Miife Blog

社交網站的背後 – 開心農場不開心

Arguo — Thu, 01 Oct 2009 12:17:50 +0800

「可惡，種好的菜又被偷得精光了」。這句話對很多人應該都不陌生，前陣子快速竄紅的開心農場遊戲真的讓很多網友非常開心，無聊的時候就上 Facebook 去偷拔菜。很多人甚至是因為要玩開心農場才開始註冊 Facebook 帳號。然而，很多人可能甚至不了解，開心農場只是一個依附在 Facebook 下的軟體插件，更不清楚在 Facebook 底下開發軟體插件相當得容易，不需要什麼複雜的認證，人人都可以自己寫一個來玩。

第三方開發的軟體插件

有人會說，開心農場這麼好玩，為什麼會不開心呢？問題在哪呢？問題是在於每位愛玩 Facebook 小遊戲的朋友都是冒著「個人資料外洩」的風險在玩這些小遊戲的。前面說過，這些軟體插件其實都是由 Facebook 公司以外的第三方所開發的，為了讓這些「社群」遊戲好玩，Facebook 開放眾多個人資訊給這些軟體開發者存取，其中包括大頭貼、基本資料、學經歷、朋友清單等等，該有的都給人家了。

好奇心的驅使

就像簽書面同意書一樣，在 Facebook 中每玩一個新遊戲，Facebook 都會問使用者，「允許XXX存取代表你同意該程式取得你的個人檔案、相片、朋友以及其他相關所需資料嗎？」。雖然，我們都有權利說不，但是當朋友邀請你玩這些小遊戲，你又沒有任何管道可以預先了解這是什麼樣的遊戲，在好奇心的驅使下，相信大部分的人都會按下了「允許」的按鈕，於是就再一次讓自己的個人資料暴露在不安全的環境中。每個人都在偷菜，為了玩開心農場，新手的你，能說「不」嗎？

門戶大開的隱私設定預設值

面對這些可能侵犯隱私的遊戲，Facebook 自然得提供一堆隱私設定值，讓使用者可以把不想要透漏給第三方程式的內容關掉。但是如果你有仔細去設定話就會了解，近 20 項的設定裡面，有 15 項預設是開放的，包括大頭貼、基本資料、學經歷、朋友清單等等，該給了預設都給了，預設不開放的那幾項，相信你也沒有提供那種資料給 Facebook。

第三方程式並非在 Facebook 的伺服器運行

安插在 Facebook 上第三方軟體，看起來好像「Facebook 裡面」，讓一般人有種「玩來玩去，資料還是在 Facebook 管轄之下」的錯覺。然而，實情是「所有第三方程式都是在開發者自己的伺服器執行」，每當你玩這些小遊戲的時候，這些架設 Facebook 小遊戲的網站會連線到 Facebook「索取」你的資料。一旦資料交給第三方網站後，Facebook 完全無法保證資料不會被記錄、分析、販售，因為一切都在對方的伺服器中。

社交網站的背後 – 你有把柄被抓住了嗎？

Arguo — Fri, 11 Sep 2009 09:18:19 +0800

在現代複雜的社會裡，每個人從小到大，都會歷經過各式各樣的環境，結交不同的朋友，所以一個人擁有許多不同的社交圈並不是一件令人訝異的事情。當我們在某個圈子得罪了人，或是傳了誹聞，基本上，消息只會在那個圈子裡面跑。即使有的時候，消息偶爾會莫名其妙的回流到其他圈子，但是故事內容早已被翻版好幾次，主角也早就變成小王，甚至我們根本不會知道那就是我們的故事。但是，當社交網站出現以後，網路的力量可能會讓事情變了調…..

族群大融合，網路的世界沒有三等親屬

在現實的生活中，朋友有分親疏，人們很習慣在適當的場合說對的話，做對的事情。但是，在社交網站的朋友並沒有親疏之分，只有一只帳號與它的所有朋友。這些朋友在網路上的地位一律平等，大家能看到的公開資訊可以說幾乎是一樣多。當我們正用同學的口吻與一群大學同學交流的時候，別忘了，你正在社交網站上，而不是大學同學會。

你的朋友名單，正在洩漏你的社交生活

大部分的社群網站預設都會公開你的朋友名單，即使觀看者可能並不是你的朋友。這種預設值，相信基本上是為了提高社群交流的機會，但是我們是否曾經想過，任何一位不認識的朋友，只要註冊一個帳號（甚至不用註冊帳號）就可以了解這個人的交友圈，連帶好幾層的關係都可以被挖掘出來。只要裡面有位他知道或認識的人，有心人士就不難利用這項資訊，一步一步滲透進你的社交圈內。

雙向塗鴉牆，正是洩漏你的把柄的高度危險管道

想想在現實的生活中，誹聞的洩漏管道是什麼？最常見的就是口耳相傳，但是口耳相傳充其量只會在同一個圈子產生效應，擴散到其他社交圈的機會並不是那麼高。在 facebook 裡面的雙向塗鴉牆，可不這麼一回事，假使你的朋友在你的塗鴉牆上寫了一則關於你的誹聞，等於你 facebook 上所有的朋友都看的到這則誹聞消息。反之，假使有人在 plurk 上回應了你的「噗」，也等於你 plurk 上所有的朋友都看的到這則誹聞消息。對於公眾人物來說，他們害怕的管道就是「媒體」，因為只要媒體知道了，就等於所有不相干圈子的人都知道了。當社交網站竄紅的時候，諸如 facebook 的塗鴉牆，plurk 的 timeline，都將成為你的個人報紙，而每位朋友都有能力在你的個人報紙上刊載一句「頭條」。

Web 2.0 下的世界 – 防毒不再只是用戶端的責任

Arguo — Sun, 06 Sep 2009 14:49:36 +0800

在十多年前，當 13 號黑色星期五來臨的時候，新聞報導偶爾會〝警告〞大家沒事不要打開電腦，因為有多達 15 隻以上的病毒會在當天發作。那是個美好的年代，防毒軟體還不盛行，病毒也總是挑些喜歡的日期發作，表面上一片祥和，軟體與病毒一起住在電腦中和平相處。時至今日，防毒軟體多到數不清有幾家，買台筆記型電腦，不但附上隨機版』視窗』，更會附上 30 天試用版防毒軟體，保證顧客 30 天內不會上門找店家殺毒。平日潛伏，挑黃道吉日大舉入侵的「病毒」時代已經過去了，取而代之的是組織化的行動，平日偽裝成良民百姓，暗地裡卻秘密與組織聯繫的「惡意程式」。表面上還是一片祥和，因為戰場不在安身立命的電腦用戶中，而是在離家十萬哩遠的伺服器。然而，這些「偷渡」上岸的惡意程式到底是從哪裡來的呢？

偽裝成良民的惡意郵件

電子郵件已經是新時代居民最常使用的系統之一，樂於分享的人們三不五時就轉寄』好康』的資訊給朋友。不過，一般人可能沒有警覺到，有些披著羊皮的狼已經悄悄的借機流竄。這些惡意郵件非常了解人性，它們會假藉時下流行的話題，像是「新流感防護，你不可不知」來騙取使用者點擊郵件。或許，你會說，這些郵件看起來很正常阿，裡面的附件檔案打開後也看起來很正常阿。事實則不然，這些附加的檔案很多含有惡意程式，當使用者打開檔案後，惡意程式便會透過 PDF、Word 等軟體的程式漏洞（exploits）進駐電腦中，成為新居民。

潛伏於良心企業的網站

在這個宅男多於陽光男孩的時代，人人都會上網，上網除了收信、MSN 以外，剩下最常見的不就是瀏覽網站嗎？颱風來了要看氣象局的網站，沒事要看新聞網站關心國事，老闆交代的工作得上網看看企業網站，幫老婆大人買東西需要到購物網站。那這些網站安全嗎？他們平常有沒有「定期打掃，做好居家防護呢」？很幸運的，並沒有！看看資安之眼的網站淪陷資料庫 [1] 吧。很多網站設計不良，導致駭客可能透過跨站腳本攻擊（Cross-Site Scripting，XSS）、跨站請求偽造（Cross-Site Request Forgery，CSRF）、資料隱碼（SQL Injection）等方式，把放有惡意程式的連結（通常稱為惡意連結）植入網站之中，導致使用者在瀏覽網站的時候，在不知情的情況下大開門戶，歡迎新居民（就是這些惡意程式）的到來。

企業家們硬起來？

我們不難發現這兩項原因跟企業很有關係。不管是惡意郵件或是網站，惡意程式的傳播路徑都是從「駭客->郵件伺服器/企業網站->使用者」。特別是企業網站被植入惡意連結這種傳播路徑，把防毒責任放在用戶端身上實在是說不過去。面對縝密的組織行動，光是在最後一線防堵疫情是不合理的，企業有責任在第一線做好自家網路的把關責任，不是嗎？

[1] 資安之眼網站淪陷資料庫 : http://www.itis.tw/compromised

社交網站的背後 – 該與不該之間

Arguo — Fri, 04 Sep 2009 11:25:31 +0800

當我們加入一個新的網站，網站要求我們填寫一些資料的時候，你是否曾經想過，這些是我該填的資料嗎？雖然，每個像樣一點的網站一般都會附上「隱私權政策」來跟你保證你的安全，不過這樣就安全了嗎？你確定你真得獲得了保證嗎？萬一網站被入侵了呢？萬一這個是黑心網站呢？萬一這個網站的技術人員心懷不軌呢？有太多你不能保證也無法確定的事情了，為了別人推薦的一個社交網站，真的值得冒險填寫這些資料？

不合理的資料要求

當網站要求你填寫一些個人資料的時候，最好想想這是必要的嗎？一個普通的社交網站要求你填寫身分證號，這顯然不合理，一個社交網站有什麼理由需要這個。一個微網誌網站要求你填寫電話號碼，這也有點不合理，微網誌有提供語音發表服務嗎？一個部落格網站在註冊的時候要求你填寫 MSN 帳號，如果是必填選項，這也不太符合常理，不就只是寫寫文章，有這麼需要 MSN 嗎？

合理化資料填寫的拿捏

社交網站中，如 facebook，為了提高社群的交流，提供使用者填寫的資料，仔細到工作地點、高中學校都包含。說好聽一些，你可以透過這些資料，更容易結交認識的朋友。說嚴重一點，就是 facebook 了解你這個人的背景，連帶著覬覦 facebook 龐大的社群資料的駭客，也很了解你。

透過社交網站發信通知好友

為了廣徵使用族群，社交網站往往都會提供「發信推薦好友」的功能，而這些功能現在也都做得很強大。你只要填入 GMail、Yahoo! Mail、MSN 等等帳號及密碼，社交網站就會很樂意的幫你抓出裡面的通訊錄，挨家挨戶的發信通知他們。當你在使用這項功能的時候，你是否想過，你輕忽了什麼？帳號及「密碼」？是的，沒良心的黑心網站可以藉機偷你的帳號及密碼，然後再順便備份一下信箱的通訊錄，廣告信名單不就出來了嗎？

社交網站的背後 – 潛藏的隱私洩漏風險

Arguo — Sun, 30 Aug 2009 20:36:02 +0800

最近 plurk, facebook 越來越熱門，愛玩的人已經從重度上網者蔓延到一般人，甚至是平常不太有時間上網的人。但是，在這一頭熱的背後，卻潛藏著比歷史悠久的「電腦病毒」更大的安全威脅。特別對於沒有建立危機意識的使用者來說，資訊洩漏的程度更為嚴重。最糟糕的問題是，只要你接觸了這些社交網站，即使是網路安全專家，也有可能在不自覺的情形下，不小心的洩漏部分隱私。這裡想探討的不只包括熱門的 facebook, plurk 等網站，嚴格說起來，應該把 IRC、BBS、Web forum、Blog、Messenger 等能夠建立社交網路的系統都算進來。

不經意洩漏個人資料給新認識的朋友

每當我們註冊一個帳號，往往都會被要求填寫姓名、性別、生日、電子郵件，等個人資料。像 BBS 這樣的系統，只提供有限的資訊開放，註冊時填寫的個人資料，一律都是不開放的。然而，像 facebook 這類型的社交網站，為了促成更多的互動，不只開放這些資訊，更擴大希望使用者能輸入過去畢業的學校、任職單位等。透過這些資訊的配對是 facebook 網站本身的一大賣點，但無形中也擴大資訊洩漏的程度。假使，今天我們在 facebook 上認識了一位新網友，很高興的把對方加入自己的好友中，卻忘記一旦成為朋友，他將可能知道你之前所填寫的所有個人資訊。加入這位好友，等同於就把姓名、電話、生日、電子郵件、MSN 等資料通通給了這位認識不深的朋友，而我們卻完全不自覺。

任何人都可能掌握你生活上的一舉一動

很多人玩 plurk、facebook，習慣在上頭昭告天下自己今天的心情，有什麼活動，例如「今天特別早起」、「明天下午要去國賓看電影，特種部隊：眼鏡蛇的崛起」、「今天又被老板唸，我不要再加班畫圖了啦」。有時候從這些零星的資訊，就可以推測出這個人的工作、生活習慣等，甚至有可能被當成詐騙利用的資訊來源。譬如，facebook 提供的塗鴉牆，當你在自己的牆上塗鴉的之後，當你的朋友 A 回覆留言，這些留言朋友 B 也會看得到，但是 A、B 兩個人其實並不是朋友，只是他們的共通朋友是你。諸如此類，這些元素的本意是希望擴大交流的管道，但是反之就變成洩密的管道。

不經意的出賣了親朋好友

很多朋友喜歡寫 blog，寫 blog 就像是屬於自己的一個發洩或分享空間。但是人們是群居的動物，很多生活的故事都會牽扯到周遭的人，如果平時沒有注意，把親朋好友的姓名等等寫了上去，這些故事與資料就會成為脈絡，讓不認識的陌生人得以從中推測出彼此的關係。

上傳頭像是好意也是風險

這些社群網站，幾乎沒有一個不提供上傳頭像的，雖然上傳頭像看似是一種基本好玩的功能，但是如果你真的老實的上傳自己的頭像，那就不怎麼好玩了。我觀察到，在一般的 web forum 中，大部分的使用者並不會上傳自己的相片當頭像，取而代之的是明星照片、KUSO 圖片等。然而，在 facebook 中，大部分的人卻都很老實的上傳了自己的照片當頭像，加上 facebook 的系統中，在顯示部分都是直接顯示個人的姓名，而沒有另外使用「暱稱」的機制。於是乎，危機就出現了。雖然我不認識路人甲，但是他是我朋友的朋友，透過 facebook 瀏覽個人檔案的時候，姓名跟頭像就一起出現了。你說危不危險呢？

可怕的人臉辨識功能

人臉辨識的技術已經夠成熟，facebook 與 Google Picasa 都推出了這樣的功能，但是它其實是個蠻邪惡的功能。雖然它可以快速的幫你依照人整理出照片，但是一旦我們很老實的幫這個人填寫上名子，特別還寫上了真實姓名。想想看，在那一瞬間，你是不是已經出賣了你朋友的頭像隱私？一旦這些網站把功能更加擴大，哪天，只要拿一張照片就可以從網路探聽到這個人的姓名，是不是蠻令人害怕的？

TokBox – 隨時來個多人視訊會議吧

Arguo — Sun, 30 Aug 2009 10:52:30 +0800

以前常在電影情節看到的「視訊電話」，在現今已經是見怪不怪的技術。MSN、Skype、GTalk 每樣都可以來個視訊，真要說的話，就差沒有沒有把固網電話全面升級成視訊的了。廢話不多說，這篇介紹的網站 tokbox 做的就是一個「視訊聊天」的功能。

tokbox 最大的特點是可以線上「多人」視訊，多人群組聊天不稀奇，但是多人同時視訊聊天就比較少見到。tokbox 結合了各家的 Messenger，想聊天的時候，只要從建好的連絡清單中把人拉進來就可以了。至於品質到底如何？就有待好奇的讀者親身去體驗看看囉！

tokbox : http://www.tokbox.com

AdShare – 二次廣告的可能性

Arguo — Fri, 24 Jul 2009 15:09:24 +0800

AdShare 網站目前屬於試驗網站，嘗試分析藉由廣告帶入的使用者，產生二次點擊的機率狀況如何。假使各位讀者有買過關鍵字廣告，應該大概知道關鍵字廣告曝光的地方大致分成兩類，一個是搜尋引擎的結果頁面，一個是各個提供版面擺放關鍵字廣告的部落格或網站。AdShare 主要研究的對象是搜尋引擎的結果頁面這一塊。

我們推測，不管是透過關鍵字或是一般的網路廣告，只要廣告內容下得適當，帶進來的使用者，即使一入眼簾是全部都是廣告，但是在他們已經對於相關的產品有興趣的前提，產生排斥感的情形相對會降低。甚至，假使部分使用者已經在積極尋找相關產品，一次性的提供多種相似產品的廣告，反而有機會讓他們較快速的找到適合自己所需的東西。

依照 Google 的搜尋頁面，擺放關鍵字的地方大致有「上方」、「右方」及「下方」，三個位子。而且可能是擔心使用者感覺受到廣告的打擾，Google 的做法並不是每次的搜尋都會擺放廣告，林林總總算起來，平均每頁曝光 7, 8 個廣告應該算多的了。關鍵字廣告最大的好處，是可以在有限的預算上帶入精準的客戶流量。雖然，天底下的公司這麼多，但是競爭卻是很激烈的，所以，搜尋排行較常見的關鍵字也就成為廣告主競相爭奪的熱門目標。於是，依照競標原則，想擠進熱門關鍵字的曝光，多花些點擊成本是必須的。

在「二次點擊率」高的情形下，透過 AdShare 來放置廣告，就像分租的概念一樣，也許有機會能夠在維持相同廣告效果的情形下，再一次降低廣告的成本，讓廣告主們可以一起取暖度過景氣寒冬。

AdShare : http://adshare.miife-labs.net

Google Insights for Search – 從搜尋引擎看品牌成長

Arguo — Sun, 12 Jul 2009 18:03:55 +0800

每當我在搜尋熱門關鍵字的時候，我總是很好奇一件事情，究竟它有多熱門？它能為 Google Search 關鍵字廣告帶來多少的商機？以前透過 Google Trend，還可以稍微一窺每個關鍵字近幾年的趨勢。現在，有了 Google Insights for Search 這項工具的幫助，透過不同參數的設定，可以更清楚的看到各種關鍵字的趨勢，如果企業主想了解市場狀況，卻又苦無數據分析，或許從 Google Insights for Search 中可以發現一些蛛絲馬跡。

第一張圖是蘋果（Apple）與宏達電（HTC）這兩個手機大品牌在台灣地區，從 2004 到現在的搜尋趨勢。圖中很明顯可以看到，HTC 的搜尋量從 2007 六月的時候出現爆量的成長，原因無他，因為 HTC 當時推出了該公司的第一支觸控面板手機。自此之後，HTC 的搜尋次數不斷地成長，最近三個月，兩大品牌的搜尋次數差距已經來到了51/46，兩個品牌在台灣的熱門差距已經不大了（第二張圖）。究竟 HTC 有沒有可能超越 Apple 成為在台灣的第一大品牌呢？從 Google 提供的「市場數據」，我只能說，再來一個創造話題的殺手級產品吧！是什麼呢？會是 Android 嗎？

Google Insights for Search : http://www.google.com/insights/search

摩爾莊園 – 成長快速的可愛線上遊戲

Arguo — Sun, 12 Jul 2009 17:28:01 +0800

在「宅經濟」呼聲高漲之下，今年的線上遊戲果然是火紅很多，不只是廣告「打很大」，就連 Google Trend 的排行也是名列前三（謎之音：是年年都排前三拿獎牌吧）。不過有一款蠻特別的線上遊戲，從去年底開始，搜尋熱門度就不斷扶搖直上，半年多來成長近 200% 以上呢。這一款專門為小朋友設計的線上遊戲，叫做「摩爾莊園」，因為全部採用 Flash 設計，進入莊園並不需要安裝什麼遊戲軟體，只要連上他的網址就可以了。

在莊園裡有很多小遊戲，小朋友來到這個莊園一定是愛不釋手，為了避免家長擔心，摩爾獨創的一項特色是「寢室熄燈」。就是只有在適合小朋友上網的時間才會允許使用者登入，該睡的時候網站就會關閉登入功能，避免小朋友沉迷到晚上都不睡覺

摩爾莊園 : http://www.51mole.com.tw

BabelWith.Me – 想用克林貢語聊天嗎？

Arguo — Mon, 22 Jun 2009 15:37:01 +0800

在國際化社會的今天，很多人都擁有第二外語的能力，但是即使如此，若不是長年旅居國外或是工作經常與外國人溝通，很多時候，真的想要聊得起 “勁”，似乎還是不如自己母語來的方便。BabelWith.Me 這個網站於是很貼心的想要幫大家解決這樣的問題，不管你是跟美國人、英國人、法國人、華人（啥，你看得懂，我想也是，不然你應該沒辦法讀到這裡），都可以很自然的溝通。怎麼做？就講你的母語就行了，BabelWith.Me 在中間充當翻譯，幫你英翻中、中翻英。

BabelWith.Me 使用的是 Google 的翻譯技術，目前已經支援到 24 種語言，但是其中並不包括「克林貢語」，所以喜愛星際迷航的朋友們，想要跟克林貢星球的朋友聊天的話，我想還需要等一等，等到克林貢星球也開始使用 Google Chrome 玩 Web 2.0 網站的時候，應該就會有這樣的服務了。

BabelWith.Me : http://www.babelwith.me