2012年2月4日星期六

由拖库攻击谈口令字段的加密策略

  编者按:本文作者肖新光,网络ID江海客,安天实验室首席技术架构师,研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨,可以在微博@江海客。

  我不得不惨痛地写在前面的是,这是一个安全崩盘的时代。过去一年,已经证实的遭遇入侵、并导致关键数据被窃或者被泄露的公司,包括索尼、世嘉这样的大型游戏设备厂商;包括花旗银行这样的金融机构,也包括了RSA这样的安全厂商。

  这些事件中最令业界瞠目的是RSA被入侵,这直接导致多家工业巨头遭遇连锁的攻击,很多安全企业本身也使用RSA的令牌。比RSA弱小很多的荷兰电子认证公司DigiNotar已经在被入侵后,宣告破产。

  就在2011年上半年,我们还是站在旁观者的立场讨论这些事情。但随即我们就遭遇了CSDN多玩天涯等等的数据泄露,其中最为敏感的,一方面是用户信息,另一个当然就是用户口令。由于身份实名、口令通用等情况影响,一时间人人自危。各个站点也陷在口水当中。

  但实际上根据推断,这些入侵都是一些过去时,也就是说这些库早就在地下流传。同时流出,也许就是一个集体性的心理效应。

  这种针对数据库记录的窃取,被一些攻击者称为"拖库",于是有了一个自然而谐音的戏称"脱裤"。只是攻击者日趋不厚道,从前只是偷了人家的裤子,现在还要晾在大街上,并贴上布告说,"看,丫裤子上还有补丁呢"。

  如果拖库是很难避免的,那么采用合理的加密策略,让攻击者拿到库后的影响降低到更小就是必要的。

  明文存放口令的时代肯定是要结束了,但加密就安全么?

  那些错误的加密策略

  明文的密码固然是不能接受的,但错误的加密策略同样很糟糕。让我们看看下列情况。

  简单使用标准HASH

  我想起了一个90年代黑客笑话,有人进入一台UNIX主机,抓到了一个shadow文档,但破解不了。于是,他用自己的机器做了一个假的现场,故意留下这个shadow,最后看看别人用什么口令来试,最后再用这些口令与渗透原来的主机。遗憾的是,那时我们都把这个当成一个Joke,充其量回复一句"I服了you!",而没有反思使用标准算法的问题。

  目前来看,在口令保存上,使用最为广泛的算法是标准MD5 HASH。但实际上,很长时间,我们都忽略了HASH设计的初衷并不是用来加密,而是用来验证。系统设计者是因为HASH算法具有不可逆的特点所以"借"用其保存密码的。但其不可逆的前提假设,是明文集合是无限大的。但放到口令并不一样,口令的长度是受限的,同时其可使用的字符也是受限的。我们可以把口令的总数看正一个事实上的有限集(很难想象有人用100个字符作为口令)。

  比如一个人的密码是"123456",那么任何采用标准MD5加密的网站数据库中,其存放的都是这样一个MD5值:E10ADC3949BA59ABBE56E057F20F883E

  由于密文均相同,加之HASH算法是单向的,因此攻击者较早使用的方法就是"密文比对+高频统计"后生成密文字典来攻击,由于绝大多数网站和系统的加密实现,都是相同明文口令生成相同的密文,因此,那些有高频密文的用户就可能是使用高频明文口令的用户。攻击者一方面可以针对标准算法来制定高频明文的对应密文档来查询,另一方面,对于那些非标准算法,高频统计攻击的方法也非常常见。

  但查表攻击迅速压倒高频统计的原因,正是从2000年开始陆续有网站规模性明文口令泄漏事件开始的。在过去每一次明文的密码泄漏事件,攻击者都会把使用MD5、SHA1等常见HASH算法加工成的口令与那些采用HASH值来保存的库进行应对。

  随着超算资源的廉价、GPU的普及、存储能力的增长,一个不容忽视的威胁开始跃上桌面,那就是,这些巨大的HASH表已经不仅仅是基于泄漏的密码和常见字符串字典来制作,很多攻击者通过长期的分工协作,通过穷举的方式来制作一定位数以下的数字字母组合的口令串与多种算法加密结果的映射结果集,这些结果集从百GB到几十TB,这就是传说中的彩虹表。

  HASH的单向性优势在此已经只有理论意义,因为HASH的单向性是靠算法设计保证的,使用一个有限集来表示一个无限集,其必然是不可逆的。但攻击者是从查表来完成从HASH到口令明文的还原的。因此其算法的单向性也就失去了意义。

  联合使用HASH

  一些人误以为,HASH不够安全是因为HASH算法的强度问题,因此把MD5或者SHA1联合使用,其实这是毫无价值的(只是徒耗了存储资源)。如上面所说,HASH的不安全性在于大量口令与其HASH值的对应关系早已经被制作成彩虹表。只要你联合使用HASH的算法其中之一在彩虹表中,自然就可以查到了。

  同理,那种采用"MD5的头+SHA的尾"之类的,或者采用其他的混合两个值的方法,也一样是没有意义的。因为攻击者可以很容易的观察到这种组合方法的规律,经过拆解后继续按照查表法破解。

  自己设计算法

  我一向认为,既然我们不是一个密码学家,而是工程师、程序员,那么放着现成的好东西不用,自己开发加密算法是相当愚蠢的事情。我相信很多程序员都遇到过挖空心思想到了一个"新算法",然后发现早在某篇20世纪80年代的数学论文里,早就提出了相关算法的情况。

  况且在开源时代,很多算法不仅被实现和发布了,而且还经历了长期的使用推敲。这些都是自己设计、自己实现无法比拟的。

  关于自主设计的算法的不安全性,有一个事情深达我脑海。记得我在证券系统工作时,由于刚刚接手收购来的营业部,需要把一个clipper编译的柜台系统进行迁移,但原来的开发商已经联系不到了,当时我们制定了两条路,一位高手李老师负责,进行数据破解,看看是否能还原明文,而我则负责破解算法,如果李老师那边走不通,则我需要解出算法,把000000~999999之间的数字全部加密,然后用密文做碰撞(那时证券都是柜台操作,没有网上炒股,密码都是柜台用数字键盘输入的)。

  由于原来的开发者加了一点花活,我这边还没有眉目,那边旁观李老师的工程师,已经发出了惊叹之声,我跑过去,只见李老师根据构造的几个密码的加密结果,在纸上汇出了长得非常像杨辉三角的东西。不到半个小时,李老师已经连解密程序一起做好了。

  上面故事的目的是说明,自己设计算法无论怎么自我感觉良好,看看美国官方遴选算法的PK过程大家就明白了,我们无法和全球数学家的智慧组合对抗。

  因此自己设计实现算法,并不是一个好主意。这其中也包括,在实现上会不会有类似输入超长字符串会溢出一类的Bug。

  单独使用对称算法

  在标准HASH安全破灭后,又看到有人呼吁用AES,其实这不是一个好建议。AES这些对称算法,都不具备单向性。网站被攻击的情况是复杂的,有的是只有数据库被拖,有的则整个环境沦陷。而后者AES密钥一旦被拿到,密码就会被还原出来,这比被查表还要坏。

  当然我们还看到一种把AES当HASH用的思想,就是只保留一部分的AES加密结果,只验证不还原。但其实这样的AES并不见得比HASH有优势。比如即使攻击者没有拿到密钥,也只拖了库,但攻击者自己在拖库之前注册了足够多的帐号,并使用大量不同的短口令。那么就拿到了一组短明文和对应密文。而此时密钥是完全有可能被分析出来的。

  而使用DES、AES一类的算法,还是使用标注HASH,还是自己设计算法,如果不解决不同用户相同口令密文相同的统计性缺陷,那么攻击者即使拿不到密钥,也都可以先把一些高频口令用于帐号注册,拖库后进行密文比对。就可以锁定大量的采用常见口令的用户。

  加"一粒盐"

  其实很多同仁都指出了哈希加盐法(HASH+SALT),是问题的解决之道,所谓加盐(SALT)其实很简单,就是在生成HASH时给予一个扰动,使HASH值与标准的HASH结果不同,这样就可以抗彩虹查表了。

  比如说,用户的密码是123456,加一个盐,也就是随机字符串"1cd73466fdc24040b5",两者合到一起,计算MD5,得到的结果是6c9055e7cc9b1bd9b48475aaab59358e。通过这种操作,即便用户用的弱密码,也通过加盐,使实际计算哈希值的是一个长字符串,一定程度上防御了穷举攻击和彩虹表攻击。

  但从我们审计过的实现来看,很多人只加了"一粒盐"。也就是说,对同一个站点,不同用户使用同一个密码,其密文还是相同的。这就又回到了会遭遇高频统计攻击,预先注册攻击等问题。

  口令的安全策略

  在传统密码学家眼中只有一种加密是理想的,那就是"一次一密",当然事实上这是不可能的。但如果我们套用这种词法,我们也可以说,口令安全策略的理想境界,我们可以称为单向、一人一密、一站一密。

  单向:标准HASH算法的价值尽管在这个场景下,已经被推倒,但其单向性的思想依然是正确的,口令只要是能还原的,就意味着攻击者也能做到这一点,从而失去了意义,因此使用单向算法是必须的。

  一人一密:同一个站点设置同样口令的不同用户,加密生成的密文内容并不相同。这样就能有效的应对结果碰撞和统计攻击。采用字典的攻击的方法基本是不收敛的。

  一站一密:仅仅保证一人一密是不够的,还要保证使用同样信息、同样口令去注册不同网站的用户,在不同站点的口令加密结果是不同的。鉴于有大量用户用同样的信息、同样的口令去注册不同网站,如果能做到这一点,流失出的库信息会进一步打折扣。而攻击者基本会放弃生成密文字典的尝试。

  实现这些说起来很简单,依然是HASH+SALT,关键在于每个站点要有不同的SALT,每个用户要有不同的盐。

  但如果攻击者不是只获得了库,而且也获得了相关的加密参数和密钥,我们就要看到攻击者依然可以自己通过相关参数和密钥调用算法,使用常见密码对每个用户生成一遍密文,然后是否有匹配。当然我们可以看到由于"每人一粒盐"的策略,攻击者所需要的计算代价已经变化了,如果过去只需要生成一次的话,那么假如使用100个常见的口令来做,那么只要口令没有碰撞到,对每个用户都要做100次加密操作。但这也是不容小觑的威胁。因为有太多用户喜欢使用那些常见口令。

  因此,设定一个密码禁用表,让用户避免使用常见口令,可以进一步让破解者付出更大的代价,从而最终导致计算资源不收敛而放弃,也可以是一个可以考虑的策略。但也需要提醒WEB开发者的是,这样会增大你的用户忘记口令的风险。

  另外,用户是否有把密码设置为123456的自由呢,我想只要不是国防、航天、涉密系统和有安全要求的企业环境,如果只是潜潜水、骂骂街,网站或许提醒用户就好,但也许并不需要做成强制策略。

  具体的实现

  了这么多,怎么来具体实现一站一密、一人一密的策略呢,2011年12月23号,我们想到与其空洞的说教算法原理和策略,不如提供一些非常直接的示例程序和文档。

  因此同事们写了一份名为Antiy Password Mixer(安天密码混合器)的开源代码,当然这没有什么技术含量,也不是"自有知识产权的国产算法",有的只是对实现较好的流行开源算法包的示范性使用而已,目前的Python版本,也只有三百行代码,在其中封装了RSA和HASH+SALT使用,并给出了具体的在初始化、注册和认证时如何使用的范例文档。

  大家可以在这里找到这个东西:http://code.google.com/p/password-mixer/

  当然,就像我们惋惜很多应用开发者缺乏对安全的重视一样,其实我们并不懂应用开发,所以这些代码和文档对于应用开发者看来可能非常丑陋。尽管可能被鄙视,我们还是要打开门,证明安全团队并不保守。

  而同时,我们必须与应用走得更近,因为我们也在使用着这些自认为违反了某种安全原则的应用,却因为不是其开发者而无法改造它们。

  过去的10余年,中国的Web应用甩开安全而飞速狂奔,开发者们凭借自身的勤奋和冲击力奠定了现有的格局,但也因快速地奔跑遗落了一些东西,比如安全。也许现在是拾起这些弃物的时间了。

  中国的安全界则因保守、敏感和很多自身的原因,与应用的距离越拉越远,在我们还在幻想某些完美的安全图景时,发现我们已经望不到应用的脊背了。也许,在应用会回头等等我们的时候,就是我们加速前行、拾起应用所遗落的安全性,追送上去的时间了。

  来源:雷锋网

2012年2月2日星期四

在线客服系统行业的没落与电商服务的崛起

  什么是行业颠覆?行业颠覆指一个垂直领域,由于适应了当时大的经济气候,经过一段时间的发展,形成了一定的市场规模,一般诸雄并存,收入基本均等,彼此竞争相对激烈、甚至恶性的行业,而收费却违背市场规模,过于偏高,那么随着大的经济气候的变化,出现了更加高级合理的模式,新模式以更加强劲的形态,闪电般地切入这块垂直市场,迅速击溃该领域所有老的企业或公司,形成独霸市场的局面。

  简单地说:就是新的模式代替旧的模式的剧变。

  特征为:

  1、有一定市场规模,竞争激烈而恶性;

  2、收费极不合理,偏高;

  3、模式较为陈旧,不符合大的趋势;

  4、新的模式已在酝酿之中,有取代的趋势。

  举例来说:康盛创想于2005年底发布Discuz!万年免费宣言《Discuz!宣言》,只用了半年左右的时间就直接击溃原来网络市场所有的论坛系统,包括原来论坛领域的王牌公司(动易)。手法:程序免费+服务收费。不断推出增值的服务功能(二次开发与运维支持)每年赚取上亿的服务费。2010年被腾讯据传以7000万美金收购。模式是:平台免费+增值服务收费。

  再举一个例子:奇虎公司2009年9月发布正式版的360杀毒软件,仅仅只有了4个月时间,于2010年1月轻松在用户量超越杀毒领域老大瑞星公司,颠覆了杀毒领域的格局。手法:以免费杀毒为诱饵,助力360安全卫士迅猛发展,将杀毒用户收入安全领域,迅速成功。并通过浏览器产品将流量变现,并成功上市。这种颠覆完全是战略的胜利。

  那么,还有什么行业存在被颠覆的风险与可能,或者说还有什么行业会按其内在的规律走向颠覆的必然之路呢?

  有!是线客服系统领域!为什么?

  原因如下:

  1、收费极不合理。小小的一个在线沟通工具,租赁版竟然要500~数千不等,与一个电商平台程序几乎不相上下,跟其价值严重不符,更有甚者,其服务版更是高达数万甚至几十万元;原因是信息不对称,线下的企业老板与互联网不了解,用线下模式对比,觉得物有所值;

  2、在线客服系统领域小公司众多,没有一家绝对领先的王牌公司,而所有小公司的市场总和却不小;

  3、各小公司之间恶意竞争,欺骗线下实体企业,形成众小公司一起霸占市场的奇怪现象;

  4、随着线下企业对互联网的了解,尤其是08年以来,传统企业电商营销的迅猛发展,新的、模式新颖、增长强劲的电商服务公司的出现(有年营业达上亿的公司),使得在线客服系统领域边缘化、插件化,客服公司越来越不好过。

  如果要颠覆在线客服领域,采取什么样的策略与方法?

  可分为两种颠覆模式,一种可叫小颠覆;一种可叫大颠覆。

  什么是小颠覆呢?

  即由在线客服系统领域内部的公司某一家站出来 ,直接在线客服系统领域,形成独霸市场的局面。

  策略手法如下:

  颠覆模式:客服系统免费,数据分析+增值服务收费:将所有的主流客服系统的主要功能全部免费,击败其他客服系统,赢得独霸市场的局面,针对日单过千的电商B2C提供全面智能的数据分析、营销策划、平台运营与咨询培训等等高级服务。而日单过千的B2C电商光淘宝有3k家以上。

  这种颠覆手法的风险是:

  1、在线客服系统领域没有一家有这种资本与实力;

  2、比较难得到风险投资的助力;

  3、在线客服系统领域的老板缺乏这种魄力,不愿意放弃原来的收费模式;

  哪什么是大颠覆呢?

  由于传统企业、传统渠道商电商营销的发展,诞生了实力较为雄厚的电商服务公司,有些电商服务公司年营业额已达数亿,资本雄厚,另外,大电商服务提供商与VC关系密切,容易得到融资,因此,如果大的电商服务公司花半年时间开发在线客服系统或直接低价收购一家在线客服系统公司,然后将其做为自身电商平台程序的一个标准插件,低价或免费提供给需要客服系统的企业,则在线客服系统行业的格局将发生剧烈的变化,原来的众多的客服小公司并存的局面将彻底打破,二三年极甚至可能消失或被近转型。

  策略手法如下:

  1、传统电商服务商开发免费的客服插件或收购一家客服公司;

  2、低价,如5元/月,甚至免费;

  3、将客服系统与数据分析、CRM、订单处理、发货处理、仓库管理等等电商平台原来的高级功能整合,为传统企业、传统渠道电商提供真正的全网全程的电商营销解决方案;

  平台电商服务公司凭什么这样做?

  1、软件免费,服务收费是大趋势,SAAS平台的崛起即缘于此;

  2、客服系统、数据分析、CRM、订单处理、发货处理、仓库管理等等都可供选择的高级服务功能,它们有个性的二次开发的需求,与平台程序不一样,可以一律;

  3、在线客服系统是日单在500以内的传统企业电商平台的必需品,而平台电商服务提供商的客户有90%,它们的电商渠道日单在500以内;只有10%以内的电商企业可能日单过千,需要电商订单自动化,可以不用客服系统;

  4、平台电商服务有这个技术、资本、运维、售后服务实力,因其客服也是小客户占比最大;在线客服系统大公司如腾讯、百度可能看不上,但对平台电商公司并无这个问题,因为客服公司与平台电商公司的客户重合度极高;

  大颠覆模式可能出现的局面是:

  大的平台电商服务公司分食在线客服领域的局面,即群狼逐食。谁抢占了这块市场,谁将在全网全程服务上赢得先机,甚至于在电商服务领域超越对手而崛起。

  看在线客服领域之市场,将是谁家之天下,我们试目以待!

  原文网址:来源:Tomeli(原53KF副总裁)投稿,原文链接

2012年1月31日星期二

科技博客的黄金时代远未结束

  编者按:针对两天前Jeremiah Owyang的《科技博客黄金时代已结束》一文,国外知名科技博客TechCrunch前高级编辑Sarah Lacy写了一篇观点截然不同的文章,如下。

  首先,本人非常欣赏Jeremiah Owyang的市场分析,不过对于最近的《科技博客的黄金时代已结束》一文,本人实难苟同。

  科技博客的黄金时代绝对没有结束,真结束了也不是因为科技博客死了,而是步入了白金时代,不但科技博客,连博客离结束也还还很遥远,事实上,个人觉得科技博客步入了一个激动人心的时期 。

  很多分析科技趋势的在短期太过夸大其词,长期太过低估,不过Jeremiah有的观点的确很对,过去三年证明了博客存在许多局限性,比如,我们不能通过科技博客做生意或者获得很多粉丝,取代不了旧形式的媒体。

  许多网站,如Facebook,Yelp及Twitter都渴望通过发布大量的越来越简单且无关痛痒的文章来表达自己,的确很流行,但仍然有非常多得人喜欢写作,喜欢博客的风格,写自己的想法,释放自己,而不仅仅仅是简单的分享,Tweet,评论,如果是为了表达思想,博客仍然是最好的平台,其实现在很多专业博客处于起步阶段,正是有胆识,有思想的竞争者站在博客巨人肩膀上大展宏图的时候。

  而且也有一些新媒体做得很出色,像Sport Blog Nation一样,美国体育专业网站Bleacher Report就建立了一个长期以来被忽视的体育博客世界,而Verge在博客界(隶属于SB)正颠覆传统博客,打造了一个相当成功的Gadget博客,如果你相信我,科技博客将会增加更多新成员。

  我承认,许多第一波博客被收购或者创始人疲惫不堪,难以继续,或者已经变得没有博客的味道,但那并不代表博客已死或垂死挣扎,暂且不反驳这个观点,现在正是彻底改造博客的时候,是时候推出下一代博客的时候,下一代博客一定要具有创意,具有很好的商业模式。

  就新博客的建立,提几点建议:

  1)读者博客:比如现在的HuffPo及SeekingAlpha,如果有一天,为科技博客供稿的都不是专职编辑或者付费作家,而是读者自己,那么参与度将更高,也不会面临传播方面的问题。有的人写作不是为了谋生,仅仅是想表达自己的观点。

  确实许多顶级文章都来自于专业人士,比如像Chris  Dixon ,Fred Wilson及Ben Horowitz这样的VC,但他们不想也不会每天都发博客,如果他们只是零星的发布几篇博客,那么博客的传播就存在问题,所以,科技博客需要读者参与。

  2)UI:现在的博客都靠堆积量来增加网站流量,所以这个行业在用户界面方面存在很大问题,许多新兴的博客都想努力解决这个问题,比如Verge,UI很漂亮。

  3)博客不是越短越好,也不应完全关于商品:Jeremiah说,现在人们都喜欢关注度短博客,而不是长篇大论,可是本人在TechCrunch期间也写了不少长文章,流量一样很高,其实只要你写得好,分析到位,人们还是很愿意花时间去阅读,不要为了长而长,而是要写真正有质量的东西,这样才会赢得读者青睐。

  4)商业模式:做博客就一定要盈利,要不你怎么继续。很多时候,博客都不知如何利用自己的影响力去盈利,比如我呆过的地方中,TechCrunch影响力最大,而广告的平均盈利却最少,所以,下一代博客就要考虑如何在旧形式博客上扬长避短,建立庞大观众群,在提高影响力的同时,懂得如何利用自己的影响力去盈利。

  5)不要变成个人舞台:对第一代博客来说,最大的 问题就是很多博客变成了一个人的舞台,虽然TechCrunch在这方面做得很不错,但也免不了出现这样的问题,部分原因就是一些博客始于一种爱好,所以下一代博客就应该遵循商业第一,并从一开始就解决博主单一问题。

  6)永远不要出售博客:如果出售了,平台犹在,灵魂易主,表达的是不一样的东西,可能是你不想看到的,要建立一个屹立不倒的媒体一定要为了某个主题,而不是为了某个人。

  英文原文:Sarahlacy:Golden Age of Tech Blogging Done? I Couldn''t Disagree More

  中文翻译:雷锋网编译。

IIS的没落

  Apache一直作为互联网上使用最广泛的服务器从web早期延续至今,居于第二位的应该属微软的IIS了。但是,各种迹象表明,IIS现在正在走下坡路了,其市场份额是在不断的下跌。究竟背后是什么因素在促使这种情况发生呢?

  当然,情况不是一直都这么糟糕,在曾经的一段时间里,IIS曾经和Apache不相上下。但是这种局势在2007年得时候转变了,Apache重新占有了更多的市场份额,高达了65%的占有率。然而。IIS的市场份额却只有16%,还不到曾经的一半,这把IIS带回了1997年得情况。

  下面的一张图标将向大家详细的展示了IIS这些年以来的变化趋势:

  上图是由 Netcraf公司提供的,Netcraft公司长时间的跟踪互联网服务器的使用情况,该公司每一个月统计一次,并由统计的数据制成显眼的表格,通过这些表格,我们可以清晰的了解互联网服务器近15年的发展变化趋势。

  通过上面的这张图表,我们可以看出,近几年以来,情况对IIS来说是很糟糕的。由于Apache的开源举措,使得IIS的使用份额大打折扣,并且有新生的更快更轻便的nginx也给服务器市场带来新的冲击,nginx也是一个开源项目。所以,大家也许会认为,在互联网领域,谁开源谁就将获得更多的市场,其实事实也是这样发展的,比如Linux, FreeBSD, OpenBSD, Apache, BIND等等,我们可以看到这些开源项目在近几年的迅猛发展。

  另一个原因是IIS只能运行在自己的服务器Windows Server上面,Windows Server操作系统的减少将直接导致IIS的使用量减少,而目前Linux操作系统的流行是显而易见的,所以,IIS的市场占有率减少也成为了必然。

  当然,IIS的使用数量是在增加,毕竟1997年得时候,网站的数量也少。但是,论及市场占有率,IIS是绝对缩减了的。

  至于IIS的占有率是像目前这样继续缩减下去,还是这只是一个暂时的回扣,我们不得而知。但是,我们也许可以从中看到大致的趋势,如果微软不在这方面采取相对的措施,我想,结果大家都知道了吧。

  英文原文:Microsoft’s web server is losing ground: IIS market share back to 1997 levels

  中文翻译:晨露博客

2012年1月30日星期一

Google的专利之殇

  Google作为互联网的老大,在现在面对的麻烦事儿真是接二连三,近来,有很多公司纷纷状告Google侵犯了他们的专利权,尤其是在Android系统方面。看来,作为互联网的巨头,在专利方面确实还需要努力啊。

  Google 的Android现在就面临着微软给出的一个类似的难题。微软近期就到处在要求生产Android移动设备的公司向他们支付专利侵权费用。可能许多人会说 不公平,微软最近在移动领域的创新显然不如Google,它凭什么去收取专利侵权费?当然,还有很多相同的案例,如今专利对于Google来说可谓是一个 重大的要害啊,只要Google采取行动,有什么新的产品上线,那么,估计第二天就会有N个公司想Google要求索取所谓的专利费。Google的专利 现在是一个什么样的情况呢?

  Google目前的专利数是701件,大家可以想一想,仅仅701项专利对于Google这样一家公司肯定是不 够的。对于上次北电专利的拍卖,我们可能也估计不到结果是这样的,尤其是Google在拍卖会上出价的时候带有很幽默的色彩,一连串的幽默数字,不知道是 在显示其雄厚的数学底,还是胜算在握,只是想愚弄一下拍卖官呢?反正结局对于Google来说是悲剧的,一下子输掉了6000多项专利,相信拉里佩奇当天 知道结果了也没有睡好觉吧。我们只能说,要是当年的施大爷在的话,也许结局会不一样的。

  那么,申请专利对于Google来说就那么难吗?

  事 实上,申请软件专利也不是一件容易的事,而且远远超出工程师的努力范围。另外软件的复杂性和低标准又意味着工程师随时都可能生产出来一个可以申请专利的点 子。但是大部分工程师都不会认为这类点子值得申请专利,那么公司就有必要对这些工程师进行重新培训帮助他们写出这类点子然后通过专业的法律手段来为其申请 专利。

  对于正处于高增长期的科技公司来说,显然不具备资源去打类似的法律战,而且还可能付出很高的机会成本。因为你既要花费巨资聘请律师,又要抽调你极为宝贵的工程师资源来协助律师们合理规范的编写能够申请的软件专利。

  但 对于更加成熟的公司比如微软或者IBM来说,情况却是不同的,它们付出的机会成本要低得多。事实上他们有许多未能充分利用起来的工程师和金钱资源可以被抽 调去和法务部门合作编写专利申请。此外由于机构臃肿,他们本身的产品开发过程也比较满,因而在这个开发过程中增加一个专利申请编写过程也对他们的生产力不 会构成很大的消极影响。

  而且这一差别还因为申请专利和专利获批间巨大的时间差进一步加大了。比如微软本周获得的52项专利其中很大一部分是 其在06年到08年之间申请的,甚至最早的一项是在03年申请的。早在06年之前,微软就一直在不断的调配大量的资源申请专利了,而Google却刚刚才 开始在这方面严肃对待并投放资源。考虑到申请和获批间巨大的时间差,就算Google从今年开始向微软般的疯狂开动专利申请机器,它们或许也要到2015 年才能看到效果。

  因此,和其他许多的大型软件一样,Android不可避免的会侵犯诸多微软的专利。

  另外,如果Google 上次赢得了北电6000件专利组合拍卖的话,他们拥有的专利总数相比目前的701件将增长近9倍。而这也将给Google更多的专利资源来抵抗目前日益严 峻的诉讼案,Google在移动领域和桌面操作系统领域市场份额的不断扩大也必将面临更多的类似案件。

  今年4月4日,Google法律总顾 问Kent Walker在一篇博客中写到,专利诉讼呈现爆炸式增长,而且通常还包含许多低质量的软件专利,竞购Nortel的无线专利组合将能够使Google有效 的遏制对手发起针对Google的专利诉讼行为。此外他还直接指出:最佳的专利诉讼防御是构建起自己的专利长城。很明显,Google这次输掉竞购丢失了 一次最好的构建专利防御长城的机会,Ken Walker在一封邮件中表示:Google出局的这个结果显然对于任何相信开放创新和希望看到竞争的人来说都是失望的。

  相信专利的重要性在这次北电抢购战中一览无余,昔日的竞争对手也能够为了获得这批专利而结成同盟一致对外。各大公司在以后对专利的重视应该也会有所提高。

  Google也在努力的增加自己的专利数,去年获得专利282件(04年时只获得3件),今年截止6月28日则总共已获得141件。对于Google来说,一项一项的申请专利已经不太现实了,唯一的可取途径就是抓住像上次北电专利拍卖的机会。

  来源:晨露博客投稿。

Windows Vista的历史回顾

  现在,Windows 7 凭借优秀的用户体验、领先的创新技术、快速的执行效率,早已超过 Windows XP 及其它操作系统,成为了市场份额最大的操作系统。然而,在风光背后,又有谁能记得 Windows Vista 呢?

  五年前的今天,微软正式面向个人用户发布了 Windows Vista。这个微软耗费上百亿美元、投入万名工程师、历时 5 年多开发的划时代操作系统,包含了许多创新功能、蕴含了大量创新技术,对未来产生了深远的影响。

Windows Vista的历史回顾

  一、诞生

  微软的部分员工喜欢滑雪。Whistler 和 Blackcomb 是加拿大不列颠哥伦比亚省的两处大型滑雪胜地,而 Longhorn 只是两座山脉之间的一间酒吧。

  就在 Windows XP(Whistler)正式完成之前,微软宣布将会开始下一代操作系统 Blackcomb 的开发计划,且将会在 2003 年左右发布一个过渡版本 Longhorn。

  在 WinHEC 2002 中,微软宣布它将会包含新的程序接口、图形架构、网络技术和存储技术,很显然它的定位发生了重大变化——从过渡版本摇身一变成了重要版本。

  此后,网络上开始出现一些不幸被泄露的 Longhorn 编译版本,其中首次出现了 WinFS、Avalon、Indigo、桌面窗口管理器、Windows 侧边栏等创新技术或功能。

  与此同时,由于 Windows XP 经常出现安全漏洞及易受恶意软件、电脑病毒、缓存溢出等问题的影响,微软提出“可信计算”概念,要求全公司上下一心,共同合作以求解决安全问题。

  微软由于希望优先增进 Windows XP 和 Windows Server 2003 的安全性,因此微软投入了部分研发力量开发 Windows XP SP2。它最终于 2004 年 8 月推出,包含了加强版的防火墙、Internet Explorer 6,且新增了数据执行保护、Windows 安全中心等功能,支持蓝牙技术和改良对 Wi-Fi 的支持。这使得 Longhorn 的开发计划被延误。

  新的资源管理器、新式安装界面、下载管理器、虚拟文件夹(库)等更多功能陆续出现在 Longhorn 上。由于 WinFS 的加入,微软希望利用新的数据存储技术,重写各种系统组件以及办公产品 Office。

  2003 年 5 月,WinHEC 2003 召开,微软向外界公布了 Longhorn 的部分细节。其中,Aero   界面是一大亮点,它是全新设计的用户界面,包括 Windows Aero(磨砂玻璃外观)、Windows Flip 3D、实时缩略图、全新字体等等。

  随着越来越多的技术或功能加入到 Longhorn,完成开发计划变得遥遥无期,开发团队迷失了方向。

  时任微软副总裁、Windows 开发主管吉姆·阿尔钦也极力希望公司能够尽快重启开发进程,因为开发人员将各种功能特性随意的集成到系统内核当中,而对最终产品缺乏一个明确的目标,Longhorn 的开发已经“彻底玩完”。

  WinHEC 2004 上,微软发布了 Longhorn Build 4074,这是重启计划前最后一个公开发布的 Longhorn Build,提供了一套新的系统图标(Windows Aero)和一套新的系统字体(Segoe UI)。

  微软在后来宣布 Avalon、Indigo 将融入到 WinFX (即后来的 .NET Framework 3.0,下一代程序接口),且支持 Windows XP 和 Windows Server 2003。而 WinFS 则被移除,放在之后单独发布。可惜的是,它最后只发布了一个 Beta 版本后即宣告停止计划。

  2004 年 8 月,吉姆·阿尔钦对员工发送电子邮件,宣布重启开发进程,代码库将基于 Windows Server 2003 SP1,而不是 Windows XP。同时他也大刀阔斧地进行了改革,力求使开发计划更快完成。

  随后,微软陆续透露关于 DirectX 10、Windows 体验指数的信息,并在内部测试各种 Longhorn 独立版本,如 Starter、Home、Business、Ultimate 等。

  WinHEC 2005 上,微软发布了 Longhorn Build 5048,这个版本首次采用了 Windows Aero 界面。不过由于功能上较前版大幅削减,许多人并不认可,更有人认为这是一个倒退。

  2005 年 7 月,微软宣布 Longhorn 的正式名字 Vista。Vista 一词源于拉丁文的 Vedere,含有“远景”、“展望”之意,也正符合它的口号“为您的世界带来清晰”。吉姆·阿尔钦也兴奋地说:“Vista 为这个新系统的功能勾勒了一幅美丽的图景,能够最大限度的激发人们的想象力,点燃用户的激情。”

  Beta 阶段,Vista 的功能特性逐渐明确起来,新版资源管理器、基于索引的搜索、家长控制、WinFX、侧边栏、新版媒体中心、新版 Media Player、新版 Windows Movie Maker、Windows Defender、Windows Mail (即 Outlook Express)、Windows 日历、Windows 照片库、新版 Internet Explorer、性能调整工具、XML 纸张规范(XPS)、增强的语音识别、Windows Aero、游戏管理中心、DirectX 10、ReadyBoost、BitLocker、用户账户控制等上百种令人兴奋的新功能都被陆续加入。

  RC 阶段,微软基于测试人员的各种反馈对 Vista 作出了许多改进,且排除了不少 Bug,反响热烈。

  微软于 2006 年 11 月 8 日宣布 Vista 开发计划正式完成。

  二、救赎

  微软寄予厚望的 Windows Vista 上市后并没有如微软所愿迅速占领市场。由于它较高的硬件需求、较高的内存占用、糟糕的向下兼容等各种问题,被评为“华而不实”。同时原本为了提升安全性而设计的用户账户控制,也备受诟病。一时间,它的名声掉到了谷底,甚至还被竞争对手冷嘲热讽。

  为了增强系统的稳定性和兼容性,微软于 2008 年 1 月发布了 Windows Vista SP1。尽管各种问题都已经在这一版本中大幅改善,但由于它的负面形象早已深入人心,已经无力回天。

  2008 年微软进行了一次名为“Mojave Experiment”的有趣实验。实验中,微软向测试者展示一款代号为“Mojave”的下一代操作系统,并让他们将此与 Windows Vista 进行比较。出乎意外地,测试者都极度认可 Mojave,而 Windows Vista 则不受认可,谁知道这 Mojave 就是 Windows Vista。

  也许,这就是为何与它相差不算很大的 Windows 7 能被迅速普及的原因。很多时候用户对 Windows Vista 的看法是被人为扭曲的,是被人为影响的,如被诟病的内存占用问题,其实是用户对 SuperFetch 及其它内存管理技术的误解。

  2009 年 4 月,微软发布了 Windows Vista SP2,不仅修正了一些漏洞,还加入了一些新的功能,完善了 Windows Vista。

  后来,微软凭借 Windows 7 的发布一雪前耻,洗刷了公司形象,走出了失败阴影。

  三、意义

  Windows Vista 虽然最后并没有大规模普及,但是它对微软日后的各种产品作出了巨大贡献,如广受欢迎的操作系统 Windows 7,即以它为基础进行开发;如 SQL Server 2008,即融入了 WinFS 的部分特性。

  Windows Vista 是微软第一款同时提供 64 位和 32 位支持的操作系统;是第一款只能支持在 NTFS 分区上安装的操作系统;是第一款高度重视用户体验的操作系统……

  现在它已经正式发布 5 年了,是时候进入历史博物馆了。然而,我们不应该忘记它对我们、对企业、对微软所作出的巨大贡献。它是个人操作系统史上的巨大革命。

  来源:作者EMLink投稿,原文链接

2012年1月28日星期六

昔日的社交网络如何走向没落

  现如今最大的的国际社交网络是Facebook, Twitter,和LinkedIn三大主流占了主导地位,以及近期迅猛发展的Google+,如果Tumblr(一般我们把它认为是轻博客的一列了)也 能算作社交网络的一部分的话,Tumblr也是占有很大一部分市场的。但是,如果我们回溯到2004-2005年,上面列出的也还只是社交网络的小脚色, 只能算是起步的阶段。那个时候占主导地位的社交网络应该是 Friendster, LiveJournal 和MySpace。但是,当年的这些一时热门的社交网络是怎样走向了没落,前面提到的那些新生派又是问什么会突然崛起呢?也许,这些巨大的转变我们会难以想象。

  Myspace

  MySpace诞生于2003年,在Facebook占有主导市场之前,MySpace算得上社交领域市场份额最大的社交网络了。在美国市场上,虽然没有昔日的彪悍角色,Myspace的占有率仍然是不可小觑的。在2007-2008年期间,Myspace达到了它的黄金顶峰时期,News Corp公司拥有的MySpace市值大约为12,000,000,000美元。但是在今年6月份,News Corp公司以35,000,000的价格将MySpace卖给了新主Specific Media,当然News Corp公司持有其5%的股份。

  下图是2004至今的Myspace的用户数量变化趋势图:

myspace

  下图是2009年至今的MySpace流量趋势变化图:

   

myspace

  关于更多的MySpace历史信息,您可以查阅维基百科相关信息 MySpace at Wikipedia

Friendster

  Friendster诞生于2002年,然后迅速发展仅次于MySpace的美国社交网络,作为更加现代化的社交网络,Friendster在很多美国以外的地区都是很受欢迎的,比如用户最多的亚洲,特别是东南亚,Friendster在这些地方有恨庞大的用户群体。不过今年5月的时候,Friendster以社交网络的身份变身为社交游戏了,或者说是更加专注于社交游戏服务了。

  下图是2004年至今的Friendster用户数量变化趋势图:

friendster

  下图是2009年至今的Friendster流量变化趋势图:

friendster

  更多信息您可以参考维基百科的相关资料, Friendster at Wikipedia

LiveJournal

  LiveJournal诞生于1999年,属于是比较早的时期了,毕竟互联网的兴起是在1995年左右。最初,LiveJournal是以博客的形式提供社交服务的,在很多方面来讲,LiveJournal可以说是社交网络的一个先驱者。就像去年的热门电影《社交网络》中的角儿Jesse Eisenberg一样,他就是在LiveJournal上面写自己的博客的,电影中的场景发生在2003年。

  在被俄罗斯的一个公司SUP收购几年之后,LiveJournal的总部由美国直接搬到了俄罗斯。

  下图是2004年至今的LiveJournal用户数量变化趋势图:

livejournal

  下图是LiveJournal2009年至今的流量变化趋势图:

livejournal

  更多信息您可以参考维基百科的相关资料:LiveJournal at Wikipedia

  “打住,我们并没有灭亡”

  也许在某些人的眼里,这几个社交网络公司已经接近灭亡了吧。当然不是这样了,虽然他们没有昔日的庞大,但是他们还是有成千上万的用户。就像一些好莱坞的演员一样,他们不可能永远辉煌,只是曾经辉煌过而已。

  所以,有这么一句话:我曾经很辉煌,我曾经是明星,那就够了。

  英文原文:The social networks of yesteryear. How the mighty have fallen

  中文翻译:晨露博客