-月光博客

2019年2月18日星期一

京东回应窃取用户信息问题：系错误开发

　　2月16日，有网友在微博等社交媒体发布视频，称京东金融App将获取用户的敏感图片并上传。该网友发布视频显示，其打开手机上的银行应用，然后截图。随后打开文件管理器，找到京东金融的文件目录，在此目录下，出现了刚刚的银行应用截图。

　　京东金融方面昨日称，图片缓存为方便客户投诉或建议使用，不会上传京东金融后台，不会未经允许收集用户隐私。今日，京东金融客服官方微博再发声明致歉，称排查后，发现安卓系统上的App5.0.5以后的版本存在该问题，并已定位问题且下线修复。

　　京东金融在致歉信中称，2018年12月，京东金融App5.0.5版本上线了客服截屏反馈功能，此功能的目的是，用户对京东金融App进行截屏时，本人可将京东金融App截屏发送给在线客服人员，以提高与在线客服的沟通效率。京东金融App在该项功能开发上存在技术问题，具体为用户将京东金融App切换到后台后，该功能继续运行，继续接收新增图片通知（包括截屏和照片等）并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。

　　声明中也补充道，此次技术问题涉及的新增缓存图片仅存在用户手机本地，京东金融App坚决没有对用户照片和截屏进行私自上传，也对该功能进行了全面排查，并未发现任何一张未经授权的图片被收集。

　　京东金融称，周一将邀请权威官方机构对京东金融App进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。除此之外，下周将邀请包括本次问题发现者"@瘦出的肋骨已经消失的大侠阿木"在内的用户和外部专家、媒体组成信息安全顾问小组，对京东金融App提供的产品和服务进行独立、长期的检查监督，将定期公布顾问小组的检查结果。

　　京东金融致歉称，因为这个低级失误，给用户和行业带来广泛担忧，伤害到京东金融长期以来积累的用户信赖，其比谁都觉得不值得，非常懊恼、非常痛心、非常自责。

　　以下为京东金融客服声明全文：

　　1、安全技术团队对所有版本的京东金融App进行排查后，发现安卓系统上的App5.0.5以后的版本存在该问题，并已定位问题且下线修复：

　　1）2018年12月，京东金融App5.0.5版本上线了客服截屏反馈功能，此功能的目的是，用户对京东金融App进行截屏时，本人可将京东金融App截屏发送给在线客服人员，以提高与在线客服的沟通效率。

　　2）此功能实现是通过安卓系统的两个官方通用类ContentObserver和MediaStore的组合调用来接收用户手机截屏动作的通知，使用了UniversalImageLoader这个通用第三方库实现截屏的本地缓存以及预览缩略图快速展示，但上述技术均不具备图片自动上传的能力，图片仅缓存在用户手机本地。

　　3）京东金融App在该项功能开发上存在技术问题，具体为用户将京东金融App切换到后台后，该功能继续运行，继续接收新增图片通知（包括截屏和照片等）并在手机本地缓存，而原功能设计需求是切换后自动停止该功能，属于需求错误开发。同时，经过安全技术团队深度评估，该功能也不应该使用手机缓存技术来实现，应该直接使用手机实时内存（RAM）实现并增强提醒，无需使用手机本地缓存，当京东金融App切换或退出时，将自动清空。

　　2、此次技术问题涉及的新增缓存图片仅存在用户手机本地，京东金融App坚决没有对用户照片和截屏进行私自上传，也对该功能进行了全面排查，并未发现任何一张未经授权的图片被收集。

　　对于上述说明，大家可能依然会质疑事实的真相，我们将马上采取以下措施：

　　1）我们周一将邀请权威官方机构对京东金融App进行全面的安全性检测，并承诺未来每季度进行权威官方检测，及时公告检测结果。

　　2）我们下周将邀请包括本次问题发现者"@瘦出的肋骨已经消失的大侠阿木"在内的用户和外部专家、媒体组成信息安全顾问小组，对京东金融App提供的产品和服务进行独立、长期的检查监督，我们将定期公布顾问小组的检查结果。

　　3）我们将赋予内部安全技术团队对产品功能的直接否决权，将投入更多资源，建立更为严谨的安全审查机制，对每一项技术应用和业务功能进行更加严格、全面的安全测试。

　　因为我们这个低级失误，给用户和行业带来广泛担忧，伤害到京东金融长期以来积累的用户信赖，我们比谁都觉得不值得，非常懊恼、非常痛心、非常自责。用户信赖是京东金融发展的底线，京东金融也恪守正道成功的商业经营理念，我们绝不会做任何侵害用户权益的事。

　　这次的失误，是我们在产品开发过程中的技术问题，我们从未想过未经用户授权获取用户图片。这次的跟头摔得很重，但是请大家相信我们，京东金融之前没有、未来也不会私自上传用户图片，并愿意接受权威官方机构的检测。我们感谢用户和媒体对我们的监督，并指出我们工作上的漏洞，我们有信心解决，也请大家对我们继续监督。

　　再次致歉。

　　京东金融

　　2019/2/17

2019年2月16日星期六

使用Infinite Ajax Scroll实现下拉加载效果

　　现在很多网页都有个体验不错的效果：浏览到页面底部的时候，自动加载下一页内容，也就是下拉加载效果，这种效果可以让用户不用点击"下一页"按钮，也可以实现翻页，无论在PC还是手机上，体验效果都很不错，下面我就介绍一下网站开发的时候如何实现下拉加载效果。

　　首先去infiniteajaxscroll网站下载一个名为jquery-ias.min.js的文件，这个js文件需要jquery支持，一般的网站主题都会引入jquery库，没有的话就手动加一个jquery库。

　　Infinite Ajax Scroll目前的版本是2.3.0，个人用户可以免费使用。

　　之后确认一下网站的框架结构，找到四个元素的id或名称：内容块、内容条目、导航栏、下一页。

　　Infinite Ajax Scroll支持按照ID取值和按照class取值，ID就在名称前加#，class就在名称前加。符号。编辑jquery-ias.min.js文件，在文件尾部加入配置参数代码即可。

　　举个例子。

　　一个页面的内容如下：

　　则 Infinite Ajax Scroll 需要增加的代码如下：

var ias = $.ias({
  container: ".container",
  item:       ".item",
  pagination: "#pagination",
  next:       ".next a"
});
// Add a loader image which is displayed during loading
ias.extension(new IASSpinnerExtension());

　　上面代码最后一行是在加载的时候显示一个加载图标，不加也可以。

　　对于WordPress来说，不同的模板修改修改的参数不同，但大多数直接设置即可正常工作。

　　对于Z-Blog来说，就不行了，因为里面没有下一页的标记，需要修改代码，打开c_system_lib.asp文件，找到下面一行：

Template_PageBar=Template_PageBar & "<span class=""page now-page"">" & i & "</span>"

　　在下面增加如下几行

elseif i=intNowPage + 1 then
strPageBar=Replace(strPageBar,"<#pagebar/page/url#>",s)
strPageBar=Replace(strPageBar,"<#pagebar/page/number#>","<span class=""page"">"&i&"</span>")
strPageBar=Replace(strPageBar,"page-numbers","page-numbers next-page")
Template_PageBar=Template_PageBar & strPageBar

　　之后就有了下一页的选择器next-page了。

深圳面部识别公司被曝泄露250万信息

　　2月14日，美国新闻网站CNET发文称提供面部识别技术的深圳公司SenseNets（深网视界）"未能使用密码保护数据库"，导致超过250万人的面部识别信息，以及相关的身份证、地址等隐私信息遭到泄露。自去年7月以来，该数据库一直对外开放，导致大规模的数据泄露。

　　CNET称，GDI基金会荷兰安全研究员Victor Gevers本周三发现深网视界数据库未采用密码保护，该数据库包含超过250万人的记录，包括身份证号码，地址，生日以及深网视界通过面部识别发现他们的位置。Gevers说，仅在过去的24小时内，深网视界就记录了超过680万个地点信息。

　　"该数据库在线允许任何人访问，这意味着任何人都可以通过深网视界的面部识别技术。此外，由于通过此项技术可以知道谁不在家，可能会为盗窃行为提供帮助。"Victor Gevers说。

　　SenseNets实际就是深圳市深网视界科技有限公司（以下简称"深网视界"），根据官方介绍显示，深网视界成立于2015年，定位于"AI 安防"技术领域，专注于深度学习在人脸识别、人群分析以及人体检测当中的应用。公司拥有人脸识别系统、人群分析系统、目标行人追踪系统。

　　稿源：新京报

全球社交软件月活排行

　　近日，市场研究公司Statista发布了截至2018年10月全球活跃用户数最多的社交软件排行，公布2018年全球综合月活跃用户数排名前十的社交网络App。月活跃用户数是反映一款App热度的重要标准，根据这个数据，我们可以得知哪些APP最多用户在使用。

　　2018全球月活前十大App：微信仅排第五，第一你可能用不了

　　根据数据显示，月活跃用户数排名前十中，来自脸书公司的应用占了4席，分别是Facebook、WhatsApp Messenger、Facebook Messenger和Instagram。遗憾的是，这些应用在中国大陆都无法正常使用，除非使用科学上网方式。腾讯占3席，分别是微信、QQ、QQ空间。其中微信以10.58亿的活跃用户位列全球第5，领跑了中国app。

截至2018年10月全球活跃用户数最多的社交网络（以百万人为单位）

　　微信作为中国国民级应用，有着庞大的用户基础，入榜毫无悬念。近日，微信也迎来了挑战者，多家公司发布旗下的社交应用，似乎都想从社交市场分一杯羹。QQ和QQ空间分别位列全球第7、第8，抖音位列第9，新浪微博位列第10，百度贴吧位列第14。

　　iPhone下载量最大的是哪个？

2018年11月苹果应用商店中下载量最大的社交app（以百万次为单位）

　　中国app中下载量最大者为微信，以176万次位列全球第6；QQ以122万次位列全球第9。

　　突然爆火的捏脸应用 ZEPETO蹿升到了全球第4，一个月内有401万人下载。

　　全球榜的前3依旧被 WhatsApp和 Facebook占领。

　　iPhone上最赚钱的是哪个？

2018年11月苹果应用商店中收入最高的社交app（以百万美元为单位）

　　QQ的下载量虽然落后于微信，但在今年11月已经成了全球AppStore里收入最高的社交app，收入高达814万美元。

　　与QQ同时进入Top10的中国app还有位列第4的探探（400万美元）和位列第6的陌陌（292万美元）。

　　韩国社交应用 LINE以776万美元位列第2，排名第3的则是职场社交app 领英（499万美元）。

　　Google Play下载量最大的是哪个？

2018年11月Google Play中下载量最大的通讯app（以百万次为单位）

　　微信和QQ均未出现在Google Play下载量榜单的Top10，唯一上榜的中国app是 UC浏览器和它的 mini版，分别以1413万次和477万次位列第5和第10.

　　Top10的前4全被 WhatsApp和 Facebook占领。

　　Google Play上最赚钱的是哪个？

2018年11月Google Play中收入最多的通讯app（以美元为单位）

　　Google Play上的通讯app收入榜Top10中没有中国app的身影。

　　事实上这个榜都不能叫全球Top榜了，因为前3全是韩国app，而且他们3个的收入和后面的选手根本不在一个数量级。

　　排行榜首的就是著名的 LINE，以699万美元力压群雄。

　　排行第2的 Azar 是一款视频聊天交友app，左滑就能遇见新朋友的那种，11月收入为519万美元。

　　排行第3的是 KakaoTalk是一款免费的聊天软件，有点类似QQ和微信；这一个可以说是和中国沾边的，因为它的第二大股东是腾讯；它在11月的收入为349万美元。

　　从这3位之后的选手就惨得不能看了，排行第4的百慕大只有36万美元，刚刚超过KakaoTalk的1/10。

2019年2月15日星期五

Google AdSense自动广告设置

　　我的网站之前一直使用手动方式优化Google AdSense广告，前端时间网站改版，顺便把广告形式也改为AdSense自动广告，AdSense自动广告是一种广告格式系列，可通过简便的方式让网站获利。部署自动广告非常简单，只要将同一段广告代码放置在网页开头中，放置一次即可。添加代码后，Google就通过人工智能的方式自动在网站上提供良好用户体验的广告。

　　之前优化AdSense广告要花很多功夫，包括调试不同尺寸、验证点击率、效果苹果等等，不同的位置还要部署不同的代码，相当麻烦，而经过一段时间的测试，我发现自动广告的展示效果并不弱于手动优化的广告，甚至还要更好一些，用户可以把经理放在创作内容上，自动广告会自动为网站放置和优化广告，可节省很多时间。

　　自动广告的工作原理

　　AdSense自动广告使用Google的机器学习技术完成以下任务：

　　1、了解用户的网页结构

　　2、检测网页上的所有现有Google广告。

　　3、根据网站的页面布局、网页上的内容量以及现有Google广告等各种元素自动放置新广告。

　　如果用户对网站做出了某项更改，Google会检测该更改并重新分析网页。

　　自动广告的格式

　　AdSense自动广告包括以下广告格式。

　　1、文字广告和展示广告：文字广告和展示广告是一种在网页上展示横幅广告。这些广告可以在网页上的任意位置展示。

　　2、文章内嵌广告：文章内嵌广告把广告插入到文章之中，可在页面的段落之间投放原生广告。该广告格式使用高品质的广告客户素材资源，可以大幅提高点击率，看起来很吸引人。此类广告仅展示在包含篇幅足够长文章的网页上的大段文字之间。

　　3、信息流广告（仅限移动设备）：信息流广告可在与网站上的内容自然融合。它们展示在编辑精选的信息流（文章或新闻列表）或产品详情信息流（产品列表、服务列表）内。信息流广告属于原生广告，也就是说Google会自动调整样式，使其与网站内容的外观浑然一体。当访问者在网站的网页上向下滚动查看文章或产品列表并看到信息流广告时，会觉得这种广告看起来舒适自然，一点儿也不突兀，同时又不会误以为它是页面内容。

　　4、匹配内容（仅限移动设备）：匹配内容是一种移动原生广告，可将广告与来自网站的推荐内容搭配在一起。通过向访问者提供更多与其需求相关的内容，提高网页展示次数。

　　网站放置广告的一些技巧和调整

　　AdSense自动广告通常来说会以合适的尺寸展示在网站上，但也有展示异常的情况，例如对于一些代码写的不规范的网站，AdSense自动广告有可能会以100%的宽度展示在网站上，广告展示的宽度异常。

　　这种情况的修改办法是：

　　网站部署一个全局的CSS，在CSS文件里加入以下代码：

body, {
max-width:网站内容的最大宽度;
margin-left: auto;
margin-right: auto;
word-break: break-all;
}

2019年2月14日星期四

更换CKeditor编辑器

　　Zblog默认用的编辑器是百度的UEditor编辑器，这个编辑器我用不惯，也感觉不太好用，于是想要更换编辑器为以前一直用的CKEditor编辑器。

　　后台安装了一个"CKEditor编辑器"插件，发现了新问题，这个插件用的CKEditor比较老，有一些BUG，最令人不能接受的问题是，在编辑器里粘贴全角空格，会被自动过滤掉，这个实在不行啊，于是寻找解决方案。

　　去CKEditor编辑器的官网看了一下，发现官网上的CKEditor 4并没有这个问题，于是在其下载页面https://ckeditor.com/ckeditor-4/download/下载了CKEditor v4.11.2的Full Package版本，下载回来之后，替换原有目录（zb_users/plugin/ckeditor/ckeditor）下的文件，运行基本正常，粘贴全角空格丢失问题没有了。

　　替换后只有一个小问题，就是新建文章时，点击[手动生成摘要]会出错，解决方法是：编辑zb_system/admin/edit_article.asp文件，将文件中的：

　　一行替换为

　　即可解决问题。

　　经过上述操作，即可在Zblog完美的使用无BUG的CKEditor编辑器。

豆瓣回应《流浪地球》“五星改一星”

　　今年春节档大热影片《流浪地球》，传出豆瓣评分遭到大量五星改一星的情况，甚至还有收钱给差评的传言。2月12日中午，豆瓣做出回应，并不存在"高赞好评被收买改为差评"的情况，网传截图系网友恶作剧，已处罚。此前，《流浪地球》的评分一度高达8.5分，而目前已跌至7.9分。

　　针对此事，2月12日，豆瓣回应表示，评分大幅修改属于非正常评分，不会计入总分。为了避免此类事件发生，豆瓣也在紧急优化产品功能，修改评分后，修改前的"有用"（点赞）数据将被清零。

　　2月12日下午，豆瓣电影再次回应表示，经查，并不存在传言中"高赞好评被收买改为差评"的情况。豆瓣电影工程师统计了目前《流浪地球》的前500个热评（高赞评论），仅有4位用户有过跨分数（非相邻分数）修改评分的行为：2人由三星修改为一星；1人由一星修改为三星；1人由二星修改为五星。另有一位用户将《流浪地球》的四星打分改成一星，后来该用户删除了评分。

　　之前有网友爆料，自己在《流浪地球》豆瓣词条下点赞的评论，莫名从高星变成了一星，且点赞无法取消。甚至有人爆料称被"水军"骚扰，要求将好评改成一星，并且愿意付出1000元的差评费。

　　翻看《流浪地球》豆瓣词条下的差评，有网友表示"没看过"，但是因为"吴京主演、粉丝攻击"等各种因素，迫不及待地打了一星差评。为了"讨回公道"，一部分"球迷"涌入豆瓣打五星，此举触发了一系列连锁反应，有人以"平衡"为理由打了一星。

　　随着爆料"骗赞改评"现象增多，豆瓣成了众矢之的。很多网友涌入各大应用商店，给豆瓣APP打一星泄愤。最近两天，多家手机应用商店中豆瓣的评分掉至了2分以下，在苹果手机应用商店豆瓣APP评论区，不少一星评价都带着满满的恶意，无论是标题还是内容都充斥着关键词"平衡"，发布时间均为13日前后。截至2月13日下午发稿前，豆瓣APP在苹果手机应用商店的评分已经恢复至4.6分。

　　微博话题"豆瓣回应五星改一星"阅读量突破1.1亿，超过1万网友参与评论。即便如此，仍有不少网友在手机应用商城里并不买账，表示将卸载豆瓣。