1加入了控制权限的开关,官方的名称是"Permission Revoking",任何非系统/保护应用在安装后,可直接吊销任意一项权限,其效果等价于直接删除apk包中AndroidManifest.xml的对应条目,但不会引发自校验的问题。CM的权限工具的作用等同于AppShield,无非是在Android自身的权限系统中添加了一个开关。

  优点:

  免费,使用简便,可随时,任意地吊销、恢复非预装应用的任意一项权限;不存在数字签名的问题,因而不影响使用自校验的应用程序。

  问题:

  此功能仅在Cyanogen Mod 7.1及以上版本提供,无法用于其它rom。因为是由Android系统出面吊销权限,其实现原理与App Shield完全相同,同样的,应用程序会因为设计不良而出现崩溃。  

  Permission Denied

  这是可以吊销任意Android应用(注意,不当地吊销系统应用的权限可能会导致手机固件损坏,无法启动)的任意权限,对权限的修改在重启后生效。

  实现原理应该与Cyanogen Mod 7.1+完全相同,适用于任何已经Root的系统,因为一般的Android系统虽然事实上支持权限吊销,但没有像Cyanogen Mod那样放置接口,因此需要重启后才能应用权限配置。同样也有系统出面拒绝权限而导致的崩溃现象。

  优点:

  效果与Cyanogen Mod中的权限吊销效果一致,且可吊销系统应用的权限。同时提供了免费与收费版本,免费版并没有基本功能的缺失。适用于所有版本号不低于1.6的Android设备。

  问题:

  调整后的权限需要重启才能生效。设计不良的应用会崩溃。不恰当的权限修改会损坏系统,导致无法开机。  

  PDroid

  PDroid实际上是一个Android内核补丁加上一个用于管理的外部应用。补丁需要在Recover环境中刷入系统,也可以由开发者自行移植入系统。该软件在Android ASOP 2.3.4代码基础上开发,仅适用于没有改动内核的Android 2.3系统,目前还未支持Android 4。

  为了避免Cyanogen Mod 7.1+权限吊销(Permission revoking)导致的崩溃问题,以及后台服务(如LBE,QQ手机管家等,PDroid的作者认为通过后台服务拦截权限并不是好办法),PDroid并不阻止应用程序声明权限,但会在其实际索取相关信息时,予以阻止。通俗地说,就是签署协议但不执行。在PDroid的用户界面,用户能随时精确地控制涉及隐私的各项权限。对于某些内容,除了阻止外,用户还可以伪造一个随机或指定的数据。

  可控制的内容包括:

  IMEI(可伪造)

  IMSI(可伪造)

  SIM卡序列号(可伪造)

  手机号码(可伪造)

  来,去电号码

  SIM卡信息

  当前蜂窝网络信息

  (以上七者均来自Android.Permission.READ_PHONE_STATE)

  GPS定位信息 (可伪造,来自Android.Permission.FINE_LOCATION)

  基站定位   (可伪造,来自Android.Permission.COARSE_LOCATION)

  系统自带浏览器的历史,书签(Android.Permission.BOOKMARKS)

  联系人    (android.permission.READ_CONTACTS)

  通话记录   (android.permission.READ_CONTACTS)

  系统日志   (android.permission.READ_LOGS)

  当前账户列表   (android.permission.GET_ACCOUNTS)

  当前账户的授权码  (android.permission.USE_CREDENTIALS)

  短信,彩信 (可能与这5个权限有关)

          android.permission.READ_SMS

          android.permission.RECEIVE_SMS

          android.permission.SEND_SMS

          android.permission.WRITE_SMS

          android.permission.RECEIVE_MMS

  日历    android.permission.READ_CALENDAR

  PDroid的内核补丁并不通用,每一个Rom都需要特定的补丁。开发者除了提供了几个特定机型下Cyanogen Mod,HTC Sense修改版ROM的专用补丁外,还推出了一个补丁生成工具(PDroid Patcher),用户可以给自己的ROM生成专用的内核补丁。使用该Patcher需要安装JDK(java Development Kit)。

  优点:

  PDroid避免了通过Android系统进行权限吊销的导致的潜在崩溃问题,也不需要后台服务。对隐私信息的控制是最精细的。尽管设备必须Root,但应用本身不需要Root权限。

  问题:

  安装过程是最繁琐,最不可靠的,容易导致ROM损坏,适用范围也小,需要用户有相当的技能(能安装JDK,会刷机)才可使用;只提供对隐私有关权限的控制,不提供网络访问,的控制。以这些为代价,它几乎没有其它缺点。  

  LBE安全大师

  实际上最常用的是以LBE为代表的通过一个Root权限的后台服务来拦截相关行为的工具。除了LBE外,还有QQ手机管家等应用。这里以LBE安全大师为例介绍。

  LBE是国内一个叫"LBE安全小组"开发的工具,支持Android2.0~4.0。它的核心功能是像杀毒软件一般,通过一个需要Root权限的后台服务,劫持所有调用权限的行为,并放行用户许可的部分(其官方宣传为''API级别拦截'')。它和PDroid一样几乎不会引发应用程序崩溃,它支持拦截几个涉及用户的关键权限(LBE手机管家3.1/3.2):

  读取短信  (android.permission.READ_CONTACTS)

  联系人记录  (android.permission.READ_CONTACTS)

  通话记录  (android.permission.READ_CONTACTS)

  定位   (Android.Permission.COARSE_LOCATION

        Android.Permission.FINE_LOCATION)

  手机识别码  (与Android.Permission.READ_PHONE_STATE有关)

  通话状态  (与Android.Permission.READ_PHONE_STATE有关)

  发送短信(具体原理不明,同样类似于禁止这五个权限

        android.permission.READ_SMS

        android.permission.RECEIVE_SMS

        android.permission.SEND_SMS

        android.permission.WRITE_SMS

        android.permission.RECEIVE_MMS)

  拨打电话  (android.permission.CALL_PHONE)

  通话监听  (android.permission.PROCESS_OUTGOING_CALLS)

  除此以外,LBE还可以分别控制应用在Wifi,手机网络的联网权限,其原理是依靠IPtables防火墙,而非通过Android的"Internet"权限。

  此外LBE手机管家还提供基于智能内容审查的短信拦截、来电归属地显示,以及禁用系统(保护)应用,进程管理,杀毒等功能。

  LBE提供两个版本,一个叫"LBE安全大师",是一个全面的手机管家类应用,更新比较频繁,另一个版本(LBE手机隐私卫士,LBE Security lite)仅提供权限方面的管理。

  考虑到主要市场在国内,LBE的发行策略看上去有些奇怪,它在Google的官方市场并不发行最新版。通常只能只能在LBE的官方网页,以及国内的应用市场获得最新版本。

  优点:

  使用非常简单,功能强大而全面,风险很小,可以控制系统应用。适用范围广,有很多替代产品。

  问题:

  需要后台服务 (尽管蚕豆网有个评测,认为它对能耗几乎没有影响),不能控制所有的Android权限。     

  4  自启动的控制

  Android对后台服务有着最好的支持。

  在Android中可以自由地开发一种称为''Service''的后台运行的对象,加上没有苹果公司对应用程序的严格限制。诸如QQ挂机,即时调用第三方应用程序之类的形式都可以轻易实现。

  为了全面支持后台服务,也为了适应移动设备资源紧张,不得不经常清理内存的问题,应用可在系统中设置触发器,当系统发生了某个特定特定事件时(系统启动,拨打电话,收发信息,安装、卸载应用,插上电源等,或应用程序自行定义的事件),就会触发启动应用程序。

  AutoStarts 自启动管理

  AutoStarts是一个收费应用,通过它,用户能了解系统中每一项程序会在什么场合下被触发运行。如果提供Root权限,则还能禁止这样的行为。

  这里以Google Maps应用6.2版为例。默认情况下,这款应用总是会保持后台运行,并每小时向Google发送一次当前用户的位置信息。为了阻止这样的行为,需要联合使用AutoStarts与任意一款进程管理应用:在AutoStarts中,阻止Google Maps的自行启动(如图),在每次使用完后,把Google Maps的进程杀掉。 

  5  其他

  Root带来的风险

  有一个钻牛角尖的说法认为,一旦对设备进行了Root,便无安全一说,只要恶意程序一旦偷偷获得Root级别,一切都是空谈。

  这种说法之所以钻牛角尖,是因为:一方面Android中的Root权限通常都是需要用户通过Superuser应用进行授权的,这已经够用,虽然不能指望Superuser无懈可击;另一方面,控制Android权限主要是为了让应用程序在"灰色地带"的行为收敛一些,它们实际显然不是病毒等犯罪软件。

  著作权的问题 (作者不是法律方面的专家,以下言论仅供参考)

  我们知道,Android中的应用程序是基于Java语言编写的。而为了达到跨平台的目的,Java软件是以字节码(或叫中间代码,bytecode),而非计算机能直接执行的机器码(Machine Code,有时也叫作Binary)的形式存在。因此执行Java软件时,需要一个Java虚拟机(Android系统中的Java虚拟机就是Dalvik)负责解释运行,有的时候,虚拟机还会通过即时编译(JIT)的方法将字节码编译为机器码后再运行,以提高程序的执行效率。

  这就出现一个很有趣的现象:

  除非另行规定,作为设备的拥有者,用户总是可以自行决定如何使用软件,能自行决定程序能否访问用户自己的计算机(移动设备亦然)里面的各个内容、对象。

  由此衍生出,在需要对代码编译、解释的场合,用户也能通过对编译器(解释器)的干预,来影响代码的执行效果。在Android中,用户还可以在Dalvik解释、编译的时候动手。

  这是因为,著作权仅保护了软件代码不受到非授权的反向工程,未授权传播等侵犯。另一方面,对于Android上的Java,网页中的javascript程序,赋予用户解释、编译的权利是程序能执行的先决条件;同时,软件发行者发通常也会主动提出放弃这种权利(表现为''软件按原样提供''、''不对使用软件造成的后果负责''等条目)

  在编译、解释的过程中,需要通过汇编(Assemble),连接(Link)等方法将编译好的对象(Object)、方法(Function)联系起来。默认情况下,这些行为是由原始的代码(源代码、中间代码)与编译器(解释器)决定的,但是用户可以通过制约编译器(解释器)的设置,从而影响到最终代码。这么做是没有问题的。

  还有一种,应用程序在安装后,会在系统中产生一些缓存,或注册一些信息。当其中的内容有关用户数据时,读取或修改它们也是没有问题的。这就是所谓"只要是你的东西总是你的";也是Cyanogen Mod、Permission Denied不会涉及版权问题的原因所在。

   总之,一个Android应用之所以能运行的前提是:

  1,首先,用户允许使用这个应用

  这也可以理解成:用户安装了应用(以及因此设定的后台对象),购买了预装应用的手机。这一点即不影响应用程序的主动通知义务,也不影响用户事后的干预。

  2,接下来,用户允许Dalvik对该应用使用"解释","JIT"的方法,从而该应用程序得以执行。

  3,用户随时可以对该应用作出任意不违反版权的干预。

  所以,在没有另行规定的前提下,用户总是可以自行决定,通过给应用程序分配自定义的权限;或是在应用程序调取内容,对象时予以阻断。同时,用户也需要自行承担因不当操作产生的后果。    

  附录:

  1、 数字签名

  数字签名是一种使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证。数字签名可以轻易地验证完整性(正确性),合法签署的数字签名具有不可否认性。 (摘录自维基百科"数字签名"条目,有修改)

  2、 版权声明

  文章中引用的图标,图片或图片的部分,以及部分文字的引用,仅出于合理使用的目的,可能是持有人版权所有的。

  来源:fcerebel投稿。

2012年2月8日星期三

微博实名制,谁是受益者

  据报道,新浪、腾讯、搜狐及网易四大微博即将在3月16日全部实行实名制,均采取前台用户名称自愿,后台身份信息实名的形式。在3月16日之后,所有未进行实名认证的用户将被强制拦截,不能进行发言或转发。

  微博实名制的推手——政府

  这使得北京政府在去年12月16日公布的《北京市微博客发展管理若干规定》不再是一张空文。经过四个月的前期准备和过渡,政府作为微博实名制的推手,已经在准备着采摘微博实名制丰收的硕果。

  在中国,主张制定政策者或政策的制定者往往就是利益既得者。政府就是微博实名制的最大受益者。微博实名制,使得政府拥有了更加便利的管理工具,将微博这种快速、链式、高效、匿名的自媒体粉碎,转化为戴着镣铐的、受监视的官管自媒体。

  政府通过微博实名制,对舆论进行更好的控制,不仅可以将管不住嘴的用户封停,还可以方便地约谈喝茶。政府一方面通过实名制来监管微博舆论,并主动地注册政务微博来引导舆论,这其实就是对微博的CCAV化。软硬兼施,两手都抓,可有奇效啊!

微博实名制,谁是受益者

  微博实名制的打手——微博网站

  在中国开微博网站,就会有实名制这一天。说微博网站是微博实名制的打手,其实也是屈了微博网站,你懂的。

  微博实名制,微博网站的压力也接踵而来。在CSDN等网站“泄密门”之后,个人信息安全受到用户的格外重视,能否将用户身份信息严格保密,将是微博网站面临的重要问题。如果有人能够黑如微博网站窃取微博用户资料,那是对微博实名制最大的戏谑。

  同时,微博网站内容审查的负担将减轻不少。一方面是因为用户经过实名制认证,发表言论将变得谨慎,对不和谐内容进行了自我阉割;另一方面,由于一个身份信息只能认证一个微博账户,许多人因为不认证或者无法认证而不能发言,那些匿名马甲的自由言论也就被自动拦截了,能发言的用户量也比以前少多了。

  微博实名制后的用户们

  加V认证用户

  因为加V的用户已经进行了实名身份认证,所以微博实名制对这类用户基本没有影响。

  普通用户

  普通用户如不进行实名认证,将会失去发布和转发功能,变成哑巴账户。一旦在认证后说了不该说的话遭到封禁,那么将永远与微博告别。

  有马甲的用户

  因为一个身份信息只能认证一个微博账户,那么有多个马甲的用户将得考虑如何取舍,保留一个账户,而剩余的账户将成为没有差异的潜水专用账户了。如果你以社交为主,那么可以认证自己最常用的微博账户,里面保留有自己最广泛的社交网络。

  微博营销的用户

  如果你是微博营销等商业目的的用户,那么可以先认证粉丝数量最多、影响力最大、经济效益最好的微博账户,其他账户可以稍后再做计划。

  而这种微博账户往往是由一个团队多个人手组成,可以使用团队成员的身份信息对微博进行认证。如果仍然不够,还可以向不使用微博的人借用身份信息,比如你的爷爷奶奶们。

  僵尸粉

  嗯,僵尸粉一般是不用说话的,所以没有什么大的影响。

  对于具有评论、转发和自发微博功能的高级僵尸粉,基本无法进行认证而沦为普通僵尸粉了。

  对于买卖僵尸粉的人来说,无法再注册新的僵尸粉。而货源总有限,还是在实名认证前赶紧补充货源吧!

  水军

  水军的作用就是凑人头、导舆论、和博主互动,一旦无法实名认证,水军也就变成僵尸粉了。

  但是,也不排除某些御用水军不需要认证的可能性。

  对微博实名制后的猜想

  1、流失不少高素质用户,他们教育程度较高,对个人信息和言论自由敏感,不愿意进行实名认证。 

  2、未备案的网站可能将不再受到微博网站提供的信息接口。

  3、可能出现盗取、收购、出售个人身份信息的经济链条。

  4、僵尸粉可能遭到系统封禁,僵尸粉售卖将受到影响。

  5、作为管理微博的辅助手段,各地政府微博愈来愈多,成为宣传官方舆论的又一重要平台。

  6、海外用户无法进行实名制认证,或许翻墙注册帐号也是一种解决方式。

  7、社会和谐,国家安康。

 

  谁是微博实名制的受益者

  嗯,说了那么多,反正不是我,你懂的。

2012年2月7日星期二

“微博实名制”即将全面实施

  据财经网报道,新浪、搜狐、网易,腾讯四大网站微博都将在3月16日全部实行实名制,采取的都是前台自愿,后台实名的方式。3月16日后,所有未实名认证的老用户将被强制拦截,不能再发言、转发。

  微博客账号注册信息真实是指用户提交网站注册的信息,用户使用微博客服务的名称可自愿选择。3月16日将成为北京微博老用户真实身份信息注册的时间节点,之后未进行实名认证的微博老用户,将不能发言、转发,只能浏览。7日上午召开的贯彻《北京市微博客发展管理若干规定》座谈会上,市网管办相关负责人披露了这一消息。

  针对新用户的实名制实际上已经实行了,从2012年1月1日起,新浪微博注册环节加入了身份信息比对功能,包括真实姓名、身份证号码等信息。如果信息比对没有成功,注册后只能浏览,如果要发言则需要重新验证身份。

  由于这次实行实名制,是针对国内大部分主流微博服务,因此对于各个门户微博运营商来说,受到的影响基本是相同的。

实名制

  在我早先的“微博实名制”讨论文章中,认为微博实名制的最大的风险就是个人隐私的泄漏,在去年底的“泄密门”事件中,不少大型网站的用户信息均遭到泄密,而现在实行实名制之后,真实姓名和身份证号码就会录入系统中,一旦用户身份证号码被泄漏,他的真实姓名、性别、年龄、出生地等信息就全部被他人获得,给商业网站发送垃圾信息,给黑客诈骗带来方便。如果有人使用这些身份证和姓名去办理信用卡或其他违法犯罪的事情,由此个人遭受的损失由谁来负责,这中间的争议由谁来监管?

  因此我认为,对于实名制的用户信息保存问题,负责任的网络公司,不应该在数据库中保存用户的真实姓名和身份证号码,而只是在验证的时候进行对比即可,验证身份证号码成功之后,将用户的真实姓名和身份证号码的MD5数值保存在数据库里,这样即使数据库遭到了黑客的攻击而泄漏,用户的身份证号码也不会被窃取。同时,通过MD5的对比,也可以防止多个用户使用同一身份证号码注册微博。

  不过我估计,微博网站还是有很大可能明文保存用户姓名和身份证号码,毕竟实施微博实名制,主要是为了监管,以便能更好地实施“跨省抓捕”的任务。

  实行实名制之后,一个用户就只能有一个微博,这将会重创现有的微博营销公司,各种水军和僵尸粉丝将被禁言,而无法发布信息,对于各微博运营方来说,新用户注册量、老用户活跃度可能都会受一定影响。

 

2012年2月6日星期一

技术演讲的技巧和经验

  导读:如果你在编程大会上发表演讲,不论是开放式的BarCamp或是像OSCON那样精心组织的大型会议,你只有很短的一段时间将脑中的信息传达给听众,所以请仔细把握。

  技术会议的成本非常昂贵,不仅仅是经济上的成本。即使像BarCamps这样的免费会议也需要与会者投入宝贵的时间。大家放下手头的工作或者割舍与家人一起的时光,而这段时间是无法用金钱衡量的。大会(按照主题)浓缩成45分钟的专题,演讲者和听众都因该充分利用这段时间。

  开场白通常都是浪费时间,演讲一开始通常都是无用的信息。如果你是演讲者(我会告诉你):我不在乎你为哪个公司工作,除非这与你要演讲的主题有关;我也不需要了解你正在讨论的产品历史。如果你的演讲一共45分钟,那么花5分钟时间介绍自己就意味者浪费了11%的时间在介绍没有人会关心的信息。

  作为听众,在演讲一开始我就想知道能否从中得到一些有用的东西,并确定是否需要收拾东西转向另一个会场。

  下面是一位注重实效演讲者的开场白:“嗨!我叫 Sharon Bosworth,感谢参加今天的演讲。今天我要讲的主题是如何使用FooTest测试框架测试Perl程序。一年半以前我加入了 Amalgamated Widgets,我们有一个上千行的代码库,项目经常由于bug延期。现在,我所在的4人团队已经成功地将项目周期缩短到之前的一半,管理团队爱死我们了。接下来我要介绍我们是如何使用 FooTest达成这一目标的,与此同时还会介绍如何在你的公司中采用这个框架。”

  在这个开场白中,演讲者介绍了她将要讨论的内容、为什么有趣以及听众能从中得到哪些收获。请留意Sharon没有介绍的内容。她没有介绍她住在哪里,为多少家创业公司工作过,或者参与的开源项目有哪些。她只向听众传达了演讲本身必要的信息,没有任何废话,并成功地抓住了听众的注意力。

  作为一名听众,一般在开场几分钟内你就能辨别演讲者是否优秀,以及即将进行的演讲是否有价值。如果答案是否定的,请马上起身去别的会场。通常我会在日程安排中选择一个备份,如果我的第一选择失误,就可以马上去听那一场。不要在演讲一开始就上网、检查邮件、Twitter更新或者FarmVille收获如何。如果你浪费了开场的5分钟,请好好把握剩下的40分钟不要做其他的事情。演讲的时间是宝贵的。

  译注: FarmVille是Facebook上的游戏,由美国的社交游戏开发商Zynga开发,类似于国内的开心农场。

技术演讲那些事:如何不让你的演讲令人讨厌

  Farmville是一个很好的测试。它无须动脑,是人们在感到无聊时用来打发时间的游戏。如果你在演讲的内容还不如种虚拟土豆有意思,那么你的演讲肯定有问题。

  如果在你演讲切换到下一个主题时看到有人在玩FarmVille。当然,不可能每位听众都会全神贯注,但是如果大多数人都是如此,即使你花费很多时间写了幻灯片并准备了示例,这时你还是应当夺回他们的注意力。也许你讲的内容与听众并不十分相关,因为他们没有使用最新的C++或者你所说的移动测试技术并不能在他们的平台上使用。除非你看到相当一部分的听众专注地看着你,这时你才可以说“这里只是简单的介绍,如果你希望了解更多请会下联系我”然后再切换到下一个主题。

  永远不要把演讲变得乏味。我的导师之一,卓越演说家Mark Jason Dominus曾经说过:“如果要在娱乐性和知识性之间选择,作为演讲者你应该选择前者。人们会愿意把生命中45分钟交给你”。

  务必让演讲变得有趣。即使演讲内容与听众需求无关,你也可以让演讲变得有趣。虽然我不想通篇都谈论FarmVille,但是CodeConf大会上的一场精彩演讲讨论的就是Zynga公司的基础架构,通过它FarmVille得以支持上百万用户。演讲者讨论了如何处理移动设备的延迟问题,以及Farmville后台进行异步通讯的同时,如何让用户在操作时仍然感觉程序在即时相应。这让我想到自己应用程序中的延迟问题。最重要的是,这个案例研究非常吸引人。

  最优秀的演讲者不会让听众空手而归。如果可能的话,可以提供3到5个回到办公室就能做的练习。如果打印在纸上那就更好了。还有一个附加的好处是,听众不用疯狂的做笔记而可以专心听你讲解。

  最后一个建议是,在让演讲变得有趣的同时一定要注意:使用幽默一定要小心。技术演讲中带有男权主义、性联想以及其他不专业内容的言论都会招来全场听众的愤怒并让他们觉得恶心。一段对女性“性感”打分的示例代码可能让你觉得有趣,但是起码会让听众分心甚至让他们觉得被冒犯。作为听众,如果你在某个演讲中发现不专业的内容,请不要害怕马上起身离开。即使你没有这么做,也可以让演讲的组织者知道这个问题。

  你参加技术会议中见到的最好的和最糟糕的事情是什么?请在评论中与大家分享。也许这样我们就可以阻止一位,仅仅一位演讲者犯同样的错误从而浪费你宝贵的时间。

  英文原文: Making Your Tech Conference Presentation, and Experience, Not Suck by Andy Lester

  中文翻译:伯乐在线

2012年2月5日星期日

Google的2012预言与国产山寨的守望

  GOS又在元旦发布了新的一年里有关Google的大预言,今年共预测了22条Google在2012年有可能发生的事情。事实上,仔细数一下,国内发布的仅有21条,其中有一条似乎是翻译漏掉了。

  以下是笔者在补充了原有内容的基础上,按相似分类整理了一下,并加入了对应山寨市场的观点。这样对国内读者来说,看得更直观些。

  Google 首页

  1、Google的导航条菜单将改进为可自定义方式,提示栏也会支持一些新服务,这个计划原来只是在Google+实行。2011年,Google的首页导航条变更,已经让新浪、腾讯这些山寨大叔们趋之若鹜。2012年,这些山寨者将更加疯狂。

  Google Doodle

  2、Google Doodle Creator发布后,允许用户自己创建自己的doodle(即Google首页上会随着节日变化的小Logo),并且这些doodle可以像Google+一样分享给好友。腾讯可以学习分享,但要学到创建估计很难,除非把QQ涂鸦板合并,但那块的市场需求太小了,仅靠几位没有签约机制的大师级玩家明显不给力。

  Google Goggles

  3、还记得图片搜索应用吗?它将会应用于Google网页上的图片搜索中,并可分析图片并识别出其中的物体和人物。这是国内企业抄不来的东西,希望Google继续向着09年提出的那个透明平板的概念不断迈进。

  Google Music

  4、Google Music会变成订阅服务。这条内容目前我还无法直观的理解它。但Google Music一直是以正版音乐的方式给大家带来高音质的服务,只可惜该服务仅对美国用户提供,如果也想体验,只能用美国代理的方试访问了。音乐的订阅服务在国内其实也不少,表现最出色的就是音乐网站推出的电台服务。

  Google Drive

  5、Google Docs一直要改成Google Drive,即是将原来的文档存储编辑服务,向文件存储服务转变。等于是向网盘模式进军。改版后,也将更适合平板使用。据说这次改进将可以免费存储并同步任何文件。如果真是这样,我会果断放弃现在测试的所有国内网盘服务。

  Google Instant Answers

  6、Google Instant Answers发布,这是一个改进的即时解答服务,可以提供很详细回答的搜索服务。不知道能否对百度知道形成威胁,似乎雅虎已经抢先了一步。不过另一个Google汇问倒是不错,一个名不见经传的东西极具创意。很适合追求用户体验的产品需求调研使用。

  Google history

  7、Google history将会做更多的细节改进。Google的历史记录一直是资深用户推崇的产品,如果你只是偶尔登陆谷歌搜索,是无法体会在他背后那数以千万计服务器支持下的个性化服务。如果你使用谷歌有一年以上。你可以在谷歌历史记录看查看自己过去一年来的战绩。我允许谷歌来记录我的工作、生活、足迹、行为习惯,因为这些记录将会只针对我个人来提供全面的个性化服务。它安全、稳定,未经我的允许绝不对外授权。这就像为什么这么多有钱人喜爱瑞士银行一样,我的记录也是我一生的财富。这是山寨兄弟们永远也无法比肩的。

  YouTube

  8、HTML 5已逐渐取代HTML 4成为网页的新标准,YouTube的HTML 5播放器将成为默认设置。

  9、Google会在YouTube中采用类似电视频道一样的结构。会是PPTV的模式吗?虽然国内不能访问YouTube,但这两条设置,足以让土豆、优酷等国内同行跟风。

  Google+

  10、Google+将拥有3亿用户,并与很多Google应用合并,Google甚至会用Chrome来强推Google+。Google曾在2011年12月底利用首页,AdWords等方式全面推广Chrome,如果再用他来推广Google+,也就不奇怪了。不过希望Google能改进一个人有多个邮箱的关联方式。对于这个我一直很困扰,以至于圈子总是很局限,不敢经易向外扩张。

  11、Google+将提供可整合到博客里的留言系统。作为独立博客的管理建设者,一直致力于改善访客的用户体验,这将是我最为期待的一条改进。希望这个留言系统能够很好的与Wordpress整合,这将更加促进访客对评论的参与度,同时也会进一步提升垃圾信息的自动处理能力。

  12、Google+ Answers发布,替代之前收购的Aardvark。在它成功推出后,能否将成为Google+中又一大热门应用/频道。会和知乎网一样的作用吗?只是不知道这个和前面提到的Google Instant Answers有何关系?

  13、Google将会根据你的Google+信息流、Google Calendar日程表和你安装的一些Google应用来进行个性化的搜索。已知道的搜索依据有历史记录,Cookie,IP地址,终端平台等等。未来这些新的手段加入将让Google搜索更加强大,强大到让百度、盘古都无地自容了。

  Google Chrome

  14、Chrome会提供一个新的在线控制中心,他将允许你控制所有的在线同步数据(书签、密码、应用等),即便你不使用Chrome也能进行管理。这是一个值得期待的强化功能。一直对Chrome的同步机制很青睐,即时你在两台离线的电脑中同时处理书签里的项目,它也能在你在线时,把两台电脑中的记录合并起来。你不要再去一一核对是否有误删的行为,或是否有残留的信息。这点比早期使用傲游时要好很多。近年没用过国产浏览器,不知道他们是否已达到这个高度?至少目前的QQ五笔同步功能就很悲剧。

  15、在Chrome中,将会发布一个新的在线音乐编辑服务,不知道这是否是一个大众化的功能。希望这只是尝试的开始,也期待语音功能的植入。

  Google Android

  16、Google将专注于改进Android应用的质量,比如提供更好的用户界面,一些新应用会要求更多的权限。目前Android发布了4.0,有消息说六个月后发布4.1。从功能上看,4.0比以往更加的人性化。很多以往忽略的细节,在这上面都实现了。权限管理也是在安全上的一个重要保证。小米和魅族已经在邀请用户测试自制系统for Android 4.0了,不知道百度易、阿里QQ、华为、联想等国产兄弟们是否做好了准备?

  17、Android会有一个虚拟助理,比Siri更强大且可在桌面电脑上通过进入Google首页来使用。现在想尝试的用户可以试试Google语音输入法、Google语音搜索,这是一个可以支持汉语普通话和粤语发音的工具,在中文支持上不比Siri更强大吗?有了这个强大的后盾,再配上Google庞大的搜索体系,以及前面提到的几个Answers系统,世界上还有谁能超过它。或许百度说他也可以,希望不是baidu.jp的雅美蝶助理,如果真是,那还真可能有很大的市场。

  Google Games

  18、Google Games多人的游戏平台发布,他可以同步Chrome、Android和Google+里的所有游戏数据、用户排名,还可以和好友一起游戏。国内的应用商不少是修改了原版游戏的应用,并自建了排名系统,但还无法做到进度的多平台同步。Google这么做,将秒杀一切国内篡改行为,也将更好的支持原版游戏的发展。但如果封杀过度也是不行的,至少国内的不少汉化作品就值得称赞,且看未来产品的试用效果再作定论。

  Google Store

  19、Google会开类似Apple Store的实体店,销售Chromebook、Android手机、Google TV和各种纪念品。国内暂不指望了,不知道香港有没有这样的店?

  20、Chrome Web Store的应用可被Android直接运行。Chrome上的运行一直不太稳定,或许是受服务器不在国内的影响,不知道Android上的Web Store是否也会这样?

  Google 硬件设备

  21、基于ARM的Chromebook和Google TV,比以前更便宜,且更成功。上个月突然发现长虹上海的旗舰店挂出主楼拍卖横幅?具体情况没有深究。三星、索尼都发布了Google TV战略,国内呢?难道也是在忙着举办拍卖会?

  22、继三星之后,摩托罗拉将推出首款Google品牌的手机和平板。阿里推出首款QQ品牌的手机,戴尔推出首款百度品牌的手机,国产其实一直在努力。只不过Google是迈着大步前进,国产一直跟在他人的屁股后面,拾掇着前人落下的麦穗。

  英文原文:Google Operating System:Predictions for Google's 2012(需翻墙)

  中文翻译:sealango ,中文译文

2012年2月4日星期六

我的iPhone桌面

  iPhone的一个最大的特点之一就是有非常丰富的应用,随着安装的应用越来越多,如何在iPhone桌面上管理这些应用就会成为一个不得不面对的问题,下面我就和大家聊一下我是如何管理我的iPhone桌面的。

  我是一个典型的“文件夹控”,喜欢将所有的应用都放在文件夹里,在以前老版本iOS 3.2.1的年代,只能直接将所有应用安装在桌面,大量的应用将让iPhone桌面变得杂乱无章,并且难以寻找这些应用。iOS 4之后有了文件夹,我们就可以将应用放在这些文件夹中,大为提高了iPhone的使用效率。

  文件夹虽然不太美观,但却提升了效率,将全部应用都放在文件夹中的话,一个屏幕可以放192个应用,基本上可以把大部分应用都放在一屏,并且所有应用都只需要点击两次即可打开,我在桌面上放置了16个分类文件夹,分别是“音乐”、“视频”、“生活”、“旅游”、“电子商务”、“网络存储”、“新闻阅读”、“书籍阅读”、“社交网络”、“位置服务”、“上网”、“通讯”、“手机工具”、“财务”、“博客”、“摄影”。Dock位于屏幕底部,里面放置最常用程序的图标,并且在所有桌面上一直显示,我在Dock区域里放置了“电话”、“邮件”、“浏览器”和“短信”这四个常用应用。

我的iPhone桌面

  音乐类应用:主要包括内置的iPod,QQ音乐、音乐识别类的ShazamSoundHound以及电台类的豆瓣FM等等。

苹果iPhone音乐应用盘点

  视频类应用:主要包括优酷土豆腾讯视频搜狐视频奇艺等等,使用应用看视频,需要注意一个选项,就是在WiFi环境下看视频,避免了流量损失的情况。而使用iPhone内置的浏览器看视频后,关了屏幕后,浏览器还会在后台继续下载视频,形成“偷跑流量”的现象,导致用户流量短时间内超标,付出了不少损失。

iPhone视频类应用盘点

  生活类应用:主要包括时光网豆瓣电影QQ电影票网易电视指南下厨房我查查等生活类应用。

iPhone和Android生活类应用盘点

  旅游类应用:主要包括谷歌地图搜狗地图百度地图去哪儿携程艺龙航班管家等应用。

iPhone旅游类应用盘点

  电子商务类应用:主要包括淘宝拉手美团赶集网京东亚马逊当当等应用。

iPhone移动电子商务应用盘点

  云存储类应用:主要包括DropBoxEvernoteOneNote有道笔记麦库记事等应用。

iPhone云存储类应用盘点

  新闻类应用:主要包括新浪腾讯新闻网易新闻Flipboard腾讯爱看网易阅读ZAKER等应用。

iPhone新闻类应用盘点

  阅读类应用:主要包括iBooksStanzaGoodReaderQQ阅读百度文库InstapaperReederMobileRSS等应用,注意这里面有部分应用是收费应用。

阅读类应用

  社交类应用:主要包括Twitter新浪微博腾讯微博Facebook人人网开心网QQ空间Google+等等应用,如下图所示,第一行为微博,第二行为国内SNS,第三行为国外SNS。

iPhone社交应用

  位置类应用:主要包括FoursquareGoogle Latitude街旁Google Places大众点评百度身边QQ美食等应用。

位置社交服务

  上网类应用:主要包括谷歌搜索百度搜索UC浏览器QQ浏览器Opera MiniGmailQQ邮箱QQ等应用。

iPhone和Android网络类应用盘点

  通讯类应用:主要包括KikWhatsApp微信Google VoiceViberSkype等应用。

通讯类移动应用盘点

  手机工具类应用:主要包括Find My iPhoneFind My FriendsGoogle Authenticator腾讯手机令牌QQ手机管家等应用。

iPhone手机工具类应用盘点

  财务类应用:主要包括PayPal支付宝财付通招行手机银行工行手机银行等应用。

iPhone财务类应用盘点

  博客类应用:主要包括WordPressBlogger新浪博客网易博客Tumblr点点新浪轻博等应用。

iPhone博客类应用盘点

  摄影类应用:主要包括Camera+InstagramPathQ拍等应用。

iPhone拍照类应用盘点

  以上就是我的iPhone桌面的全部应用(不包括游戏),全部都可以在一屏显示,绝大多数应用是免费应用,极为个别的应用是收费的,但加起来费用也不高,如果你是个iPhone新手,那么可以参考一下我分类的这些应用以及文件夹设置,可以为你的iPhone提高不少效率。