微信开放平台表达了张小龙怎样的世界观?

2012-04-29 23:28 来源: 知乎网

在4月19日发布朋友圈之前,张小龙在微信签名里一直是“释放每个人被潜藏的摄影荷尔蒙”。每次在微信里看到他的签名,我以为他是个摄影发烧友。然而在朋友圈上线时,我明白了这句slogan的寓意。他让微信的每个用户都可以建立自己的生活相册,与朋友们分享每天的真实生活。

这个时候,张小龙的微信slogan换成了“Weniger, aber besser.”(越简单,但越好),这是德国工业设计大师Dieter Rams崇尚的设计理念,也是乔布斯的“至繁归于至简”的精神。这,也是张小龙想要表达的微信朋友圈的理念。

4月19日update微信4.0版时,我们打开的微信不再是蔚蓝星球下的孤独人影,而是璀璨迷离的夜色,在城市斑马线上行走的人影。它宣告着“如你所知,微信不只是一个聊天工具”。是的,它让你拥有了自己的相册,在诧异的一瞬间,那张华丽的夜景就像两扇门一样徐徐打开,像是引领你进入一段全新的奇妙旅程。

没错,朋友圈来了。

朋友圈里的张小龙的确爱拍照。他拍雨后的广州、拍雨中街头的情侣、拍同事、拍点缀着柠檬片儿的甜点。不是单反那般郑重,他的照片充满了生活气息。朋友圈是一款充满了极简主义的产品,主色调是蓝灰色,连表示赞这个动作时,都是非常Geek的蓝灰色桃心。在蘑菇街里,你要表达“喜欢”,就点一下sweet的粉色桃心。在Path里,喜欢是红色的桃心。

朋友圈的设计非常简洁,你可以用右上角的相机按钮,拍下身边任何有意思的事物,写下当时的心情,还可以加上地理位置的标签。张小龙似乎不愿意让这简洁的界面被打破,以至于当你仅仅想写下纯文本时,需要长摁三秒相机按钮。它像一个需要破解的谜题,让那些无意之中发现的用户们拥有征服未知世界的快感。这很快成为了微信4.0版用户的一个新趣味,大家为发现这个小tips而洋洋得意。

微信4.0新版刚推出时甚至没有滤镜,当网友们热议朋友圈没有滤镜功能时,张小龙的想法是希望这些照片真实、不加修饰地反映生活。在他至简的理念里,真实的人生连修饰都是多余的。但是后来很快,朋友圈的照相功能里加上了滤镜,看起来,人们更爱修饰后的美好景象。而张小龙做产品的出发点,是要满足大众的需求。

它是一款通俗的产品,很有可能成为未来无线上的巨无霸。事实上,微信推出一年以来,已经是中国无线领域最耀眼的明星——作为一款纯粹的无线产品(没有PC版),微信成为首款用户过亿、日活跃比例超出市场上任何一款无线产品的杀手级应用。对于正在蓬勃生长的中国无线市场来说,现在的微信已然是巨头。

这款大众的产品,却是从一个小小的需求出发,即强关系的熟人SNS。张小龙不爱和陌生人交友,他认为人的一生之中,真正的知己不超过10个。因此在微信的朋友圈里,你可以和熟识的朋友交流对话,也可以和这位朋友共同认识的朋友交流,却看不到你并不熟识的朋友的朋友。在这里,关系链很短。

业界有人说这种SNS的关系模式没有确定性,有人说这会抑制UGC的活跃度,有人说没有完整的信息闭环,有人说很创新……无论别人怎么说,毋庸置疑的是,朋友圈是张小龙的世界观的表达——无论是做产品,还是交朋友,他都简单至上。

一款有灵魂的产品,是能体现产品设计者的精神气的。这几年来,无数的产品在市场上出现,它们大致可以分为三类:

一类是跟风而动,往往来得快又去得快,比如前年以来一浪接一浪的LBS签到、手机团购、优惠券、近距交友……它们是大潮中的一瞬间,浪过去就消失了;

一类是能抓住用户们的某个普遍性需求,并且以比较好的功能去满足,这样的产品往往能有不错的用户量,成长也快,这是市场上不错的产品。它们可能在商业上成功,却难以在你心中留下印记;

而好的产品往往是和产品经理合二为一的,在引导或精准地满足用户需求的基础上,它融会贯通了产品经理的世界观,是产品经理与外界对话的作品。

好的产品经理亦如此。近几年,市场上的明星产品,都体现了它们背后的设计者的精神所在:陌陌的唐岩有着浪子般的不羁内心(哈哈,唐岩不要生气,你的不羁风格的确给我留下了深刻印象);i美股的方三文在创业前,自己是个痴迷的美股操盘手;掌上春雨医生的创业者张锐,出生于中医世家,有着悬壶济世的情怀,因此在掌上春雨的病理查阅界面上,是类似于中医的人体五行经脉的表达方式,而非学科条目式的查阅方式;周源当年和我在一个栏目组时,一直是个爱思考爱提问、融合了Geek和文艺风的大男生,而知乎超强的内容运营能力和社区里的清新、分享、平等的精神,和周源的风格一脉相承……

在中国第一产品经理张小龙的作品里,我们可以体会到他的世界观,见产品知人。从Foxmail到QQmail,再到微信,从工具到社交,从PC端到无线,他总是从红海的市场拼出蓝海的境界,凭借的却是极简的杀手锏。

从微信很容易体会到他的风格,这是一款Geek风格的产品,没有时尚SNS的甜美色彩,没有通常SNS复杂的关系链,主色调蓝灰色是他常穿的Tee的颜色,也是他办公环境的颜色。他的愿景是以一款简单的产品构建一个庞大的系统,因此,微信是简单的,但是已经奔跑在路上的微信开放平台,却是一个庞大的系统。它可以接纳各种应用和数据,用户之间可以简单地操作,就可以互相推荐和传送。

在这个正在构建的庞大系统里,他是自信骄傲的。以前网上有人批评微信抄袭,他在微信3.0版上引用了MJ的话:“你说我是错的,那你最好证明你对的。”到后来,他不再回应,微博上留下一句介绍:“我所说的,都是错的”。懂他的人自然懂,不懂的人,他不再解释。

微信4.0版发布在4月19日,这个日子是for one night的谐音。有人说微信的摇一摇和漂流瓶助长了陌生人交友和一夜情,可是张小龙却说,他设计这个功能的初衷是,都市里的人压力都很大,都有倾吐的欲望。没想到后来用户之间的互动就自发生长了。

在广州的这个夜晚,我摇了摇漂流瓶,顷刻收到了几个瓶子。有几个男生的话混沌不清,像是外星人。一个女孩子的声音哀怨地说:“我最近很不开心很不开心,好郁闷好郁闷……”我忍不住的好奇,问她怎么啦?她就消失了,只剩下一只瞪着大眼睛的红色海星,寂寞地飘荡在暗黑的海面上。

作者:李黎

文章来源:知乎

黑客攻破Apache.org官网 安全问题发人深思

系统安全

感谢素包子的投递
Apache是全球使用最多的Web Server之一,近期Apache的官网被黑客入侵了,素包子根据apache网站的描述,分析了下黑客的思路。大概包含5个过程,虽然道路曲折,但黑客快速通关,一步一步的接近目标,有很多可圈可点的地方,还是相当精彩的。可惜最后people.apache.org没搞下来,否则可以写小说拍电影了,不过男女主角不能是aXi和aJiao。

1、通过跨站漏洞社工了几个管理员,获得JIRA(一个项目管理程序)后台管理权限,并修改相关设置,上传jsp木马。
2、在后台看到其他用户的帐号,通过登陆入口暴力跑密码,破解了几百个帐号。
官方说是“At the same time as the XSS attack”,我不这么认为,我认为是获取后台之后,能看到帐号了,才可以高效率的破解密码。如果不通过后台就可以破解几百个帐号,那这个事情早就发生了。
3、部署了一个JAR,可以记录登陆帐号及密码,然后用JIRA的系统发邮件给apache的管理人员说:“JIRA出现故障了,请你使用邮件里的临时密码登陆,并修改密码”,相关人员登陆了,并把密码修改成自己常用的密码,当然,这些密码都被记录下来了 :)
4、正如黑客所算计的,上述被记录的密码中,有密码可以登陆brutus.apache.org,更让黑客开心和省心的是,这个可以登陆的帐号竟然具备完全的sodu权限,提权都不用提了,直接就是root,真是爽的一塌糊涂啊。而这个被root的brutus.apache.org上面跑着JIRA、Confluence和Bugzilla。
5、brutus.apache.org上的部分用户保存了subversion的密码,黑客用这些密码登陆了people.apache.org,但是并没获得其他权限。这个people.apache.org可是apache的主服务器之一,如果root了这个机器,那基本可以获得所有apache主要人员的密码了。可惜,黑客们功亏一篑。
整个故事到此结束,下面说说Apache是如何发现自己被入侵的。
根据apache官方的描述“About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services”,我猜测apache是因为黑客重设了用户密码这个行为才发现被入侵的。
如果说的是黑客重设的是JIRA的密码,那么就是因为黑客做戏没做足全套导致的,可能apache管理人员上去看之后,发现没啥问题,被忽悠了。
如果说的是黑客重设其他密码,我想不到整个过程中还需要重设什么其他的密码。
我还是对apache的安全措施非常好奇,到底是如何发现的?到底是相关人员安全敏感度高呢,还是黑客留下了一些痕迹被安全检查措施发现了。如果是后者的话,检查周期又是多长呢?24小时?
经验教训:
回头再看看黑客的整个攻击过程,素包子相信在细节上会有很多可以吸取教训的地方。从长远来看,可以加强安全意识培训、实施SDL安全开发生命周期、日志集中分析、主机入侵检测系统等等,这些都是需要企业的安全部门长期投入去做的事情;相对短平快的方法是要求重要的人员、重要的应用、重要的系统使用双因素动态密码认证。
更多Apache官网被黑内幕,请访问素包子的网站 http://baoz.net

垃圾太多 Google搜索封杀1100万“.co.cc”域名

核心提示:Google搜索引擎已经封杀1100万“.co.cc”域名网站,它们的信息再也不会再现在搜索结果中。Google反恶意软件团队费舍尔(Oliver Fisher)在博客中说,大多使用这个域名的网站“太垃圾”。

Google搜索引擎已经封杀1100万“.co.cc”域名网站,它们的信息再也不会再现在搜索结果中。Google反恶意软件团队费舍尔(Oliver Fisher)在博客中说,大多使用这个域名的网站“太垃圾”。在过去几个月,Google系统检查了大量的子域名提供商,它们被恶意软件滥用而成为攻击目标。大量的子域名提供商会注册一个域名,比如XX.com,然后出售子域名,比如xx.xx.com。

Google发现这类子域名常常一下子就注册上千,它们用来分发恶意软件。单从一个提供商那里,Google反恶意扫描就查到了5万个恶意域名。

Google认为“http://co.cc/”提供恶意域名,因此决定全面封杀它。
在博客中,Google说会保护用户免受钓鱼攻击。最据反网钓工作小组 (Anti-Phishing Working Group)的统计,2010年下半年,“.cc”顶级域名发起4963宗钓鱼攻击。

“co.cc”注册时会免费提供一个子域名,客户可以支付1000美元,获得1.5万个子域名,它曾声称拥有11,383,736个注册域名,有5,731,278个用户帐户。

CO.CC免费域名是韩国一家IDC公司HANARO-AS Hanaro Telecom Inc (韩国首尔)注册人(jong sung, kim)提供的免费二级域名。co.cc简短易记,在全球各国都有很大的申请量,已经成为免费顶级域名。