2013年5月13日星期一

苹果应用商店没有逃税

  近日有专家称按中国海关法,苹果公司是关税的纳税义务人,苹果应用程序商店(App Store)销售应用软件属于进口物品,该缴纳关税,还有专家据此称“苹果应用程序商店在华逃税”。针对这个说法,网易新闻在“网易另一面”发表专栏指出,根据世贸组织相关协定,中国并不能针对苹果应用程序商店征关税。

  网上跨国软件下载是WTO免关税的国际服务贸易

  世贸协定中具有法律效力的《服务贸易总协定》确定四种国际服务贸易方式,中国仅能对其中的“商业存在”和“自然人流动”征关税

  《服务贸易总协定》(GATS)是世贸组织中第一套有关国际服务贸易的、具有法律效力的多边规则,WTO的服务贸易理事会负责监督GATS的实施,世贸组织成员国若无签订具体的修改承诺条款,就必须全部适用其所有规则。《服务贸易总协定》对世贸组织成员国之间的国际服务贸易做出了明确的定义,有四种服务提供的方式:即跨境交付、境外消费、商业存在、自然人流动。

  “跨境交付”是指从缔约方的境内向任何其他缔约方的境内提供服务,这种服务不构成人员跨境,跨越国境或边界的只是服务本身,不是货物。“境外消费”是指从一缔约方的国境向其他任何缔约方的服务消费者提供服务,这种方式典型的例子是消费者为旅游或求学或看病进入服务提供国领土内。“商业存在”是指一缔约方的服务提供者通过在其他任何缔约方境内的商业存在而提供服务。包括通过设立分支机构或代理机构,提供诸如银行、法律咨询或通信等服务。“自然人流动”是指一缔约方的自然人在其他任何缔约方境内提供服务,一般而言就是允许外国公民进入本国领土内提供服务。如一国的医生、艺术家、教授到另一国从事个体服务。按照《服务贸易总协定》,中国政府只能在世贸缔约国间的“商业存在”和“自然人流动”类服务贸易征关税。

  App store的线上数字服务交易是《服务贸易总协定》中典型的“跨境交付”,加入世贸后的中国不得就此行为征关税

  根据世贸组织专家组对“美国影响赌博服务跨境提供措施案”的裁决报告,《服务贸易总协定》中“跨境交付”是指“服务者自一个成员领土内向任何其他成员领土内的消费者提供服务”。根据WTO中普遍适用的“技术中立”原则,其所涉及的跨境提供模式应包含自一国成员领土内向任何其他成员领土提供服务的任何可能的方式。这意味着服务提供者可以通过任何交付方式提供服务,包括通过书面或电子邮件、电话、传真、互联网在线形式、其他任何一种方式或者几种方式的组合方式。如果一国成员意图排除在跨境提供方式中的一种或几种交付方式的市场准入,该成员应该在具体承诺表中明确写明。

  苹果应用程序商店(App Store)的营业行为,是作为全世界各个软件开发公司的中介商和技术协助者,将开发者上传的软件在苹果应用程序商店发布后提成,属于典型的“跨境交付”。中国作为世贸组织成员,又未在《服务贸易总协定》签订特定的修改承诺或不适用范围条款,不能对App store的数字服务行为征关税。

  软件程序不和硬件配套进口就不用交关税

  根据世贸组织《关于软件海关估价的决定》和《中国关税完税价格办法》,只有有载体的软件才需交关税

  与软件相关的国际贸易并非全部都豁免关税,但要征税的不是网上下载,而是和作为软件载体的硬件设备一起计税。1995年,世贸组织海关估价委员会发布《关于软件海关估价的决定》,对进口计算机软件允许成员国基于两个因素之一征税:硬件载体本身的价格或价值;或者硬件载体加软件的交易价格(已支付的或需要支付的价格)。中国采用第二种方法征关税,即对载体和其中数据库或软件的合并价格征税。2006年《中国海关审定进出口货物完税价格办法》对此有明文规定:第十三条第三款第一项:“含有软件、文字、乐曲、图片、图像或者其他类似内容的进口货物,包括磁带、磁盘、光盘或者其他类似介质的形式”;第三十七条:“进口载有专供数据处理设备用软件的介质……应当以介质本身的价值或者成本为基础审查确定完税价格”。

  苹果app下载不搭配机器就不必交税

  而苹果应用程序商店上的数十万软件并不绑定苹果公司的硬件产品一起输入中国。根据《海关法》,海关对进出境货物、物品、运输工具实施监管并征收关税。苹果应用程序商店的软件服务没有实际的载体,不属于海关监管范畴。

  国内软件开发商而非App Store该交增值税

  中国在苹果应用程序商店上传应用软件的开发公司是自主的销售商,已为自己的销售行为缴纳17%增值税

  苹果应用程序商店的商业模式中,苹果公司并不扮演通常的“成本价进货—商品价销售—挣差价”的超市型分销商角色。软件开发商将应用程序上传到App Store后,能自主运营平台上自有产品或应用、自由定价、自主调整价格。因苹果应用程序商店中的软件开发商是自主销售商,按中国财政部、国家税务总局2011年10月13日发布的《关于软件产品增值税政策的通知》第一条第一款:“增值税一般纳税人销售其自行开发生产的软件产品,按17%税率征收增值税后,对其增值税实际税负超过3%的部分实行即征即退政策。”

  公司只在注册国就营业行为缴增值税,中国政府不能对运营App Store的卢森堡公司收增值税

  苹果对中国用户服务的App Store实际上并非由美国的苹果公司直接经营,而是由其位于卢森堡的关联企业艾通思公司负责运营和管理。艾通思公司是中国的应用程序商店的运营者。应用程序商店向开发商提供信息存储服务,并受其委托向最终用户收取费用,在扣除标准佣金后将全部收益转交给开发商。中国司法部门在最近的2013年4月 “苹果公司被诉侵犯著作权”案中未曾质疑和否定苹果App Store运营商的卢森堡公司身份,自然中国政府也不能逾越法定范围去征收一家卢森堡公司的增值税。

  结语

  如果一个美国人在淘宝网买手机软件,美国政府不会去找阿里巴巴集团收税。事同此理,苹果公司也没有在应用程序商店上逃中国政府的关税。

  文章来源:网易新闻

2013年5月12日星期日

产品经理的自我修养:认知模式

  我们经常会发现身边的某位哥们,在工作流程、产品动手能力上正规严谨,做的相当漂亮。但,他负责的产品就是不出彩。抛开公司内耗、团队能力问题,最大的问题还是在于产品经理自己。

  圈内朋友常说:一个产品经理怎么样,那么他的产品就怎么样。你可以说是这个产品经理了解人性需求,产品修行高,产品有品位等等,笔者在这里统称这种能力为产品经理的自我修养,即通过多次经历成长后形成的一套强大的思维体系。而它,就是你的全部价值。

  认知模式

  人生总会遇到几个影响你的人,而笔者就是在遇到现在的哥们LY的时候,才定义了认知模式的概念,才发现了截然不同的两种认知模式。

  从表层入手

  定义:从表层入手,通过关注人性与生活现象获得感知,发现规律,然后认清现象本质,建立模型去解读其他现象。

  优势:以此及彼,快速通过已知模型(熟悉的人物、东西、事物或者现象)解读、认知、构建另一个东西。(可理解为打造产品的过程)

  劣势:对已认知的模型难以升华到理论,并去解读更加复杂的模型。(因为生活中没有这样的模型了,深度复制模型就很难被认知理解了)

  产品应用:生活中的商业形态有集市、专卖店、旗舰店,淘宝系中就依照这个模型建立了线上的淘宝集市、天猫(专卖店、专营店、旗舰店)、微信对讲机

  从里层入手

  定义:从里层入手,通过关注大量数据与理论获得感知,发现规律,然后推算出现象本质,建立模型去控制即将发生的现象。

  优势:擅长推算和演练即将发生的现象,以能控制此现象为目的。

  劣势:完全通过数据感知建立的模型,不能避免情感因素的干扰。(Google+ Circle圈子、Path不太成功的原因,是不够接地气,忽略了社交常识现象)

  产品应用:证券交易市场通过分析几十年交易数据,推算出自动交易软件,并以此获利。

  模式比较:

  1、从表层入手,更加偏向于感性认知模式。认知过程:需要先建立一个基础模型,然后用基础模型去认识其他相似的东西。认知熟练后,就可以拆解基础模型,组装后形成新的复杂模型,再去认知相似的东西。后面组装,拆解模型,甚至依靠数据模型形成新的模型。而且表层入手的组装、拆解过程,不一定需要数据支持的。表层入手形成的模型为形象化实体模型,从生活中来。

  从里层入手,更加偏向于理性认知模式。认知过程和表层入手类似,也会有模型的组装、拆解,甚至升华。但其基础模型为数据化模型,从数据中来。

  2、表层入手认知模式,在基础模型升华过程中也会用到数据支撑形成非常规的实体模型。里层入手认知模式,在实际应用到生活和人层面的时候,更多考虑模型接地气,也会加入生活化实体模型。所以,两种认知模式之间需要渗透合作,懂一点对方的认知模式,才能走的更远。Google工程师都会玩吧,也是对表层入手认知的补充。

  3、从成功产品打造者的人选来看,前者比后者更加适合做产品经理。当然,还是不要忘记补充点后者的认知模式。

  再发散一下,苹果就好比从表层入手,偏向于感性认知模式,以人体本能和洞察人性做产品,但在推荐应用上也使用了数据模型推荐应用;Google就好比从里层入手,偏向于理性认知模式,以技术和算法做产品,在搜索结果上也正在加入情感智能,聪明理解给出搜索结果。

  后记

  我的认知模式就是从表层入手,但我现在也在加强数据模型知识。LY的认知模式就是从里层入手,但他现在也在加强生活与人性常识认知,去建立更多的实体化模型。SO,互补的认知模式,让我和LY成了好基友。当你发现自己处于认知模式中的某个极端时,请注意,此刻危险了。停下来,渗透一下另一种认知模式吧。

  来源:投稿,作者Gauin   微信公众账号GauinBlog  ,原文链接

在Chrome中为无声电影加字幕

  Google在上个月更新了Chrome的Web Speech API,使得开发人员可以在他们的各种Web应用中利用语音识别功能。该功能到现在为止都还没有被充分利用,但Google希望改变这一点,并推出了一个聪明的无声电影短片演示——"花生画廊"(The Peanut Gallery)。其概念非常简单:用户只需进入这个网站,并从十多部经典电影片段中选择一个,就可以通过 Web 语音 API 来为无声电影添加字幕。

  可选的电影片段包括《歌剧魅影》、《巴黎圣母院》、《失落的世界》和《月球旅行记》。Chrome将请求访问用户的麦克风,用户只需大声地念出来,然后把每一句话通过字幕展现出来。

  影片剪辑在播放的过程中,只要用户点击了暂停,就能在屏幕上添加各种对话。

  为了获得最佳的效果,Google还事先为用户列出了下述注意事项:

  1、 以中等速度,清楚、柔和地说话

  2、 把计算机上的其它声音来源静音

  3、 找一个远离噪音的安静地方

  4、 使用常规字典里的单词

  5、 在说的时候,添加"问号"、"句号"等标点。

  这是一个聪明的工具,也是Google对其Web Speech API的一种炫耀。完成后,Peanut Gallery还可以让用户选择把内容分享到Google+、Twitter和Facebook上。

  The Peanut Gallery网站地址:(需使用Chrome浏览器访问)https://www.peanutgalleryfilms.com/

  来源:cnbeta编译自:TNW

2013年5月10日星期五

淘宝差评的爱与恨

  刚刚“上映”的淘宝差评曝亿元大案事件,一时间引起了广泛关注。似乎无形中为淘宝做了个活广告,告诉网友们,淘宝的差评监管制度使得买家买得安心,买得放心。然而于此同时更多的合法卖家也开始小担心起来,因为恐怕此事件一出那些职业差评师们就会更加猖狂。可以说淘宝差评在实际当中既让人爱,也让人恨。

  淘宝差评,卖家的警钟,买家的最爱

  当年马云搞淘宝时很多人或者说所有人都不看好,因为实体店买东西都不靠谱更何况在看不到摸不到的网上去买东西,简直是天方夜谭,让人无法相信。而这其中的关键所在就是诚信问题,怎样一个机制才能让人们购买时能够放心大胆的出手呢?当时马云采用了好多方法,其中最为重要也最为管用的就是差评机制。买家买到后如果发现与描述不符,有质量问题那么就可以进行差评,然后卖家店铺的信誉就会下降,后买的买家看到差评后购买过程中也往往会绕路而行。对于想做买卖的店铺来说一个差评会带来很大损失,与自己赚那点儿亏心钱相比是得不偿失的。于是差评机制就会督促每个卖家去良信经营,去良心经营。买家也会根据差评的多少,评语的字字句句来作为自己的参考,来买到自己心仪的商品,可以说淘宝的差评机制是所有卖家的警钟,是所有买家的最爱,是促使电子商务良性发展的有利保障。

  淘宝差评,卖家的恨,别有用心者的爱

  世界是个矛盾体,有好就会有坏,有正面就会有反面。在淘宝差评这个优秀机制上面也是如此。淘宝差评由于具有上一条的优点,于是一些别有用心的人就开始大作文章,利用淘宝差评机制来对淘宝卖家进行敲诈勒索,从中获得非法收益,而且往往都是数额不菲,屡屡得逞。

  淘宝卖家最担心的就是有差评,所以都苦心经营,别有用心的人就是看准了卖家的这一致命一点,而下黑手。正常的去拍,去买,然后就给胡编乱造的给个差评,要么店主拿钱消灾,要么就去承受因为差评而造成的营业额下滑,大众的选择都会是饮气吞声,花钱了事。因为及时你通过各种繁琐方法使得差评被改回来,弄不准对方会调集别的号来进行恶意差评,反复几次这个店基本也就步入了万劫不复阶段,甭说赚钱了,就是能够不赔的没了夫人没了兵就是万幸了。所以本来是个良好监管机制的淘宝差评,成为别有用心人员的赚钱机器,甚至形成完美的圈钱方案,并产生一个最新职业,职业差评师。而卖家却是对之恨之入骨,却又无能为力。

  如果说让差评机制完美化,让电子商务走向理想化,没有欺诈,没有敲诈那是一个不可能事件,除非不产生交易,也就是没有买卖就没有伤害,哈哈,但用到这里显而易见是同样是不可能事件。但是监管机构可以在差评基础上去完善和改进监督机制,将伤害降到最低。这个监管机构不限于淘宝,可以是国家,可以是相关部门,可以是个人,因为电子商务不是你的,不是我的,是大家的,一个人一个公司的努力是微乎其微的,但大家都努力就会产生神奇的效果。我们不妄想完美,但我们可以趋近完美;我们不奢求世界和平,但我们却可以通过自己的努力来减少伤害!

  来源:李振杰投稿,原文链接

2013年5月9日星期四

使用虚拟信用卡进行国际支付

  国内银行发行的信用卡在大多数美国的网站上都不被接受,均要求使用美国的信用卡,例如美国苹果iTunes商店,谷歌Android商店Google Play,美国Amazon等,这篇文章将介绍中国用户如何申请和使用美国信用卡在这些网站进行购物。

  例如苹果iTunes商店,在所有iTunes帐号中,唯独美国的iTunes帐号最有价值。很多有用的应用和资源,都只在美国iTunes商店上架,Google Play就更不用说了,根本就没有在中国发布,中国用户要想购买Google Play的应用还必须在美国商店才能购买。

  以前中国用户使用美国iTunes商店的方法比较麻烦,无法添加美国信用卡,添加中国信用卡也无法通过,哪怕添加中国信用卡绑定的美国PayPal帐号,也无法通过,会出现提示“为了完成此交易,该收款人要求您有来自美国的有效资金来源”。因此只能通过购买GifCard的方法在美国商店进行购物。

使用虚拟信用卡进行国际支付

  GifCard是苹果商店中的一种储值卡,说的通俗一点就相当于预付费手机用户对自身手机所购买的储值卡。用户通过GifCard充值成功后可以进行音乐或视频的购买,游戏及应用的消费,

  GifCard在淘宝、天猫等购物网站都有销售,但使用GifCard有两个缺点,其一是不安全,很多GifCard是非苹果官方的“黑卡”,就是盗刷信用卡生成的,使用这些“黑卡”进行消费,很有可能会遭到了苹果公司的封号处理。其二是价格高,比较正规的GifCard售价一般会比原卡价格高,例如某淘宝商家出售10美元GifCard价格为70元人民币。而如果用户有一个自己的美国信用卡,就可以安全而方便地在美国商店进行购物了。

使用虚拟信用卡进行国际支付

  不过,美国的信用卡申请相对比较麻烦,大多数的信用卡开户都要求申请人具备美国的社会安全号(SSN)、稳定的工作、介绍信以及本来具有的良好的信用记录,信用记录在美国有着很严格、很完善的记录系统,也是人们诚实和理财能力的反映之一,这些条件对于中国用户来说是很难都达到的。而中国用户申请美国信用卡的一个简便的途径就是申请美国虚拟信用卡。

  虚拟信用卡是针对没有国际信用卡或者因担心信用卡付款安全的用户需要国外网上购物、激活各类网上账号、充值等情况推出的产品。虚拟信用卡没有实体卡,但对于国外的网上购物来说已经足够用了。

  目前国内支持美国虚拟信用卡的产品好像只有腾讯财付通,2012年11月,财付通联合美国运通(American Express)推出虚拟信用卡支付,注册申请后会分配给用户美国运通信用卡账号,这个运通国际账号在所有支持美国运通的商户网站都可以支付。

  首先用户需要注册一个腾讯财付通的帐号(目前支付宝还不支持境外虚拟信用卡),然后进行实名认证,建议通过确认汇款金额的方式实名认证,这样可以不开通快捷支付。

  实名认证完成后,点击左部菜单“转账付款”里的“境外支付”,开始开通美国运通国际账号。

使用虚拟信用卡进行国际支付

  开通的步骤很简单,输入用户的名称(用拼音,不要用中文),然后选择转运地址提供商,即可开通,开通过程参见如下演示视频。

  开通之后,用户将获得一个美国American Express信用卡(AMEX)的卡号,以及和这个卡相对应的美国收货地址、邮编和电话。

  使用这个美国信用卡在国外网站支付的时候,选择美国运通卡,输入卡号和有效期,安全码的获取需要登陆财付通网站获取,每个安全码只在10分钟有效。

  对于某些不需要输入安全码的网站(如亚马逊),需要开通绿色通道,这样就不需要输入安全码了。

  在费用方面,腾讯财付通提供的境外支付功能的虚拟信用卡首年是免年费的,以后的年费是每年10元。另外每次交易还有货币兑换费:美元交易0,非美元交易1.1%。

  此外,如果在美国iTunes商店修改这个信用卡要注意,目前在美国iTunes商店上修改Bill Address,必须要用美国的IP才能修改成功了,否则会提示一个不明不白的错误信息,不让你修改,而且,一旦这个信息出现,用户就无法继续购买美国iTunes商店的应用(即使是免费应用),必须要将地址修改完才行,因此请确认有一个可用的美国代理服务器或VPN才可以去修改。

使用虚拟信用卡进行国际支付

2013年5月7日星期二

为什么在12306买火车票要装根证书?

  12306主页上有一段很显眼的文字—--“为保障您顺畅购票,请下载安装根证书。”这段文字和12306很多的其他问题一起成为网友诟病12306的话题,但是这个看似安全的根证书确可能会成为让12306用户们的安全受到严重威胁的东西。

  为什么在12306上买火车票要装根证书?想要回答这个问题,那么我们就必须先要提前回答说几个定义:

  电脑在与服务器交换敏感信息时会使用一种叫做SSL的加密方式。在很多情况下,交换敏感信息必须要通过这个方式来进行。包括12306在内,淘宝、京东等在交换敏感信息的时候都使用了SSL进行加密。

  那么,我们怎么知道网站是否使用了SSL加密呢?最简单的办法就是看看地址栏——如果网址前面写的是“https://”,那么这个页面就是使用SSL加密的。这意味着你访问的页面是安全的并且可以用来交换敏感信息。如果你使用的是Internet Explorer 7或者以上版本浏览器,你应该能在浏览器地址栏的最右边看到一把小锁头。就像下图所示的那样。点开这把小锁头,就能看到关于https的信息。

为什么在12306上买火车票要装根证书

  用其他浏览器呢?现在流行的浏览器中,全部都会标示出来该网页是使用了https以防止窃听和用户的个人信息安全的。比如下边的图就是在Firefox中使用https浏览维基百科的画面。

为什么在12306上买火车票要装根证书

  但是,谁又能保证https的安全呢?这里就又是一个概念:数字证书认证机构。它的译名很多,不过大致意思对就可以了。英文Certificate Authority,经常被缩写为CA。下文中也使用“CA”来称呼数字证书认证机构。

  CA是一个机构——打个比方,这就像是信用卡一样。一个人向银行申请信用卡,就像网站向CA申请证书。CA觉得网站的信用合格,就签发SSL证书;银行觉得申请者的信用合格,就签发信用卡。等等,什么又是“SSL证书”呢?这就是CA签发给网站用以证明网站身份的“信用卡”。有了SSL证书,加密网页才能被信任。当你在访问一个被https加密的网页时,网页会出示一份证书,这份证书有助于用户信任这个网站。没有正规CA签发的证书的网站是不会受到浏览器的信任的——就算你用了SSL来加密也没用。

  再看看前面的两张图片。第一章支付宝的截图中,CA就是:VeriSign Class 3 Public Primary Certification Authority - G5

  第二章维基百科的截图中,CA是:DigiCert Inc

  浏览器又上哪知道CA是正规的呢?那就是根证书库,这是一个操作系统认为可以被信任的CA的名单。几乎每个能上网操作系统(甚至包括诺基亚最弱智的S40系统)都有一个。在这里用Mac做示例。Mac的根证书库在:

  Finder-应用程序-其他(提示:OS X Lion或者以下操作系统叫“实用工具”)-钥匙串访问

 

  然后在最左边找“系统根证书”,点进去便是。看到的应该如下图所示。

为什么在12306上买火车票要装根证书

  可以试着找一下VeriSign Class 3 Public Primary Certification Authority - G5—--肯定能找到!每次浏览器浏览https网页时,都会把网站出示的证书在这个库里面找一圈,能找到就OK,找不到的话,就证明你这个CA是不可靠的!

  SSL加密的目的除了保证用户信息在传输过程中的安全外,还保障了服务器的身份。有些简单的SSL证书仅仅需要用该网站域名的邮箱向CA发封邮件就能签发了——不过如果是一个组织、团体、基金会或者盈利性机构(尤其是类似于支付宝或者PayPal的网络支付服务),那么SSL证书的签发就会变得十分繁琐。网站需要提供大量的文件以证明该网站是可靠的。如果能够证明该网站是可靠的,CA才会给签发证书。

  还有一种证书被称作EV SSL证书(Extended Validation SSL),这种证书遵循全球统一的严格身份验证标准颁发的SSL证书,是目前业界最高安全级别的SSL证书。这种证书显示起来,就是俗称的绿色地址栏证书。在IE 7和以上IE浏览器便会出现绿色地址栏,并且滚动展示该网站的信息和CA信息。如下图所示。

为什么在12306上买火车票要装根证书

  EV SSL的申请手续更复杂,申请费用也更多,但是可以换来更多用户的信任。左图是Firefox下显示EV SSL证书的样子。这个证书证明了这个网站的经营者为Wikimedia Foundation, Inc.,并且位置位于San Francisco California, US

  据一个叫做VeriSign的CA的统计,使用EV SSL能大幅提升用户对于网站的信任。

为什么在12306上买火车票要装根证书

  总而言之,SSL证书的目的有两个:

  • 确保网站和用户之间的数据是加密并且可靠的
  • 确保网站所宣称身份的真实可靠

  如果访问12306.cn会出现什么情况呢?12306的确使用了SSL来加密以保障网页的安全,而访问直接访问12306就算不安装根证书也不会出现任何问题。以Chrome为例,访问主页不会出现任何问题,但是若要访问购票页面就会无法访问,如下图所示。

为什么在12306上买火车票要装根证书

  12306会让我们访问一个叫https://dynamic.12306.cn/otsweb的网址。如果我们直接用Chrome访问这个网址呢?华丽丽的一幕出现了:

为什么在12306上买火车票要装根证书

  使用IE8浏览这个页面会出现这样:

为什么在12306上买火车票要装根证书

  回到Chrome,如果我们点击“仍然继续”,就会正常的看到购票页面没有任何阻力。IE8也是一样,不过IE8的地址栏整个都会变成红色的。

  如果我们点击旁边的小锁头来查看关于这个证书的信息呢?会出现下图。

为什么在12306上买火车票要装根证书

  再点击“证书信息”,会看到这个12306的证书是一个叫做SRCA的CA签发的。

为什么在12306上买火车票要装根证书

  但是在“钥匙串访问”里面根本没有一个叫做SRCA的CA。

  如果安装上了首页给出的“根证书”,(依然以Mac为例)钥匙串访问里面就会有一个叫做“SRCA”的CA!并且本来这个证书是不受信任的,安装之后就会被设置为“此证书已被标记为受此账户信任”。

为什么在12306上买火车票要装根证书

  这样的话,浏览器和操作系统就会信任这个证书,便不会给予CA信息不对的提示了。

  “SRCA”又是何许人也?在上图中,可以看到SRCA的细节部分,“组织”填写的是Sinorail Certification Authority

  这也就不难分析了,“Sinorial”中的“S”和“R”,“Certification Authority”的“S”和“A”,就拼出来了“SRCA”。

  在搜索引擎中搜索Sinorail Certification Authority中的Sinorail,就会找到这样一个网站。叫做“中铁信息工程集团”。网址就是http://www.sinorail.com/。

  听名字就知道这网站跟12306肯定是亲戚关系。换种话说,就是自己给自己发证书。你说这证书能可信吗?

  正规CA的证书可不是白给的。要不然CA靠什么吃饭?一个SSL证书从每年三百块RMB到一万五不等。据我所知,最贵的证书是VeriSign签发的,一万五的那个就是他。而便宜的三百块证书——只要不是VeriSign,其他CA签出来的最便宜的证书差不多都这个价。比较便宜的代表是Go Daddy、Comodo等。为什么12306要使用自己给自己的证书呢?貌似唯一的合理解释就是省钱。能省大概三百到一万五不等。

  铁道部有时候买一张火车票就差不多够一年的证书钱了。

  那么又为什么说铁道部用自己的证书不安全呢?有些人在12306上买票时会看到“该站点安全证书的吊销信息不可用,是否继续”的提示语,这又是什么意思呢?

  从前有个倒霉的的荷兰CA,叫DigiNotar。这CA被黑客攻破,导致这家CA办法给一些用户的证书的私钥失效(私钥是在SSL加密环节中非常重要的东西),这就使得以这家CA的名义伪造证书成了可能。黑客可以通过这家公司的名义伪造证书给一些非法网站,客户一看这是加密过的还是大型CA签出来的证书便很容易信任。因为DigiNotar名气很大,并且很多大公司都使用它的证书,微软等操作系统厂商在这事情发生之后开始忙不迭的发布更新补丁来宣布DigiNotar的证书失效。

  微软在 KB2607712 补丁中宣布了DigiNotar的根证书无效。原文如下:

Microsoft 已获悉 DigiNotar 颁发了至少一个虚假数字证书,DigiNotar 是受信任的根证书颁发机构存储区中出现的一个证书颁发机构。虚假证书可能用于哄骗内容、执行网页仿冒攻击或者针对所有 Web 浏览器用户(包括 Internet Explorer 用户)执行中间人攻击。虽然这不是 Microsoft 产品中的一个漏洞,但是此问题会影响 Microsoft Windows 的所有受支持版本。

  这家倒霉公司最后因为这件事华丽丽的破产了。

  正如这件事一样,有些知名CA出了事,微软这些系统厂商会忙不迭的发布补丁来宣布该CA的根证书失效——有些小CA,尤其是“SRCA”这样貌似只给12306.cn一个网站签证书的CA,人还懒得管你呢!那么小CA的私钥失窃之后会有什么不就措施呢?那就是证书吊销列表,英文全称Certificate revocation list,简称CRL。下文也称呼它为CRL。更详细的内容可以参考这里这里(英文)

  CRL是干什么的呢?比如你买的证书被盗了,只要将信息报告给CA,那么CA就会把你这个证书的信息添加到这个CA的CRL中,每次浏览器浏览加密网页时,都会检索CRL信息——如果没有的话,就会提示该站点安全证书的吊销信息不可用,是否继续。想必读到这里大家也都知道了,12306的证书没有CRL信息。这也就意味着,12306所使用的证书一旦失窃,系统厂商不会管这个,甚至连最后一根救命稻草CRL都没有。

  简而言之,如果证书出了事,两种解决办法:

  • 系统厂商发补丁宣布该证书失效
  • 通过CRL宣布证书失效

  不过可惜的是12306出了事,这两招哪一个都不顶用。

  如果证书失窃,会有什么后果?最可能的后果就是像前面的倒霉蛋一样倒闭。不过我大天朝铁道部(尽管已经倒闭)欠了两千多亿还巍然不动,这个可能便没有了。前面提到的两种解决方案一个也用不了,这就意味着遭殃的一定是用户。证书失窃,任何人都能用此来伪造虚假证书。尽管SRCA颁发的证书默认是不受到系统信任的,但是中国这么多去过12306网站买过火车票的人——假设所有人都安装了这个根证书使的系统对此证书信任——一个绿色地址栏都能提升用户这么大的信任,违法网站只要获得了SRCA颁发的证书,岂不就能轻易骗得用户的信任?

  如果你是Mac用户,并且访问https://www.12306.cn没有任何障碍,那么可以参考这个视频中的步骤来将SRCA的证书设为不信任。如果要购票,反其道而行之即可。

  从证书的角度看,中国很多大佬都做的非常不到位。比如我手里的建行网银,在安装U盾的时候必须安装一个网银根证书。SSL证书方面中国也做的很不到位。比如京东只有在用户登陆的时候才用了SSL来加密,而京东甚至在下订单的时候依然是明文传输。新浪微博在更改个人敏感信息时仍然使用明文传输,而twitter在早期甚至连微博内容都用https。如果使用不加密的公共Wi-Fi的话,那么在同一个Wi-Fi热点下有一个黑客,黑客便可以非常轻松的窃取到你的个人信息。

  P.S.:现在12306在付款的过程中使用了VeriSign签发的合格的证书,但是这样并不代表着上面所说的可能造成的严重影响不会发生。

  EV SSL介绍:http://www.wosign.com/EVSSL/index.htm

  这个地址打开后便可以看到EV SSL的效果:https://www.evssl.cn/en/

  HTTPS - 维基百科:https://zh.wikipedia.org/wiki/Https

  来源:techyan投稿,原文链接

2013年5月6日星期一

混乱的Android市场

  2012 年 12 月,分析公司 App Annie 发表报告,引起业界广泛关注。报告显示:在营收上,第四季度 Google Play 发展迅猛(环比增长 100%),App Store 渐露颓势(环比增长 20%)。此前曾有报告显示,Google Play 去年营收增长 311%,但其营收规模只有 App Store 四分之一。如果能够继续保持增长态势,Google Play 收入可在年内赶超 App Store。

  2013 年 3 月,Google Play 官方博客庆祝生日,同时透露 Google Play 应用数量达 70 万,下载数超 250 亿次。外媒预测,Google Play 的应用数将于今年 6 月先于 App Store 达 100 万。与此同时,硬件设备迅猛发展:总激活量超过 7.5 亿台,日激活量高达 130 万台,全球市场份额达到 52.3%,坐拥数不清的机型。趋势表明,Android 不经意间强势崛起,iOS 现在可谓处境堪忧。

  风光之下暗藏危机。社交网络 Facebook 推出应用 Home,革新移动社交体验。毋需推出自有手机,即可接触广泛用户。然而由于 Android 的碎片化,Facebook Home 只能支持六款手机,且不支持 Android 2.3(份额高达 40%),近半用户无法使用。

  成也萧何败也萧何。开放成就 Android,却有可能毁掉生态。2007 年 11 月,谷歌成立开放手持设备联盟。与此同时,谷歌公布 Android 操作系统,联合成立 AOSP 开源项目。Android 刚开始便烙上开放印记,造成影响十分深远。亚马逊能自成体系,运用自身内容商店(MP3 Store、Kindle Store、Appstore),搭配自身硬件设备(Kindle Fire),即是 Android 开放性的绝佳例证。

  多样化的 Android 移动设备给予用户更多选择,却也使得硬件规格千差万别、用户体验良莠不齐。碎片化的 Android 脱离控制,杂乱无序、野蛮生长,严重危害后续发展。屏幕比例极其混乱,屏幕尺寸更是如此。品牌杂乱、型号众多、山寨泛滥、标准匮乏,阻碍生态系统发展,也为开发带来麻烦。

  碎片是 Android 强势崛起的代价。开放手持设备联盟创立之初,目的是为创建更开放的生态。面对苹果咄咄攻势,手机厂商团结一致。机海战术覆盖群众、旗舰型号领跑市场,这是所有 Android 设备制造商的成功秘笈。对于开发人员来说,盯准旗舰开发应用足以满足用户需求。

  诞生不到六年时间,数不清的系统版本、数不清的定制固件,版本分裂十分严重。系统升级本是好事,但由于合作商的不配合,新版本的 Android 难以普及,新旧版本长期共存,无法提供一致体验。同款软件,这一部能运行,另一部则出现黑边、花屏、闪退、崩溃……由此可见兼容问题多么严重。

  对于开发人员来说,这个问题相当棘手。如果想要深入市场,开发应用需要适配 200 多款机型,适配一部设备需要 10 多天时间。开发成本高且不说,获得收益微乎其微。这就消磨开发热情,放任自流、不作审核的 Google Play,应用数量竟还比不上严加审核、时刻整顿的 App Store。

混乱的Android市场

  2008 年 8 月,谷歌公布 Android Market,提供各种应用程序,奉行“先上线后审查”,管理粗放、乱象丛生。它与 App Store 不同的是,这并不是唯一应用获取渠道,Android 允许安装非市场的应用程序。这就催生第三方的应用商店,这也使得开发生态更加混乱。

  2010 年 3 月,谷歌退出中国大陆(搜索服务移至香港),旗下服务备受干扰,几乎不能正常使用。由于相关政策限制,Google 移动服务难以开展、Google Play 无法正常服务大陆,继而错失在华发展黄金时期。结果就是,目前国内已经拥有 50 多家本土 Android 应用商店,大多提供盗版软件。

  行货设备不预装、有关部门不支持,Google 移动服务遥不可及。即使偶尔可以访问 Google Play,也不能够购买内容。用户必须绕过限制(使用代理、伪装国码),才能浏览付费内容。不仅如此,还要用信用卡,方可完成购买。服务访问不畅通、支付手段不便捷,严重消磨用户和开发者的热情。

  恶意程序泛滥成灾,滋生黑色利益链条。2013 年 4 月,NQ Mobile 发布 2012 年的恶意软件调查报告,报告指出:已辨明的恶意软件超过 6.5 万个,绝大多数(95%)安全威胁针对 Android 平台。安全形势相当严峻:根据报告,超过 3280 万部 Android 移动设备受到感染。恶意软件分布广泛,有的 甚至堂而皇之地潜伏在 Google Play,更不用说第三方的应用商店,以及那些杂乱无序的论坛了。

  这些程序恶意扣费、窃取隐私,造成危害极其严重、造成影响极其恶劣。以猖獗的 Android.FakeInstaller 家族为例:它们伪装流行应用,积极引诱用户下载,越权申请无关权限,不经同意后台运行,向付费号码发短信。它们还有许多变种,有的甚至窃取网上银行账号。

  谷歌面对恶意软件,当然不能视而不见。2012 年 2 月,谷歌推出恶意代码扫描服务 Bouncer,新上传的应用程序,都须经过它的检查,才能入驻 Google Play。虽然 Bouncer 帮助排除 40% 潜在威胁,但其机制很容易被绕过。2012 年 10 月,谷歌发布 Android 4.2,内置应用验证功能,确认安全才能安装。然而根据独立测试,其识别率竟然只有 15.32%!打击恶意软件,谷歌任重道远。

  Android 过于开放、Google Play 过于混乱——不仅存在 App Store 所面临的诸多问题,而且存在 Android 所特有的一些问题,Android 生态系统失去控制。Google Play 距离成功还有很长的路要走。统一平台需要时间,既要解决碎片问题,又要继续开放平台,才能规范应用生态,才能取得最终胜利。

  来源:EMLINK投稿,原文链接