xiang's profile心远天地宽@北语往事PhotosBlogListsMore  |  Tools Help |
|
|
8/15/2006 在线视频 分享你的精彩--刊载于《计算机世界》8月14日 总1105期 A12、A13版
------------------------------------------------- 这是一个互联网新贵辈出的年代。 根据Alexa的最新数据,YouTube.com的访问量已经超过了著名的社交网站MySpace.com。而在此前,美国网络流量研究机构Hitwise的一份调查报告曾宣称,MySpace的访问量全美第一,把雅虎、google甩在了后面。且不说互联网新霸主的头衔花落谁家,比较这两大网站,不难看出,视频共享成了两者吸引点击率的共同的杀手锏。 认识YouTube YouTube是一个视频共享平台。在这里,人们可以分享、评论、观赏由用户上传的各种视频片断。 比起MySpace,YouTube更专注于做视频这块蛋糕,并且一直做到了在线视频市场的老大。根据Hitwise日前的统计,YouTube抢占了60%的市场份额。同时,YouTube也是视频搜索市场的霸主,以43%的市场份额遥遥领先于其他竞争者。 YouTube成立于2005年的情人节,12月起正式提供视频分享服务。经过一年多的发展,YouTube迅速成长为世界上最大的视频网站,公司市值超过20亿美元,续写着互联网时代的神话。如今,YouTube网站仅仅有30多名员工,注册用户却超过2000万,每天在线浏览视频总量超过1亿次。YouTube的用户遍布世界各地,这其中不仅有你有我,还有微软总裁比尔•盖茨,他曾经公开承认,工作之余,喜欢到YouTube上观看盗版视频。 成功法宝 根据Nielsen/NetRatings研究公司的数据,在过去半年中,YouTube的美国用户数增加了297%,如此飞速的增长,得益于用户的参与和互动:YouTube仅仅为用户提供了一个视频共享的平台,网站内容的都是用户提供的。 注册成为YouTube的用户,你就可以免费享受网站上的所有服务。通过关键词搜索,或者在分类中查找,你会发现,在这个海量的视频数据库中,从Sony机器人,到布什演讲,从超女PK,到后舍男孩模仿……几乎无所不包。你总能找到自己感兴趣的歌星、影星、体育明星,也能找到和自己志趣相投的浏览者。你可以对每段视频进行评论、打分;可以将视频加入到收藏夹、引用到博客;还可以通过电子邮件和身处世界各地的人们分享。如果你不满足仅仅作一个看客,那么可以编辑自己的频道、上传视频、创建播放列表等等。如果你想网罗志趣相投的网友,还可以建立自己的组群,邀请他人加入,一起分享同一个主题。正如网站的口号“Broadcast Youself”,在YouTube你不但可以分享别人的精彩,更可以秀出你自己。 对于YouTube用户的爆炸式增长,评论家感慨:YouTube遇到了发展的良机。HitWise的高级调查分析师LeeAnn Prescott认为:“在过去的半年里,视频网站的快速发展,说明网民的行为有了一个重大的转变。互联网正迅速地由静态网页向互动的由用户生产多媒体内容的环境转型。”网站不再是内容的主要提供者,而只是一个交流的平台,Web2.0环境下的网站比以往更强调参与性和互动性。YouTube的老用户不断和家人、朋友分享网站上有趣的视频,介绍新用户注册,而一些新用户在观看后决定自己制作、上传视频,从而保持了视频总量的增加。丰富的内容又不断吸引着新的用户,组群等虚拟社区对老用户产生了“黏性”,于是网站的规模越做越大,影响力也越来越大。 除了用户因素,技术因素也推动了YouTube的壮大。首先,宽带的普及为YouTube的推广创造了有利的条件。在过去的几年里,美国家庭的宽带普及率由9.8%上升至11.4%,增长的带宽使多媒体网站的流行成为可能。其次,Adobe Flash技术的采用,使共享变得更简易。由于其普及率高,用户在线观看视频,不需要下载播放软件,不需要安装插件,而且播放缓冲时间短,画面流畅。用户上传视频文件后,会自动转换成Flash视频,方便易用。 短板 和其他Web2.0网站面临的问题一样,YouTube无法完全控制用户上传的内容,侵权和暴力、色情问题非常严重。 在2005年12月YouTube播放了NBC“星期六晚现场秀”栏目中的“慵懒星期天”节目,大受欢迎,后来又播放了奥运会的片段和其他电视剧的片段,获得了很大的成功。然而,这给网站带来了很多麻烦,许多制作人控诉YouTube侵犯版权。最后,在NBC的强烈要求下,YouTube撤下了涉及侵权的视频节目。 就在最近,一名直升机飞行员兼记者控告YouTube鼓励他人侵犯版权,缘由是他1992年在洛杉矶暴动中的影像在没有得到他授权的情况下被上传到YouTube网站上,并且被浏览1,000余次。YouTube很快将这段视频从网站撤掉,并声明其控告是“毫无依据的”,YouTube并没有违反美国数字版权法案。 为了减少盗版现象的发生,YouTube采取了一些举措。首先,将上传视频片断的时长限制在10分钟以下。其次,一旦视频的原作者或版权拥有者举报网站上侵权的视频片断,就立即移除这些片断。然而,对于这样巨大的视频资料库,几乎不可能完全确保侵权视频彻底移除,也不能避免用户再次上传侵权作品。况且,由于视频的提供者通常是匿名的,人们很难鉴别它的内容上的真伪和来源的可靠性,也很难判断它是原创还是侵权。 同样,由于任何视频都可以上传到YouTube,包括录像机、DV、手机、摄像头等设备摄录的影像,上传暴力、色情视频也普遍存在。有些色情网站甚至用短片作诱饵,引诱YouTube的用户前去浏览。这些包含暴力、色情内容的文件不仅存在于公共目录中,也存在于私人目录中,只限于被邀请的对象观看。实际上,这种共享方式被上传带有暴力、色情内容的人普遍采用。 虽然YouTube的使用条款中规定禁止上传带有暴力、色情、种族主义的内容,但松散的管理方式很难保证如此巨大的用户群体都能遵守法规。 除了上述的两大问题,YouTube的赢利模式也一直是公司发展的软肋。目前,YouTube收入的来源,一是投资和捐助,二是广告,而服务器和数以百G计的带宽的运营成本确实给公司带来不小的压力。本来,具有数千万双眼睛关注的网站并不缺乏广告的受众,但是,想让习惯了免费的用户为视频服务付费,着实让YouTube的两位创始人Chad Hurley和 Steve Chen煞费苦心。已经有用户反对YouTube的页面添加广告,不恰当的广告模式更可能造成用户的流失,将市场份额拱手相让。倘若YouTube不想成为第二个Napster,那么它在赢利模式确定的过程中必须小心翼翼,并且要有所创新。 毕竟,成功才刚刚开始,YouTube任重而道远。 谁是中国的YouTube? YouTube身后不但有着MySpace、Yahoo!Vedio、Google Vedio这些大块头竞争者,更有来自中国的一家又一家的效仿者。目前,国内宣称专注于视频分享领域的网站已经接近上百家,国内一批优秀的视频分享网站吸引着越来越多的目光,从TVix.cn,到土豆网、我乐网、六间房、优酷,再到UUme等等,都明里暗里地争当“中国的YouTube”。 根据中国互联网信息中心日前发布的报告,全国有2800万人经常写博客,占网民总数的23.7%。同文字记录生活相比,视频记录的生活更真切。随着宽带和摄录设备的普及,中国的视频分享市场会逐渐壮大,将会有越来越多的人加入到“播客”、“视客”的行列中来,分享视频,分享生活的图景。 关于视频分享的商业前景,UUme的CEO刘健说:“在用户和客户之间寻求一个平衡点,把网站的超强人气转化为利润。拥有最广泛的、忠实的用户群,必然能够产生健康的、持久的收入模式。用户、销售、客户作为突出的优势,这三个强势资源的结合必然就是收入。因此,网站的重点是服务好受众,增强用户黏性。用网民们喜爱的服务黏着用户,其他的自然就会到来。比如TAG这些新的技术,使得广告主能够更加精准地在互联网上寻找到自己目标的客户,从而实现最有效的投放。” 可见,中国的YouTube们信心十足。中国视频分享领域的竞争刚刚才开始。中国的互联网有自己的“国情”,同样,中国的视频分享要有自己的“个性”,简单的复制YouTube,并不一定会取得成功,然而国外视频网站的经验和教训却为我们提供了前车之鉴。一些视频分享网站正在探索自己的发展模式,比如和国内传统媒体合作,举办活动,将网络的互动和传统媒体的优势结合起来。 视频网站的发展壮大,更加丰富了我们的网络生活,立足国情、加强管理、勇于创新,才能突出自己的特色。我们期待着中国的视频分享市场能够快速、健康、有序的发展,中国的视频网站同样有自己的精彩。 8/7/2006 MySpace.com:你的空间还有多大? 7月11日,跟据美国网络流量研究机构Hitwise的一份最新的调查报告,在截至到7月8日的一周里,社交网站MySpace.com吸引了全美国互联网访问量的4.46%,以0.04个百分点的优势领先于一直居于首位的雅虎邮件,成为互联网新霸主,雅虎主页和Google分别名列三、四位。出道短短的两年时间,MySpace缘何受到如此的欢迎?它爆炸式的发展过程中出现了哪些问题?MySpace给中国社区类网站带来怎样的启示?
MySpace大受欢迎
MySpace目前在社交网络市场占有领先优势,2006年6月,它获得了美国社交网站近80%的访问量,而据第二位的Facebook所占的份额不到它的十分之一。Hitwise表示,MySpace网站的月浏览量接近300亿,即每秒钟产生1.0593万次访问。目前,MySpace的注册用户已经超过9400万,新注册用户以平均每天25万的速度增长。
打开MySpace的主页,蓝白相间的logo非常醒目,网站名称下面,“a place for friends”的文字标识出其社交网站的性质。通过电子邮件注册成为网站用户,你可以联系老朋友、结识新朋友;可以写博客、发站内信件、使用即时通信工具和朋友聊天;可以和朋友一起进行网络游戏,分享图书、照片、音乐、视频等好玩儿的东西;你还可以邀请朋友参与活动、组建社群、在论坛中畅所欲言……可以说,MySpace营建了一个功能强大的虚拟社区,通过这个网络平台,可以实现现实中人际交往的大部分环节。
从2002年收购域名MySpace.com,到2003年推出全新的博客网站,克里斯•德沃夫和汤姆•安德森从一开始就把吸引大量用户、增加点击率作为首要的任务,他们顶住投资商的压力,完善服务,发展用户。2005年7月18日,MySpace以5.8亿美元的身价,被新闻集团收购。
MySpace的成功,得益于其滚雪球式的增长方式。在MySpace中,可以通过发送电子邮件的方式邀请朋友加入。朋友一旦注册,系统便将其自动添加到你的朋友列表中。MySpace在推广之初还通过邮件自动向MSN列表的成员发出邀请。2005年前后,MySpace又推出了活动邀请、校友录等特色服务,借此增加老用户之间的互动,又让老用户带动新用户的注册,通过熟人推荐的方式加速了网站的推广和普及。
其海量的信息和丰富的内容,也是MySpace的成功的一大要素。在这个由用户自己创建的巨大的资料仓库里,你总能找到感兴趣的信息。世界上几乎所有的乐队、音乐人的信息,都可以在MySpace上找到。MySpace的所有内容都是用户提供的,用户可以随意更改自己的页面,从个人信息、图片,到喜欢的乐队的信息、MP3、视频,都可以不受限制的上传、下载。这其中,丰富的音影资源对这个以青少年为主的用户群体的吸引力是不言而喻的。通过技术的改进,多媒体文件的传输速度和在线播放效果都有了显著的提高,完善了服务。
MySpace的扩张是国际性的:从纽约到洛杉矶,再到欧洲、中东乃至中国,都可以找到MySpace的注册用户,MySpace正从美国向全世界扩展,吸引着世界各地青少年的目光。
发展与问题并存
MySpace的发展之路并不是一帆风顺的。随着用户数量的攀升,其隐患重重,各种问题也纷至沓来。
最让人头疼的是安全问题。由于起初在网站上可以随意查看公开的个人信息,这为不法分子提供了可乘之机。
比如在新罕布什尔州,一名叫帕特里克•费伦的42岁男子,以假名“乔”在MySpace上注册,冒称自己只有26岁。在网上他认识了一个14岁少女。他投女孩所好,先讨论女孩感兴趣的话题,逐渐把话题引向性,两人发生了多次关系。直到今年2月,费伦再去找该女孩时被警方抓获。
据佛罗里达州联邦调查局官员介绍,乔治亚州一名男子通过MySpace诱骗一名12岁女孩出走。警方发现时,女孩已多次受到侵犯。
据了解,目前和MySpace相关的性侵犯的案件还有很多起,这不但让全社会一片哗然,更让使用MySpace的孩子的家长忧心忡忡。 对此,MySpace采取了一些相应措施,保护青少年的上网安全,这其中包括禁止13岁和13岁以下的未成年人注册新帐号。对于那些14—15岁的未成年用户,如果成年用户被加入好友名单中,后者将无法看到前者的所有信息。成年用户若想将14—15岁的用户加为好友,必须知道后者的邮件地址或者全名。
对于这些新措施,康涅狄格州总检察长理查德•布卢门撒尔显然并不满意,他强调新措施并没有认真地对注册用户进行年龄认证,仍然达不到保护未成年人的目的。也就是说,成年用户仍然可以在注册时隐瞒年龄,再通过向14—15岁的用户发出加入好友邀请,获得未成年人的信息。同样,13岁及13岁以下的未成年人也可以通过注册时虚报年龄,来获得网站上的一切服务。
与此同时,网站的一些内容也是令人担忧的,尽管MySpace动用了90名员工对网站进行监控,新闻集团也声称采取措施对MySpace上涉及裸体和种族性内容进行清除,但网站的音频、视频中色情、暴力的题材依然存在,而且未成年人可以毫不费力的在线收听、观看。
除此之外,MySpace网站广告也引起了人们的关注。批评者说:孩子们还太小,不足以对社交网站的这种广告形式做出正确的判断。消费者维权组织Commercial Alert的执行董事格里•鲁斯金认为:“社交网站的广告存在的问题应该引起足够的重视,它更容易带有欺骗性,孩子们往往在潜意识中把它当成一个普通人,而事实上,它可能只是个‘托’。”比如,孩子们往往只把MySpace上的“超人”当作朋友,却不会去考虑其背后觊觎他们父母口袋的商人们。到目前为止,仍然没有相关的法令规范网络广告的形式。因此,像批评者所说的那样:孩子和父母都要在社交网站的广告面前提高警惕,防止被欺骗。MySpace等社交网站也应该规范自己的广告形式,避免网络诈骗的发生。
Tribe Networks网站的CEO Lindstrom和Jan Gullett称,如果MySpace比竞争对手出现更多的违法现象,其需要对两个问题进行调整:一是MySpace对注册用户的定位,其定位的青年人更需要人们的指导行事;二是在网站发展的初期,MySpace采取了放任的措施。
事实上,MySpace要做的事还很多。
未来的MySpace们
毋庸置疑,以MySpace为代表的社交网站对年轻人们的生活的影响是巨大的。如今,美国的年轻人结识新朋友,不问对方的电话号码,而是交换彼此的MySpace名。难怪美国《商业周刊》把这一代年轻人称作“MySpace一代”。
未来的MySpace一定会提供更具吸引力的产品和服务,巩固自己社交网站的霸主地位,同时开始它在全球范围内的扩张,吸引不同的种族和人群,加入到这个全球范围的虚拟社区中。MySpace的追随者们同样不曾小觑。Facebook、Xanga、Wayn、vMix等都在采取不同手段发展壮大着自身,分享着社交网站的市场份额。据统计,至少有20家社交类网站正在对MySpace进行着冲击。比起MySpace,这些网站更加专业化,更关注某一群体。比如Facebook定位于高中和大学生群体,而vMix则关注无线领域,面向具有拍照手机的用户。它们和MySpace一样,为用户提供自建主页服务。
以MySpace为代表的社区网站在今后一个相当长的时间内,依然会吸引广大用户、尤其是青少年的参与,由此也带来的巨大商机,令其他网站垂涎。据 eMarketer的最新统计,截止目前,今年广告商向MySpace和其竞争网站共投入了2.8亿美元的广告费用,而到2010年这个数字可能会增长到18亿美元。
在国内,社区型网站也在蓬勃发展,从天涯到西祠胡同,再到从韩国登陆来的赛我网、Facebook中国版的校内网,面向校园社团的5jia1等等,争相作中国的“MySpace”。各大门户网站也建立了自己的社区。7月13日,百度空间正式上线,整合了百度贴吧、百度知道、百度百科等产品,参与到社区网站的竞争中来。可以预见,社区类网站会在中国得到迅猛的发展,也预示着各大社区网站之间的竞争会更加激烈。
MySpace发展过程中的经验和教训,值得国内的“MySpace们”重视,加强管理、避免急功近利、结合中国国情健康发展,才有机会在激战中胜出。博客潮还未平息,虚拟社区又掀波澜,社区网站谁主沉浮,我们将拭目以待。
——刊载于《计算机世界》总第1104期(2006年8月7日)A14版
6/5/2006 Google冲击安全世界 交了论文三稿,吃饭、洗澡、洗衣服,想起今天是《计算机世界》出版的日子,放下手里的衣服,下楼买了份报纸。果然,看到了大上周译的稿子,登载A22-24版。按照惯例,报纸用“讯源”的假名,意为“资讯之源”。作为实习记者,没有看到自己的名字,也是情理之中的事情,第一份作品,发表了就好,至少,可以拿着报纸向老板讨稿费了。
 两天,只睡了40来分钟,4000多词到7000多字,整整两版的文字,还是蛮有成就感的。下面是我译的初稿,和发表的略有不同,感兴趣的可以读读,我觉得还是可以看懂的。  当然,对于技术恐惧的人们,还是别遭罪了。您知道下面的文字是俺翻译的就行。  -------------------------------------------------------------------------------------------------------- Google冲击安全世界 美国《首席安全官》 Sarah D. ScaletS 著 本人译 弗莱明汉姆 (2006年5月15日)从通用电气的股票走势,到如何到达纽约第七大街881号,从《碟中谍III》在哪里上映,到Brian W.九年级退学后发生了什么,无论把什么样的问题交给Google,你都会得到答案。这就是这个价值60亿美元的搜索引擎的魔力,它的功能如此强大,以至于公司名字Google成为一个动词。 这样强大的功能让Google成为新闻的热点,有时也会在审查中惹出一些麻烦。比如Google最近和美国司法部的冲突,以及这位搜索巨人对中国政府审查制度的微词。 CSO(首席安全官)和CISO(首席信息安全官)们认真关注Google有不同的理由。他们同时也思考网络中海量的信息和轻而易举获得信息的方式意味着什么。尽管这些问题和所有的搜索引擎都有关系,但Google聚集了人们的目光——不仅因为它在网页搜索市场占有的巨大分额,更因为它企图搜罗一切的野心:从图像到图书馆,再到地球、月球,还有火星。 “我们总是垂青于新技术,理解新技术的价值是需要时间的,”Robert Garigue说,他是位于蒙特利尔市的贝尔(加拿大)公司的信息整合副总裁兼首席安全执行官。对于安全专家们来说,这种代价是:Google可以用来探查网络漏洞和定位敏感设备,还可以用来实施诈骗和其它针对企业的犯罪行为。下面,CSO介绍了Google给安全世界带来的冲击的方式,以及公司可以采取什么样的措施应对这种冲击。 1.Google 攻击(Google hacking)(严格定义)// or Google 挖掘 如何定义:Google攻击是利用搜索引擎来查找系统漏洞。黑客借助精心编写的搜索代码,寻找目标组织计算机系统中的开放端口、暴露出来的错误信息,甚至密码文件等等。任何搜索引擎可以完成这些任务。“Google 攻击”这个某种程度上不严密的说法是Johnny Long发明的,他是《Google攻击入侵测试者》(Google Hacking for Penetration Testers)一书的作者,这本书广为传阅。Long 建立了一个虚拟市场(http://johnny.ihackstuff.com),在这里,注册成员可以对写出来的复杂的Google 搜索代码交流、鉴定。 运行原理:Google的工作原理是在网页上“爬行”,将查找到的一切建立索引,将索引信息放入缓存,然后在用户使用网页搜索时用这些索引信息生成结果。不幸的是,一些组织的系统设置允许Google索引和保存大量原本不该公开的信息。比如说,为了查找CSO Web服务器的开放端口,黑客可以利用Google搜索 INURL:WWW.CSOONLINE.COM:1,然后 INURL:WWW.CSOONLINE.COM:2,以此类推,看看Google是否在端口1,端口2等等建立了索引。研究者也可能搜索“阿帕奇测试页”(Apache test page)或者“错误信息”(error message)等关键词,结果可能显示出配置的详细资料、黑客攻击表。 精心编写的Google搜索代码有时甚至能查找出草率安装的监视器和网络摄影机,而它们原本是保密的。 重要性:假设有人在扫描你的所有端口。通常,这样的活动会纪录在系统日志里或者触发入侵探测系统。但是像Google这样的搜索引擎的网络爬虫(爬行机器人)一般能够读取和索引服务器上的一切信息(如果它们不能,那么别人也无法访问你的服务器)。通过搜索这些索引,而不需要搜索系统本身, “你可以在不实际接触被侵入站点的前提下进行侵入测试,”Security Compass 的创始人Nish Bhalla 如是说。 应对措施:以其人之道,还治其人之身:组建自己的Google攻击团队,使Google和其他的搜索引擎成为公司常规入侵测试的一个组成部分。Bhalla 建议技术人员关注两个方面:哪些端口是开放的;哪些错误信息是可以利用的。 发现问题的时候,你的第一反应应该是驱逐Google远离系统的这些部分。有一个小窍门可以达到这一目的:运用一个名为“robots.txt”的公共协议文件。这个文件位于网站的根目录,包含着不允许搜索引擎跟踪的文件和文件夹的目录。(举一个出了名冗长的例子,请参见白宫网站的文件 www.whitehouse.gov/robots.txt)许多提供搜索引擎服务的公司都会留意这个文件中的目录。 注意到上文说“许多”了么?另有一些搜索引擎对 robot.txt文件视而不见,直接把所有信息加入索引。更糟糕的是,robot.txt文件向黑客泄露了Web 服务器上你不想被访问的公共部分。与此同时,通过Google入侵测试你的信息已经泄露出去了。当然,这是你可以单独和搜索引擎公司联系,礼貌的请他们把信息从缓存中移除(参见www.Google.com/webmasters上的说明)。但是,最好让这些信息失去效用。 “这些缓存信息的保存时间是无法管理的,因此你必须假定它一直在那儿,而且会永远的存在下去,” AT&T的CISO Ed Amoroso说。他的解决方案很简单,“如果你是通过一串密码找到的某个文件,那就把密码更改一下。” 接下来的步骤是解决潜在的问题。删除或隐藏不想公开的信息。长远看,这也是一项艰巨的工作,可以通过关闭多余端口或者完善应用程序来实现这一点。 冲击等级:4 (最高级)你必须确保你的公司没有意外地发布攻击自身系统的说明。 2 Google 攻击(Google hacking)(宽泛定义)// or Google 挖掘 如何定义:使用搜索引擎查找知识产权(产品)。这是Google的核心:研究者采用目标网页搜索来搜集零碎的信息,然后把它们拼接起来,形成组织发展策略的图景。不同于进行SQL注入式攻击,使用公共资源搜集竞争情报是完全合法的。(实际上可以是一项很好的商业模式)。 运行原理:研究者为了获得而浏览网页,这些信息包括学术会议发表的研究,聊天室里的评论,个人简历或者工作机会。“公司在互联网各处留下了零星的线索,” Fuld & Co.的创始人Leonard Fuld这样说,他即将出版一本书,名为《竞争情报的密语》(The Secret Language of Competitive Intelligence)。通常的手段是用搜索查询某一具体格式的文件,比如微软Excel 电子表格(文件格式xls)、微软Word文档(文件格式doc)或者Adobe 的PDF(文件格式:pdf)。通过这种方式,可以过滤掉许多多余的信息。比如说想查找关于通用汽车的信息,我在二月某日以“GENERAL MOTORS”、“FINANCIAL ANALYSIS”作为关键词检索产生56,400个结果,而采用“GENERAL MOTORS”、“FINANCIAL ANALYSIS”、FILETYPE:XLS进行搜索只得到34个文档。其中一个是某家招聘代理机构的一份电子表格,包含了许多公司(包括通用汽车)当前的高级管理关人员的职位和工作记录(尽管没有名字),他们可能也是就业市场的一员。 另一种做法是搜索具有非公开信息含义的短语。比如,像“personal”、“confidential”或者“not for distribution”这些关键词是无价的。这些目标搜索未必能够回回命中,但他们可能有相当大的吸引力。比如说,在二月的同一天,我搜索“GENERAL MOTORS”“NOT FOR DISTRIBUTION”,首先得到的是一个PDF文件,来自一个客户信贷分类公司,信息没有很好的编辑过,粘贴文本到另一文档,察看起来很容易。 最后的手段是到目标组织的网站上寻找信息,比如说,电话簿可能在社交工程诈骗中被利用。研究者可以使用站内搜索功能查找“phone list”或“contact list”等语句。(事实上,这个搜索可以是SITE:CSOONLINE.COM "PHONE LIST",如果你尝试一下这个搜索,你会发现CSO曾经发表过文章指出为什么公司的电话目录最好隐藏起来。) 重要性:信息安全顾问Ira Winkler认为:“只要Google上有的东西,就是合法的。”他是《间谍在我们之中》(Spies Among Us)一书的作者。这种竞争情报的侦察只有在涉及商业秘密的时候才是非法的,也就是说,倘若它在Google上公开化了,你还能说把它作为商业秘密来保护么? 应对措施:上文提到的Google攻击组涉及到一些对敏感文件的站内搜索,比如像财务记录和标记为“禁止传阅”的文件。在你的界限之外,最好对别人对你的组织的评价有所了解,即便你对此改变不了什么。 “利用搜索引擎调查自己的公众形象实际上已经成为每个公司安全规划的一个组成部分,” Amoroso 说。 如果愿意,像MarkMonitor 和 Cyveillance 这样的商标保护公司可以替你做这些事。制定(并强制执行)好的制度,约束职员使用博客、留言板和聊天室,也可以减少公司泄密。 冲击等级:3 (重要) 这种竞争情报永远存在,并且具有破坏性。互联网意味着更多的信息泄露,而且越来越容易获取。 3.Google 地球(Google Earth) 如何定义:Google Earth是一款下载软件,可以提供全球的航拍空拍图片。(相同图片也可以通过Google Maps网站获得http://maps.Google.com )图片的视野和分辨率令人乍舌,以至于在2005年Google Earth推出beta版的时候就引来非议。有人认为他们的家的后院仅仅是点击几下鼠标就可以到达,另一些人害怕恐怖分子利用地标和关键性军事设施的图片策划袭击。 运行原理:用户安装完这款软件之后(基础版本可以在http://earth.Google.com 免费下载),可以选择地球上任何地点进行缩放,即使分辨不出汽车来,通常也可以分辨出公路。虚拟地球可以被各种各样的信息覆盖,包括公路、铁路、咖啡馆、宾馆等等。企业的研究人员也可以在Google Maps上添加任何信息,从凶案发生的位置到哪个公共卫生间有放置婴儿的桌子。图片分辨率有大有小,最新的摄于三年前,图片来源于商业公司和公共领域。 重要性:让这些信息如此容易的获得是否合理,从整个社会的角度,是值得探讨的。但是对于美国本土的公司来说,其安全风险并不大。这些信息中大部分可以通过其它途径获得。比如说,微软曾经将十年前美国地质勘测Terraserver计划的图片进行拼接(http://terraserver.microsoft.com),只不过效果不太平滑罢了。 这些图片不但早就可以在网上获得,而且可以轻易的从政府和私人出购买,军方智囊团Globalsecurity.org的负责人John Pike解释道。对此唯一的限制是两条法律条款。第一,这些图像至少拍摄于24小时之前;第二,美国军方对图片享有Pike称之为的“快门控制”的权利,即商业卫星公司不得发布可能危及美军军事行动的图像。据Pike所知,美国军方从未行使过这种权力,也没有在布什领导的反恐战争中更改对卫星图像管制的条款。 “如果Rummy对此都不担心”——Pike 指的是部长Donald Rumsfeld,“很难说还有谁会因此睡不着觉。” 应对措施:如果你的组织的安全计划是建立在一个没人可以获得空拍或航拍照片的设施之上,那么Google earth 可能对计划没有多大影响。“任何人,只要能按照设施的草图进行恐怖袭击,同样也会按照设施的图像进行攻击,”Pike说,“如果安全负责人们不想让别人看见什么,最好在上面加个屋顶。” 除此之外,为鸡尾酒会准备几个关于Google Earth 和 Google Maps的玩笑。比如说,在美国食品药品管理局,首席信息安全官Kevin Stine个人对Google Earth十分着迷,他喜欢思索Google Earth的潜在功能,比如说制定灾难预案。“站在CISO的角度,我认为我们应该关注这样的工具软件,”他说。但是对于他的安全小组,他能想到的Google Earth最终产生的唯一的影响是耗尽带宽——如果它开始投入商业运用的话。换言之,你会关注自己家草坪上的椅子从太空中看下去到底有多大。 冲击等级:1 (最小)烟雾弹里的安全防范是20世纪的事情了,Google Earth 恰恰证明了这一点。 4.点击诈骗 如何定义:点击诈骗是操纵按点击付费广告的行为。犯罪者夸大正常点击再现广告的人数,或者为自己敛财,或者大幅增加竞争者的广告负担。 运行原理:在按点击付费广告中,广告主按照网站广告链接的点击数付费。Google,雅虎和其它搜索引擎公司允许广告主将文字广告放置在他们的页面上,当用户搜索的关键词与之匹配时,文字广告出现在搜索页上,搜索引擎公司通过这种方式赚取广告费。操纵按点击数付费广告有两种手段:竞争者点击诈骗和网络点击诈骗。 首先,竞争者各种各样。假设某家出售寿险的公司要在Google上做广告。这家公司可能申请并赢得了“人寿保险”的关键词。那么,当用户Google这个关键词的时候,公司的广告以付费链接的形式出现在搜索结果旁边。(排名顺序取决于每点击付费的价格和Google神秘的超级算法。)每次有人点击付费链接,寿险公司就按照协议付给Google费用——假设每次5美元。通过竞争者点击诈骗,不正当竞争者可以通过疯狂点击此寿险公司的广告链接来提高其广告费用。 其次,网络点击诈骗利用Google不是唯一的Google广告发布者这一点牟利。比如某人有一个关于保险的博客,他可以成为Google广告的代理,将Google广告放置在他的页面上。如果寿险公司付给Google公司每点击5美元,这位博客可能可以从对其页面广告的点击中收益1美元。网络点击诈骗就是广告代理通过产生欺诈性的流量来提高自身的收益。 Google坚持说它一直在试图监控这一问题。Google信用安全产品经理Shuman Ghosmajumder说,公司监控着各种形式的“非法点击”,通常会将多余的费用退还广告主,并关闭有欺诈行为的广告代理。在2005年,Google甚至打赢了和进行点击诈骗的广告代理的官司。但是一些广告主反映,Google阻止和监控欺诈行为不利,因为它本身也在这种欺诈中获利。Google正面临着网站托管商AIT公司的一系列的诉讼,同时和邮件订货商Lane's Gifts & Collectibles 9千万美元支付款的争议还未了结。(截至到发稿时,这笔款额的归属还没有宣判。) 重要性:点击诈骗对每个CSO来说将会成为一种司空见惯的手段。它证明了电子犯罪已经变得多么错综复杂和有利可图。起初,CSO们开始察看服务器日志,通过查找列表中的IP地址来发现骗子。作为回应,骗子们编写自动程序变换IP地址,更改时间标志。接下来,CSO们改进点击诈骗探测工具,致力于帮助网络广告主监视诈骗的新兴产业开始萌芽。等待他们的是“点击农场”,骗子们雇用境外人员点击,手段更加隐蔽。正如SearchEngine-Watch.com 执行编辑Chris Sherma说的那样:“这是一场猫捉老鼠的游戏。” 应对措施:第一步是采用追踪手段。根据行业组织——搜索引擎行销专业组织(Sempo)的最新调查,42%的被调查者曾经受到点击诈骗的困扰,但有近三分之一的被调查者说他们不会主动去追踪诈骗。“监控诈骗行为有如寻找没有意义的事物,”这一组织研究委员会的主席Kevin Lee解释道,“如果上周每天你花费100美元,这周每天花费130美元,生意却没有任何改观,无论你的成功法则是什么,”你可能有麻烦了,他说。 “通常搜索引擎可以发现明显的欺诈行为,甚至可以不必为此付出成本,”Lee继续说道,但是如果你的问题严重些,你就需要搜集信息来证明为什么你认为一些点击是诈骗性质的,并且要求广告经营商退还广告费。Ghosmajumder 说Google 在调查组身上下了很大力气,这个组负责前瞻性的监控诈骗行为,同时对广告主报告的可能的诈骗行为进行研究。Google的工程师也在努力,希望通过技术手段识别非法点击。 根据Sempo的调查,78%的遭遇点击诈骗的广告主得到了搜索提供商的退款,40%的情况是在广告主要求下,搜索提供商才退款。 当然,是否索求退款也是一个问题。追查到底,还是为诈骗行为买单?帮助广告部门弄清楚那个更值,除了CSO,还有更合适的人选么? 冲击等级:2(中等)对于采用按点击数付费的公司,这是一个应该关注的问题。点击诈骗有可能在很大程度上降低在线广告的效益。但是对于90%收益来自广告的Google来说,公司有足够的动机解决这个问题,让广告主们不至于对每点击付费模式失去信心。 5. Google 桌面 (Google Desktop) 如何定义:Google提供的免费工具,允许用户快速搜索硬盘内容。(MSN,雅虎也提供类似的工具)其最新版本可以用来在计算机之间共享文件。 运行原理:和Google为网页建立索引相似,用户下载这一工具后,Google Desktop在后台为硬盘上的所有文件建立索引。按照默认设置,所有固定驱动器都被建立索引,用户也可以自行指定某个文件夹不在索引之列,或者添加某个驱动器。搜索结果的文件格式可以设定:包括文本文件、电子表格、PDF、网页历史纪录、电子邮件等等。一旦索引建立,用户运行Google搜索的时候,本地硬盘上的文件出现在搜索结果的顶部。用户也可以在桌面上打开这个工具软件,单独使用,甚至不需要连接互联网。 新版本还有一个有争议的特性:允许用户在计算机间共享文件。如果启用这一功能,Google在一台计算机上建立索引,将索引上传至Google服务器,再将其下载到另一台计算机上(也同样配置了此软件)。然后,在一台计算机上进行搜索返回两台机器上的结果。 重要性:人们对此感到棘手的原因是显而易见的。一旦安装了这一工具,文件被建立了索引,偷窥者都不用一顿饭的工夫,甚至只需一杯咖啡的时间,就可以搜到别人硬盘上的文件,比如说,有关Bob Jones's的薪水的文件。更糟糕的是,普通用户可能并没有意识到或者理解如何确保敏感文件不被索引。 为了自身的声誉,Google已经试图改进个这一工具的标准配置。新版的Google Desktop自动返回的结果是具有密码保护的文档和保密的HTTP页面。现在,如果用户不更改设置,那些格式的文件不会被索引。“人们怨声载道,Google很快就做了更改,” SearchEngineWatch.com的Sherman说。即便如此,恰当的设置依然显得很复杂。一些公司,以及那些担心泄露个人隐私的个人,也对Google使大量的信息变得可以获得心存戒心。 跨机搜索的功能加剧了这种担心。Google表示,通过这种功能,用户的个人文件可以在Google服务器上保留至30天。Google对这个时间范围没有太重视。Google事业部产品经理Matthew Glotzbach指出:“如果你的两台电脑在线并且处于同步状态,(文件在Google服务器上),只需几分钟”——这就是Google从一台计算机上上载信息并将它下传到另一台计算机上的速度。 但是,将信息全部保存在Google服务器上是比较麻烦,假设搜索引擎公司会受到监察官的例行传唤。(Google的隐私权政策是:“我们也许会在有限的情况下和第三方共享信息,这些情况包括执行司法程序、阻止诈骗和临近的危害,以及保证我们网络和服务的安全。”)在一个特别紧张的案件里,Google收到美国司法部的传票,要求搜索结果帮助分析儿童在线隐私保护法案的执行情况。法官减少了Google应移交的信息量,在接下来的辩论中,人们逐渐意识到Google保存信息的数量和性质。 应对措施:是到了迎头赶上的时候了——Brown认为这是极其重要的,因为 Sarbanes-Oxley法案要求公司对信息的保留地点和时限记录在案。考虑一下你的用户在工作中是否需要桌面搜索,如果需要,就要着手去了解它是如何配置和使用的。(加分点:去找CSO,他可以确保用户理解这些工具软件的隐私含义,不要仅仅让用户阅读隐私权政策。) 在食品药品管理局,Stine是最早关注这款工具软件的。“曾经有人提出过要求(使用桌面搜索),但呼声不强烈”,他说。如果(当)大量用户确实需要桌面搜索的时候,Stine说,他会认真研究一下这种技术是如何识别、索引和显示信息的。“我们必须确保我们还在对信息保持全面的控制——至少尽可能全面的控制,”他说。 幸好,他有多种选择。有些公司采用企业桌面搜索工具,协助CISO们保存信息表格。Google desktop 3企业版目前尚处在测试阶段,它允许管理员彻底禁止像跨机搜索这样的功能。Google表示正在致力于使这款软件以后的版本更加便于管理。“我想我们会收到乐观和正面的响应,” Glotzbach说,“我们已经深入研究了关于跨机搜索功能的反馈,尤其在企业的环境中,我们正努力让公司使用起来更简单,”他很确信的说。 X1 技术已经被雅虎采用,这种技术提供了一种颇有竞争力的搜索工具。Brown认为,从IT业远景来看,这种工具更易于管理。“这些技术存在的问题是:它们刚刚发布,马上就被人们下载使用,” Brown说,“对于公司来说,跟上新形势还需要一段时间。” 冲击波指数:4 (最强) 桌面搜索系统是一项未经测试的很可能被滥用的技术。如果你的用户不需要,不要让他们使用它。如果他们确实需要,应考虑使用具有中央控制管理功能的企业工具软件。 未来的冲击 Google 冲击着我们,它竖起一面镜子,强迫我们审视放在网上的一切。“Google具备强大的破坏力的同时也提供了搜索能力,” Winkler说,“它的强大所在也是它的危险所在。” 未来的搜索技术只会更加危险,贝尔(加拿大)公司的Garigue指出搜索引擎技术尚处在它的婴儿期,仅仅是浅尝则止,用他的话说,只是“浅网”。“浅网是网页服务器上一切公开的信息,”他说“深网则是暗藏在数据库里的一切。”从国会图书馆,到Lexis-Nexis的受法律保护的新成果,再到Medline(联机医学文献分析和检索系统——译者注)的数据库,绝大多数人们通过在线模式得到的信息还是只向特定用户开放,而不是Google。“Google是第一代工具,” Garigue说。随着这些工具的不断完善,冲击波一定会变得越来越强大。 这两天的活儿 前天和洋聊天,才知道周五是到校日,还在那里琢磨大家怎么来得这么早。大四的日子过得没有星期礼拜。开学了,欠了一屁股债,一点一点还吧。
比较郁闷的是,大作业是一个组做的,所谓的组长就是全权负责领导自己干活。没考研的不去做,考研的人不会做,一个假期没人做,最后推给我来做。上学期专业课怎么过来的大家心里都有数,拉鸭子上架,刀架到脖子上了,不得不放下自己的事情,为了同志们生死攸关分数在电磁辐射中奋战。两天盯着显示器,熬得睁不开眼,终于弄出点可以给人看得东西了,但愿老师高抬贵手,饶了我这只菜鸟。
自己对asp,JavaScript那么一点儿认识都来自于自己的blog,这回做网站还真用上了,看来,这个日志还得写下去,不一定啥时候又有点儿意外收获——比如偶尔遭到老师或老板的表扬什么的。
明天可以收工了,理论上应该让他们犒劳犒劳我,可我知道,通常情况下,我只能犒劳自己。我发誓,再也不当组长了,请客也不当。  12/7/2005 How Much Is My Blog Worth?11/13/2005 骗子、骗术和自我保护针对北语之声上时不时出现的一些虚假信息,撰文一篇,辑录如下。
近日在论坛上看到一些虚假信息,尽管这些骗术司空见惯,但骗子来大学论坛行骗,欺负大学生没有社会经验,是可忍,孰不可忍。互联网的开放性和自由性,让一些骗子有机可乘。其实,他们的骗术并不高明,只要大家留一个心眼,动一点脑筋,抓住骗子的尾巴,骗术就昭然若揭。 贾宝玉和林黛玉的关系 人工智能课上,宋师讲谓词逻辑,留一道思考题,觉得好玩儿,下面是原题和我的解答:
用二元谓词亲子关系和一元谓词男性、女性表示红楼梦中贾政、贾敏、贾宝玉、林黛玉的亲属关系和性别,并定义表兄妹关系。
解: 亲子(贾政, 贾宝玉), 亲子(贾敏, 林黛玉), 男性(贾政), 男性(贾宝玉), 女性(贾敏), 女性(林黛玉)。
"x"y(表兄妹(x, y) « $u$v(父子(u, x)∧母女(v, y)∧兄妹(u, v)));
"x"y(父子(x, y) «男性(x)∧男性(y) ∧亲子(x, y));
"x"y(母女(x, y) «女性(x)∧女性(y) ∧亲子(x, y));
"x"y(兄妹(x, y) «男性(x)∧女性(y)∧$u (亲子(u, x)∧亲子(u, y)))。 7/26/2005 “赛尔在线cernet”北语校园网的一些质疑利用有限的网络知识,对最近赛尔宽带在北语出现的若干问题试做分析,个人意见,不当之处还需方家指教。
:) 赛尔到来之前
记得以前学生会竞选时,生活部长竞选人提到在任期内安装校园网云云,往往能赢得一定不知情者的选票和知情者一定的嗤之以鼻。北语校园网是众望所归,可“一校之网”岂是一个学生会生活部长所能力所能及的?于是,每每谈及北语校园网的时候,只能一笑了之。 北语不是没有校园网的,北语的“中国教育科研网”与北京大学互联,北语主楼一层的“网络中心”负责校园网的维护,在北语主页(www.blcu.edu.cn)上,也有“校园网”的服务,只不过,这个“校园网”的范围只限于办公室、外国专家楼等部门,北语学生宿舍一直在“被遗忘的角落”。北语学生免费使用“中国教育科研网”的地方只有上课时的机房,在图书馆电子阅览室和主楼108,上网收费每小时2元。 在2003年以后,由于北京网通推出了校园ADSL服务,201电话可以捆绑ADSL宽带,ADSL modem押金100元,上网费1.8元/小时,学生可以自己向北京网通申请。这是在赛尔网络投资北语之前,北语学生在宿舍“享受”的最优惠、便捷的服务了。网速理论下行值512kbps,实际可以达到200-300kbps,甚至再多一点。 一个口和50元开户费 目前,北语宿舍已经安装好了宽带是2005年赛尔公司在北语投全资的,于2005年7月正式开通。安装时每个寝室的墙壁只留下一个RJ45接口。赛尔公司7月12日在男生宿舍入口贴红纸告示说学生可以凭学生证到西门北侧的赛尔网络体验中心办理开户手续,7月31日前可以免费使用。到现场咨询,除了办理手续的前台有电脑,似乎没有什么可以“体验”的地方,经过咨询了解到,如果一个寝室的四个人中有两个人办理不限时包月服务,将赠送hub一个,以解决接口不够用的问题。针对中国学生的收费如下:
开户费: 50元 40小时包月:30元 80小时包月:50元 不限时包月:90元 针对留学生的价格比中国学生贵,北语的留学生在赛尔这里享受不到“国民待遇”。 当我提出,没有使用网络,却要交50元的开户费是否合理时,服务人员说这是公司规定。 赛尔所提供的材料,只有价格单一份,没有其他网络参数、技术指标的说明。而且,赛尔公司承诺的上门安装时间是7月25日以后,这离免费使用期结束只有不到一周的时间。 赛尔公司2004年9月给清华大学学子们开的价格单如下:(开户费不祥) 包月限时80小时 30元 包月限时160小时 50元 包月不限时 90元 可以看到,除了包月不限时,北语学生付出相同的价格却只能享受到一半时间的服务。众所周知,互联网上网费用是在不断下调的,1年的是时间,相隔一站地的两个学校因特网使用费用差距如此之大,难免让北语学子望洋兴叹。 100M除以整个北语
倘若北语学生或者北语学生的家长有资本享受高过人家一倍的上网费用,或者北语学生也申请90元不限时的包月,赛尔的服务又是怎么样的呢? 从我开通了一个账户的同学那里了解到,所谓的上门服务,就是送一根网卡到端口的连线,发现使用BT下载就掉线,而魔兽争霸时快时慢,很不稳定。另一个同学说,使用了BT,掉线后半个小时没有联接上。投诉赛尔在线,答复竟然是整个北语宿舍分配的带宽只有100Mbps,而且近期没有扩容的打算。 北语宿舍共享100M的带宽意味着什么?我们不妨做一道算术题: 按照现在使用的北京网通ADSL校园宽带网速计算,取200kbps,也就是0.2Mbps,每个北语赛尔用户要达到这个速率,同时在线的用户数目就是100/0.2=500,或者说,同时在线人数超过500,赛尔网络的平均速率就达不到200kbps,这和小区共享宽带的用户在同一时段上网、抢占带宽、网速变慢一个道理。 尽管一个用户不可能长期占有网络,但北语学生有多少学生,学生有多少台电脑,多少电脑在高峰时段上网,大家心里还是大致盘算得出来的。100MB共享带宽的模式,对于用户,不能使用BT、电驴下载,不能享受到可靠的服务,人越多越“挤”;而对于接入商,用户形成一定规模之后成本不会增加太多,开户人数当然是the more,the better。 于是,我得出一个结论,赛尔公司选择暑假这个时期开通北语宽带服务是一个明智之举。人少,同时在线人数不多;人少,可以潜移默化的进入北语市场;人少,即使对服务不满也不会有大问题。待到开学之后,即便学生提出异议,也是“怎么不早说”、“以前就是这样”等借口可以搪塞。 好在,我们还有市场,至少我们有选择权。第一个吃螃蟹的人是勇敢者,但未必吃得很舒服。 静观其变,希望赛尔对北语学子不要太“晒尔”。  6/15/2005 有关水木 从好友那里得知,曾经对外封IP的水木清华BBS如今分出了Cernet和公网两个版本。可见网友们对水木热爱之甚。将水木相关网址记录与此,以备后用。 水木清华BBS目前的一些相关网站: 6/3/2005 程序,程序…… 终于把两个自然语言的程序交了上去,欠的债少了一点,心里也轻松了一些。 5/31/2005 自@由的问题2 相对于电视、报纸等传统媒体,网络的受众参与性更强,除了网站要自律,承担应有的社会责任,每个网友更要有社会责任感。虚拟空间的道德是社会道德的延伸,只有加强现实社会的道德建设,形成良好的社会风气,网络空间才不会乌烟瘴气,那些荒谬言论才不会有生存空间,网友们才能享受到应有的自由。这张“网”不仅在技术,更在于人。
自@由的问题
to be continued... |
|
|
