为什么 Quora 用 Facebook 或者Twitter 账户登录后还要设置一个 Quora 的密码?

-

直接登录进去有什么不好的吗?

一般网站使用开放平台 ID 登录,主要是看中平台上的用户关系和基础数据(比如 Email)。

网站(本问题里的 Quora)让用户设置新的独立密码,有以下几个理由:

  1. 一方面获取了用户关系,网站(Quora)还掌握了一套完整的用户名+密码,这才是真正地将平台用户转化为自己的用户。不必依赖/受限于平台(人人网)。
  2. 对于用户来说,有一个优点:之后用户可以直接输入用户名+密码在 Quora 登录,而不必再经过平台方(比如人人)的授权,缩短了登录流程。OAuth 有过期时间,用户再次去平台授权总是个麻烦事。
  3. 对于网站(Quora)来说,这样避免了因为平台的 API 政策变动等因素,干扰用户登录。夸张一点说,如果哪天人人网被维护了,API 宕机…
  4. 但对于一些有「路径依赖」的用户而言,他们依然会通过平台 OAuth 登录进入,而不是重新记忆一个新密码。—— 但这不是 Quora 看重的点(他们有坚持的账号策略),毕竟在两三年前,OAuth 登录还没有这么流行时,用户在每个网站都是需要独立密码的。
前段时间就遇到个这样的例子,在通过新浪微博 ID 登录进入 NOP.cn 之后,自动为我生成了 sina_oxygen 这个 ID。但在注册流程中没有让我设置密码,这使得我每次都必须经过新浪 OAuth 进入,无法在 NOP 直接登录。而在 NOP 的个人设置-修改密码里,我就懵了,「原密码」原本就为空,所以无法修改。

向@刘爽 小王子反应此问题,他说因为用户有严重的「路径依赖」,即使设置了密码,用户还是会依旧从新浪微博登录。但这种情况下产品逻辑是不够严密的,如果 NOP 不提供独立登录功能,可以针对新浪微博的用户将「修改密码」功能隐掉,至少避免产品系统内没有可用性问题。

Facebook Quora Twitter 开放平台 OAuth Open ID

互联网开放平台大家更看好那个?

-

目前的开放平台:
腾讯开放平台(WEBQQ、Q+、腾讯SNS等)
淘宝的TOP
奇虎360开放平台(360安全桌面、360浏览器、360团购平台等)
百度开放平台(百度应用,数据,移动开放平台)
Google(Google+、Chrome浏览器)
微博开放平台(新浪,腾讯,网易、搜狐)
盛大开放平台
天涯开放平台

大家更看好哪一个?

感谢邀请,就我个人而言,除了Q+,其他的都成不了气候。

开放平台 新浪微博开放平台 互联网开放平台 百度开放计划 腾讯 Q+ 互联网公司

从腾讯开放平台获得每月过 1000 万分成的应用是哪家?或者腾讯开放平台上最受欢迎的应用是哪些?

-

腾讯科技的报道[1]: "'年注册用户5000万,月分成突破1000万元'!日前,据业界人士透露,国内某第三方开发商在登录腾讯社区开放平台后,半年时间内其运营的游戏总注册用户数已达到5000万,日活跃用户量超过1000万,月分成收入更是突破1000万元,成为国内互联网开放平台中首个单款游戏分成过千万的游戏应用。"
[1] tech.qq.com/a/20110613/

七雄争霸、胡莱三国

在线社交游戏 开放平台 Social Game 恺英网络 腾讯开放平台 游戏产业 腾讯合作伙伴大会

如何推广面向开发者的能力服务产品?

-

实时语音和视频通信sdk, 为应用开发者提供植入式语音视频沟通服务,类似容联云通信的语音视频能力及模式,但是视频质量更好。目前有少量客户已经商用,对于这种能力服务如何快速推广呢?

围绕开发者来推广:

1、让开发者方便使用,易于理解和使用的API,清晰的文档资料,简单的入门示例,多平台的支持,初次尝试的代价尽可能地低(免费试用时间,次数等)

2、开发者支持。一般都是QQ群,你也可以用你认为合适的方式,邮件,论坛等。开发者有可能光看资料也还是有问题,这就需要你们有及时地技术支持与解决问题了。免费的服务是一个级别,付费的又分出不一样的级别等。

3、回访与了解,了解开发者使用上存在什么问题,你的API,产品是否满足开发者的需求。收集反馈、建议意见,持续地改进。

4、试试能不能在各类会议、论坛、网站上露面,你们的工程师亲自宣讲、面对面解答开发者的问题等。多露面,知道的人多了,想到这个产品可能就会找你,尽管当时暂时不需要。

另,请提问者与俺联系,俺正在寻找这样的开放平台。

视频通话 开放平台 SDK 移动 VoIP 视频聊天

「一淘发现」如何扮演购物决策开放平台的角色?用户真的需要这样一个平台吗?为什么?

-

一淘网推出类Pinterest产品“一淘发现”(like.etao.com

跟长天一色一样,我也先回答后一个问题:用户是否需要一个图片类轻信息集合的购物决策帮助?我想还是取决于购物决策类型。不同类型的产品,轻信息与高研究既相悖又相通。比如是3C,汽车一类的购物决策,图片影像对消费者也有作用,但决策本身会依赖更重的信息集合。而服饰,玩具,甚至部分旅游产品的购物决策有冲动性的特征,不能说这类角色不是高研究的,因为同样要做大量的信息对比,但以轻量级的信息集合为主的。那么一淘发现作为指向性明确的购物决策工具,是能满足有赢利能力的现实需求的。但我不认为这是一个平台,充其量就是一个工具,原因就在于它的指向性和盈利方向过于明确。皮夹子是放钱的地方,不是银行。

第一个问题和之前知乎上关于社交购物的讨论可以联系起来。

基本上购物与社交之间的直接关系很弱,不仅在理论上可以解释,实践中也经过了许多测试,除去来自社交网络的某些案例,第三方测试的结论大多一致。今年年初我们公司就与一家创业公司BloomReach做了一次相关的测试,测试购物用户在无物质利益(无折扣优惠鼓励)条件下的社会化潜力。这个测试用EDM方式展开,针对数千名用户投送了根据个人在我站购物浏览行为定制的邮件,用一个社交插件展开,意在观察社交对用户购物行为前后的影响。在这批用户中,使用社交手段介入购物前后过程的有二十多人,得到社交回应的有两人。尽管是一个小型有限制测试,但也可以说明,社交本身对于即使我司这种非常适合轻量级交流的产品的直接影响也非常有限。

如果我们把一淘堪称蘑菇街美丽说一样,都是伪社交的营销工具,如何扮演好决策助手的角色就呼之欲出了。尽管这种工具并非真实意义上的社交,但还是按照社交模式来组织的,尤其是在强用户(编辑,第三方达人)对弱用户(普通消费者)影响这一块。能够满足用户需求的环节有两个:一是产品需求的制造,一是产品购买的疏通。前者主要是靠强用户的信息组织,扮演媒体角色;后者主要靠购物信息抓取,扮演比价引擎角色,来提供产品需求产生后最迅捷的购物完成体验。这两者实现任何一个都可以吃饱,但都不容易实现。

总得来说,我不太看好这种工具的前途。

开放平台 社交购物 社会化电子商务 一淘(etao) 一淘发现

现在各大公司都大力推广开放平台,这东西到底有什么亮点,现在有这方面做得比较好的产品吗?

-

以前是产品有亮点,吸引了用户,最后形成一个庞大的用户群,例如腾讯的QQ,新浪的微博。但是用户的需求是无尽的,是所有的需求都自己来做呢,还是让别的产品抢占自己的需求呢?明显都不利嘛,那么让别人在自己的平台里面做产品?好处挺多的。
1、关系链,用户都是现成的,很爽的前端。
新产品上线,其实最担心的是没有足够的资金推广,没有足够的用户,以及用户增长速度低于业界。这样一来无论产品怎么优化,没有用户都要死掉。开放平台,至少目前做平台的几家,最吸引开发者的就是用户群体。手握庞大的用户群,完全可以解决大部分用户渠道的问题,这样团队可以专心做产品(当然营销推广也是必要的)。这样一来,可以用很小的成本撬动较大的蛋糕。例如1产品,1视觉+前端,1开发的3人组合就可以做产品了,创业成本很低。
2、无需担忧的后端。
大家都在做开放平台,但大家现在的思路也是,顺便把后端也做了。从用户的导入到最后的分成,都全部解决。这样对于开发者,公司来说,收钱的后端也搞定了,公司在收钱环节也很轻松。

不过缺点依然有不少。
1、被人扼住了咽喉。
前后端都不归你管,那么一旦受到压力,很容易一无所有。产品可以重做,用户却不是你的。怎么收钱,怎么分钱也不归你管,那么财务上很被动。
2、可替代性太强。
没有一个产品是完全不可被替代的,用户也不是忠诚的,跟缺点1类似,即使产品的核心竞争力很强,就其本身而言,因为用户无法控制,所以是很弱的综合竞争力。
3、长远发展的案例比较少。
很多产品就依附于平台,很难得到公司级的成长。就拿facebook来说,走出来的产品和公司也不多。

开放平台 腾讯开放平台 平台产品 产品比较

怎样评价 Instagram 的新政?会对日后 Instagram 的发展产生怎样的影响?

-

12.18
12.19,ToS Update

首先商业公司以盈利为目的建立自己的商业模式,这一点问题都没有,我付出了服务器、带宽、设计、开发人力的成本来给你提供免费的应用和服务,你肯定也得付出点什么,不然我去喝西北风?反正我在协议里讲明,你同意了也就是授权给我了。
之所以会引起众怒,是因为用户觉得:我的照片再烂那也是我的照片,你拿去赚钱这就是不行。其实就是从心理上觉得你抢了我的钱,也许facebook明天把协议改成和用户分成之后,这帮义愤填膺的无产者姿态的用户又会是另外一个表情了...
其实Facebook可以搞温和一点的Freemium嘛,像Evernote这样大家都是众口称赞的,免费增值才是王道啊,或者就干脆像Pinboard和Instapaper直接做付费应用和服务,反正就是不要让用户觉得你抢了他的东西。表现出善意,才有人会为你买单..这是instapaper说的.

互联网 Instagram 开放平台 Facebook 并购案 图片社交

知乎、果壳这类烧钱而不盈利的网站随着融资日益困难,未来如何转型才能活下去?

-

目前知乎已经到了服务器都不能保证稳定性的程度了,我想问题的严重性可想而知!

1、知乎出书已经证明行不通;
2、光靠为亚马逊阅读器等做广告无法盈利;
3、组织知友聚会是无法赚钱的;
4、知乎的模仿对象也依然无法盈利。

知乎面临的难点:
1、答案以及问题的知识产权无法保证,知乎答案本身就存在大量抄袭;
2、答案中做广告会影响体验;
3、知乎网站看起来很零散、碎片式严重、不系统,无法有效帮助人;
4、过度开放导致水军入城捣乱;
5、中国人擅长分享而不是创作,本质上导致美国模式在中国行不通或者行不好。

如果zhihu一直这样高质量,我是愿意付费的

互联网 生活 产品运营 开放平台 互联网社区

百度开放平台,腾讯Q+,360安全桌面各位更看好哪个平台,为什么?

-

百度首页进行了改版,腾讯和360也很早就发布了各自的开放平台,三者更看好哪个?

腾讯Q+
1、用户关系用户粘性,互相拉动。
2、用户基数,无以伦比。
3、公司级产品,重量资源的付出。
4、优秀产品人才,保证产品体验。
5、大量运营BD,保证应用数量质量。
有用户 有投入 有人才 有运营 有BD 如何不让人看好?

百度开放平台很早就出了。

互联网 腾讯 百度 开放平台 奇虎 360 腾讯 Q+

Facebook 的开放平台和国内开放平台有什么不一样?

-

国内开放平台了解了一些,由于上facebook较少,不了解facebook的开放平台和国内的有什么不同。看到有说facebook是真正的开放平台,而国内的都是假开放,其具体的区别主要在哪里?

国内平台把控非常严格, 各种证件要求审查, 不能放广告之类、外链等,甚至对UI等都有严格的规定,让很多小型的开发者望而却步。其实这已经是硬伤了,应用开发商投入很大,上线之后看起来表面风光(有XXXXXX用户安装),实则颗粒无收 (主要是指非游戏开发商) ,只是陪平台做一场”开放“秀。

此外,另外一个严峻的问题还在于国内平台不但自己做裁判,还做运动员,而这些运动员总是能拿到私有的API和更多的宣传机会。
举例:

  1. 新浪科技发的微博格式就很特别;
  2. 由”新浪无线手机搜索“开发的"爱婚恋"应用(via bit.ly/zN3oEr ),不需要授权,只要访问了就自动授权;
  3. 新浪微博把相册,图片,活动推广等都自己做了,类似的还有淘宝自己做了量子统计,并不提供机会给开发者(虽然开发者也可以做,但是其一、平台的接口可以应这些内部应用而变,其二、内部应用会获得更多的宣传机会);

Facebook 开放平台 Facebook 平台 腾讯开放平台 新浪微博开放平台

如何看待评论Q+3.0和360桌面这篇文章?

-

原文地址reteng.qq.com/info/1507
感觉:
1. 把360桌面写得有点过于差了,照办iPad模式是事实,但是Q+和360在图标的处理上感觉没什么区别。
2. 只写出了好的地方,对于Q+3.0取消的一些功能只字未提,比如我最喜欢的dock。

「腾讯是个只干不说的公司,不做公关不写软文」...

360桌面渗透率已经相当高了,用户觉得好,才是好。

互联网 腾讯 开放平台 奇虎 360 应用(软件) 360 安全桌面 桌面 腾讯开放平台 腾讯 Q+

像 Zynga 等通过 Facebook 开放平台与资源获益的公司,目前都在以哪些方式与 Facebook 分配利益?

-

国内人人和开心的盈利模式主要还是广告+自运营游戏,据我所知人人网2010年第四季度一亿八千万的营收中一亿来自广告、八千万来自游戏,其他的收入加起来是个可以忽略零头。Facebook虽然借着电影在国内也火了一把,但对墙内用户依然神秘,比如我有Facebook帐号,但我不常用,也没什么机会了解它的各种盈利机制。似乎Facebook的开放资源对很多公司是免费的,但我很好奇Facebook与Zynga这类公司的利益分配模式,具体比例如何?有无公开标准?求解。

Zynga 的收入主要来自虚拟商品销售。 2009 年 Zynga 的收入为 1.215 亿美元,2010 年收入 5.975 亿美元,今年第一季度收入 2.354 亿美元。该公司去年实现利润2790万美元,2009年为亏损5280万美元。

  Zynga 的成功与 Facebook 分不开,两家公司的关系也十分密切。Zynga 已经与 Facebook 达成了为期 5 年的合作协议,同意在游戏中使用 Facebook Credits 进行支付, Facebook 将从中提成30%。

  去年 12 月 31 日,Zynga 有 69% 的应收账款来自于Facebook,今年3月底这一数字达到 82% 。但 Zynga 所有用户中,付费用户只占很小一部分。

Facebook 社交网络 Zynga 在线社交游戏 开放平台 商业模式 Facebook 平台 利益分配

什么是开放平台?开放平台有哪些特征?开放平台能给平台本身带来怎样的优势或风险?

-

开放平台与现实的对照就是商业地产开发商。
商业地产开发商开发了一块商业地产,比如万达广场, 这块地产商有万达自己的服务(比如万达电影院), 吸引了很多老百姓来看电影。 看完电影后,万达看这些人没有吃饭的地方,但是自己又不太懂餐饮业,怎么办呢?

于是万达广场就从自己的商业地产中隔离出一块地, 邀请餐饮公司(比如肯德基和麦当劳)在这开餐馆, 于是老百姓就有了吃饭的地方了。

不过这对万达有什么好处呢, 虽然利人不损己的行为很高尚, 但做生意总要有钱赚才好。 这里面的好处是, 由于有了餐馆, 来这块地产的老百姓会越来越多。 其中有些吃了饭,没事干的人会选择去电影院看看。于是电影院就能赚更多的钱了。

后来,不仅开餐馆的来了, 提供其他休闲活动的公司也来了(比如马杀鸡), 于是人就越来越多, 看电影的人也就越来越多, 万达自己也就越来越赚钱。

再后来,更多的其他公司看到这块地的人那么多, 都想在这地方开自己的门店,于是房租就越来越高, 万达发现自己开电影院赚的钱,还不如把电影院关了,直接出租赚的钱多。 于是干脆关了电影院, 直接出租。

这时候, 老百姓发现这地方没有电影院了, 但是有其它的各种各样的有趣的服务和商品, 于是照样来消费。 于是万达就继续不断收着租金。

这块商业地产, 就是开放平台。

互联网 产品经理 开放平台 腾讯开放平台

平台化应该怎么定义、怎么描述、怎么理解才最准确呢?

-

现在到处都在汗平台化、平台化,各人心中的平台化都是一样的理解吗?各人心中想象的平台化的特点都是一样吗?我有点疑惑~~~~~

地球提供阳光,水,空气,土壤,矿物等各种原材料,人类在约定的框架内使用这些原材料建设出各种适宜人类使用的事物,并因此获利,获利后在通过种种方式回馈地球,实现良性循环。——这就是平台

1:只提供原材料。开放api,开放关系链,详细文档以及一些打包好的代码模块等,帮助应用开发商开发出最好的产品,并且展现到平台之上的用户面前。最重要的一点是平台商不能既当运动员也当裁判员。——很多平台商都没有做到。
2:约定框架。以开发者协议为代表。公正,公平,公开审核所有应用,违反框架的要受到惩罚,不论是下架还是降权。
3:帮助应用开发者获利。需要便捷的支付手段,多样化的支付方式等。
4:回馈平台。用户通过各种APP增强平台粘性,而应用提供商因此获利从而开发出更多优秀应用,最终实现良性循环。
5:我们只有一个地球。最强的平台提供商最终成为互联网中的水和电,他们控制了源头。很快会出现诸如APP模块提供商等一些附属产物,他们不直接参与进APP的开发,他们开发各种APP模块,将其用便捷的方式组合成各种APP。但是他们无法影响平台商本身的地位。

开放平台 平台化

鼓励使用第三方登录的网站,如果第三方停止对其登录支持,那么网站的账户该何去何从?

-

上图为 Medium 的注册登录界面,可以看到网站仅仅提供 Twitter/Facebook 的第三方登录,没有邮箱或手机注册。
国内也有很多这类网站,不过比较常见的是用第三方登录后自动生成一个随机账户,该账户也设定有默认的随机密码,更甚者不要求绑定邮箱什么的。

那么这类网站如果失去「第三方登录」的话会怎样?
第三方可能在哪些情况下停止对其登录支持?

基于“Facebook等不会在它之前倒闭”的原理

开放平台 网站 OAuth Open ID 第三方登录

你对百度开放平台有怎样的理解?对比说说腾讯开放平台,阿里开放平台……

-

促使各个平台开放的原因是什么,各个平台的优势是什么, 平台想有什么样的发展,各自的从业者有什么不同 ,从业的者可以得到的有什么不同……

其实百度开放平台现在还在试水阶段。他们自己都不清楚如何走。。。。。。
所以,去做百度平台,风险大,可能收益也大。。。
但是,百度以往的开放平台,没什么意义,基本都是老客户在上面。新入的基本无机会

移动互联网 腾讯 百度 开放平台 百度开放平台

谁会成为中国的 Facebook Connect ?为什么?

-

QQ,新浪微博,人人网,开心网,支付宝,你更看好哪一个?
Facebook Connect 允许用户通过其账号登入许多其他的第三方网站,从而避免用户需要再次注册账户的繁琐过程。

谁都不会,国内互联网企业都是在镇子里面逛逛,这已经决定了Connect的局限性,其次各自为营的发展模式,限制了公司文化的开放性,腾讯就是其中最大的阻碍。与其说是真真真的开放,不如说是全部纳入自己的圈子,只有姿态是不行的。新浪还是靠谱点的,但是从当前微博的发展态势来看,沦为官方舆论控制工具的可能性更大一些,大有当前百度信息入口限制的风范。人人网、开心网忽略不计,它们只能形成特定的圈子,人人网的用户群在走上工作岗位之后不可避免出现用户活跃度极速下滑的势头,不具有可持续性,开心网也越来越走下坡路。支付宝手握互联网用户的大多数的消费数据、而且安全性上来说也是比较可靠的,但是想和目前的SNS、Connect联系起来,目前还没看到一丝的可能,但是等阿里巴巴和小马童鞋把资本全部都攒到自家包里,解决完资本问题之后再想这些吧。我们国内总是在想,国内的某个企业谁会成为某个最大的互联网企业,比如谁会成为微软,谁会是下一个谷歌………………不要再山寨了好吧,没有这个想法,何来那么多山寨呢?最后的答案就是谁都不会。

Facebook 开放平台 Facebook Connect

如何在腾讯开放平台引爆应用的添加量?

-

腾讯开放平台指:QQ空间、朋友网、腾讯微博。Q+还没正式开放。应用的类型不限。除了腾讯所提供的病毒扩散接口外,还有什么经验或点子?

  1. 首先登陆QQ空间,选择应用,搜索“开发者”,搜索到之后点击“添加”,即可添加此应用。



  2. 下图为添加应用界面,选择“同意应用用户协议”点击“进入应用”



  3. 进入应用之后就可以正常使用应用管理功能了,在此可以创建你的第一个应用



  4. 在此界面注册成为应用的开发者,可以选择开发者类型,是公司或者是个人,两种类型填写的资料是不同的。



  5. 注册成功之后,就可以创建应用了,填写名称,详情等信息,上传图标,所开发应用的链接地址,调整应用显示大小,即可提交审核。




  6. 腾讯应用的审核一般为2到3个工作日,小编的应用提交后一般当日审核,速度比较快,效率比较高。


  7. 7

    审核通过之后,并还没有上线。一定要在收到审核通知之后回到应用管理中手动选择上线,上线后才能供网友搜索到并使用。

产品运营 开放平台 社会化营销 网站推广 应用(软件) 社交产品 腾讯开放平台 腾讯微博开放平台

你会设计一个什么样的Q+应用?

-

你有什么有趣的app创意?比如结合QQ关系链这种别的平台没有的元素?

目前的答案基本上都没有帮助。我问的不是”Q+有没有价值“,”Q+是不是又抄袭Google+了“,”你为什么要用Q+“等等。

快看张亮-Leo和谌斌的回答,大亮啊。

“帮你睡个好觉”的APP。
1、24点定时关机
2、选择执行频率为1周起。
3、不能强行退出程序。
4、周五周六晚可破例02:00点关机。
-----------------------------------------------
补充一些对Q+的期待:
桌面最大的烦脑就是乱。相信很多人都感同身受。

很期待Q+ 桌面有一大块就是 TODO, 相关文件,拖住就往里边丢。爽死了!

互联网 移动互联网 腾讯 开放平台 应用(软件) 腾讯微博开放平台 腾讯 Q+

如何搭建一个网络安全实验室(线上),类似于合天?

-

想利用假期时间,给学校建一个类似于合天的网络安全实验室,之前没有过建站的经验,单纯想给学校那些喜欢网络安全的同学一个平台,也锻炼一下自己。具体需要那些知识,web前端后端都要学习什么?具体流程,以及花费。希望有经验大牛指点一下!

回复love love:一个人肯定搞不定啊,我们可是几十个小伙伴在点灯熬油的加班做。不过这位同学想法很好,值得肯定!欢迎来我们公司一起折腾。

开放平台 网络安全 新媒体传播技术实验室 web服务搭建

手机支付宝客户端扫一扫是按照什么逻辑限制网址访问的?

-

最重点的需求:我需要实现,在支付宝钱包内置的浏览器(就是扫一扫)打开我的一个网址。

请仔细看我的测试内容:
1、我测试过,把网址生成一个二维码,然后通过扫一扫,扫描这个二维码,会有两种情况:
a. http://a.counect.com,这个网址生成的二维码,直接在内置浏览器打开了。
b. http://a2.counect.com,这个网址生成的二维码,会提示,“可能存在风险,是否打开此链接”,点击打开后,调用的是手机的浏览器,不是内置的浏览器。

2、经过猜测,做了以下工作
a.有可能这个域名需要授权
b.申请WAP手机支付的时候,填写了一个域名,经测试,扫码,出现提示,外部打开网页,所以证明这个办法行不通。
c.有可能要某一项支付的签约,把域名授权。

现在看有谁可以帮我解决这个问题:
就是通过扫一扫的内置浏览器,打开我的网址
2、经过猜测,做了以下工作
a.有可能这个域名需要授权
b.申请WAP手机支付的时候,填写了一个域名,经测试,扫码,出现提示,外部打开网页,所以证明这个办法行不通。
c.有可能要某一项支付的签约,把域名授权。

现在看有谁可以帮我解决这个问题:
就是通过扫一扫的内置浏览器,打开我的网址

可以不提示的只能是内部域名,或者经过认证为安全的合作伙伴域名,此项需阿里总经办审批

开放平台 支付宝 客户端 手机支付 扫一扫

腾讯推出 “QQ 登录”向第三方网站开放,你怎么看这一举动?它和 Facebook Connect 是不是一回事儿?

-

用户能使用QQ帐号一键登录接入网站,大大降低了用户注册、登录的门槛,借助庞大的QQ用户群,给第三方网站带来更多新用户。已登录用户还可以将在第三方网站发布、分享的信息即时同步到QQ空间。详细见connect.opensns.qq.com/

腾讯OPEN ID的工作其实早就开始了,我们公司也是OPEN ID的合作方。对于腾讯而言,这和他的一站式服务的理念是相通的;对于合作方而言,降低了获取用户的成本;对于用户而言,更加便利的进行网上活动。当然,他们的OPEN ID还有需要优化之处。

至于腾讯OPEN ID是不是单向的问题,我们做的时候确实是单向的,腾讯说这块没完成,但我相信未来不会是单向的。因为连人人都是双向,腾讯应该不会比人人更鸡贼的。

这是多方获利的好事情。

腾讯 QQ Facebook 腾讯 开放平台 QQ 登录

中移动音乐开放平台上线将对现存的SP造成怎样的影响?

-

open.12530.com/index.ph
cnii.com.cn/wlkb/rmydb/
考虑到智能手机的普及,app是否会取代传统SP提供的各种服务?

其实这个问题不是一个和音乐有关的问题。
我的答案是短期几乎没有任何影响,长期的影响取决于这个开放平台的发展程度。
mm平台就是最佳的例子,我所了解的sp中,同时拥有MM平台中几十家资质公司的大有人在。规则是什么完全不重要。

对于SP来说:能搞定移动的投诉端的压力,能搞定关键的营销资源,能拥有核心的内容资源是成败的关键。而这几点基本都是靠关系和人情来维系的。
对于SP而言移动做了什么不重要,重要的是能否在符合规则的前提下发挥既有的长处。

在现有的规则下,独立音乐人或是唱片公司想和移动直接合作,取得明显的收益依然如同纸上谈兵。没什么实际中的可能。当然了不排除1-3个被偶然树立成典型的,这都是蒙人的。
核心的资源依然把握在传统的SP手里。这一点短期不会有任何变化。

音乐 移动互联网 开放平台 中国移动 电信

为什么新浪微博、腾讯微博、人人网开放平台的图片上传功能都不支持 base64 格式上传?

-

新浪微博: open.weibo.com/wiki/2/s
腾讯微博: wiki.open.t.qq.com/inde
人人网: wiki.dev.renren.com/wik

三家开放平台都要求使用 multipart/form-data 编码方式,要求以二进制文件方式上传图片。

但是这样给 HTML5 Canvas 产生的图片带来一个问题,就是不能通过 ajax 直接上传。 而必须经过保存到本地,然后用 的表单方式手动选择文件上传。

这对于 HTML5 客户端应用来说是巨大的用户体验障碍,既然 base64 格式对性能牺牲也不是特别大( 4/3 倍带宽),那么为什么这些开放平台都不支持 base64 格式呢? 另外有什么方法可以绕过用户手动选择文件,实现 HTML5 客户端的一键上传吗?

现在已经解决了这个问题,用到了@刘扬说的 XMLHttpRequest Level 2 中的 FormData。

互联网 人人网 开放平台 HTML5 Canvas 新浪微博开放平台 腾讯微博开放平台

2011年6月28日晚间 XSS 攻击新浪微博事件,对各大微博以及开放平台,有什么可以吸取的教训和启示?

-

我在这个回答有所提及(zhihu.com/question/1973),在这里详细说说。

这次攻击是典型的利用XSS漏洞进行CSRF攻击,没有用到API,与开放平台无关,开放平台本身有很高的安全性(OAuth)。

1. XSS
上面有人说,XSS漏洞不是大问题,我不同意。XSS分两种:
一种是「永久」的,常见的情况是输入框中的问题不进行过滤(strip tags),导致script这种危险标签会被显示出来,别人访问这个页面,脚本会被执行。这种非常严重,类似于今年人人网受到的XSS攻击,当时人人网整个站内信系统崩溃。
第二种是「反射」的,就像这次新浪微博,原因是某些网页的JS编写不是很规范,导致网址可以嵌入一个脚本执行。一般认为这种危险系数较低,但是由于社交网络的特性,导致本身不高的危险,通过关系网被放大。
总结:XSS,无论大小,都比较严重,尤其是对于社交网络。

2. CSRF
[修正]CSRF攻击如果由XSS提供入口,攻击的复杂性就大大降低,只需要简单的脚本就可以实现。新浪微博是没有严格的防范CSRF的,严格的防范流程是

  1. 在用户载入页面的时候,在Form加入一个隐藏的Input,生成一个随机的字串作为value,同时后台记录这个value。
  2. 用户提交Form的时候,验证value是否匹配。

这样的方法可以更好防范CSRF,但是新浪为什么没有这么做,我觉得一个可能的原因是承受力。新浪微博由于用户非常多,一个小小的功能增加就会造成很大的负担,所以在考虑防范CSRF的时候,肯定也会考虑和增加的投入比,是否值得。新浪微博现在的服务器不算是很稳定,增加这个功能,会增加服务器负担,增加服务器的不稳定。

3. 安全测试
世界上没有绝对安全,也没有人能够面面俱到。所以类似WooYun这种漏洞提交平台非常重要,各大厂商也都有关注。

4. 对于开发者
现在写Web App,现有的Framework已经可以防范不少的安全漏洞,比自己写要安全不少:以前经常可以碰到简单的SQL Injection,现在基本上都没有了。往上有许多Self check list,开发者可以对照一下,看看自己哪些方面做的不够。

5. 危机处理
从危机处理的方式来说,新浪微博这次处理要好过人人网。人人网的漏洞要更严重,甚至导致站内信系统完全被拖垮,而人人网并没有发布任何公告,也没有其他的措施,任其发展。第二天,把所有的站内信删掉,当作没发生过一样。
新浪这次做的比较好的地方在于,及时的通过「侧边栏」和「微博小秘书」发布了公告,同时,由于新浪的短链接(人人网当时没有短链接),可以迅速停掉对于该网址的解析。不过攻击者也不傻,通过附带随即参数(unix时间戳)来防止新浪一下子全部杀死。

6. 从攻击者的角度
除了CSRF,攻击者都倾向于采用「暴力」的方法来抓去信息,比如人人网的攻击通过暴力抓去个人信息页面的信息,而新浪微博通过暴力抓取粉丝名单页面来传播,大概是因为现在浏览器执行javascript的速度有质的提升,使得「暴力」成为可能。
P.S. 人人网和新浪的攻击脚本,没有minified,如果minified可以省掉不少带宽,同时也让我们无法更好的读到代码。

新浪微博 开放平台 XSS 攻击新浪微博事件(2011年6月28日)

© COPYRIGHT BY i How And Why.com 2015