我的书签
添加书签
移除书签1.一边前进一边回顾
有一个教授去了拉丁美洲探险,请了当地人带路,这带路的人真是奇怪,一连行走6天都很顺利,第7天却不肯走了,要原地休息。教授追问才知道,原来是这里的风俗,他们说:不要走得太快了,要休息1天,让灵魂跟上脚步。著名的地产大亨王石写过一本名为《让灵魂跟上脚步》的书。书中写到王石跟随当年玄奘取经之路(思维穿越),一路旅行的游记、感悟。这本书以王石的经历和思考为叙述的内容,引起了巨大的反响,成为许多人的精神食粮。本书“行走”到这里,也停下脚步,回头看看微信的“足迹”。
让灵魂跟上步伐
笔者需要指出的是,微信(特别是微商城)并不是完美无缺的。万物必有两极,优劣共存,好坏同在。以微信服务号为例,不同于个人,很多企业和商家其实就是冲着服务号而来的,因为服务号上可以开通商城,可以进行营销和交易,但是服务号目前仅向公共组织开放,认证也较为严格,个人想获得几乎不可能。目前订阅号主要是进行宣传推广,尚不能开通商城。但业界大多预测,订阅号“微商城”是一个趋势,随着微信功能不断改进和优化,各方资源融合不断加强,订阅号“微商城”有望成为点燃个人梦想的新火花,微信“利好”消息也将再次成为新的“增长极”。
腾讯在微信上面投入了大量的资金、人力、技术、时间、渠道等资源,还将微信作为战略重心和发展核心,不惜与运营商、淘宝等大批强劲的对手多次正面激烈交火,可谓“破釜沉舟,背水一战”。而能否置之死地而后生,则要看后期的表现,结果尚未可知。明眼人不用分析也能猜到,腾讯花费如此重大的代价来扶持、推荐、培养微信,不可能只是为了留住6亿用户。如果这6亿用户不能带来收益,即使马化腾、张小龙、你、我、他——他们如何对微信情有独钟,腾讯也不可能再追加投入,因为用户已经成了“包袱”。
之所以继续力保微信,是因为6亿用户能带来大批商家的入驻,能吸引企业前来合作,能带来经济效益、社会效益、新的微电商的生态效益,而“微商城”就是未来可能创收的主要来源之一。微信是一个项目,一个不断扩大规模的项目,项目周期和产业线较长,前期必然以投入和研发为主要目标,一旦运营趋于成熟,推广、营销、支付、物流、寻呼(客服)、售后、开发等环节走上正轨,微信就真正变成了一个完善而独立的电商系统,微信、商家、用户(顾客)、电商(市场)将能实现一种良性循环。至于具体的营利途径则要看腾讯和微信方面的决策和举措了,腾讯从来就不缺乏想象力!
对于微信和微商城,无论现在你是个人还是企业,是期待还是犹豫,是支持还是怀疑,但微信和微商城的发展是事实,并有演化成新的时尚潮流的趋势,与其被动被微信和他人改变,不如主动改变自己!关注微信和微商城(微信数据统计)一定程度上就是关注你自己:用微信来描绘和实现你的梦想!
2.保护好你的“钱袋”
你是如何购物的?网上购物你如何付款?第三方移动远程付款你放心吗?你是否有过移动“钱包”被劫持的遭遇?其实,很多人对虚拟钱包和移动付款都不甚放心,毕竟手里缺乏一种掌握银行卡和现金的真实感,关于虚拟支付的安全问题也不时见于报端、网端和你的视线中。但是,这只是一种独立面对时才会出现的暂时性现象。另一方面,虚拟支付(第三方支付)的规模在大幅度增长,仅2013年就接近2万亿元,增长率超过40%。这说明,相对于网络购物和移动购物的便捷,人们对于虚拟钱包和远程支付的担心被冲淡。即在购物与支付的“对冲”中,购物的力量大于支付的力量,于是购物就成了主题活动,支付是这个主题活动的后续保障环节,是一个“水到渠成”的结果。
无须讳言,虚拟钱包和远程支付的确存在安全隐患,但是其他支付形式就能完全避免隐患和风险吗?显然,答案是否定的。虚拟钱包和远程支付可能会被盗用和劫持,现金支付也可能出现“假币老鼠”,银行卡一样可能被人远程操控和使用。美国电影《身份窃贼》讲述的就是这样的一个故事,情节无须复述,读者可自行观看。近年来,电信金融诈骗案呈现出高发、群发态势,受骗数量和规模越来越大,行骗手段越来越隐秘,普通民众很难识别。即使银行这样的金融系统和机构,也不时遭到网络黑客的入侵和攻击。
保护好你的钱袋
由此可见,安全隐患不仅是虚拟支付的单方面问题,可以说是整个金融业支付环节共同的问题。在移动购物和移动支付趋势日益显著、交易规模和参与人群不断增长的条件下,提高支付的安全性和可靠度成为人们关注的热点,在民众、媒体的“放大镜”聚焦下,移动支付安全事故不断被“揭发”。如果只看绝对数量,当然可以认为移动支付安全问题相当严重。看看交易总量,就能客观地了解移动支付中安全事故的比例和严重程度。从技术、社会、经济、心理等角度讲,安全隐患是无法彻底根除的,只能减少,使安全隐患无限接近于零。
事前防范优于事后处理,对于这些可能随时发生的安全隐患,我们也不能掉以轻心。战略上藐视,战术上重视,我们不拒绝移动支付,但是我们也充分重视移动支付的安全。2014年4月8日,重大网络漏洞“心脏出血”(Heartbleed)被发现,OpenSSL警告称,全球约有六成的网站和电脑可能已被侵袭和感染,用户银行账号和密码、个人信息等可被窃取,特别是2014年4月7日以后有过网络购物(移动购物)经历的用户,存在较大的“泄密”风险。其实,“心脏出血”并不是现在才存在的,一般认为,早在2011年12月这一基于安全协议的网络系统漏洞就已经出现,只是没有引起充分的重视。而对于稍微具有一些网络专业知识的人来说,修复漏洞可能仅需要几小时的时间,就可以重新构建起一条坚固的安全防线。
我们一直强调,当风暴来临时,除了专业的机构为抵御风暴所做的努力外,每个人都应该尽量做好自己的安全防护,自己为自己的安全负责,不能完全依赖专门的机构来处理,毕竟每个人都与网络息息相关,每个人都是网络安全的监管者和网络净土的“守护者”。事实上,在信息安全领域,用户每一个良好的使用习惯,可能比安全厂商所做的很多努力都更为有效,因为防患于未然总比亡羊补牢强得多。
下面,为读者提供几条建议,帮助大家应对一些不得不接触、不得不面对的互联网安全威胁。
首先是更改密码,并使用两步验证。受过去两年“心脏出血”漏洞的影响,一些用户的通信记录可能会遭到拦截,为了避免发生这样的情况,更改密码仍然是用户首先要做的。而且,很多网站都提供两步验证功能,即在更改密码时还需要回答问题或者短信验证,这样就为用户的密码提供了更好的保障。
其次是监控近期的账户活动。现在很多网站都会提供账户登录记录,比如该账户在何时、何地通过什么样的设备登录等。请读者留意自己的互联网应用账户的登录情况,如果发现登录异常则应立即更改密码。
再次尽快安装系统的安全升级补丁和最新的安全系统版本,这是填补自身系统漏洞的最为有效的手段。如“服役”达13年之久的微软XP操作系统于2014年4月8日以后将不再提供升级和补丁服务,其隐藏的系统漏洞很可能成为黑客攻击的突破口。但只需要安装Windows 7系统或Windows 8系统就能防范可能的攻击。
最后是当心公共场所的无线网络。因为智能手机与公共无线网络连接在一起的设置很容易被攻击者利用。未恢复健康安全的状态前,用户应该慎用或不用在线购物、社交论坛、电子邮件等网络服务,暂停使用视频、图片的下载,拒绝非正规网站发布的应用程序。密切关注最新的网络安全动态,学习和掌握防范和修复安全漏洞的基本方法,未雨绸缪,有备无患。
(来源:中国计算机报)
“心脏出血”漏洞不难补上,安全“地震”被夸大?
心脏出血
2014年4月9日下午,广东井田云科技有限公司首席架构设计师何渐兴打开井田商业管理系统后台,将OpenSSL文件里的一个源码页面加上了一段大学计算机课上常用的一个if语句,就把日前在网上疯传的OpenSSL漏洞,轻松地修补了。
何渐兴介绍说,打个比方,OpenSSL漏洞就像是一个房子的门开了一条非常细的缝,如果门外的陌生人经过并朝门缝里盯一眼,他理论上有可能看见室内发生的事情。用这条if句的安全机制就是,如果发现门外有陌生人经过,主人便适时地堵住门缝。
几小时就可完成修补
自2014年4月7日爆出有关漏洞消息后,有安全公司在其官方网站上发布新闻称,该公司安全检测平台对国内120万家经过授权的网站扫描,其中有11440个网站主机受OpenSSL“心脏出血”漏洞影响。4月7日、4月8日期间,共计约2亿网友访问了存在OpenSSL漏洞的网站。
4月9日上午,何渐兴在网上看到这一消息,便花了半天时间研究了该漏洞并查看了相应的问题代码,了解了漏洞原理。他发现,修补该漏洞其实不难,网站用户无须做任何工作,只等网站的维护人员改变OpenSSL到安全的版本即可,这通常在几个小时内可以完成。
他表示:“所谓的OpenSSL出现惊天大漏洞,各大媒体争相报道,其实大可不必担心。”
作为一名有8年网站编程经验的开发者,何渐兴按照乌云网(IT行业知识共享网站)提供的解决方案,弥补了OpenSSL系统级漏洞——这两行代码由56个字符组成,这个if句实际上做了一个判断,如果用户提供了一个空数据给服务器,就会造成读取别的内存地址。“稍微熟练的IT人员都能轻松给漏洞打上补丁。”
漏洞危害被放大?
目前,国内大多数在线购物平台及金融网站,在PC端用IE打开的时候,都使用了https://传送协议,在用户与服务器进行交互的时候,服务器与客户端每隔一定时间(比如数秒)进行一次数据通信,这种间歇性通信时发送的数据包被称之为“心跳包”。在此通信过程中出现的漏洞,就取名为“心跳出血”漏洞。
为了保障用户的通信安全,常用的一种加密技术便是SSL。SSL(SecureSocketsLayer安全套接层)的重要作用在于:认证用户和服务器,确保数据发送到正确的客户机和服务器;加密数据以防止数据中途被窃取;维护数据的完整性,确保数据在传输过程中不被改变。
在加密技术中,开源的OpenSSL是一种最常用的加密模式,相当于互联网上销量最大的门锁。目前正在各大网银、在线支付、电商网站、门户网站、电子邮件等重要网站上广泛使用。故消息一出,包括阿里巴巴、京东等纷纷发表声明,称已解决了这一问题。
艾媒咨询CEO张毅表示,OpenSSL漏洞原理在于,攻击者构造了特殊的数据包,通过安全链接(SSL)提交到有该漏洞的服务器时能获取到某一块64KB的内存数据,但该内存数据很可能是不完整的,也可能是无价值的,如果碰巧该数据有完整信息且是用户的敏感数据,那将会对该网站用户造成危害,诸如密码泄露等。
百万分之一的概率
张毅表示,攻击者其实只能获取到固定的某一块内存数据,获取到什么样的数据完全是凭运气,有可能那一部分的内存始终是存放不变的且无用的信息,攻击将会无效;如果该内存数据是变动的,那攻击者可以反复获取,直到获取到完整的敏感数据为止,要达到这样的结果是不容易的。综合来看,被利用的概率很低,约在百万分之一以下。
“需要反复去获取该内存区域的数据,如果碰巧得到了敏感数据,就有用了。金融系统是不允许有这样的系统的,别的系统没有进攻价值。”张毅说。
OpenSSL是SSL协议的一种实现,linux系统上自带、默认的SSL实现,算是系统级的漏洞,但是危害远没有木马的危害大,影响不会如一些安全公司所声称得那样严重。
何渐兴表示:“这次关于该漏洞的报道,因为各种原因,渲染得很吓人,其实普通网民不用担心。不过,网络安全向来无小事,希望各网站运营商要高度重视本次安全事故,要第一时间堵上漏洞,不给犯罪分子可乘之机。”
(来源:腾讯科技摘自每日经济新闻)
网络安全漏洞紧急抢修,微信、QQ、淘宝等已完成修复
“心脏出血”安全漏洞被曝光后,抢在黑客开始入侵和攻击之前各大网站和企业纷纷开始了抢修工作。截至2014年4月9日晚,国内12306铁路客户服务中心、微信公众号、支付宝、淘宝网、360应用、陌陌、雅虎、QQ邮箱、微信网页版、比特币中国、雅虎、知乎等网站的漏洞已经修复完毕,可放心使用。
手机支付未来或自动启动最高级别安全模式。在近一两年内,像微信支付、手机支付宝等移动支付手段将大面积普及运用,那如何保障手机支付的安全性?沈玉龙教授说,从移动支付的安全协议来说,通常是可以保证支付安全的,但一方面要保护好密码,另一方面,当手机变成日常支付工具,也就不要随便借给别人使用,或者不小心遗失,都会比较麻烦。
在对移动终端支付的安全保护措施的探索中,有几种方式在未来可能会变成现实,第一种,是使用密码和指纹识别结合的方式(苹果),或者是根据密码输入时手指触屏的习惯和速度来识别;第二种是在手机支付时,自动启动最高级别的安全模式,在支付的这几分钟内让手机的环境变得更安全,如我们目前在手机信息的保密模式中,可以分为机密、高密、秘密和非密等级别,在支付时也可以启动最高级别的保护,来对支付过程进行加密,充分保护自己的“钱袋”、“钱包”。
(来源:陕西传媒网)
3.微信支付:全额赔付保障安全
面对层出不穷的商业保险推销,你可能会深受困扰。但是,在选择职业岗位的时候,你又会很关注“五险一金”。这是我们共同的心理和愿望,反映的是我们对无法避免的事故发生之后通过补救措施挽回损失的选择和需要。对于资本和利润,马克思有着一段极为精辟的论述。如果体育彩票的票面金额(如10元)中含有50%的“买亏”保险,买亏者可获赔票面金额50%的赔付,买彩票的人会大幅增加;如果有100%的赔付呢,那几乎所有的人都会来买彩票,因为这样买彩票便没有任何风险,还可能有收益,甚至有大收益!
面对媒体、行业、民众对微信支付安全的疑虑和担心以及竞争对手对微信支付安全“漏洞”(仅需支付密码)的指责和攻击,微信方面表现得果断而自信。2014年3月4日晚,腾讯宣布微信支付接口结束内测,将向所有通过认证的服务号开放。同时,微信联合PICC(中国人保)推出100%全赔保障,用户如因使用微信支付造成资金被盗等损失,将可获得PICC的全额全赔保障,免除用户的疑虑和后顾之忧。而申请赔付时,只需提供相应的损失真实性证明和身份证明即可。
微信全额赔付
无论此举是微信为吸引用户而采取的权宜之计,还是为回击各种指责和攻击的应对之策,其敢于承诺本就是勇气和自信的体现。虽然莽夫也有可能采取类似的举措(本能反应),但是腾讯、PICC显然不是莽夫,不然他们何以做到今天这样的规模和成绩?那么,只有一种可能:微信支付的安全隐患和资金被盗的风险很小。否则,作为一家以盈利为主要目标的知名企业,隐患和风险系数太大的话,PICC怎么会答应合作?
损失赔付毕竟只是一种事后补救的措施,无法提供安全可靠的支付使用环境。为防范和化解隐患风险,微信支付的安全系统将由持有互联网支付牌照并具有完备安全体系的第三方支付平台财付通提供支持,微信支付对内采取五大安全保障,为用户提供安全防护和客户服务。
技术保障:微信支付后台有腾讯的大数据支撑,海量的数据和云计算能够及时判定用户的支付行为是否存在风险。基于大数据和云计算的全方位的身份保护,最大限度保证用户交易的安全性。同时微信安全支付认证和提醒,从技术上保障交易的每个环节的安全。
客户服务:24小时客户服务,加上微信客服,及时为用户排忧解难。同时为微信支付开辟的专属客服通道,以最快的速度响应用户提出的问题并做出处理判断。
业态联盟:基于智能手机的微信支付,将受到多个手机安全应用厂商的保护,如手机管家等,将与微信支付一道形成安全支付的业态联盟。
安全机制:微信支付从产品体验的各个环节考虑用户心理感受,形成了整套安全机制和手段。这些机制和手段包括:硬件锁(下文详述)、支付密码验证、终端异常判断、交易异常实时监控、交易紧急冻结等。这一整套机制将对用户形成全方位的安全保护。
赔付支持:如果出现账户被盗被骗等情况,经核实确为微信支付的责任后,微信支付将在第一时间进行赔付;对于其他原因造成的被盗被骗,微信支付将配合警方,积极提供相关的证明和必要的技术支持,帮用户追讨损失。
除了内部的防范机制,在微信支付的外围还有一层保护机制:银行审核确认、手机锁定、支付锁定,这层保护机制常常被忽略,但是它却同样发挥着至关重要的作用。作为第三方支付,微信支付与各个主要银行之间签订有关安全协议,双方之间拥有信息互通的渠道,这样第三方机构和银行就能够对交易结算的款项转移进行特定形式的数据交换和支付审核确认。微信支付应用在智能手机上,他人一般很难破解用户自己设定的手机屏幕锁,多次解锁失败手机会暂时性限制操作。即时手机处于开启状态而被他人获得,确认支付需要输入用户设定的支付6位数字密码,理论上共有100万种密码组合方式。一天内密码输错10次,就会验密冻结,只要用户不用最容易想到的数字作为支付密码,他人套取密码的成功率最高为十万分之一。一旦黑客对用户密码进行窃取,就可能激活内部的大数据和云计算系统从而遭到反制。退一万步讲,即使不幸遇到超级黑客,微信支付密码被窃取,款项被盗走,不幸中的万幸,你还可以得到微信和PICC的全额赔付。
科学技术的进步常常能以超出我们预料的速度和方式开展。4月1日,“百度筷搜”的视频在网络上广泛流传,视频末尾显示发布日期为4月31日,看过之后很多人认为这只是一个“愚人节”的玩笑。如借助愚人节真情表白一样,“百度筷搜”被业界看作是“百度一个真实的玩笑”,是百度用低风险的方式试探此类产品(应用)的市场反应,是互联网在中国大规模应用的“处女出场秀”和测试。视频中“百度筷搜”神奇的识别验证功能是最新科学技术的成果,是有可能被研制和开发出来,也完全有可能被用于微信支付的安全保障,成为微信—百度合作联盟的新契机,微信支付,也将新加一件防护“装甲”。
百度筷搜
绝对的安全任何时候都无法做到,就像π是无限循环的常数一样。比如微信,不可能是绝对的完美无缺,而是相对的更安全、更好用。最大的成功来自改进和优化,来自用户的选择和认可。
