这次的UC泄密问题也算是一个小小的危机,可能会对UC产生不小的影响,处理不好的话UC会非常被动,如果UC承认其全线产品都有这个漏洞,势必引起UC浏览器2亿多用户的恐慌,导致用户转移到其他浏览器上。但是不承认的话,事实情况却有很难否定,所以UC在这方面只好采取回避的策略。
当然,任何产品都是有漏洞的,别人爆料漏洞其实是一件好事,遇到外部指出的漏洞,第一时间就说是竞争对手攻击,这不太妥当,应该好好分析一下产品,在产品的技术上多做一些工作,将产品做的更好,这才是对用户负责的态度。
2012年2月22日星期三
UC浏览器被指明文传输用户密码
去年底爆发的互联网泄密风波正扩散至移动互联网领域,日前,一位自称初级黑客的网友在天涯网发布《有图有真相 你还敢用UC上网吗?》的帖子,声称UC浏览器使用明文的方式传输用户密码,导致第三方可以轻松窃取UC浏览器用户登录各个网站的用户名和密码。
该文章给出了一个教程,通过笔记本电脑在星巴克、麦当劳等人流密集地区伪造无密码的无线热点AP,在电脑上安装Wireshark软件进行抓包,如果用户使用UC浏览器登录Gmail、Hotmail等网站,用户提交的用户名和密码就会被Wireshark截获,使得原本安全的HTTPS连接信息,包含用户名和密码都遭到明文泄漏。在稍后的一篇文章中,该用户还测试了其他品牌的手机浏览器。
为了验证UC浏览器是否真的明文传输密码,我在自己的电脑上进行了实测,电脑端用ADSL拨号上网,然后将电脑的无线网卡模拟出一个无线热点AP,在手机上安装苹果美国商店App Store的最新UC浏览器V8.2.1.132,然后手机端通过这个WiFi热点上网。
在手机上打开UC浏览器,然后访问Gmail登录,同时在电脑上启用Wireshark进行抓包监听,我测试登录的用户名为williamlong,密码为1234567890123,登录完成后停止抓包然后进行分析,抓包的截图显示该用户名和密码为明文传输,通讯协议为HTTP,连接的是广州的一台服务器,这证明了原有的HTTPS安全连接遭到了破坏。
为什么HTTPS是安全的?
HTTPS(超文本传输安全协议,Hypertext Transfer Protocol Secure)是一种常见的网络传输协议,提供客户端和服务器的加密通讯,HTTPS的主要思想是在不安全的网络上创建一安全信道,对监听和中间人攻击提供合理的保护。
我们知道,HTTP是不安全的,通过监听和中间人攻击等手段,可以获取网站帐户和敏感信息等,HTTPS被设计为可防止前述攻击,并被认为是安全的。
比如上面这个案例,通过伪造WiFi热点进行抓包监听,如果手机使用原生浏览器的话,通常来说,是无法监听到HTTPS方式访问的内容,HTTPS通讯内容均为加密信息,很难被破解,但是所有的HTTP访问信息都会被获取,如果用户使用HTTP访问一些隐私信息,则存在隐私泄漏的风险,例如用户使用百度搜索(目前百度只有HTTP版本),那么搜素的关键词就会被第三方监听,从而带来泄密的风险,这也就是2010年5月Google在全球部署HTTPS加密搜索的原因了,有了HTTPS版本的Google搜索,手机用户即使在不安全的无线热点进行搜索,其搜索的内容也不会被人窃取。
可见普通的HTTP浏览是不安全的,而HTTPS浏览相比比较安全。
UC浏览器的问题
使用iPhone内置的浏览器,在不安全的WiFi下访问HTTPS是安全的,然而UC浏览器是一种通过中转压缩方式进行加速,实现快捷上网,节省用户流量,这样,所有的访问都通过UC的代理服务器整理后传送UC浏览器客户端。当深圳用户通过UC浏览器登录Gmail的时候,UC浏览器会把用户访问的URL地址和提交的信息发送到广州的一台服务器,这里存在的漏洞是,UC浏览器手机端和UC服务器之间的通讯是采用HTTP协议,并且包括用户名和密码在内的所有信息均为明文传输,这使得UC浏览器和UC服务器之间的通讯可以被监听和抓包,第三方可以通过这种方法获取手机用户的帐户密码等敏感信息,用户通过UC浏览器登录的任何网站都会被监听,包括邮箱、网站后台、网银、网上支付等。
针对这个漏洞,UC产品总裁何小鹏在微博上表示,会在之后重新评估,如何更全面的保护用户的手机上网安全和信息安全,同时提供一个较好的手机上网安全增强方案。
对UC用户的建议
目前使用UC浏览器的用户,在麦当劳、星巴克等公共场所上网的时候,尽量不要使用未知的WiFi热点,如果使用的话,只要不进行登录操作,只是纯粹浏览网页,就没有安全性问题。如果需要登录的话,应该在UC浏览器中关闭其加速代理服务,然后再进行登录。
2012年2月21日星期二
谷歌到底怎么绕过浏览器的隐私设定
剧情回顾:最近几篇新闻都在讲述Google,Apple,Microsoft的神仙战争。为什么叫神仙战争,因为你根本看不懂这五篇报道。
3,《微软打击Google和苹果称IE9是“不被第三方浏览的浏览器”》
4,《微软宣称谷歌秘密记录IE用户》
在前几篇文章中,笔者介绍了网络信息收集,广告流通手段,以及可行的阻断方法。这篇文章目的则是解释这些“神仙”之间到底发生了什么。所以,专业人士可以无视它。
我们就来看看这些和外交辞令没什么区别的新闻,到底在说什么。
报道-1:
图1,Google Plus同时使用Google Analytics与Doubleclick收集用户信息
在最早一起报道中,有人指责当使用Apple Safari访问Google Plus服务时,谷歌绕过了Safari的Cookie策略,进行了追踪用户的行为。
事实:
Google是最大的互联网广告商,它通过Google Analytics,Doubleclick,Google Adsense,Google Admob等一系列业务进行广泛的用户兴趣爱好收集,和相应的广告投放业务。
使用浏览器访问Google Plus时,会从一系列域名请求不同的内容,以组成Google Plus的网页,其中,有两个域名对达成Google Plus本身的页面,功能而言是完全不必要的:它们分别是doubleclick.com和google-analytics.com。
google-analytics的内容用于给当前用户进行编号(这个编号与用户当前使用的Google帐号有关联,但不等同),并收集该网站(这里就是Google Plus)的用户行为;doubleclick.com的作用也类似,但侧重于让谷歌的广告系统在别的网站上也能认出该用户,以投放精准广告。这些编号存储在cookie中。然而,Safari默认不允许第三方网站设置cookie,也就是说,在本例中,只有.google.com域名的网站可以设置cookie。为了达成跟踪的目的,谷歌就把原本应该放在doubleclick.com域名下的跟踪工具转移到了.google.com域名下------这就是所谓的“绕过Safari隐私设置”。
图2,Apple Safari默认不允许来自第三方域名的内容设置cookie
报道没有提到(隐瞒)的事实:
1,所有的浏览器都提供了是否允许第三方Cookie的选项。只有Safari默认完全不允许第三方Cookie操作。IE默认对Cookie有弱于Safari的限制。其它浏览器一般默认允许所有Cookie(主要的反例在于,有的浏览器是借助IE核心运行的,它们往往和IE使用同一个Cookie配置设定)。
2,谷歌这次的行为对所有设置了“不允许第三方cookie”的浏览器都是有效的
报道-2:
没过几天,微软的Internet Explorer爆出了“被Google绕过”的新闻。这次则是“谷歌绕过了IE中关于Cookie设定的P3P规范”
事实:
在IE6刚推出的时候,浏览器往往支持一个由W3C设立的,基于P3P标准的Cookie控制规范。P3P的全称是“The Platform for Privacy Preferences Project”,它要求第三方网站在需要跟踪用户时,向浏览器提出相应级别的请求。浏览器会比照用户设定的隐私级别,当双方不一致时,浏览器就会提醒用户是否愿意接受网站的条款,若用户不愿意,则浏览器将不会允许网站记录超出用户当前许可范围的内容。然而,事实上浏览器最多只能在Cookie的程度支持P3P。
P3P的本意是想达到一种“明码标价”的作用,一方面通过网页代码让浏览器识别,另一方面通过该系统给出可供人阅读的实际隐私策略文本。可是业界对这套系统并不领情,目前只有IE系列(6,7,8,9)浏览器强制开启了P3P,并要求第三方只有在提供精简隐私政策的情况下才能设置Cookie。考虑到兼容性,当网站给出的精简隐私政策不符合规范时,IE依然会允许该网站读写Cookie。
因此,和Apple的不同,当用户使用Internet Explorer(不启用跟踪保护功能)访问Google Plus时,谷歌会“明目张胆”地通过doubleclick.com植入标记用户的cookie。
另一方面,事实上P3P是普遍不被接受的,但是为了与IE保持兼容,广告公司可能会给出P3P条款,但其它网站通常会“伪造”一份P3P协议,类似于Flash使用跨域名内容时必需的crossdomain.xml,这些“伪造”的协议只包括了浏览器能阅读的部分,并没有可供人阅读的正式文本。
不被(第三方)浏览的浏览器
微软在其中的一篇新闻稿中声称Internet Explorer(8和9)是“‘Browse Without Being Browsed’,拥有业界最强悍的隐私保护能力,尤其是其独特的追踪保护功能可以让用户掌握自己的在线活动”
笔者在之前的文章中提到过IE追踪保护功能的亮点:自动识别用于收集信息的第三方内容,并加以阻止。
更好的选择
和P3P一样,现在W3C又推出了一个”Do Not Track”的标准,允许用户在不希望网站记录用户行踪时,向网站发送一个”Do Not Track”标记。笔者觉得这种毫无强制力的工具比P3P更没用。也就是说,如果你真的想控制信息的流出,你就应该在你的主场,也就是你的浏览器上下手,而不是像慈禧太后那样“量中华之物力,结与国之欢心”,把责任推给对方。
真正有用的,是跟踪保护,以及各种形形色色浏览器扩展所提供的功能。特别是后者,它们不站在大公司的角度,是真正的接受用户“用脚投票”的工具,自然会卖力地帮助用户减少信息泄漏。当然,其中的大部分又是业余时间的兴趣之作,没有质保。
这个就比较严重了。前面的“神仙大战”和它比起来简直微不足道。
事实
UC浏览器有一项引以为傲的功能(其它的同类产品也提供同样功能):通过代理服务器将网页重新排版、压缩,使得页面适应手机屏幕,并减少流量消耗。对于一般的明文连接,这没有问题。但是这项功能不兼容加密的HTTPS连接,唯一的方法是让代理服务器负责与目标网站进行HTTPS握手,这样代理服务器才能知道HTTPS连接中被加密的内容,从而将其重排版、压缩而转交给用户。
这么做有巨大风险:
1,HTTPS保证了只要服务方和证书提供方没有问题,则只有用户和服务方本身才能知晓双方通讯的内容,有很高的保密性。UC浏览器破坏了这套安全系统,导致信息在UC方的代理服务器与用户之间的传递变成明文,如同公厕。
2,用户和最终服务方之间的通信全部让UC给知道了(显然用户是不知情的),光是这一点就已是涉嫌犯罪的行为了。
报道没有提到的事实:
UC强调“因访问钓鱼WIFI”,却有意忽略了问题的本质:UC浏览器本身破坏了HTTPS连接的安全性,导致了原本即便经过钓鱼WIFI热点传输,也依然安全的连接,变成了明文的,谁都可以看到的无线数据。
我们知道,公共WIFI热点一般都是不加密的,这就意味着一个掌握相关技能(无非就是会使用破解WEP加密的BackTrack操作系统程度)的犯罪分子,完全不需要辛苦地钓鱼,只要拿一台笔记本电脑,在有公共WIFI热点的地方坐上几个小时,就能截获大量因为UC浏览器自身设计不当而明文传输的账户密码。
为什么UC会“本末倒置”?
如果UC要确保用户的安全,就必须放弃对HTTPS网页进行云端加速,站在UC的角度,这也许是不可接受的。同样的,千方百计地通知用户:进行云端加速则会失去HTTPS页面的安全性,同样也可能是无法接受的。如同最近的熊胆事件一样,如果你把一生都放在熊胆提取上,你会允许别人“说三道四”吗?
笔者认为,应该避免通过任何使用“云端加速”的手机浏览器访问HTTPS网页,直到这些软件提供明确的说明。这样,在保护自己的同时,也不会触犯任何一方的利益。
原则
第一方记录你的浏览历史是无可非议的,当然你总是可以不提供任何信息(通常而言,这总是意味着你无法使用该服务)
所有第三方内容都可以被阻止,只要不影响你的正常使用(第三方需要为自己负责)
但是一个网站(特别是大型站点)需要把内容分别放在不同的域名中,以便均衡负载压力,分类不同内容,或是因为确实需要由第三方向用户提供服务。这个时候,用户就需要一些知识才能分辨出用于CDN(内容分发)的域名与用于收集信息的第三方之间的区别。
有人觉得,因为国情,大家都不注重个人隐私,以上内容都是空谈。
事实:所有你的信息最初一定都是由你提供的,除非碰到病毒(其实,病毒也是你‘不小心’,或这是‘默认地’请进来的)或者是刑侦需要,所以你总是能决定不提供哪些和个人关联的信息。无非是有的地区很注重程序正义,广告商往往需要为某一项具体行为付出一定的责任,用户在提交信息时更有信心;而在这里,你更需要依靠自己。
无论在哪里,早起的鸟儿有果子吃。如果不愿意早起,还是等天上的掉下的馅饼更好。
Google在一份声明中说“需要强调的是,这些广告Cookie不会收集个人信息,这一点很重要”。
那么笔者也学着“强调”一下:只要是收集信息的内容,不管它和个人有多深的关联,用户总是可以阻止,这一点很重要。
来源:fcerebel投稿。
2012年2月20日星期一
移动开发中HTML5能否替代本地程序?
随着移动设备越来越先进,对HTML5的支持度越来越高,我们进军移动领域的时候,都会遇到一个问题,是选择HTML5和还是Native(用原生代码编写的本地程序)?HTML5的前景无疑是诱人的,一句“Write once, run anywhere”就可以秒杀一切。笔者最近两年来对HTML5与Native有较为深入的研究,觉得两者之间不能仅仅是二分法来选择,还要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择。
HTML5的发展前景我无疑是非常看好的,各大公司也不遗余力的推动,目前主流的三大智能机操作系统iOS、Android和WIndows Phone都已经支持大部分的HTML5特性。而移动设备硬件军备竞赛也为HTML5扫清硬件障碍。按照现在的发展速度,我判断是在三年以内甚至更快,移动设备运行HTML5将会完全没有压力,无论是标准还是硬件。现在主流的智能机已经配置双核处理器(之前笔误为浏览器)和1G及以上的内存,今年再出智能机没这个配置你都不好意思发布了。
谈谈HTML5
1.HTML5可以让你摆脱对平台的依赖,用户打开浏览器,直接就可以访问你的应用,而不需要经过各种Store的审核。
2.实时更新,通常平台的审核都需要七个工作日左右的时间,如果你发布之后发现问题怎么办?Web方式就不存在这种问题。
3.Write once, run anywhere?
这是多少程序员的梦想,也曾经是Java让人心动的地方,但真正做过跨平台解决方案的人都知道,这只是一句口号而已,跨平台没那么容易玩转的。没错,HTML5可以实现Write once, run anywhere,但我们总不能写一个Hello World来run anywhere吧。不同平台有自己的特性,不同平台用户也有自己的操作习惯,如果你想讨好所有人,也就意味着你无法讨好任何人。
4.减少开发工作量或者让开发变得更简单?
对老板来说,这是一个非常诱人话题,因为工作量的减少就意味着节省更多的钱,没有老板不喜欢用更少的钱办更多的事。而且目前一个非常大的问题是,移动设备开发人员特别是iOS开发人员非常不好找,因为技术好的都自己做应用了,人家自己也能赚个月薪上万甚至更多,为什么要进你的公司?怎么说也是自己的事业,拥有无限可能,还可以充分享受自由。但如果可以充分利用HTML5,那么我们就可以招聘Web前端的开发人员来构建移动应用,这样就不愁招人的有问题。因为在许多人的眼里,HTML5/CSS/Javascript都是没多大技术含量的东西,实在找不到人,找些实习生学学也就会了。
但问题是,工作量真的会减少吗?技术门槛真的那么低么?答案是NO!
我曾经花了半年的时间去开发一个基于HTML5的移动框架,用来模拟Native应用,让HTML5应用看起来尽可能看起来像本地应用,注意:是像。这有点像jTouch,但不一样的是,它能和Native程序很好地交互,并且能调用本地资源等等特性。但最后结果确不是那么令人满意,比如HTML5在动画切换的时候,有时候候会有一些莫名其妙的问题,当然你可以告诉我把动画效果关了,但这看起来很死板,最后我不得不关闭某些动画。而用Objective-c编写程序就没这么多事了,几句简单的代码可以实现很酷的动画,用HTML5需要更多的代码,甚至根本无法实现。
而且移动设备上的HTML5开发对开发人员的技术有非常高的要求,不是一般的Web前端人员能解决的,通常拥有这样技术的人才,工资水平也不会比Native开发人员低多少。如果你仅仅是要开发一个移动设备上的网站,这会简单很多,但如果你希望模拟Native应用,并且拥有较高的效率和优雅的用户体验,这就很有技术含量了。不要小看Javascript这类Web开发语言,通常我的看法是越简单的语言越会体现出技术人员的水平,特别是规划设计能力。
5.其它问题,资源调用的限制,比如说在iOS中有Javascript运行不能超过15秒的限制,不能调用本地硬件设备(如相机等),无法使用推送服务等。
如何选择?
是否这样,我们就不要选择HTML5了呢?我在前面说过:“要根据企业自身的情况、团队的构成、公司的战略以及产品的特点来综合选择”,我最近在关于HTML5讨论的微博上也有谈到:“HTML5是战略性方向,Facebook和Google已经布局,Google Mobile在iPhone上的体验可以媲美Native。基本上Native+Web App可以秒杀多数应用,如果不愿意受制于各种Store,单独的Web App也是一个不错的方向。对于游戏类和对硬件环境依赖严重的应用,只能是是Native”。仅管有这样那样的问题,但HTML5是一种趋势,在未来三至五年,HTML5将会取代很多本地应用,但就像多年前我们一直在谈B/S架构取代C/S架构一样,这需要一个过程。
通常在HTML与Native之间,我们有三种选择——HTML5、Native App以及HTML5+Native,HTML5就是指纯Web的移动应用,用户需要打开浏览器,然后输入应用的网址访问。Native指的是基于特定平台开发的应用。Native+HTML5实际上是一种加壳的方式,将HTML5用和浏览器封装起来,但这对用户是不可见的,用户没有任何异物感,和Store上下载的App没有什么两样。
就我个人而言,我是比较推崇HTML5+Native的,这种加壳的方式,可以让你享受Native与HTML5的双重好处,但缺点是对技术含量要求较高。当然我这里指的不是简单地把HTML5封装到一个浏览器里面,Native与HTML5会有许多的交互,实际上这有点像混合硬盘,我们即便享受SSD的快速,但我们又想获得机械硬盘的高性价比。我认为在5-10年内,这都会是一种不错的解决方案,当HTML5和硬件发展到一定水平之后,我们再完全转向HTML5成本也会非常低的。
如何做?
假定现有一个对本地环境依赖不那么严重的项目,如微博客户端,各种社交美食甚至LBS应用,我们都可以采用HTML5+Native。如图所示,我们可以将核心的代码Core层用封装起来,这个代码和平台无关,主要是业务逻辑以及和Shell的交互,代码用Web语言编写。在Core层上我们再根据不同的移动平台制作不同的UI。最后我们将上述两层放到各平台的Shell中,这个Shell主要是由浏览器来完成工作,当然还包括一些硬件操作和读取本地资源,如GPS、重力感应、相机调用、地图、推送通知或者IAP等。
我们可以把Web的升级部分部署到服务器上,用户运行App后,App会向服务器讲求获取最新的Web程序并下载运行,这样可以达到跳过各种Store的更新审核,达到快速更新的目的。而且假如用户无法访问互联网,我们可以让用户使用上一个版本的程序,不会像纯Web App那样要求用户一定要联网
好处
1.用户可以离线使用
2.更新下载量及少,可以全部更新,也可以选择替换部分文件
3.代码很安全安全,众所周知Web应用有一个很大的问题就是代码安全的问题,但现在我们可以将Web代码全部加密,本地应用解密后再运行,大大的提供了代码的安全性。
4.可以通过浏览器作为中介充分利用Native的好处,比如说可以使用GPS、照相机、本地相册、读取本地联系人,也可以使用推送功能等,最重要的是,某些Web无法实现的功能,我们可以利用Native来实现。
5.跨平台,多数核心代码不用重写,Javascript的代码用得好的话,在许多地方都可以用到,包括移动应用、移动网站、PC网站、各种浏览器插件,甚至可以用WebKit封装作为跨平台的应用程序。诚然,这种方式并非完全跨平台,但这样也足以减少很多工作量了,特别是后期的维护。而且完全的跨平台是没有意义的,不同平台有自己的风格,为了更好的用户体验,界面层还是需要针对性开发的。
坏处
我觉得最大的坏处是技术难度高,如果仅仅是简单的浏览器封装几个HTML文件,那没什么技术难度,但如果要打造一个系统级的东西,这就很有技术难度了。这要求有人要了解三个主流平台的浏览器特性,通晓Native程序的开发,要精通HTML5/CSS3/Javascript,最重要的是,要有较强的架构设计能力。
如果要再找一个坏处的话,就是它不能满足所有的需要,它并不能代替Native,但我认为他可以替代大部的Native。
适合我们吗?
首先从产品的角度考虑,你的产品是否严重依赖于本地环境,比如说图像处理和华丽的游戏之类的。第二要考虑的是你的技术团队的构成,如果你们的团队有一个能解决这些问题的牛人,并且有一些清通Web前端的人,那我觉得你可以考虑用这种方式。技术选型非常重要,稍有不慎,后患无穷。第三个要考虑你们公司的战略,对HTML5未来发展的看法,愿意在移动互联网上付出多少代价,是否愿意做前瞻性的事,是否愿意在前期投入较多的资源,是否允许试错等等。
本文来自涂雅,原文链接。
2012年2月19日星期日
Android能否引领移动互联网革命
也许在五年前拥有一部智能手机还是件让人羡慕的事,想想那时的诺基亚是何等的威风,对于普通的国人来说,智能手机一定程度上就是诺基亚N系列,HTC还叫多普达,黑莓貌似压根就不属于我们,智能手机市场的格局很清晰,可以说那时候并不是智能手机的天下,一款诺基亚1110就足够了。
s40已经达到娱乐的目的了,iPhone的诞生确实给了世界一个不小的轰动,智能手机风暴正在悄然来临,但是昂贵的价格还是让很多普通人望尘莫及,此时诺基亚依旧占有市场的很大份额,Symbian系统已经深入人心,有利可图的市场必然会出现搅局者,谷歌正如日中天,当起了这个搅局者的角色。
安迪.鲁宾发明的android系统基于linux内核,这是从系统级与苹果iOS的最大不同,众所周知iOS采用的是unix内核,内核不同,但这丝毫不影响android强大的图形化操作。
最重要的是这样一款能和iOS媲美的手机操作系统是开源的,开源是一种精神,开源也让智能手机市场的格局骤变,智能手机生产商开始走向android阵营,MileStone想必体现的就是摩托罗拉要重新崛起,此时对于采用android操作系统的手机制造商可以说都是一个里程碑,接下来详细回顾下安卓带来的变革:
1.智能手机不再是奢侈品
开源的android使使用智能手机的门槛降低,如果你对手机硬件配置要求不太高,那么也许花几百元就能拿到一部智能手机,当然它的操作系统是android.
2.android开发者成为程序员中的新宠
为了打造了一个开放的开发者平台,谷歌在开源android的同时也开放了android API,开发的核心语言是程序员熟悉的java,因此对于很多传统的程序员来说,开发门槛较低,能从j2EE或者j2ME迅速转型,急需人才的android开发市场也让程序员的薪水大涨。
3.创业公司和它们的优秀应用
开放的android平台和较低的创业门槛吸引了众多的创业者,有的甚至打着曲线救国的口号研发自己的应用,可见创业青年们是何等的热血沸腾。
4.软件商店已成必然
即使有苹果的AppStore作为先例,但是AppStore毕竟只有一个,而第三方的android应用商店已经形成一道亮丽的风景线。
5.移动广告平台的爆炸式增长
依靠软件商店,好的app可以达到很高的下载量,但是别忘了这都是免费的,玩游戏大家都喜欢FTP,和谷歌的初衷一样,做平台,然后靠广告赚钱,app赚钱也可以采用广告模式,因此也造就了一个繁荣的移动广告平台市场。
6.成熟的第三方ROM市场
第三方可以修改android原生态的ROM,也基于原生态的android系统太过简单,所以第三方ROM几乎覆盖了所有的android设备。
7.引领移动互联网真正的革命
伴随着智能手机的普及以及基于智能手机的各种应用和服务的滋生,移动互联网真正意义上进入高速发展的阶段。
以下是android和iOS以及WP7的比较:
1)android和iOS相比
android是开源的,iOS是封闭的,对于开发者,android设备相对于iOS便宜,所以很多开发者还是乐于选择做android开发,对于系统本身,android接纳的其他服务会很多,但是封闭的iOS也许会排斥这些相关的服务,虽然iOS目前是开发者赚钱最多的平台,但是依靠广告以及其他模式,android也会厚积而薄发。
2)android和WP7相比
虽然之前微软出过WM系统,但是比起WP7来说还是后者更加成功,所以就拿android和WP7做一个比较,微软和手机巨头诺基亚合作,依靠诺基亚和微软的资本,WP7会取得一定的市场份额,但是具体的情况目前还是个未知数,不过也难抵android开源的力量。
以上可以说是对android一个大概的总结,出自本人对android的认识,也遗漏了些东西,比如android的第三方服务产业,典型的就是android开发者社区,再比如安卓培训等,在这里拿它和iOS,WP7比较,不是为了证明android就一定比其它的强,只是为了说明Android促使了移动互联网高速发展,可以说是一个风向标。
来源:雷锋网供稿。
成都消费类网站为什么做不起来
成都被称之为休闲之都,成都人们的消费意识非常超前,成都的奢侈品市场据说全国第三, 成都私家车保有量也是全国第三,在成都一到周末大家讨论的就是去哪里“耍”,甚至连上班时间如果太阳好的时候就会有很多人感叹“不想工作了,这么好的太阳应该出去喝茶打麻将”。由此会引起很多创业者会认为成都的生活消费类市场很多,做这样的网站或者手机应用会很有市场,于是我们看到街旁网二线城市拓展首先选择成都,大众点评网在几年已经就曾经进入成都,杭州19楼一直觊觎成都市场据说今年也要正式进驻,成都本地每年也都会涌现中各种生活消费类的网站和应用,我在06年从事这个领域的时候曾经初略统计成都本地做消费打折优惠卡的就有20十几家,其中包括中国电信、携程、招商银行信用卡等等。
但是事实上目前位置成都都还没有一个在全国知名的生活消费类网站或者应用,那些沿海知名企业的分公司也大都铩羽而归,于是我总结的结论就是成都的消费类网站根本做不起来,是一个看起来很美的伪市场,如果你的创业项目选择的是成都消费类市场,那么会死的很惨,如果你是全国网站把成都作为重点拓展城市,同样不会获得很好的回报。为什么会出现这样的情况? 为什么用户消费意识这么强烈的市场却无法孕育中一个优秀的网站? 这里列举一些我个人的观点,欢迎大家一起讨论。
1.消费意识强烈,同样线下消费渠道异常发达
成都人爱吃爱玩,喜欢休闲,由此使得成都线下各种门店非常多,成都的城市不大,大街小巷各种消费门店一样俱全,大部分的生活小区附近,餐饮、KTV、茶馆、电影院等消费都很便利,同时都很有特色,可以说美食遍地,而北京上海的城市想找个吃的地方就不那么容易,基本上就那么几个商圈,城市比较大,人们消费一次的时间成本提高,使得为了不白跑一趟,很多人会在网上充分对比之后在选定某个地点。我们知道互联网最重要的就是解决信息不对称的问题,这点在成都完全不存在,因为成都人好吃,使得口碑传播成为信息传递的主要方式,根本不需要去网上查找,问一下周边的朋友就知道哪家好吃哪家不好吃,消费起来也很便利,家里或者办公室附近500米以内一定会有好吃的好玩的;
2.成都网民互联网使用意识不够强烈
最新的数据统计四川网民也在全国前十名,普及率接近30%,从用户基数上看起来很好,但是还有个一现象就是成都的网络游戏市场在全国占据很重要的位置,也就是说成都有很大一部分网民主要的互联网应用是玩游戏,同时除了口碑传播好吃好玩的地方之外,成都还有一个独特的美食判断方法。就是随便走在大街上看哪家门前有很多人排队,那就基本判断这家店的吃的不错,成都网民没有通过互联网或手机应用查找消费场所的习惯;
3.成都消费服务类商家没有互联网推广意识
成都被称为休闲之都,同样成都的门店老板们也被称之为“翘脚老板”,他们很大一部分每天的生活就是上午在茶馆喝茶打麻将,下午到店里看看收钱,对于店铺推广的意识比较淡,完全依靠产品特色口碑相传,东西好吃自然会传播出去,东西不好怎么打广告也不会获得持久的用户,同时还有一个区域消费特点,由此使得这些商家老板们对互联网的推广根本不感冒,即使你做了一个网站或者应用有很多的用户,去找这些商家打广告,他们也不会愿意付费,生活消费类平台没有商家的支持怎么可能发展下去。
总体来说个人不看好所有的以成都本地为主要战场的生活消费类产品,当然或许成都人们的互联网消费方式还没有被激发出来,或许未来会有那么创新的生活消费类应用爆发发展,也很想听听各位的看法,欢迎探讨。
来源:王佳伦投稿
2012年2月17日星期五
是谁在偷窥我们的网络隐私
1993年7月5日,彼得·施泰纳在《纽约客》上发表了一幅著名的漫画《在网上,没人知道你是一条狗》。用以描述互联网的匿名特性。
可是,即便在十年前说这句话,也已经是不负责任的了。
当然,这篇文章不是讨论如何防御病毒的,更不可能教授特工技能。但是,不要拿“国情”、“大家都没有隐私观念”之类当借口,只要是你的东西,在离开电脑以前,都是你的。
图1,《在网上,没人知道你是一条狗》
精准广告(也叫定向广告)
广告主绝对不是为了收集用户信息而收集用户信息的,他们日夜思念着的是钱。10前的互联网广告商就已经在收集用户信息,以推送最接近用户需求的信息。这使得互联网产业如此发达。
所以,有关隐私的概念,其实是因人而异的。任何与你有关的内容,都可能是隐私,无非那些能直接关联到你身份信息的内容,更为重要而敏感。
现在的广告商已经能整合大量的用户信息,以进行最优的猜测。一个著名的例子是,Gmail会根据用户邮箱中的内容,通过自动算法展示最相关的广告。现在这样的广告已经比比皆是。
实际例子
图2,IE9跟踪保护中的“个人列表”
我们拿IE9为例:
微软在IE8中悄悄地提供了一个叫InPrivate Filter的工具;在IE9里面,它被大张旗鼓地重命名为Tracking Protect List(跟踪保护列表),用户可以永久启用它。
先做一个小实验:
在TPL中开启“个人列表”,不导入任何定制的TPL列表,也不使用隐私浏览模式(InPrivate浏览)。
1,打开一个导航网站,把其首页上的每个网站链接都打开一遍。
2,再回到TPL的“个人列表”,原本的空白变成了一串黑名单:
左侧有51yes,alimama,baidu,cnzz,doubleclick,googleadservices,google syndication,imrworldwide,qq,scorecardresearch,weibo,wrating
右侧则频频出现log,stat,ads,beacon等词汇,以及like,followbutton
只要你学过点英文,就猜得出这些内容多多少少和统计、广告有点关系。而且,你好像在什么地方也见到过“喜欢”按钮。
等等,这个列表中的大部分网站刚才可没有访问过,何况你很可能都不认识它们。IE怎么会知道它们的存在,而且还要信誓旦旦地告诉你,这些内容被“自动阻止”了?
图3,IE9阻止了第三方收集信息
打开IE自带的开发工具,以新浪首页为例,看看发生了什么:
开发者工具显示,跟踪保护阻止了向这些第三方(即不是新浪的)网站发送数据。
这样一个请求被阻止了,链接里面有这么一段s=1920x1080x32&l=zh-cn
这句话就是说,笔者当前的显示器设置是1920×1080像素,32位色深,语言是zh-cn(中国大陆的简体中文)。
这是什么意思呢
按照业界常用的做法(这一点可以在各个统计服务、广告联盟的业务内容中看到),当你进入新浪首页的同时,你还会告诉Wrating(万瑞数据)、Imrworldwide(尼尔森)、Mediav(聚胜万合)以及Google Analytics(谷歌统计)这些内容:
1,你从哪里来(ip地址),用的是什么语言,从哪个页面跳转来的
2,你在新浪首页待了多久,关注了哪些部分(最近很流行的热力图)
3,你接下来会去哪里(点击了页面上哪个链接)
4,你的显示器分辨率设置是什么
5,你的浏览器安装了哪些插件(plugin,注,非浏览器扩展--extension)
然后,这四家公司都会在你的浏览器里留下各自的标记,这样以后只要你访问了使用到它们业务的网站,它们就能认出你。这种标记叫作Cookie,是一种很小的数据片段,网站通过在浏览器中保存cookie来识别用户,Mozilla曾经称之为“精致的美味”。
当你访问的每一个网站都使用了相同的统计服务商时,就意味着他已经完整地知道了你的上网习惯。在全球范围里,Google Analytics正是这样的统计服务商。
仅仅这样还不太容易将你的上网习惯与现实中的你关联在一起。因此有人(往往是收集信息的一方)觉得这不是个人隐私。
社交网络
如果前面的第三方统计只是过家家的话,这可就不得了:
首先,你心甘情愿地告诉它你是谁,就读于哪个学校,家住哪里,在什么地方上班;然后,为了防止被盗号,你又告诉了它你的手机号码;为了维持和你的老同学之间的联系,你还上传了通讯录。关键的是,这一切都是你心甘情愿的。
——什么,你说人家有隐私条款?
——笔者:……
泼出去的水是收不回来的。
“分享”按钮
你不点击,人家至少知道现实的你访问了这个网站;一旦你点击了,人家还能知道现实的你很在意这个页面。其价值不可估量。
这种“分享”按钮方式要比悄悄地搜集信息人性化地多,无论如何,用户总是明确地知道他访问的网页上有第三方内容。当然,你同样不能拒绝这种信息收集,除非使用特制的工具。
图4,分享按钮
举个例子:
情人节刚刚过去,MOMO看到蓝星人各种秀恩爱,心里不平衡了,于是也在网上浏览各种汪星人的照片。
图5,MOMO:“它怎么知道汪是汪星人,怎么知道汪想征婚?”
——MOMO: “麻麻,好多照片,汪都要数不过来了。”
——麻麻:……
——MOMO:“麻麻,它怎么知道汪是想征婚的?汪不过看了几张照片而已。”
——麻麻:……
实际上MOMO在浏览汪星人照片的过程中,发生了这么多事情。
图6,MOMO是这样收到精准广告的
第三方服务商记录了MOMO的浏览历史,从而推测出他可能在找对象,于是,MOMO就收到了征婚广告。
如何抑制提交个人信息
向第一方信息提交是不可避免的,毕竟你也在使用人家的服务;然而向第三方提供信息,通常是不必要的,可以在这一点上出手。
可惜的是,大部分旨在保护此类信息泄漏的工具都是Mozilla Firefox与Google Chrome独占的。如果你在使用国内的三大天王(IE6、IE8、360安全浏览器,只有它们的占有率超过20%,数据由CNZZ提供),大多数时候你只好望洋兴叹了。
自动化工具:
1,跟踪保护(TPL),适用于Microsoft Internet Explorer 9(8)
前面提到的跟踪保护就是一个很方便的隐私保护工具。它是自动化的,只要启用“个人列表”,它就会在后台默默地阻断向第三方上传信息。在IE8中使用InPrivate Filter可能需要修改注册表。
TPL实际上是一个设置内容策略的工具,因此也能导入定制好的列表。
用户可以在微软官方提供的TPL订阅处获得几种常见的过滤配置,如EasyPrivacy,以更有效地阻止向第三方发送你的浏览历史。有些地方还提供了适用与TPL的广告过滤配置,然而,受到TPL性能的限制,你不能指望TPL在这一方面可以达到在Adblock Plus的效果。
TPL“个人列表”的原理是:
当IE9在多个(默认是3)网站的页面上发现相同的来自第三方的内容时,TPL就会将该内容自动加入“个人列表”。当该内容再次以第三方形式出现时,IE9就会阻止对其的访问,从而防止不必要的信息泄漏。
2,Do Not Track Plus
跟踪保护工具在阻止社交网络追踪时出现了问题,你不能在某些站点使用“喜欢”按钮的同时,阻止另外网站上社交网络的第三方信息收集行为。
这个Firefox扩展程序解决了以上问题。你可以轻易地为不同网站设定规则,让社交网络、广告公司只能在限定的网站上记录你的信息。
图7,Do Not Track Plus
3,Adblock(适用于Google Chrome),Adblock plus(适用于Firefox,Google Chrome),以及其它本是用于过滤广告的工具
某种意义上,阻止追踪和阻止广告是一回事。
这两个浏览器扩展程序其实更为专业,它们本是用于过滤广告的。实际上,除了没有类似于“个人列表”的功能以外,它们是远比TPL强大的内容策略管理工具。在订阅这类模式中,它们的效果是最好的。
其实Adblock Plus是地球上用户数量最多的浏览器扩展,仅在Firefox上就拥有几乎达到一千五百万的日均活跃用户。而Adblock在Chrome Web Store上,也是除了几个google官方的”快捷方式”以外,最流行的扩展程序。
Easylist、EasyPrivacy、Chinalist等列表从一开始就是为Adblock Plus设计的。至于那些提供过滤功能的杀毒、安全软件,你也可以通过一些自动化工具,将这些列表翻译成兼容的版本以使用。
4,Noscript(适用于Firefox),ScriptNo(适用于Google Chrome)
第三方在搜集用户信息时,主要依靠在用户浏览器中执行一些javascript程序实现的。这两个浏览器扩展都能让用户决定浏览器可以执行来自哪些域名的javascript代码,浏览器插件等元素。当出现不必要的第三方成分时,这两个扩展就会给出提示,由用户决定是否阻止它们运行。这两个工具各自还有一些独有的功能,供进阶者使用。正确使用它们需要一定的互联网知识。
图8,NoScript
5,RequestPolicy
还是Firefox扩展,它适合专业的、或有明确需要(如抵御CSRF)的用户。它通过约束网络请求的来源及目标,以控制一切内容的访问。这是一个大杀器,提供了非常严格的控制,作为日常使用的话,开销很大。
图9,RequestPolicy
6,浏览器的隐私模式,限制浏览器记录cookie
浏览器在开启隐私模式后,将不会向外发送已有的cookie信息。在登录特定的互联网服务的账户以前,统计商、广告商将难以知道你的身份。限制cookie记录也能达到类似效果。作为代价,用户需要付出丧失浏览历史等代价。
7,有一些广告公司组成联盟,允许用户设定为“不要追踪”的状态。大部分读者就别指望了,这份名单中只有google analytics在国内是有业务的。
为什么“三大天王”浏览器不行?
你根本找不到适用它们的工具,即便有用于广告过滤的扩展,也是语法不通用,且没有人撰写、翻译相应的规则。
IE8的InPrivate Filter的功能与IE9的跟踪保护(TPL)完全相同。然而你必须修改注册表才能让它保持运行,此外,它不兼容TPL的过滤规则。
几乎所有的方案都集中在Mozilla Firefox,Google Chrome上面。
值得一提的是,市面上有很多的Chromium”克隆版”,它们往往能兼容Chrome的扩展。至于如何判断”克隆”Chromium,这里引用一句来自《苹果APP审核指南》的话:“最高法院的法官曾有言:‘它出现时我自然心中有数’。”
阻断第三方信息记录的代价:
如果MOMO真的彻底阻断了广告商记录你的信息,就会发生这样的事情:
图10,阻断向第三方提供信息后,MOMO收到了不合适的广告
虽然抑制了信息泄漏,但MOMO却也是自找苦吃;对于广告商、广告主,则是浪费。对谁都不讨好。
另一方面,用户多少要在操控这些隐私保护工具上,总要浪费一些时间;因为设计缺陷或者可能会导致网页的正常运行;同时,这些工具大多又是用javascript写的,执行效率普遍不高(即便有JIT),会拖慢浏览器的速度。其次,它们往往是开发者在业余时间编写的,代码质量没有保证,也不太可能进行大规模的稳定性测试(除了非常流行的工具以外),比一般软件更有可能会带来新的漏洞。
笔者的观点
互联网离不开第三方的信息收集,但你总是可在能力范围之内,阻止不必要的部分。
现在的网络不太可能是匿名的,但是,获得个人信息应是有成本。
版权说明
1,漫画《在网上,没人知道你是一条狗》是1993年7月5日彼得·施泰纳在《纽约客》上发表的,在本文中出现属合理使用。
2,感谢bearsun@weibo提供了文中的萨摩狗MOMO的照片。
3,如”Mozilla Firefox”等某些图标、名称可能是商标等有版权的。
附录:Chromium”克隆版”:
指那些基于Chromium源代码进行二次开发,并且与Chromium有相似界面的浏览器。它们的扩展接口通常和Chromium、Google Chrome的完全相同,因此可以使用在Chrome webstore中提供的扩展程序。
Chromium是Google主导开发的开源浏览器,因为它所使用的开源条款(BSD等)相对宽松,加上Google Chrome的流行,因此有很多的“克隆”Chromium。
Google Chrome是Google在Chromium的基础上,加入了一些私有的代码后的产品。
浏览器插件(plguin)与扩展(extension)
文中扩展(Extension)指那些利用浏览器的底层能力,并加以扩展的浏览器辅助程序。插件(Plugin)往往指使用了浏览器本身并不具备能力的辅助程序。比方说Adblock Plus for Chrome利用了Chrome提供的Extension.WebRequest API对内容进行拦截,是扩展;Adobe Flash Player则通过ActiveX/NPAPI/PPAPI接口为浏览器提供了播放Flash内容的能力,是插件。正文中提到的所有辅助工具都是扩展,或浏览器本身具备的能力。
来源:fcerebel投稿。