这是我这个帐号开通以来,最不冷静和最不客观的文章。在这件事上,我也并不想客观。
中国互联网里面,百度是个绕不过去的坎。它是个很大又很有钱的公司,它控制着流量,很多人直接或者间接的依靠它生存,人们恨它、离不开它但又不敢得罪它。
最近关于百度的大新闻,是百度把“血友病”贴吧卖掉了,并且这不是第一个被卖掉的疾病相关贴吧。过去人们总是批评百度的竞价排名之恶,但卖这些疾病相关贴吧运营权是比竞价排名更恶劣的行为,堪称恶中之恶。百度的竞价排名历史悠久,已经被太多人骂过了,多少让人们有了一些警惕。贴吧可不一样,它本来是患者病友们自己组织的社区,患者交流经验、分享治疗信息、互相鼓励,这是一件非常重要的事。如果你常看美剧,应该会有印象那种“AA互助组织“,就是大家围成一圈,互相讲述自己的痛苦经历。在西方国家,这是患者们非常重要的心理支援方式,在中国,线下的活动少,线上活动多,类似血友病这种贴吧某种意义上承担了这种职责。
弄清楚这件事之后,就很容易理解为什么百度把贴吧卖掉的行为是如此之恶,这就好像大家围成一圈,正在述说自己的疾病的痛苦,这时候活动的组织者说,你们不用这么痛苦的,我认识一个专家,治这种病很厉害,不用手术药到病除,我就是这么治好的。在这种情况下,患者们非常容易相信他,本来就是一群接近绝望的人,抓住一丝希望做为救命稻草完全不奇怪。可惜信了之后只有一个结果,就是被骗。如果只是一次骗点儿钱倒也算了,但实际情况是骗子总要长期控制住患者,源源不断地赚他们的钱,最后患者因此耽误了治疗,这就不是骗钱的事,而是人命关天了。
这不是我想象出来的夸张剧情,血友病吧的成员们本来常年跟骗子斗争,结果转眼之间,他们斗争已久的骗子买下了贴吧运营权,上来先把过去吧主的帐号全封了,再把过去关于自己的不利消息全删掉。血友病吧一点也不孤独,他们也不是第一个被卖掉的贴吧。
这10多年里,百度一直是盈利能力相当强的一家公司,甚至从财报看,利润率常常超过Google。这些利润从哪儿来呢?不知道有多少人记得前年(2014年)新东方董事长俞敏洪炮轰莆田系的事情,当时是新东方学校的一位老师,在”云南玛莉亚医院“分娩时候不幸去世。这是一家莆田系的医院,莆田系医院里面不是没有正常的,但是大部分都不正常,这早就不是什么秘密了。 有多少人因此致死致残,现在没有具体的统计数据,但我相信俞敏洪所炮轰的只是冰山一渣(比冰山一角还小得多)而已。莆田系医院的客户来源,主要就是百度,福建莆田市委书记梁建勇曾公开表示:“百度2013年的广告总量是260亿元,莆田的民营医院在百度上就做了120亿元的广告。” 这个数字很可能是保守的,当年各家财经媒体也估算过数据,他们估算的结果是甚至会超过200亿。就按照120亿计算,它也占了260亿的46%,再算上其他来自竞价排名的骗子,比如假搬家公司,假快递公司,各种假的电器维修…(部分骗子当年被曝光之后改掉了,现在少了一些)把这些都算上,总共能占百度广告收入的比例会有多大呢?我不知道,也不想知道,知道之后我怕吓得睡不着觉。
这件事是跟每个人都有关,你可能会觉得,我很小心,不会受骗。但你想过你的父母、或者那些对互联网还不怎么熟悉的亲朋好友吗?我问过不少百度员工,你们让父母用什么搜索引擎?他们一般避而不答。偶尔也有一些人会悄悄会跟我说,他们的父母用百度也受过骗,从医疗到生活服务,总有一款能骗住你。每家公司都会有人骂,有骂360的 ,有骂携程的,但比起来百度,中国任何一家互联网公司都算的上圣人。
百度这家公司倒是有一点好,凡是被大家注意了、媒体跟进了,他们就会说,”我们已经着手调查,如发现问题属实一定改正”。比如血友病贴吧这件事闹大了,最新的消息说百度改正了,血友病吧不卖了。但是高血压吧呢?还有更多早就被卖掉的疾病贴吧,又怎么办?这样的“改正”,百度做了很多次,比如:
- 百度改正过文库侵权事件
- 百度改正过竞价排名的假快递公司
- 百度改正过竞价排名的假电器维修服务
- 百度改正过竞价排名的假搬家公司
- 百度改正过百度百科里面错误的医学、科学名词
- 百度改正过强制设置浏览器首页
- 百度改正过不能卸载的插件
- 百度改正过在图片搜索搜“护士”搜出来一堆色情图片的问题
- 百度即将改正了血友病贴吧被卖事件
……
历史上这些事情太多了,列举不完。这些问题都是被用户和媒体发现了,闹大了,百度才会改正。我有时候都在疑惑,百度的产品、运营和管理工作,到底是他们自己的员工承担的,还是普通用户承担的。百度目前有5万员工,但是这些问题员工全都发现不了,这符合概率和逻辑吗?这简直中国互联网上最大的奇迹,5万多人,面对一堆令人轻则破财,重则致命的问题,不约而同的视而不见,更何况被坑的人里面还包括他们自己的父母和亲人,太疯狂了。
这些疯狂的事我已经看了10多年了,早就不相信这家公司有变好的可能性了。这就像是一个坏人,被骂了10多年,反而变本加厉的发明出越来越坏的事,你还会相信他有一天变好吗?
那么我们能做什么呢?比较悲哀,因为Google早就被轰走了,能全方位替代百度的产品几乎没有。但即便如此,也不能就放弃了。我本人持续了10多年站在写文章批评百度的第一线,其中有好几篇流传很广,写这些文章有没有用?我个人觉得还是很有用的,今天,中国互联网上反百度已经成为了一种政治正确,这是相当可喜的趋势,我觉得这跟我持续了10多年的努力是有一些关系的。希望更多人加入这个行列。这不仅是我们的使命,甚至是我们的义务。
除了键盘党,我也有一些比较实际的行动,我一个人的行动影响不大,但如果慢慢形成一种风气,积累起来就会有很大力量。比如:
- 我不允许我写的任何文章被百度百家转载,我不会去开专栏,也不允许转载我文章的人把我的文章再次发布到百家,一旦发现,提醒一次无效的话,我会永久取消对方转载权(如果读者发现了这种行为,欢迎告诉我)
- 我,以及我参与的项目,一概拒绝跟百度任何合作,赚钱也不干。去年百度旗下某技术平台曾经希望和我们的《神秘的程序员们》漫画合作,我们拒绝了。只要想到百度46%的收入来自莆田系,我就没办法从他们手里赚钱,那是货真价实的带血的钱。
- 给父母装上“丁香医生“和”用药指南“这两个app,然后反复多次,用各种方式告诉父母和亲人,不要相信来自百度的任何东西,有医疗方面的问题,用这两个app。这两个app是来自医学药学生命科学专业网站“丁香园”的产品,我信任他们。
- 只要能我能碰到的计算机,凡是有百度插件的我立刻会卸载它们,把百度/hao123设置成首页的,我立刻换掉他们,用百度输入法的,我会立刻给他们换个输入法。
- 抓住一切机会告诉相信你的人,不用百度任何服务,包括外卖和地图。反正你用什么早晚都会被装上被戏称为“百度全家桶“的所有软件,还不如极端一点,什么都不要用。
- 如果有认识的人去百度工作,那我一定会问他这个问题:“你让你的父母日常使用什么搜索引擎,如何能确保他们不被骗?” 这可不是挑衅,这是帮助他们注意到原本的存在盲区,是对朋友负责的行为。
10多年来,我一直这么做。这些习惯当然也给我带来过一些麻烦,也经常会面对别人的不理解,不过我觉得还是挺值得的,现在随着政治正确的氛围逐渐建立,做起来这些事情阻力也小多了。随着整个舆论环境的变化,我相信未来做这些事情会越来越容易。历史上,百度一直控制着流量入口,很多人对这些事情是敢怒不敢言。但现在,流量已经逐步转移到了App和微信,开始脱离了百度的势力范围。这是前所未有的好机会,千万不要放过了。
昨天,国家互联网信息办公室对“快播”案发表谈话,表示所有网站都应对传播内容承担法律责任。奇怪了,百度这些事情干了这么多年,钱赚了这么多,承担过法律责任吗?希望国家互联网信息办公室这个态度可以一视同仁,别光针对快播,也要关注一下百度嘛。
本文来自作者霍炬的微信公众号:歪理邪说 (wxieshuo)
微软周三表示,将在德国开设新的数据中心,由德国电信公司负责管理。此举旨在将欧洲各国政府和企业客户以及数百万公民的数据置于美国当局的触角之外。“这些新的数据中心将使客户能够充分利用微软在德国的云计算力量,并确保由一家德国公司来控制数据。”微软 CEO 萨蒂亚•纳德拉 (Satya Nadella) 在柏林的一次新闻发布会上这样说到。
这是美国大型科技公司首次承认无法保护客户数据免受美国政府的过度监控。
微软员工无权访问
根据微软的安排,两个新的数据中心将由德国电信 (Deutsche Telekom) 的子公司 T-Systems 负责运营,只用于存储微软欧洲客户的信息,但这些客户也将因此被要求支付更多费用。微软表示,T-Systems将扮演新数据中心的“受托人”角色,在未经该公司许可的情况下,微软员工将无法访问存储在那里的数据。
可能成为行业新标准
微软这一计划可能在整个行业引发连锁反应,从而创建新的严格的隐私保护标准,客户可能很快也向其他云计算提供商,例如谷歌、亚马逊和甲骨文等提出类似要求。微软相信,这一安排意味着其将无需再应对美国政府的直接压力,后者如果想获取这两个数据中心的资料将不得不向德国当局提出申请。
引言
中文域名,一个多么值得期待的事情呀,当本人接触互联网的时候,便在想象什么时候,网络是纯中文的,操作系统是纯中文的,软件是纯中文的……
当中文域名刚刚推出的时候,多么的激动呀,可是用过一会儿,我越来越发现,要让国人接受及使用所谓的“中文域名”是多么的难? 更何况我周围的家人及朋友,于是,我便在思考,我们到底需要什么样的中文域名呢?什么样的中文域名才能使我们想用,会用,能用?什么样的中文域名才能真正的吸引更多的华人上网?什么样的中文域名才能更好的适应社会的发展?什么样的中文域名才有可能捍卫中文在互联网的发言权?
事实上,我们具备这样的条件,从技术上来说,中国已经走出了完全模仿的互联网时代,以腾讯、百度、阿里巴巴等为代表的中国互联网正在不断的引领着网络的发展方向!
但是,为什么当中文域名推出之时,百度、腾讯网、新浪、搜狐、网易、谷歌、搜搜、淘宝网、优酷网、开心网,中国排名前十的网站没有一家以主推中文域名为主的?究竟是什么原因,连大型网站都不愿意主推中文域名,小型的网站就更不敢恭维了!
难道真的是因为中文域名不够“深入人心”?难道其定位只能是个招牌,而用不到实际生活中?难道中文域名真的只能是“昙花一现”?
于是,探路者便不得不反思一下,敢问路在何方?
在开篇之前,暂且对域名定义两个概念:“点域” “分域”
“点域”:是以“中文.公司”、“WWW.中文.公司”及“WWW.中文.CN”为代表,以“.”或者“。”为分隔符的域名,即现行的中文域名体系。
“分域”:是以类似于“新浪;网络”、“北京;政府”、“工商;银行”为代表,以“;”为分隔符的域名,“;”后面有两个汉字的新型域名。也可以说是“分类域名”、“分号域名”!
只有想不到没有做不到,中文域名的发展必然要经过一段曲折与坎坷的摸索之路。虽然“点域”与“分域”仅仅只是一个符号之差,却有可能开辟出一道新的航线!那么,我们先对“点域”(如“网协.中国”)的历史和发展进行一下探讨!
第一章 “点域”的历程
“点域”自推出至今已经有将近10年的历史,在这十年之中,经历了3721、网络实名等一场又一场的风波,至今已经有十年的历史,可是十年来,网络发生了多少翻天覆地的变化,人们惭惭习惯了搜索引擎,网址导航类的网站,在“中文域名”的议题上,国内连一套完整的理论,操作及实践的统一标准都没有,不仅有些让人心寒,当然我还是对“中文域名”充满期待的!
在互联网领域里的域名中,点域(“.中国”、“WWW.中国.CN”)是一个比较特殊的例子。暂且抛开爱国的因素不谈,在实际应用上,点域(“.中国”、“WWW.中国.CN”)域名的使用麻烦几乎是所有互联网域名中最麻烦的一个,而其的使用麻烦程度也决定了其在市场上的应用没有一点实质作用。但在去年得知,点域(“.中国”)即将成为互联网领域的标识,这也意味着点域(“.中国”)域名可以和“.COM”国际域名一样畅行于互联网之中。
在爱国情绪里,这固然是中国互联网在走向世界的标志,也是中华民族开始扬眉吐气的时候,但事实上我不这么认为,点域(“.中国”)域名只是一个互联网的产品而已,其在市场上能否有价值,更多的应该看其对于互联网的应用是带来便利还是带来麻烦,如果是前者,固然应该大力普及这个域名的作用;但如果是后者,那么我觉得与其做无谓的炒作营销,倒不如在中文互联网的内容规范上做点有实质意义的事情。
点域(“.中国”)作为中文文化在互联网上的发言人,其对于抚慰广大爱国者的自卑心理固然有着很大的作用,但前面已经说过,点域(“.中国”)既然是一款互联网产品,那么评判它的标准就应当以它在互联网上的价值来衡量。在实际的浏览器输入操作中,点域(“.中国”)域名需要对键盘进行相应的切换、加之其还对浏览器有一定的使用条件限制,因此在易用性上,点域(“.中国”)域名就已经和互联网的便利程度背道而驰。
再来看点域(“.中国”)域名在实际的互联网应用中也缺乏真正的实用性。如果只是用点域(“.中国”)域名来作为一个转发地址的话倒也无可厚非,但真正的URL地址在互联网上的作用,更是一种指示访问地址的作用,在这方面,点域(“.中国”)域名明显缺乏具备这样的功能。我曾经对点域(“.中国”)域名进行过相关的测试,比如使用全英文的URL地址访问徐静蕾的个人博客(http://blog.sina.com.cn/xujinglei),浏览能迅速打开徐静蕾的官方博客,假若这个时候我要收藏徐静蕾的某篇日志的时候,只需要在浏览器里复制这条地址就行了,这一切的操作程序都异常简单、方便。但是这样的程序在点域(“.中国”)域名下就不会如此了。在我之前的测试中,使用“徐静蕾.中国”能到达徐静蕾的官方博客,接下来,在我想要收藏徐静蕾的谋篇日志的时候,会发现浏览器里的地址仍然是“徐静蕾.中国”,下次我使用“徐静蕾.中国”的域名打开将是徐静蕾的主页,而不是我要查看这篇日志的文章地址。当然有人可能会提出,到时候提出全文字地址的形式,比如“今天参加训练的点滴收获(日志标题).个人日记(博客分类).徐静蕾(域名名称).中国(域名类型)”这样的形式,暂且不说这样的形式能否让人能一眼看懂不产生误会的情况,在这样的地址能否带来便利方面,即是点域(“.中国”)域名在市场上要面对的巨大考验。
因此,点域(“.中国”)域名能否在市场上成功的关键,不是看其是不是中国产生的,而是要看其能否对互联网的应用产生便利的作用。
之前看过很多媒体和个人对点域(“.中国”)充满了盲目的崇热,事实上,点域(“.中国”)域名能代表中文文化在互联网上的影响力固然是好事,但前提是要在以顺应互联网便利发展的基础的条件上。对于互联网的实际应用需求而言,爱国固然是每个人都应具备的情操,但将一个互联网产品牵扯到爱国方式上的行为,这就已经确实属于一种荒谬的行为了。
点域(“.中国”)目前在市场上的窘境还将来自于传播与品牌保护方面。依据官方的说法,目前点域(“.中国”)域名仅开通了“.中国”、“.公益”、“.网络”三种,在笔者的估计中,目前点域(“.中国”)域名如果全民即可注册的话,那么势必会造成大量的品牌域名被抢注的状况,假若实行有效注册的话,那么对于点域(“.中国”)域名的传播问题可是一个巨大的考验。
当然,最后最重要的一点是,点域(“.中国”)域名在互联网上的使用对象将决定着点域(“.中国”)域名能否在市场上风行的权利。在我看来,目前的互联网市场上,点域(“.中国”)域名的应用性在其他语言的浏览器上应用的几率不大,即使在中文浏览器上应用的概率也不会太高,因此在各种各样对点域(“.中国”)域名发展不利的情况下,我很难相信以点域(“.中国”)这样的中文域名能在互联网上创造一个奇迹。
那么点域(“.中国”)为什么不能成为主流域名呢?下面我将深度分析一下!
第二章 “点域”不能成为“主流域名”的深度分析
1、“点域”标准不成熟 不具备大众基础
点域(“.中国”)在设计之初参考英文域名,所以在根本上就和使用中文的用户习惯相悖,况且没有经过用户调查,所以在脱离群众大众的情况下进行“闭门造车”是行不通的!
点域(“.中国”)在解析的时候,须经转换为 xn-xxxxxxxx.com/.cn 形式的ASCII码,后者称为Punycode。“.中国”后缀不被标准的解析服务器支持,类似的“.公司”实际使用是需要附加.cn后缀,或者使用CNNIC的浏览器插件才能解码使用,因此DNS解析的Punycode会被转化为 .xn-55qx5d.cn 后缀,“.网络”也类似。而目前的中文域名也有诸多的形式,如后缀为英文的中文域名域名:中文.COM,中文.NET,中文.ORG,中文.CC,中文.CN;另一种是则是中间为后缀为中文的中文域名: 中文.中国 中文.网络 ,虽然在某些浏览器中“.”与“。”在地址栏等同,但这又造就了一系列的标准问题!不严谨,不方便,不习惯!
一个十年都没有得到消费者认可的产品,也只能说其不得民心了!
2、用户习惯至关重要,点域(“.中国”)标准不适合国人
中文域名创建之初的宗旨是让中国人更好的上网,实用为先,而不是建立在目前状况下以“所谓的商标保护”为鳌头的推销政策上面!
虽然点域(“.中国”)的中文域名中间的“.”与“。”等同,但对个人而言,其不符合常规的书写规范,所以基本上在体验之后便不会再去使用。对于企业而言,成本太大,一方面,用户输入习惯并未形成。另一方面,如果在广告上打上“中文.中国”那么很多人便认为只有输入“中文.中国”才能进入网站,频繁的切换输入法,将会使用户放弃使用,若用“中文。中国”,包括IE8在内的好多浏览器根本不支持“中文。中国”这样形式的中文域名。所以企业目前根本不可能押宝在“点域”上面,这就大大限制了中文域名的发展!
正如大多数网友所说的,输入一个域名,需要四道手续: 1、切换中文输入法 – 2、切换英文输入法“ . ”- 3、再切换中文输入法 – 4、按Enter 键或点击进入,(我的神啊,我上一次网站就这么难?) 看一下“海尔.中国”和“haier.cn” ,我估计八百年,也不会用“海尔.中国” 这样的域名!
只有让国人想用,会用,又觉得好用的中文域名才能成为主流,才能成为时尚,而点域(“.中国”),既不具有实用性(输入还相当不方便),又不美观 (WWW.海尔.中国 这样的相当别扭)! (WWW不是必须的,中文域名当然是不带www好看即如:http://海尔.中国 或者 https://海尔.中国) 所以对于用户而言,不会成为其首选域名,自然就形成不了使用习惯,更不会向别人推介使用中文域名,这样的恶性循环最终会使“点域”走向“没落”!
3、实用决定话语权,用户支持才是底气
一个连大多数国人都不想用的域名标准即便是成为所谓的“国际标准”,其结果也只能让人觉得尴尬,当N年以后,点域(“.中国”)的标准被国人弃用之后,那么“中文域名”一词也只能被人称之为笑柄!最终淡出人们的视线。
实用,好用,乐用 才是互联网产品成功的秘诀!而点域(“.中国”)相对于英文域名(ABC.COM,ABC.CN),显然不具备这些条件,其价值也就真的“不可估量”!
4、点域(“.中国”)经不起未来域名市场冲击
2010年,负责网址[分配]的非营利性机构“互联网域名与编号分配公司(ICANN)”, 计划对顶级域名制度进行两处修改,这两项动议对政经界人士影响重大。
第一项变革,包括扩充诸如COM、BIZ及ORG之类的通用顶级域名数量。目前这种域名仅有21个,但国家与地区专用[网]址却有280个,如中国的域名是.cn而欧盟为.eu。明年开春,若一切按计划进行,ICANN就会受理任何想要创建新通用后缀名的竞标。那些[域名]获准后将可在2011年投入使用。
另一项策略变更是,ICANN将首次接受非拉丁文的顶级域名竞标——鉴于世界17亿网民有超过一半使用非罗马文字作为书面语言,这一举动显得姗姗来迟。现在网民上网,比如说,俄罗斯用户上网,得切换成拉丁文输入法键入域名;而按照新办法,他们将可用西里尔字母(即古斯拉夫字母)输入完整地址。这些称之为“国际化域名”的新地址可使用诸如中文和阿拉伯文之类的语言。
要想成功竞得一个新顶级域名,投标者须向ICANN一次性支付费用185000美元,并表明其有能力经营一家注册服务公司,以管理使用该后缀名的全地址销售业务。这些中标者还要经受其他测试。最终,该程序会创建数以百计、抑或数以千计的新域名。公司会纷纷注册自己的商标域名——预计会有.Nike或.Virgin——而地方政府也会竞购地址来推介本地活动。譬如,纽约城据说已瞄准了.Nyc。
假如ICANN开放顶级域名的注册,Google,微软,雅虎,FaceBook等国际大型互联网公司必将在短时间内推行免费顶级域名,谷歌推域名解析服务Public DNS,相信不久的将来,其必然也会推出免费的域名服务!将会对中国现有的域名体系进行强烈的冲击,等到再挽救时,可能就为时已晚,到时候且不说国内有那几家公司能与之抗衡,就连域名的主导权都将可能丧失!更别提脆弱的中文域名了!
5、错误的定位,最后只能是“赔了夫人又折兵”!
如果中文域名只是为了作商标或者信息安全的话,还不如全额收购“.CM”(驰名)的域名系统。更容易做到域名保护,同样也会有更大的注册量,赚足更多的人民币!所以说如果中文域名不做革新,只是单纯的追求替代英文域名,或是追求更大的经济利益的话,最后只能是“赔了夫人又折兵”,在市场尚未成熟,人们尚未接受点域(“.中国”)的情况下就收费,最后只能是获取短期利益,而不会“可持续发展”!当有一天中文域名的注册者们发现,“.公司”这样的“点域”域名并没有人去访问时,他们还会为不切实际的东西买单吗?去续费吗?
为了引起国际互联网社群对中文域名的关注,CNNIC先后联合港澳台的互联网信息中心成立中文域名协调联合会(CDNC),随后存在同样异体字等效问题的日本和韩国也加入进来,这些力量和声音引起了IETF的关注,中国互联网开始在世界崭露头角。从CNNIC接到IETF邀请函的那一刻起,开启了中国制定国际标准的大门。
在这之后的2006年10月13日,由李晓东为第一作者的《中文域名注册和管理标准》被IETF正式获准通过,编号为RFC4713,成为CNNIC主导制定的第二个互联网国际标准。
经过多年的技术攻关和国际协调,CNNIC主导制定的《中日韩多语种域名注册标准》、《中文域名注册和管理标准》先后获得国际互联网技术标准制定组织IETF的批准,破除了纯中文域名在全球互联网及域名系统中使用的技术障碍。
对于百度来说,今年实在是个难迈的坎儿:7月28日,百度发布了第二季度财报,不想这份数据亮眼的财报却引发了百度股价大跌,一日之内市值减少了100亿美元,其掌舵人李彦宏身价缩水20亿美元;10月8日,美团与大众点评联合声明“合并”。消息传出后,百度股价在美国股市交易中下跌3.4%。
作为传统互联网BAT的带头大哥,百度今年为何形势极其严峻呢?大家都说是“O2O焦虑症”惹的祸,这一点我并不否认。不过,归根结底还是百度“心态”的问题。“心态”摆不正,势必会影响决断和发展。
“小动作”频繁,迷失心性
正在大众期待观战百度10亿红包如何砸晕“新大美”之际,不想半路却杀出个程咬金。近日,应用搜索和分发平台豌豆荚对百度相关产品进行了封锁:能搜到但不提供下载,并推荐其他相关产品。
豌豆荚的炮轰绝非一时冲动,而是对百度助手的报复性回击。事件源于今年1月8日百度手机助手屏蔽豌豆荚,导致每天有数万用户得不到他们想要的搜索结果。豌豆荚联系百度助手团队多次后,始终没有得到任何回复。
实际上,这已经不是百度第一次搞这样的“小动作”了。去年4月30日晚上,UC浏览器微博发布了《关于UC浏览器和神马搜索可能被百度系“误操作”的声明》。UC在《声明》中提到,在神马搜索的结果里,如果有百度贴吧、百度知道、百度百科等内容,用户点击后会立刻出现一个几乎遮住整个手机屏幕的弹窗,提醒用户来自未识别的搜索引擎,并建议用户改用“更安全的手机百度”。
回顾百度的“战斗”史,“小动作”的确不少,但毕竟都是小规模、隐蔽作战。可是近两年来,百度的“小动作”却开始肆虐疯狂、招摇过市起来。互联网本就是一个兼容并包的过度,如果总以上不了台面的“小动作”来封杀竞争者,衰败是迟早的事儿。
控制舆论,反遭“炮轰”
众所周知,百度最核心的业务就是“搜索”,更是全球最大的中文搜索引擎。本来是一种值得炫耀的看家本领,却不想百度利用其市场支配地位来控制舆论。尤其令人吃惊的是,百度不仅对央媒进行威胁,甚至敢与微博的正常运营。
两年前,百度发出内部通知:各家网站请注意,请在下周一之前清理图集页产品上的360导流链接。对于仍有360任何链接的图集页,我们会不予选用,不排除将相关网站的百度hi请出图片推稿群。目前发现群里面仍有此问题的是:中新网,光明网,中国网。其他网站也会不断监测,欢迎检举揭发。认证为前数字天堂市场部经理的加V用户,在新浪微博转发以上内部通知后,新浪微博便将内容封杀库存。
在流量为王的今天,百度新闻收录甚至可以决定一家网站的生死。对于商业化盈利诉求并不高的央媒尚且如此,对于普通的网站该是多么的霸道。在城管肆虐的年代,新浪微博都坚强的挺了过来,为什么一篇百度相关的负面都要急于删除呢?
也许有人会问,百度控制舆论到底恶劣到哪种程度呢?这就不得不提百度创办的自媒体平台—“百度百家”了。有兴趣的朋友,可以点击进入百度百家,输入“百度”关键字后,便会发现其中的“秘密”。满屏全是百度满满的正能量,任何关于百度的负面消息早已被扼杀在摇篮中。
自媒体本就是一个畅所欲言,多家观点并存,相互激励、伸张正义的平台,百度这么执拗于包庇自己的“短处”,谁还会信服百度百家所传播的观点呢?从道义上讲,用户也会因为百度的“小肚鸡肠”而失望。
从另外的角度看,一个不敢直面他人批判的企业,是一种不自信的表现。这样的不自信,无疑会影响投资者的判断。
调整“心态”方为正道
从打车大战到新春红包,从移动支付之战到O2O圈地之争,阿里和腾讯几乎占领了所有媒体的头条。百度感到不安、感到恐慌,鼓励狼性,这些实乃人之常情。但是,面对移动互联网带来的新竞争、新挑战,百度现在急需的是从容和淡定,认真分析自身的优劣,方能把控突围的有利时机。
首先,搜索主业亟待重整。
360推出搜索业务后,便以迅雷不及掩耳之势在10天内取得了超过10%的市场份额。当大家都以为360靠产品导流的增长潜力不大之时,360却越战越猛,一刀捅向最基础的业务—- PC端搜索。在PC端遭到360狂追猛打的挑战后,百度移动端又遇上一个360式的对手—-UC联合阿里推出的神马搜索。要知道,UC浏览器在移动端拥有超过65%的市场份额,而浏览器+搜索永远是天生一对的。
其次,百度外卖并不优于大众点评和美团。
尽管大众点评和美团的联姻更多出于“抱团取暖”,但这并不代表百度外卖就明显优于两家。从百度外卖主页我们可以看出,其最大的缺点是合作的餐馆相对少较少,而且三四线城市亟待开拓。即便是用10亿红包来砸用户,商家少、地域有限,也就意味着用户选择少,再多的补贴也很难花出去。
孙子兵法曰:知己知彼,百战百胜。先了解自己差在哪儿再去迎战O2O,要不带着焦虑症盲目冒进强的多。前提是,百度必须树立一个理性、健康的“心态”,否则只会离正道越来越远。
大家好,我从香港飞过来以为北京很凉快,结果没想到这儿比香港还要热,很奇怪。今天我确实是专门飞过来参加这个会,两个原因,一个小艾是我的学妹,另外还有一个原因她刚刚没说,她还是我的老乡。我母亲是晥南人,她也是晥南人。我们投了晥南70多亩地的小宅子。我和艾诚我们在一起聊天,我们学术上好多背景也很接近,所以我们很聊得来。这是第一个原因。我觉得第二个原因其实是这样。我觉得中国的媒体其实不好做,我们也投过媒体,也投过电影,应该说是赚了钱。比如我们投《同桌的你》,2200万的投资,5亿多票房,都赚了钱。但是我们知道中国投资领域不容易做,小艾有很多工作机会,但是她愿意下海来做媒体创新的东西,我觉得这是一个非常好的一件事情。中国媒体假大空的东西忽悠的东西太多,小艾他们借助在新媒体上接触一些更加接地气的,于我们生活大潮相关的东西,我觉得应该是支持的事情。
我今天想跟大家分享的是我把它叫做回归理性回归常识。因为大家感觉到在中国过去两年中间,最时髦的词可能就是“创业”、“投资”。坦率讲在这个行业中间可能很多人也都知道,有大量的泡沫的东西在这儿。我想我今天分享的一些东西可能不是大家特别爱听的东西,尤其是媒体在这儿,我没想到这么多媒体的朋友,我是比较怵媒体的,如果媒体,任何一个人讲的话断章取义就是非常可怕的。但是我为了年轻人创业能够更加理性,能够希望他们对过去这些年看到那么多失败的东西,我们看经验能够跟他分享,帮助他们少走弯路,这是最主要的想法。所以如果说的中间不太好听的事儿,你们姑且听之,总之是好意。
今天我们创业时代,这是最好的时代,也是最坏的时代,这是狄更斯《双城记》里的开篇第一句话,但是对目前的中国特别适宜。在今天最好的时代就是互联网,我们互联网、O2O、P2P,你看今天小艾在做众筹,一片阳光一片灿烂,大家都在等着拿钱了。但是也是个最坏的年代,但是我们看传统经济,中国经过30年的改革,几乎每个地方的传统经济都面临巨大的困难。中国的钢铁过去几年消耗了我们一半以上的钢铁。最近200年之内,大概我们生产全世界四分之一的钢铁,河北省占了整个钢铁的生产量二分之一,但是它的产能都是过剩的。我们消耗了全世界60%的水泥,我们消耗了30%的铜铁。我们水泥厂是全世界最大的,所以中国产能过剩,以及对于我们传统行业已经到了生死关头。我们在这儿大家看不到,如果你走下去看,大量的二三线传统行业已经活不下去了。这是一个英雄辈出的年代,一个人站起来一件事,但是一个人倒下来也是一件事。比如说EMST,做特斯拉的车,大家都认为他是乔布斯的英雄,但是今天,你们可能不知道过去一个星期之间特斯拉的股票跌了16%,今天华尔街日报上写有可能特斯拉一夜之间从英雄成为一个罪人。
我们大家都知道手机,大家都拍手机,都用自拍杆,但是都关注自己,而忽略了他人的存在,导致了道德崩溃。所以我们大家每个人都会有很多事儿,于是创业潮,放高利贷的改掉了众筹,做耳机的改造可穿戴设备,办公室出租叫孵化器,搅局叫风险投资。创业之所以成为风尚是因为人们都相信风来了猪也能飞上去,于是等风跟风忽悠成为眼下创业的新常态。我也用好多名词来说明这个事儿。
我们所碰到的情况就是创业企业在点击率、在用户数转化率等数据是全商业的造假,而且造假夸大已经成为中国互联网常态。我也曾经呼吁,我也看到我们做创投的同事也在呼吁,我们希望能够讲真话,但是在这样一个大潮下我们目前还没有看到,整个风向还是大家都说假话,而且说的越来越大。你比如说我们发现一个真实的情况,他融了2000万人民币结果他说融2000万美金,我们好多融资都是把人民币改成了美元。最早融了8000万说上亿了,这个也有。现在大规模的说假话在我们投资人20年的历史上还是第一次见到。在表面的繁荣上大量的O2O和P2P公司濒临倒闭,我相信今后是大量的。从我们过去20年投资时间,成功率无论是中国还是美国,概念大概不超过1%。今天我们看到的创业公司大概95%以上在几年以后会死掉。就跟鲁迅讲过有人生孩子,将来要当官这孩子将来要发财,他打赏。唯一说这个孩子将来要死,但是他会被痛打。问题在于创业的成功到底需要什么?
什么是创业?创业说白了就是自个儿干。说的更好听一点更学术点,我们说创业是指创业者发现商业机遇,并且把商业机遇变成商业价值的地方。一定要有商业价值。从我们体会来讲,第一需要有眼光。你能不能看到,或者一百个人看到你就没有机会了,稍微比别人早一点看到。第二你要把这个机遇做成有价值你得要有操作能力,如果没有操作能力通常都是扯淡。创业需要有组织能力,小艾他们是一波人,不是一个人干。所以创业需要有组织能力。另外一个我们需要有创新,赚钱,我们今天开餐馆说不定也能赚钱,但是这种我们通常指的不一定是机构投资人能够投资的东西。其实在我们生活中有大量的经济的活动它并不适合于机构投资人来投,比如说捏脚这个事儿,挺好,大家挺舒服。但是大家投资捏脚就不容易投,基本上一交税就完了。创业有价值才能够创新。怎样才能创造价值?通常创造价值指两个方面的事情,一个是你创造新的产品和服务,别人没有做的。比如最好的创新叫高通,大家用手机,大家可能都不太知道。高通很牛逼,我们想通过1亿美金想把它这个CDMA给破掉,他把所有骨干的东西都做。什么叫做码分多址,我们平常打电话两条对路,一个去的通路一个回的通路,这样我们两个人说话就可以了。
现在大家都在说互联网思维,我经常在琢磨,人类历史科学发展的东西,对于我们人类最重要的就是蒸汽机,瓦特发明了蒸汽机,他的发明超过互联网,因为这是人类历史上第一次作为动力推动我们的活动。但是我从来没有听说过蒸汽机思维。我们读书的计算机时代,从大计算机到个人电脑我也没听说过有计算机思维,为什么到了互联网时代就有互联网思维?可是互联网思维就是常识。我读完北大EMBA后就是说常识,没什么理论。
第二个是通过创新的服务你以更低的成本提供产品和服务。为什么这么难,历史成功率大于1%。我们小时候读过一个算术,我们证明一个定力知道所有的证明。一个定义不存在,一个就成立。创业也是,你在相当长历史时间里面你不要犯一个大错,因为犯一个大错你就失败了。所以有很多小的成功来决定起来的。
另外一个我们发现在人类历史上当有大事件的时候,一定是尊崇大数据。比如说我们这中间绝大部分跟我差不多,中不溜,也不算好看也不算难看,但是像小艾在这边,长的特别难看的有这么多。因为人的出生是互不相关的一个事件,所以这是大的定义。但是创业来讲,你的成功不是正态定义,只有这么几个人成功,他的价值所有人就会加起来。您会发现很有意思,过去几年里面我们发现往往在一个基金里面你会有一个项目它的回报超过你整个基金,第二名的回报超过其他的价值。很有意思。所以创成功是属于特定人群,我要是知道谁能够成功谁能够不成功,我今天立马放弃投资,我去做算命,我就说张三李四成功,王二麻子就不可以成功,然后你们每个人给100万。
哈佛大学经济学教授他讲企业家精神一个是首创精神,成功欲,冒险精神,以苦为乐,精明理智和事业心。时下创业的冬季是原子对财富和声名的渴望,大多数成功的创业者多是为实现某种梦想和超越的东西。我们大家都说中国梦,我3岁就开始做梦,但是梦是不搭界的事儿。我天天坐车要坐一个小时地铁上班,我不想干了,我就在家里卖车,这是创业。所以创业不是高大上,都是扯淡。但是创业能走多远,和你公司能走多大,比如说你这个公司要挣一百万还是一个亿,这个就很重要了。这个就是宗教的东西,什么叫宗教的东西,就是超越历史之上的东西。我跟马云很熟,2001年代表软银做了阿里巴巴三年董事,马云大家都知道特别会说,因为做老师。这哥们儿一个特点特别会忽悠,但是他忽悠的东西还真信。我记得2001年我们有一次在西湖上那时候他连工资都发不了,老师给我打电话说您要飞一下杭州,帮一下杰克。那时候2001年我们想全球互联网是泡沫,那时候美国没钱,硅谷那时候基本差不多完了,中国没钱,硅谷也没钱,所以日本有钱。他租了一个飞机过来。我讲中国投资,马云讲中国互联网,结果马云讲的慷慨激昂,满嘴白沫。但是马云到今天还是,他真信这玩意儿。我要像他肯定不信这玩意儿,所以这个是不一样的。所以非常重要的一点就是你做什么事儿真想把它做大,一定要有一个超越你自身利益之上的东西。
现在讲拥抱90后,这东西扯淡。我们创业成功大部分30岁到38岁之间,90后啥都不懂怎么可能创业比别人好,唯一一个可能手游做的比别人好,70后、80后都不玩,这是你可以干得事儿,这是扯淡的事儿。
从历史来看,在这样的人口大国,集体性行为,无论是政治的还是经济的,基本都是导致灾难性的后果。远的不说,三年自然灾害,文革,都是灾难性的东西。
刚刚讲了最后一个问题就是创业的共性是什么,我尽量时间快一点,别到时候小艾说我时间占的太长。其中有巴非特讲的长长的雪道,就是你市场一定要大。巴菲特说投资挺简单,找长长的雪道,最好雪还湿一点。他说的很简单,我们赔的稀里哗啦。他做都可以,我们做三年是不靠谱的事儿。巴菲特的话只是听一听而已,学不到。学到裤衩都没了。第二个商业模式的可扩充性,你天天在家种稻子挣不钱,为什么互联网成功,互联网我游戏20万人肯定赚钱,低于20万人肯定不赚钱。
清晰的盈利模式,我们听了很多年轻人来说不赚钱,我怎么赚钱,我烧钱。大家把这个重要的东西搞糊涂了,什么叫企业,企业就是以盈利为天职的。未来多赚钱现在少赚钱是可以的,但是你一定要知道怎么赚钱。现在有企业不知道,现在不是好多人卖猪肉,19块钱一斤,1块9买10斤,把中国的买肉的都杀了。我记得我在朋友圈还转了一下,你有没有算过要补贴多少钱。所以不管做什么,你要创业一定要有一个比较清晰的盈利模式。
另外要有核心竞争力,什么叫核心竞争力?说白了别人不大容易超你的。说的更精确一点你有定价的能力,或者你没有定价能力你别干。
另外一个制度化、透明化管理,企业做专权专制,等到大了就不行。我们企业早期做了好多错误,2000年好的项目,从美国空架回来CEO、CFO、COO、结果大部分回来创业90%全死了。所以小艾你要做专注。现在很多民营企业家做一件事儿,投资,生产,物流,今天投物流,明天投外汇,结果没几天企业折腾破产了。其实大部分人都是中不溜,中国差不多,我也差不多,我要做的好也拿诺贝尔奖了,要不然我也不会做的这么差。现金流的把控。
最后我讲对商机时间的把握,领先0.5步,中国科大有一个教授就是太早做的基本上都死掉了。但是企业DNA最重要的就是要有一个好的领袖。
我尽量让讲的本来很枯燥的东西生动一些。领导特别重要,什么叫领导?我们知道领袖一定是聪明人,我们经常听到很人这个人很笨这个人很聪明,但是什么叫笨?基本上很少人有研究。基本上美国对聪明人有系统的研究,第一个他发现聪明人都有比较强的猿人制的能力。什么叫猿人制,就是对支持的支持比较强,他对学习的方法比较强。我们同班同学有一个同学天天打球天天玩,他考试就是考的好,你也不知道什么时候学习,他学习的效率就是普通人十倍,这种人就是比较聪明的。另外有比较强的逻辑性的思维跳跃,你比如说我们跟聪明人谈话你就知道他知道结果,他中间逻辑性又很强,但是他具有逻辑性的跳跃能力。这种人都是聪明的我在北大看CSYA出去的,天天不度如,一考试考第一。有人跟他证明没问题,这哥们儿就是疯子,没人懂他说什么。我觉得爱因斯坦谈话肯定应该差不多,他一讲话肯定我们听不懂。另外好奇心,聪明人都有用简单的语言解释复杂问题的能力。比如说我们创业者说半天叨叨叨不时间说什么,所以你通常把话题问题抓住蛮重要。
最后说一个供大家参考,哈佛LDS的研究,对于想做创业的同事们大家可以认真参考一下。结果这个问题的提出是说在商界,在政界、在学界,在任何艺术界,在任何一个地方,什么样的人能够成为领袖,成为leader,而且这个leader一定有什么共性的东西。结果发现这个领袖的共性有一个特别重要,就是具有非常强的同理性或者叫移情,就是你能够和你的对象,你的对手,在你做决策的时候你能够把决策放在对方的位置上,在对方的位置上做出你的决策。我们中国有句话讲换位思考,但是换位思考没有强调决策,美国说不仅思考,还要做决策。所以leader要有共性,第二个要诚实,有个人格魅力。这是我们刚刚讲的回到理性,回到常识。另外同时具有传教士和杀手的形式,什么叫传教士,不厌其烦的被别人布道,要像马云说一件事儿天天说,说的自个儿都信了。比如说阿里十几万人砍掉一半,能不能下得了这个手。所以这个leader就要有传教士的能力。就讲到此为止,谢谢大家!
日前,公安部、中央网信办、中央编办、工业和信息化部联合发布了《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》(简称《通知》),《通知》指出:为提高党政机关、事业单位和国有企业互联网网站安全防护水平,防范和打击境内外不法分子攻击篡改、破坏网站安全的违法犯罪活动,维护党政机、事业单位和国有企业互联网网站安全稳定运行,保障网络安全和国家安全,公安部、中央网信办、中央编办、工业和信息化部决定,自2015年9月底至2016年6月底,在全国范围内开展党政机关、事业单位和国有企业互联网网站安全专项整治行动。《关于印发〈党政机关、事业单位和国有企业互联网网站安全专项整治行动方案〉的通知》
电商“大促”:不得限定退货条件 赠品应提供三包服务
从10月1日开始,电商平台再进行集中促销活动必须遵守《网络商品和服务集中促销活动管理暂行规定》,否则可能会被查处。
《规定》明确要求,第三方交易平台不得采用格式条款设置订金不退、预售商品不适用七日无理由退货、自行解释商品完好、增加限退条件等排除或者限制消费者权利、减轻或者免除经营者责任、加重消费者责任等对消费者不公平、不合理的规定。此次《规定》对赠品也有了严格限制。《规定》要求,网络集中促销中附赠的商品,应当依照《消费者权益保护法》和《产品质量法》的规定提供“三包”服务。
新《食品安全法》史上最严:网购食品出问题 第三方平台需负责
按照新的《食品安全法》,消费者通过网络交易第三方平台购买食品,其合法权益受到损害的,可以向入网食品经营者或者食品生产者要求赔偿。
网络食品交易第三方平台提供者不能提供入网食品经营者的真实名称、地址和有效联系方式的,由网络食品交易第三方平台提供者赔偿。在第三方平台提供赔偿后,消费者还有权向入网食品经营者或者食品生产者追偿。
手机流量当月不清零:流量能留一个月 默认开通该服务
中国移动、电信、联通三家运营商正式对外公布,10月1日起为手机上网按流量计费的月套餐用户推出套餐内流量当月不清零升级服务。
届时,手机用户无需申请,即可开通此项服务。开通后,套餐内的流量当月内用不完,可以转存至次月优先使用,但剩余流量不能累计到第三个月。此服务仅针对手机上网按流量计费的月套餐用户。
互联网保险步入“规范发展”轨道:第三方网络平台退出管理 不得代收保费
10月1日起,保监会下发的《互联网保险业务监管暂行办法》将正式实施。《办法》采取与线下产品一致的监管要求,通过明确列明禁止性行为的方式强化保险机构和第三方网络平台的市场退出管理。
《办法》规定,投保人交付的保费应直接转账支付到保险机构的保费收入专用账户,第三方网络平台不得代收保费并进行转支付。
先跟读者道个歉,最近一段时间有点忙,好久没更新。而写文章这事,一旦有一段时间不写就会越来越写不下去。很长一段时间我甚至不敢打开公众帐号后台,一怕被催稿,二怕看到惨烈的退订数字以至于更不敢写…非常感谢各位还没退订的读者,我未来一定争取保持一个合理的更新频率。
最近XcodeGhost导致的严重安全问题,相信大家已经从各个渠道知道了。简单概括一下,有人在中国网盘和论坛上传播了一个修改过的Xcode,这个版本的Xcode会在编译出来的App上面加一些可以被远程控制的代码,并且发送数据到某个服务器上。这是iOS出现以来,未越狱系统遭遇的最大安全威胁,在此之前苹果的Sandbox模式几乎没遇到过挑战,iPhone用户甚至大量iOS开发者都认为系统固若金汤,不可能遇到问题。
在XcodeGhost开始被媒体报道的时,很多人大大低估了它的风险。我在乌云报道这个问题的当天,在朋友圈上建议大家先把中招的app都删掉,并且立刻修改iCloud密码,开两步验证。甚至遭到了不少人反对,还有好几位iOS开发者告诉我这件事没什么大问题,因为iOS有Sandbox,不会造成什么伤害。当时网易也发了一个关于云音乐被感染的说明,也是类似不痛不痒的口气。这些说法当然都是大错特错的,会有这种想法,是因为只会站在程序员角度看问题,如果对安全问题稍微有一点敏感性,就会立刻意识到这是极严重的威胁,稍微发挥一些想象力就会被吓着。
所谓安全威胁,大部分都是在获取到非常有限资源的情况下,利用社会工程学(俗称:骗)来达到目的。比如,你觉得让别人看到你的通讯录有什么问题吗?很多人会认为虽然不舒服,但不会有什么威胁。实际上,骗子会从通讯录里面挑出来你父母的电话,打电话去骗他们。所以,这和iOS有没有sandbox,能不能保护系统安全没关系,只要我获得了一个机会,能控制你信任的app上弹出对话框,我就可以利用这个对话框来骗你输入系统的重要密码。程序员应该想象力再丰富一点,不要把目光局限于“系统给了我什么权限”,而是要扩展到“如果我被完全信任了,我能进行什么样的欺骗”。
我不打算在这里讲太多直接的安全问题,毕竟已经很多人分析过了,在好几篇非常不完善,极大低估这次事件威胁的分析文章之后,腾讯给出了一篇相当详细的分析,比较符合我的观点,也把问题的严重性说的非常清楚。在腾讯的分析里面,说可以利用OpenUrl来操作用户拨打电话,同样又有iOS开发者说“OpenUrl不能控制iPhone打电话”。事实上,OpenUrl可以弹出一个带有固定电话号码的弹窗,上面有“拨打”和“取消”两个按钮,这确实不算直接拨打了电话,但如果给一千万个用户在某个特定环境下弹出一个这样的窗口,其中有多大比例的人会去点“拨打”呢?如果程序员不去提高想象力,总把安全问题和功能局限在系统文档提供的“能做什么”这个范围内,软件的安全性实在让人难以信任。
具体的安全问题有更专业的人去普及,本文不多说,在这里我更想谈谈关于信任的问题。在这次事件中,也有一些人想起了Ken Thompson大神(Unix系统/C语言的前身B语言/Go语言的直接贡献者,称作Unix之父也不过分)在1984年的一次演讲,在那次演讲中中,Ken讲了他在70年代在贝尔实验室捉弄同事的一次恶作剧,在那段时间里面,实验室里面所有的Unix系统,Ken都可以随便以最高权限登录,而同事反复检查用户,权限,甚至是当时使用的Unix代码,都没查不到后门,百思不得其解。14年之后,Ken在这次演讲里面才公开,后门其实隐藏在他写的编译器中,当用编译器编译Unix系统的时候,后门就被放在了编译出来的系统里面,但Unix本身的代码是干净的,所以同事无论如何也查不到问题。Ken的演讲所提到的核心问题并不是如何入侵一个操作系统,而是信任。其标题“Reflections on Trusting Trust” (我翻译为”深入思考我们信任的可信”,以下简称RoTT)开宗名义,明确强调这一点。
在80年代曾经有很多人用这样的办法给开发工具加各种外壳和后门,但当时联网条件并不好,很难产生大规模影响。很多案例是发生在相对封闭的企业内网和教育网中,Ken捉弄同事的原始案例也可以看作是企业内网上的传播。可以说,RoTT能产生的影响一直被人们低估,因为在现实世界想要具备适合它的条件,实在是太难了。历史上,虽然有很多底层代码Bug导致的安全事件(比如之前的OpenSSL心脏出血漏洞,可以参考我的另外一篇文章,点阅读原文可见),但直接通过这种在基础工具上制造的后门,从而衍生的大规模安全事件,从来没有真正发生过。这种手法一般是用在有限范围的网络上,比如在早年的教育网上或者企业网络里面,那时候在内网上传递一个被下了毒的软件,很容易传播开。
在互联网上,如果要重现Ken的案例,首先需要找到一个可信的源头感染,这本身就已经是极其困难的事了。用这次的事件做例子的话,在正常情况下,用户是通过Mac App Store来下载Xcode的,在下载安装的过程中,OS X本身会替用户进行加密签名校验,保证下载的东西确实是苹果原始分发的软件,这样才能被安装到用户的机器上。如果想把在Xcode中嵌入一个后门,你得先找到Apple服务器的漏洞,才能有机会把自己改过的包上传上去,而且还要弄到苹果的私钥去进行签名,才能装到用户计算机上。但如果同时具备了这两个条件,已经是荣华富贵唾手可得,有的是更可靠,获利更大的做法,谁又肯去舍近求远感染一个Xcode呢?
所以,只有在相对封闭的网络环境下,才有可能玩这个把戏。80年代,网络远远没有今天发达,人们更多的下载和网络活动是分布在各大机构自己的网络里面的,比如大型企业的内部网络,相对于互联网,这些内部网络网络速度会快的多,人们通常更倾向于从内部网络获得软件。这就给了入侵者(通常是商业间谍)通过替换内容软件来侵入公司内部的机会。但内网又造成了另外一个问题,在封闭网络下,入侵者获得的数据也没这么容易拿走,必须还要回到内网才有机会拿到之前的战果。这些特性造成了这种做法始终在小范围内有效,在公众网络上性价比不高。
这次XcodeGhost事件会给很多人启发,中国目前的网络环境类似于80年代的企业内网,但规模又比当年的内网大的多,而且不像那么难以进入。 于是,一些80年代流行但没造成大规模影响的办法,有机会可以在中国环境下重新应用了,并且造成巨大影响。以前的创业是Copy to China,现在同样可以复制30年前的安全问题。
Ken的演讲最后指出,你没办法信任那些不是自己写的代码。80年代达到这个目标尚且有可能,那时候的软件规模还很小。而今天,任何工作都需要建立在大量的现成软件基础之上,换句话说,你必须去信任其他人,才有可能制作出产品。如今的可信任环境就变得更加重要。
但在中国,因为GFW和相关政策的存在,要获得一个可信环境变得非常困难。在这个环境里面,大量国外网站不能访问或者难于访问,非常多怕麻烦的人会使用国内替代品,这次的事件之所以影响巨大,就是因为通过苹果官方渠道升级Xcode速度太慢,少则10多个小时,多则几十个小时,其间还有可能中断和重新下载。从国内随便下载一个Xcode用当然是错的,但在这样的环境下也不是完全不能理解,考虑一下互联网的下载速度只有50K,企业内网速度能高达10M的时候,谁会不从内网下载呢?
用一个现实世界的例子做个比喻吧,前面说了骗子拿到你父母的电话之后,会打电话去骗他们,比如跟你父母说你出了车祸,急需用钱。要让这个骗术成功,一个前提条件是要阻止你父母去找你验证真假,所以骗子同时会用各种办法来骚扰你的电话,迫使你不堪其扰关机或者始终占线。这样你父母和你的联系就断开了,他们没法找你验证了,此时骗子的话就更容易被相信。在这次事件里面,GFW让人们无法访问国外的可信网站,或者访问速度极慢,它起的作用就如同迫使你占线或者关机,从而让人们只能从不可信的地方获取软件。
GFW让中国本来开放的互联网环境,变成了一个巨大的企业内网,或者叫做中国局域网。除了速度和难以访问的影响,各种各样的DNS投毒,电信运营商干扰也是严重问题,你拿回来的DNS结果往往也未必是可信的,而运营商试图在HTTP请求中插入广告的行为,又经常会导致正常的应用表现不正常,而这些乱七八糟的毛病还经常变化,今天你可以这样对付,下周可能就需要换一个办法。要维持一个可信的软件环境,需要付出巨大的精力,能愿意付出这个代价的人越来越少。
在这个环境中,我们能信任的什么呢?网络链接不可信,运营商不可信,DNS不可信,大企业不可信。最后这一点更荒唐,如果是在正常的网络环境下,你很难相信苹果或者Google会坑害自己的用户,因为这和他们的利益直接相关,他们总是要尽量保护自己的用户。但在中国,如果你敢信任百度,基本意味着你生活各方面都会出问题,用百度查个搬家公司,骗死你没商量,用百度查个快递电话,骗死你也没商量,用百度查个医院,你猜会怎么样?那是真要骗死你没商量,这里的骗死都不再是比喻了。你要信任百度的软件,更好玩了,它莫名其妙就给你把百度出的所有软件都装在你机器上了,人们管这个不请自来的大礼叫做百度全家桶。如此致力于坑害自己用户的大公司,在中国之外还真是罕见。
在中国的网络环境下,这次事件产生的危害本身也更加危险。事件发生时,我告诉朋友们立刻删除所有被感染的软件,直至问题被修复。有人说,黑客自己的网站已经关闭了,没什么危险。这么说当然是错的,因为遍布中国各处的DNS投毒和劫持,创造一个一样域名的网站再简单不过了。比如到游客聚集的区域,带一个路由器,创建一个没有密码的WIFI热点,等着人们连上来,在这个热点上劫持XcodeGhost使用的域名,就可以利用已经中毒的app来骗iCloud密码了。这些都是非常容易实现的办法,千万不要低估安全问题能造成的后果,尤其是在中国特殊的网络环境下。
目前中国的网络环境和食品安全有诸多共同之处,你没法信任路边的小饭馆,但同时你也没法信任昂贵的大饭馆。你没法信任菜市场买的肉,但超市买的肉也并不那么可靠。在一切的背后是土壤和水的全面污染,可能一家好的饭馆未必打算毒害自己的顾客,但他们也很难保证自己原材料的供货商可靠,要保证使用的所有材料可靠,这是一家饭馆不可能具备的能力。比如,奶粉的三聚氰胺事件之前,一家有追求的饭馆大概会觉得,我不用来路不明的奶粉,我用大品牌的三鹿,伊利,这算是对顾客负责了吧?可惜,这些大品牌一样出问题。这绝非饭馆所希望的,他们也是受害者,就像是这次事件中的网易云音乐,他们确实没打算坑自己的用户,不过网易、腾讯这样的大公司一样中招了。
相对封闭的iOS尚且如此(单一开发工具,单一软件分发渠道,独家封闭系统iOS,独家硬件iPhone)尚且能出这么大问题,想想Android会怎么样?Android官方网站几年前就被封了无法访问,大部分开发者都是从国内渠道下载的开发工具。App的安全可靠吗?国内无数家忙着改Android皮肤就称自己是“操作系统”厂商,他们能保证自己的定制Android版本是安全吗?他们有真正的操作系统厂商级别的能力吗?进一步,他们能保证自己使用的开发工具安全吗?每家手机厂商都恨不得做自己的Android app下载渠道,他们能保证这些渠道上分发的app安全吗?甚至,他们能保证自己的下载市场安全吗?请大家继续联想吧。有朋友跟我说,你想多了,Android哪需要这么麻烦啊,本来国内环境就是木马遍地了。真实情况恐怕只能用惨烈来形容。顺便说一声,传说Google要把Play Store进入中国,提供一个受审查的版本,很多人说这是Google妥协了,我看这根本不是妥协了,是中国内部的Android环境太糟糕,已经威胁全球生态了,Google不得不自己出手解决这个问题。所以,一旦Google Play真的进了中国,请大家记得立刻把Play Store做为自己唯一的Android软件下载渠道,哪怕它不好用,不中国国情,甚至显得有点傻里傻气…千万记得,安全比方便更重要。
在这些前提下,重新认真考虑Ken的演讲提到的观点就显得更加重要,深入思考我们信任的可信。到底什么是可信的呢?开发工具可信吗?操作系统可信吗?你觉得下载来之后验证一下md5或者sha512总应该可信了,但你用来计算sha的工具是哪下载来的?你又如何知道这个工具本身是可信呢?在一个封闭的,难以和真正源头沟通的环境下,根本没办法谈所谓的信任。
在中国目前的环境下,难以直接套用成熟的软件开发和管理流程,除非保证团队所有人都必须翻墙,必须用Google查资料,必须不信任国内网站。你的团队中有一个习惯用百度查资料,顺着国内论坛的链接从百度网盘或者迅雷下载工具的人,就不知道会惹出来多大麻烦。这次事件充分证明了这一点,我起初认为腾讯应该不会有问题,因为我知道腾讯内部有极好的网络环境,但最终不幸的是微信也中招了。我们的恶劣环境已经改变了工程师的习惯,甚至改变了教育,就算是在腾讯内部这么好的网络环境下,仍然有人会去百度查资料,用百度网盘下载开发工具。就像很多留学生到了美国仍然用百度搜索一样,环境的改变并不能直接逆转已经完成的用户习惯。
比较讽刺的是,在中国特色的现实世界反而又制约了出现大规模安全灾难的可能性。比如,中国有相当严重的网络监控、审查和实名制、以及互联网公司必须保存(而且要向有关部门开放)的各种用户数据,并且互联网和世界半隔绝,在出现这种问题的时候,要抓到始作俑者又相对简单。现实世界中,只要在论坛发个贴,去你家查水表就是分分钟的事情。这大概算是“不幸+不幸“互相抵消之后产生了一点点微小的幸运吧。
很多年前,我说招聘工程师有几个原则,比如,必须使用Google而不是百度,必须翻墙而不是用国内替代品,必须优先使用国外的工具。经常有人认为这种要求过于苛刻,甚至认为是装逼。这次事件告诉了我们,这些良好的习惯确实是工程师的第一道防线,融入世界主流,可以让你少遭遇很多中国特色的麻烦。虽然保持这些良好的习惯需要付出不小的代价,但事实证明这些代价是值得的。
这样的网络环境,是我们这一代工程师的耻辱,但我们如此愤怒于此 ,又如此无能为力,这是这个时代最令人悲哀的事情。
我们对此有多么无能为力呢?我写这篇文章的时候就在想,大家应该赶快传播它,因为我觉得它很快会被删掉。这就是无能为力的具体表现。
顺便说一句,1996年,受Ken的案例启发,我写过一篇科幻小说,大意是一种病毒把编译器做为感染的源头,最终感染了操作系统。在这个操作系统上,它会判断用户指令对它是否会造成伤害,如果是有害的指令,就假装执行一下,实际并不真执行,从而可以躲过杀毒软件和人工清除。这同样是信任问题,在这个环境下,没有任何可信的东西,这种病毒将会在操作系统中永存,并且把自己附着于任何在这台计算机上制造的软件中。在一个计算机一开机就无线联网的时代,病毒可以借此高速传播,最后人类已经找不到一台干净的计算机可以去编写真正干净的操作系统了。(90年代还没有无线网络,那时候甚至连有线网络都没普及,Sun还在号称网络就是计算机,那时候一台随时联网的计算机简直太奢侈了,但如今看来…世界确实已经发展到了这样,想找一台不联网的计算机倒是不容易了)。
不知道这种幻想中的病毒什么时候会真正出现…其实,前几年工信部推行绿坝的时候,我当时就觉得那简直是创造这种病毒的一个非常好的机会,还好最终绿坝计划被放弃了。中国网络和政策环境的特殊性,将来真的有可能制造出适合这种病毒生存的环境,就像这次因为GFW的正面和潜在影响,让70年代Ken设想的RoTT在2015年大规模流行,40多年的时间跨度…著名科幻作家韩松说过:“中国的现实变得比科幻还要科幻”。深以为然。
最后给 范冰 XDash 写的好书《增长黑客》做一个小广告。其实很久很久之前我就答应他下篇文章帮他推广一下,但我也很自觉的告诉他可别着急…他也说没关系不着急。不过大概也没想到我真能拖这么久吧,惭愧啊…
Growth Hacker 是一个刚引进入国内的概念,虽然包含一个黑字,但它和这篇文章里面说的破坏系统,威胁大家安全的黑客不是一回事,而是突破束缚、绝技在身、单枪匹马挑战既有规则的那种黑客。
无论你是正在创业、在大公司的上班 或者 只是自己业余开发工具或App,你都不应该错过这本书。毕竟把东西做出来只是迈出了一小步, 把你的产品或服务传递到用户那才是关键的一大步。