扫码打开虎嗅APP
从思考到创造
打开APP
八卦之王
App Annie, Director of Engineering
4
文章
0
视频
0
24小时
9
评论
嘀嘀打车的安全隐患和应对
请不吝赐教:这个问题已经在一年多以前设计好了应对方案
TYOM:据我所知,这个问题已经在一年多以前设计好了应对方案。不过不是嘀嘀打车等一众神器在用而已。现在这个行业本身正在步入一个的变革的通道,除了技术变革之外,还有制度、利益、角色等等相关因素。一个真正好的模式,必然是建立在一个非常之简的规则之上。正如Home键对于Apple,搜索框对于Google,RT对于Twitter,Click对于Vine。嘿嘿。
嘀嘀打车的安全隐患和应对
自以为技术好,开车切西瓜的出事故几率最高。开车这事大意不得。
微博评论:技术好的司机别说看手机切西瓜都没事,技术不好的。。。
嘀嘀打车的安全隐患和应对
这个办法是把选择权交给了乘客,核心同样是司机不必急于在第一秒抢下订单。从用户体验上看,你的办法更好,因为乘客有了选择权,而且让信用体系发挥更强的作用。后台直接摇号,则给了公司一个盈利点。目前滴滴打车是没有任何盈利点的。
RockFeng:LZ提出的解决方案短时间内无法实现,现在不如加入评价系统,让乘车人对司机几项指标进行评价如安全意识、速度、路线合理性、接单后的等待时间等等,都个司机接单后也不必摇号,由客户根据距离和评价自主选择,从而评价系统形成对司机的一种约束,使之更注重安全等多方面的因素从而提高服务质量
打车应用或将昙花一现?
收银员基本上不能提供差异服务,但司机可以。所以我的确会优先选择熟悉的司机,
八卦之王:打车应用如果加上“关注”功能呢?打车请求优先发送给“关注”中的司机?微信这个群的功能毕竟有太多的局限性。比如不能准确快速的定位地点。
为什么Cookie泄露对“贱人”来说是要命的?
保存账号密码是浏览器的本地功能,跟网站没关系。网站的问题在于将有可能被人用来盗号的信息通过cookie给了第三方。
NLZhou:你可以选择不保留帐号密码,自己勾上保存说网站不负责任?
为什么Cookie泄露对“贱人”来说是要命的?
作为互联网上最大的广告媒体,Google,他是怎么做的呢?你有没有见过Google的网站植入过第三方的代码?网易完全可以向Google学习:提供接口和代码,注意这是网易自己的接口和代码,第三方要发广告,你调用我的接口。告诉我你广告的分类,目标人群,投放条件等信息,我在我的网站合适的位置展示。
如果能理解这两种方式的本质区别,就知道网易可以做的更好。
当然,我同意网易不是唯一做的不好的,但这不能成为借口。在国内的网站里,我对网易的操守还是比较看好的,但他可以做的更好。
微博评论:贱人就是矫情,这种半吊子观点能不要转了么,不是听取不同的声音,是扰乱视听,session cookie被偷了是浏览器的问题,关网站什么事,还java漏洞,是网上搜到J2EE哪一版本不支持httponly么
为什么Cookie泄露对“贱人”来说是要命的?
针对session cookie被盗,网站还剩下一把锁,就是判断 session cookie ip地址。我估计网易的工程师也做了这一步。不过这依然不是保险的。IP地址有可能伪造。另外,如果你使用小区宽带上网,很多人跟你的IP是一样的。
作为一个技术人员和一个用户,我所遵从的原则是,在安全问题面前,要做够所有可以做的措施。针对Session Cookie,总结起来是4条:
1. 尽可能的避免跨站脚本攻击的漏洞,千万不要被人植入代码
2. Session Cookie要够长,够随机,避免被人暴力穷举
3. 加上HttpOnly标志
4. 后台既判断Session Cookie,又要判断IP
某些网站的问题是工程师做好了这4条,但是营销部门轻松的把第一条给卖了。
coder_ming:你怎么确定别人拿到了Session Cookie就可以通过网站的验证,,请问你做试验了沒,,,,如果在这个加密串包含你登录的IP地址,,,,别人获取你cookie 但是伪装不了你的IP,,,你可以禁用下cookie 技术试试,,,,你就别登网站了
搜索引擎,死期已至
如果加上淘宝和天猫呢?
潘乱:你把当当网、京东、点评网,饭统网这些公司的搜索服务加起来,市场份额与市场价值能拼得过百度的一半么?
搜索引擎,死期已至
数据岛的数量未必会很多,但是绝大多数用户将习惯于在有限的数据岛上生活。
小文家的走狗:互联网的明天,将会形成一批封闭的数据岛和散落在其周围零散数据形成的沼泽。搜索引擎只能在这片沼泽里苟延残喘。——数据岛不会很多,沼泽也不会很少,所以传统搜索还是有市场的。将来的搜索市场便是传统搜索与社交搜索平分天下。所以搜索引擎并不会死。
END
从思考到创造
如果能理解这两种方式的本质区别,就知道网易可以做的更好。
当然,我同意网易不是唯一做的不好的,但这不能成为借口。在国内的网站里,我对网易的操守还是比较看好的,但他可以做的更好。
作为一个技术人员和一个用户,我所遵从的原则是,在安全问题面前,要做够所有可以做的措施。针对Session Cookie,总结起来是4条:
1. 尽可能的避免跨站脚本攻击的漏洞,千万不要被人植入代码
2. Session Cookie要够长,够随机,避免被人暴力穷举
3. 加上HttpOnly标志
4. 后台既判断Session Cookie,又要判断IP
某些网站的问题是工程师做好了这4条,但是营销部门轻松的把第一条给卖了。