前路漫漫

看了下日历,下半年都已经过去2个月了。
再看看list,好多事情还没干呢。

工作
接触的一个创业项目真的是一波三折。但是现在的结果,偏离之前太多。虽然后续很是遗憾,但是还是收获很大。

读书
最近电影、电视剧看的挺多。
书读的好少好少。然后,罪恶感好强。因为,我知道,自己不算聪明。
只能时时刻刻提醒自己,如果真的想做出点什么,不想一成不变的人生。必须对这个世界保持好奇心、不断去学习和尝试。
2015
自己的本命年早已经已经过去。
但是隐约觉得今年才是我的本命年。
直觉告诉我,好多事情再今年会尘埃落定。

最近下的好多决定和做的尝试,回头来看,会决定我不同的人生。
有些确实让我极度沮丧的事情,但是我会想:人生有时候决定就是一个个赌局,我还是想去参与一把。不参加,不会输,可是我也不会赢。

<完>

另一种角度来看银行限制支付宝快捷支付

最近银行限制支付宝的快捷支付闹得纷纷扬扬,我从另外一个角度以问答形式来简单评价这件事情。

1、快捷支付是否在整体上是否更有益?

答案可以使用简单数字来说明:
网络支付风险损失率为1%,快捷支付大概为为0.01%
网银支付的成功率6X% 快捷支付是9X%

支付宝的风控模型(CTU系统)经过长期的改善、发展,目前非常强大。支付宝通过快捷支付,把支付全部流程完全控制在自己站内。从整体的效率来看,是在做”正确”的事情,因为它实现了整体的效益最大化(也是风控思想的核心,不是杜绝风险)。

2、效益最大化一定是合适的吗?

答案我认为是NO!我也用2个简单的例子来说明:
2.1、无人驾驶汽车发生交通概率更低,也会更高效。但是为什么很难立即推广呢。因为一旦发生一起交通事故,目前的很多法规是无法解决责任判断的问题,没有一种新的秩序解决,社会没有做好准备。
2.2、飞机发生事故概率是很低的。但是为什么人们会认为其它交通公交更安全呢?因为飞机一旦发生事故,基本上没有挽回的希望,而其它交通工具在心理/实际上给人们极大的生还的希望,会有办法去挽回。

3、结论:你在做效益最大化的事情(也是风控的思想),但是未必是当下最符合实际的事情。

看到此次风波一位银行的文章,大体意思是:安全对于银行远比体验重要。支付宝可以接受一定的风险,但是银行却不可以。银行实际上是想但是无法这样做的。因为银行发生一些风险事件的社会影响和监管以及背负的责任是相当严格的。比如大家都知道建立银行 进入、退出、破产 机制是对提高社会效益是对的。但是实际上不可能让银行破产,因为你要考虑社会的实际和百姓的观念意识。

所以,对于配套的社会、媒体、普通用户的安全感知教育上和相应的金融管理、甚至立法,任重而道远。

 

<完>

用风控来保障用户帐号安

如果你注册使用过国外网站的服务,比如Google的Gmail。你会发现只要你知道帐号的密码,你就可以进行一切操作,包括修改安全问题答案甚至可以直接删除帐号。(当然,后来Google也做了一些“两步验证”的方法来保护用户的安全。)

 

其实不仅是Google,国外的其它注明网站大多也是这种密码登录然后取得整个帐号所有权的情况。

这些公司对用户帐号的保护似乎都有些过于不安全,反观国内,在这方面做的要严格的多。例如新浪,网易,搜狐,腾讯对自己的帐号有密码保护问题,电话绑定,安全码,身份证验证等措施。

 

同时,不仅是国外的互联网公司,国外的电子商务,第三方支付都没有那么多的密保工具。甚至Visa、Master通道的支付,都是无需密码的。

 

深入国外网站和在线银行研究你就会发现原因:

(一)国外完善的信用卡制度和保险制度,用完善的制度来保护用户,在线资金的被盗损失也大都由银行和保险公司来赔偿,用户的风险被转移。

(二)强大的风控规则。比如非常有名的Paypal,其风控模型据说现在都是保密,非常优秀。对一笔支付交易而言,在它发生之前、发生过程中及发生过程后,都会被风控系统严密监控,以确保支付及客户资产安全。而所有的所有秘密,都归结到一个词头上:规则。风控系统是一系列规则的集合,任何再智能的风控方案,都绕不开规则二字。

所以,没有那么多密保工具可能让用户感觉不安全(国内用户已经习惯了各种密保措施)。实际上,如果自己的风控做的足够强大,用户的帐号安全完全可以保障。

今天风控已经不仅仅是银行和支付系统在使用。一些普通服务的互联网巨头也开始了用风控来保障帐号的安全。最近Google在其官方Blog发表了一篇关于Google如何对抗盗号者做法的文章。

 

原文题目是“An update on our war against account hijackers”

http://googleonlinesecurity.blogspot.com/2013/02/an-update-on-our-war-against-account.html

 

其中最重要的两部分翻译成中文如下:(而其中最最关键的部分我用红色字体标注)。

然后你是不是就明白了呢~~背后做的足够多,才可能让用户操作足够简单~

做的足够优秀,一个password就足够了~
垃圾邮件发送者的新伎俩——盗取账户

垃圾邮件发送者会通过你的已知联系人账户向你发送垃圾邮件,这样可以提高垃圾邮件突破过滤器的几率。为达到此目的,他首先需要侵入您的已知联系人账户。这意味着许多垃圾邮件发送者正转变为账户窃贼。网络罪犯们每天侵入各家网站,盗取用户名及密码——这些相当于登录账户的在线“钥匙”。接着,罪犯会将这些数据 在黑市上出售,或用其从事不法行为。由于许多人习惯为不同的账户设置相同密码,因此从一个网站盗取的密码通常也适用于其它网站。

 

一旦密码到手,攻击者便会尝试侵入各大网站及服务的用户账户。我们曾见过一名攻击者每天使用盗取的密码入侵一百万个Google账户,一次活动要持续数周时间。还有一个团伙平均每秒试图登录的账号超过了100个。与Google相比,其它服务往往更容易受到此类攻击。当有人试图登录你的Google账户时,我们的安全系统所作的绝不仅仅是检查密码的正确与否

 

Google的安全系统如何帮助你保护自己的账户

无论你是通过网络浏览器每月登录一次Google,还是通过邮件接收系统每五分钟查收一次,我们的安全系统都会在你每次登录账户时进行复杂的风险分析,以判断登录者为用户本人的可能性。事实上,每一次判断,我们所要考虑的变量都要超过120种。

 

如果某次登录因某种原因被判定为可疑或是存在风险——例如登录地点与上一次相隔十分万八千里——我们将向登录者询问一些关于账户的简单问题。例如,我们可能要求对方输入绑定账户的电话号码,或是要求对方回答你设置的安全问题。一般来说,这些问题对盗取账户者来说很难回答,但对用户本人来说则十分容易。通过采取诸如此类的安全措施,自2011年盗取账户行为达到高峰以来,我们成功将被盗账户的数量减少了99.7%。 

      其实,无论一个帐号系统规则制定的多么严格、限制的大多是正常用户。

强大的监控、数据分析系统才是一个真正安全和便捷的处理策略。

just some silly words.

虽然昨天就告诉自己今天必须正常地去自习室,只是实际上一直是心不在焉。
just some silly words.这是一篇思维与文字都混乱不堪的日志。文字与言语都是会骗人的,正如我无法做到犹如自己笔下的文字写得那般释然与坚强。

不得不承认,与儿时所有的玩伴相比,我无疑是一个运气非常好的小孩。每次和以前的同学电话聊天如此说我的时候,我都会笑笑,我想应该是吧。
因为习惯了blog,几乎从不在自己的空间写下自己的文字的,不愿在熟悉的人面前暴露自己最真实的想法,慢慢地就成了习惯。每次空间上看到好友的日志,自己会不自觉地想说些什么时,只是每次都是张张嘴,又闭上——我平静地投入到生活中,越觉得生活无从说起。感慨都是那些跟生活有距离的人发出来的。所谓隔岸观火,就是远远地隔阂地去看看热闹,不再掺和其中。年龄越大,我越知道爱惜自己的气力,我只能朝一个方向用力,而无法做到平均分布,我已少有旁骛的心去应付太多的接踵而至。

<完>

暑假读书计划

无论暑假干什么,这几本书必须是要认真读完的:

1.中国历代政治得失

2.帝国政界往事:大明王朝纪事

3.编程之美:微软技术面试心得

4.微软的梦工场

5.菊与刀:日本文化面面观

<完>

我眼中Google与微软的互联网

我非常喜欢Google的产品(服务),因为它产品技术性很强,并且企业文化非常崇尚自由与创新,也许因为太喜欢某种东西,觉得它一切都是好的,于是便只要是Google提出的产品就会去用。而对于微软,我觉得它太过于保守与霸道。
可是随着时间的过去,自己对Google与微软各自的互联网的发展有了更深的了解,我的看法渐渐也更全面与客观了。
Google很多产品都做得不错,它的产品技术性很高,可是不得不承认其中有很多产品实际应用和体验都不理想,经常在一些it博客上看到有人称赞谷歌,可是发现身边却使用谷歌的东西并不多,尤其中国在整个市场,谷歌各个产品与服务的占有率并不高(当然有部分众所周知的原因,但更多还有谷歌自身的产品策略问题)。
微软在网络服务方面落后于谷歌,微软的的互联网战略眼光是相当的准确的,很早就意识到了互联网的价值,也在Google崛起之前就意识到了搜索引擎的未来巨大的前景,可惜它总是没来得及时做好应对,错失了机遇。除了错失良机和产品架构之外,在宣传方面也有很大原因,微软总是在不声不响地做它的产品,对于外面发生了什么不管是积极还是负面都不知不觉,这源于微软传统的优越感和自信,还有就是它在操作系统上垄断问题以及面临的盗版问题使它的声誉受到了很大的影响,在中国变得不是那么受欢迎。
我曾经看到这样一个对Gogle与微软各自不同之处非常生动的比喻:如果把微软比作是一所综合性大学,那谷歌就是一所理工学院,谷歌是一所技术过硬而人文缺失的严重失衡的学校,从谷歌出来的学生除了摆弄技术,对社会人文历史一窍不通,谷歌做出了的东西是一种冷冰冰的高科技产品,看似强大,人们却避而远之。微软是文明古国,谷歌是新兴大陆,微软是历史名城,谷歌是经济强省,微软是公司企业,谷歌是工厂基地,微软斯文儒雅,谷歌清新简练….
在互联网上一篇非常不错的文章《Google和百度的中国式困惑》,其中有这样一段话:Google的含义变了。不但是一个强大的信息获取工具,更是变成了和自由女神像一样的东东。它代表自由、平等、独立、公正。它成了某些人的意识形态图腾,而非一个商业公司。
我觉得Google在中国被人们这样一个定位对它的发展是非常不利的,希望它能恰当合理的处理,使人们正确认识它,它首先是一家商业公司,人们不应该在它身上强加太多其它的因素,否则,不管是对Google还是其它公司,都是一种伤害。

同时,它们对国内的市场还缺乏足够的重视。
在从中国用户的角度,理念,用户体验改革自己的产品上,微软和Google都该努力了。。。

当然,不可否认,它们进入中国以来为了适应国内的做了很多的努力,可是这些还远远不够。国外的互联网公司,至今没在中国产生一个成功案例。 Yahoo,eBAY,亚马逊,Aol 等等这些在国外市场上呼风唤
雨的互联网巨头,他们携带雄厚的资本与计术进入国内,可是结果呢?这不是中国互联网上的一种宿名,而是他们为国内用户做的还不够。

最好的例子:QQ是从ICQ来的,可是ICQ不肯出中文版,太看重自己了,缺乏对国内服务精神,不能低姿态为国内大众网民考虑。于是成就了QQ的成功。
所以希望微软和谷歌能够进一步为从中国用户的角度,理念,用户体验改革自己的产品,成为一家周到、体贴、方便、符合国内网民习惯与需求的公司。
微软和谷歌前面的互联网道路,任重而道远。

 

<完>