3C商品一直以來都有個「品牌迷思」的問題,無論是國產品牌、日系精品、還是走超低價位的代工商品,但是,有人當然會覺得一分錢一分貨,但是你真的知道你比別人多花的錢,是用在什麼地方嗎?
有人會說,因為買「牌子、設計或功能」,其實這些都沒錯,但是...經過層層剝削後,或許消費者一直都在當冤大頭,尤其是你知道那些產品的成本結構之後,你一定也會想自己跳下去做經銷、代理(也得你有資本和通路才行)
除了這些之外,還有很重要的一環,那就是「售後服務」(買保險),雖然大家都不希望用到它,但是備而不用的準備,對生命周期愈來愈短的3C商品來說,真的是相當重要的一件事,只要曾有過一次不好的體驗,就可能會將某個品牌列入拒往名單,雖然商品供應商的應變很重要,但是我們也得負一部份的責任(這也是一分錢一分貨),不然IBM也不會出脫NB部門(燙手山芋),畢竟後面要備料、處理相關服務,以及龐大的通路及運送費用。
因為售後服務太像買保險的心態,以台灣人的消費習慣,應該只有極少數的人會花錢買延長保固的服務,甚至有時候你有買,也不一定能夠得到相等的對待(這跟保固條款有極密切的關係)。
舉例來說,我前陣子才聽友人說,他快被某知名品牌的筆電給氣死,因為當初是在國外買的全球保固,但是保證卡放在國外,在台灣需以保證卡為準(難到不能用機器序號查詢?)結果只是因為光碟機有挑片(讀不到)的問題,廠商給的報價竟然是一萬多...(無論是維修或是換新都差不多是這個價位)。
這樣的「服務價位」,是不是直接買個外接的光碟機還比較快(買個兩台都還有剩吧!?),當初花錢買的全球性的延長保固,卻又因為保證卡不在身邊而無法使用,而且該品牌的筆電又是以精緻著稱(就是貴啦!),感覺自己被剝了兩次皮,一樣無法得到應得的服務及對待,雖然說沒把保證卡帶在身旁是自己的過失,但是這些"技術"上的問題,真的有這麼難以克服嗎?
有些標榜高品質、高享受、高體驗的產品,一旦落到消費者手中,就像變成Outlet花車中的次級品,不是變成孤兒商品,就是有可能會求訴無門,以現在的電子產品的保固狀態,通常賣產品的人都不用負責後面的保固事宜,大多會要求你直接找原廠,它們頂多是站在證明你什麼時候買到該產品的角色(這跟保固期有關...如無法舉證會直接以出廠日期判定),或者是幫你收送給原廠(有的運費還得自行負擔)。
從這個角度來看,就可以看出產品線及經營模式反映在價格上的差別,以記憶體來說,某一間最昂貴的本地廠商,就是以保固服務在打出名號,只要是它們家的記憶體(僅限正廠,如副廠出產,兩者保固換貨方式不同),拿去現場只要有貨,就直接換給你(有合理的換貨原因即可),連購買證明、發票什麼都免了,光是這一點我就覺得東西貴得有價值。
雖然合理的價格是見仁見智,但是我仍無法理解單以品牌、設計和習慣所購買的高單價產品(個人很重視C/P值),當然,買東西只是自己開心,要怎麼配用是自己的事,但是花了大錢又像我上述的案例,把自己氣到內傷的事,卻也層出不窮,所以小老百姓們還是多保護自己一點吧!
竟然我前面有提到成本結構,就簡單提一下吧!
其實在台灣的"廠商"也很難為,因為台灣人真的是數一數二的"澳客",在成本結構的分配上,其實製造商自己會先壓低自己的利潤,讓中間廠商能夠有更大的獲利空間,舉例來說,很多產品在製造商發給大盤、中盤時,應該都已經把價格壓在原價的六成左右,一方面是給中下游甜頭,另一方面也便於把風險轉嫁給後面的廠商(連"售後服務"都一起轉包給中下遊廠商)。
礙於這樣子的狀況,我們消費者從零售或是中盤(像光華商場...)購得產品時,頂多就是原價的九折...甚至某些商品還是絕不打折(但是不打折的商品不一定會賣的比較差...尤其是有話題性的產品),從這邊就可以看出中間的利差,當然這也是得有龐大的數量,廠商才能夠打平自己的管銷(現在還是通路最大的時代)。
所以,消費者常常都會問,買一個東西這麼貴(跟國外相比),又沒有辦法得到完善的售後服務,不是自己花錢找罪受嗎?
這個問題如果是自己本土品牌,或許會遇到的狀況會少一點,應該說能夠議價的空間會高一些,如果各位是愛買"舶來品"的人,你就會發現價格之"硬",絕對會讓你想走"平行輸入"或"水貨"一途,最常見的產品應該就是數位相機吧!
除了售後服務之外,還有什麼是值得我們反應在購買價格上的呢?
1.耐用性:
因為現在的3C產品,有著愈來愈炫功能沒錯,但是總覺得壽命跟以前的產品相比短了許多。廠商當然也知道太耐用的產品會自己挖洞,但是以現在的使用狀況,好像所有的產品都變成"消費性"電子,如果你有什麼產品能夠安然無樣的度過5年這個大限還能夠沒事,請記得通知我廠牌、型號和製造地,我下次一定以它為優先。
2.相容性:
這點一直都是被大廠所操控,你可能要花更多的錢,才能買到與五年前舊規格相容的零件,但是卻又不得不買,因為手邊的主要零件是多年前所設計,而公司也不太可能會"未雨綢繆"的準備好兩、三套的備料(這是大多數公司的通病)。
所以相容性的產品應該算是消極的抵抗,卻是我們花最多成本的關鍵,所以下次買3C產品前,最好三思而後行,千萬別貪圖一時的短利,後面你要付出的才是驚人的代價(還會有一種不得不的怨念上身)。
可惜,真的有做到完善保固服務的廠商,卻是少得可憐,或許大廠比較有能力和本事來經營,但是要付出的成本過高,往往都會發包給其它下游廠商處理,所以很多時候品質就會大打折扣。
除此之外,由於很多大廠在台灣早已沒有據點,所以...處理的時效上很難掌握,最好是每個人同樣的東西都有兩套...,不然往返送修的時間,很多人會選擇買新品來做為替代品,如果再把時間成本也算進去,你就會發現,你多付的成本在某些時候是相當有價值的(當然,那也是在你能夠很快的得到協助的狀況下)。
下次買3C商品時,千萬不要只為了外表、設計,最後還是要詢問一下售後服務再決定吧!不然這種鳥事只要遇到一次,包準你會讓你想直接把東西給砸爛的衝動。
2008年7月8日 星期二
2008年6月30日 星期一
登錄檔的備份與應用(Application of Regshot)
其實登錄檔(Regsitry)這東西,對於曾經自己修改過的人來說,真的沒有太多秘密,唯一的差別就是你知道那些數值跟參數所代表的意義,以及它可能帶來的風險(自行改登錄檔,把電腦改掛是自己的事,因為m$基本上不會進一步約束,自己改壞,自行負責。)
我想起先前在「產測研討會」時,國外來的講者,提到的一個免費軟體 ── 「Regshot」,它能夠備份Regsitry的設定,最好用的就是可以做到登錄檔變更前、後的比對,如此一來它的應用層面就廣了許多。
1.檔案下載完後解壓縮,直接執行「regshot.exe」,跳出下列畫面:
2.為了讓它的收集能夠更加完整,我們可以把它掃描的登錄檔路徑改成「C:\」:
3.然後按下第一次的快照「1st shot」,點選「shot」:
4.然後在你變更過系統設定後(無論是試用新程式、調校軟體或是測試病毒的感染狀況),再拍下第二次的快照,直接點選「2nd shot」,然後「shot」:
5.等第二次的快照完成,直接按下「cOmpare」(O是故意大寫的),它就能夠直接幫你比較出兩次快照的差別:
6.接著會跳出登錄檔內的變化,甚至連資料夾的新增、刪除都有:
軟體的操作與介紹的部份就到此結束,那它真的能夠為我們帶來什麼好處嗎?
其實,它只是一個小巧的工具,能夠讓你在自己"玩"登錄檔之前,先做好保險(備份),以免真的不小心改掛了,還有辦法能夠恢復,除此之外,它的其它應用比較進階,因為登錄檔不是一般人會想去碰的部份(雖然它能夠做到的事情很多),因為他有太多關鍵字及雷同的數值。
病毒感染的測試來說,你除了要先做好乾淨的快照之外,你還得準備個虛擬的作業系統來測試(不敢保證測試一定能夠解的開,如果連登錄檔的還原都無效時,至少你還能安心的使用著心愛的電腦)。
在我親身試驗的過程中,我覺得很多小巧的工具程式,只要你找到它的應用點,他能夠帶給來的便利程度,絕對不亞於那些肥大的商業軟體,頂多是沒有這麼全面而已。
或許,你覺得自己用不到這麼專業的軟體(它一定是值得留下的小工具程式),以免下次遇到需要分析登錄檔時,把自己弄的眼花撩亂(登錄檔的結構真的只能五花八門來形容,很容易在裡面陷入無限迴圈。)
「戲法人人會變,各有巧妙不同」,看似無奇的工具,說不定那天能救自己一命,最後,我只能說網路上的善心人士還是不少,不然怎會有這麼「俗又大碗的軟體」呢?這或許才是網路對我們最大的衝擊吧!
我想起先前在「產測研討會」時,國外來的講者,提到的一個免費軟體 ── 「Regshot」,它能夠備份Regsitry的設定,最好用的就是可以做到登錄檔變更前、後的比對,如此一來它的應用層面就廣了許多。
軟體名稱:Regshot其實它的使用方法相當簡單...
授權性質:自由軟體
版本:1.82(November 3, 2007)
官方網站:http://sourceforge.net/projects/regshot/
直接下載:請點我(免安裝)
1.檔案下載完後解壓縮,直接執行「regshot.exe」,跳出下列畫面:
2.為了讓它的收集能夠更加完整,我們可以把它掃描的登錄檔路徑改成「C:\」:
3.然後按下第一次的快照「1st shot」,點選「shot」:
4.然後在你變更過系統設定後(無論是試用新程式、調校軟體或是測試病毒的感染狀況),再拍下第二次的快照,直接點選「2nd shot」,然後「shot」:
5.等第二次的快照完成,直接按下「cOmpare」(O是故意大寫的),它就能夠直接幫你比較出兩次快照的差別:
6.接著會跳出登錄檔內的變化,甚至連資料夾的新增、刪除都有:
軟體的操作與介紹的部份就到此結束,那它真的能夠為我們帶來什麼好處嗎?
其實,它只是一個小巧的工具,能夠讓你在自己"玩"登錄檔之前,先做好保險(備份),以免真的不小心改掛了,還有辦法能夠恢復,除此之外,它的其它應用比較進階,因為登錄檔不是一般人會想去碰的部份(雖然它能夠做到的事情很多),因為他有太多關鍵字及雷同的數值。
病毒感染的測試來說,你除了要先做好乾淨的快照之外,你還得準備個虛擬的作業系統來測試(不敢保證測試一定能夠解的開,如果連登錄檔的還原都無效時,至少你還能安心的使用著心愛的電腦)。
在我親身試驗的過程中,我覺得很多小巧的工具程式,只要你找到它的應用點,他能夠帶給來的便利程度,絕對不亞於那些肥大的商業軟體,頂多是沒有這麼全面而已。
或許,你覺得自己用不到這麼專業的軟體(它一定是值得留下的小工具程式),以免下次遇到需要分析登錄檔時,把自己弄的眼花撩亂(登錄檔的結構真的只能五花八門來形容,很容易在裡面陷入無限迴圈。)
「戲法人人會變,各有巧妙不同」,看似無奇的工具,說不定那天能救自己一命,最後,我只能說網路上的善心人士還是不少,不然怎會有這麼「俗又大碗的軟體」呢?這或許才是網路對我們最大的衝擊吧!
2008年6月21日 星期六
胖奇五趴之外卡二號[Punch Party 5]
今晚去參加了已經邁入了第五場的胖奇趴,其實我知道大概也是PP2的時候,為什麼一直到第五場才去參加呢?老實說...我也忘了(我裝忙嗎?)
這一次終於成行,雖然我先前有去過那個場地,心想怎塞的進100人,雖然事後證明可以,但是...我也是拿外卡二號進去的人(主持人問有沒有人是現場報名,很想舉手...),在裡面聽著眾大師,分享自己精彩的快速講稿(七分鐘真的很短),感覺還是挺不一樣,下次應該還會繼續參加吧!?...
今天的議題:I wish I can... (小時候的願望。長大後的現在)雖然我是外卡二號(現場報名的第二位),但是站著一個還頗涼的地方(還好),所以在會場還算舒服,除了去聽各位講者的心得外,也算是去"認朋友",一進場內稍微瞄了一下,馬上就可以發現Kirin(如班大貓所說:「出人頭地」),除此之外有些原本就見過面的朋友也在會場,不過...我覺得自己很像新生報到,感覺大家彼此都很熟絡(我會害羞... = =+)。
1.FUNCK (到台灣找我玩,同志!站長)
2.史丹利 (街頭x酷搜摩人)
3.朱百鏡 ("準"建築師)
4.班大貓 (班大貓廢紙背面塗鴉部落格)
5.何孟修 (設計師、25togo站長)
6.小眼睛先生 (背包客棧站長)
三十分鐘大講:設計師 蕭青陽
接下來,就來回顧一下眾講師說的內容:全憑印象,如有遺漏,也屬正常。
1.FUNCK (到台灣找我玩,同志!站長)
希望大家能做到兩岸的文化與旅遊的互動,最經典的一句:
「讓捐發票也能有13億的BASE。(反正他們帶回去也沒用...)」
2.史丹利 (街頭x酷搜摩人)
報了很多部落客跟廠商互動的料,及"知名部落客"的未來該怎麼走...
(不過...話題繞著他帶來的"伴",沒帶相機,有人或許有真相)
3.朱百鏡 ("準"建築師)
分享了淡水老街跟碼頭的過往跟辛酸的工作史。
4.班大貓 (班大貓廢紙背面塗鴉部落格)
輕鬆地帶大家看了他的小時候跟長大的願望,圖文的ppt真的有吸引力。
5.何孟修 (設計師、25togo站長)
分享他的設計理念跟作品,還帶了很特別的水泥杯(這之前的杯墊...)
6.小眼睛先生 (背包客棧站長)
我腦子裡反而記得"太空人"的願望,比他說背包客棧的內容還多耶...
(我想,寫小說的人還是比較適合用文字來說話吧!一整個超多字)
以上僅為個人單憑印象的重點,我想之後應該會有更詳細的內容被分享出來...
至於「大講」蕭老師(我想今天很多人都是衝著他來的吧!?)果真是大師,無論是開場,還是在說的每一年海洋音樂季的設計理念,還有跟「小夫媽(請自行翻閱世界名著:小叮噹)」交手的經驗,還是最後分享著令人感動萬分的兄妹之情,在節奏的掌控還有內容,我想全場應該都是很專注的在聽著他分享著他的心路歷程。(甚至還讓人眼泛淚光)
我想這樣子的聚會,無論是不同領域的參與,新理念的分享,甚至能夠看見、聽見一切平常難得一見的"幕後"人,活生生地站在台上分享著他們駕輕就熟的內容,但是在外人眼中,似乎總是蓋著一層謎樣面紗的「寶物」,能夠親臨傾聽,我想這樣子的兩個小時頗值得。
下次...我會記得先報名再看內容啦!(以免又是要到現場搶「外卡」),最後還是很感謝主辦人及相關工作人員的辛苦(自己辦過活動就能體會...要"喬"的事很多),希望這個活動能一直延續下去囉!(據主持人Carol說,下次應該是在八月初...,所以下次見囉!)
2008年6月17日 星期二
拋棄式電子信箱的反思(Pondering Disposable EMail)
現在,電子郵件信箱已漸漸地成了標準的個人資料之一,不過,垃圾郵件(SPAM)也應運而生,前陣子看見媒體有在報導「拋棄式的電子信箱」,讓我想起自己以前也為了申請某些網路服務,得去弄個專門用來收"特定郵件"的信箱。(只用來收特定郵件使用,廣告信再多也不影響正常收發信件)
直到前陣子提起了這項服務,我才去網路上找了一下,發現...其實早已經發展了好一陣子(為什麼我沒有早點發現呢?)不過,在看了一下幾個相關服務的說明後,我只能說喜憂參半,為什麼這樣子說呢?
原本這類服務的用意,就像我在十分鐘電郵(10 Minutes Mail)中看到一段話所述:
首先,我並不是要介紹那些拋棄式電子信箱好用...,因為在Google上有一堆,請自行尋找看得順眼的來用就好,我只是在思索這樣子的服務,可能會帶來那些反效果。
我大略為這一類服務做個分類,使用的模式可分成兩種:
1.透過轉信機制,讓暫時信箱能夠轉發信件到自己的真實Email。
2.產生隨機的電子郵件,供你暫時收信(轉信)。
共同特性:
1.可用於申請測試服務,或者是不想被收集個資。
2.避免受到垃圾信(SPAM)的疲勞轟炸。
3.可免除繁瑣的註冊流程。
雖然拋棄式的電子郵件有不少「可取之處」,但是跟其它工具一樣,是把雙面刃,你能用它來避開危險,也可用它來製造他人的危機,以下就是我個人想到「可能」的風險(不代表"一定"會有這些風險)
1.透過轉信機制來轉發郵件:
優點:可透過原本慣用的信箱來保存資料。
缺點:服務商能「順手」收集到大量有效的郵件名單。
透過轉信機制將信件傳到自己真實的信箱,有沒有覺得那一點很熟悉,像不像郵件跳板的模式?只要服務的提供商不小心把相關LOG記錄下來,再不小心的被人HACK走相關的資料(那這麼多不小心呀?),我想這裡面的有效郵件名單,應該可信度相當高。
說我危言聳聽也好,或是把現實想得太過險惡也罷,不過連我這小市民都能想到的「漏洞」,會沒有其它有心人士想得到?我想我還沒有這麼大的能耐吧?(只要有利可圖,有心人士無所不用其極的程度,絕對能令你昨舌)
2.隨機的電子郵件信箱:
優點:隱藏自身的郵件信箱。
缺點:讓惡意或SPAM的來源更難以追查。
隨機的電子郵件信箱,我想會很受到大家的喜愛,因為它更能夠保護自己的隱密性,而提供這類的服務商,怕造成其它人的困擾(例:有人透過它們發送垃圾信),所以絕大部份都「只能收,不能主動發信」,頂多是回信或轉寄。
這樣子的出發點雖然很好,但是只要能回信或轉寄,稍稍動點手腳,一樣能夠達到發送垃圾信或黑函的效果,舉例來說:
案例一:假設A想要發匿名的黑函給B。
A只要先偽造B的電子郵件信箱(改個郵件的標頭就可以),寄一封信到這個可拋棄的電子信箱內,再直接透過「回信」的功能,把信回給B,至於內容要寫什麼...一樣是決定在A的手中。
案例二:發給特定族群的廣告信或含惡意連結的郵件。
透過一偽造的來源寄送給此拋棄式的郵件信箱,再透過「轉寄」的方式,轉給想發送的特定族群,一樣能夠達到目的。(如果把流程變成排程!威力更加強大...不過還是得先測試一下這類拋棄式信箱的使用限制)
光是以上這些可能性,我這個"平凡人"能夠想到的弱點,有心人士只要大肆發揚,我想威力及變化更多,不需要自己架設Server又能夠達到效果,這也算是另類的Botnet(Bot service)嗎?
雖然這個服務連我自己都非常心動(尤其是去申請測試服務...),但是,這些可能造成別人困擾的部份,不知此類服務的提供者,是否也能夠提供更有效的防範機制呢?我想這才是萬全之道。(這類服務大多是免費的...要求它們太多也說不太過去,又不是每間公司都跟Gxxxxxxx...一樣)
直到前陣子提起了這項服務,我才去網路上找了一下,發現...其實早已經發展了好一陣子(為什麼我沒有早點發現呢?)不過,在看了一下幾個相關服務的說明後,我只能說喜憂參半,為什麼這樣子說呢?
原本這類服務的用意,就像我在十分鐘電郵(10 Minutes Mail)中看到一段話所述:
過去的一個月,我們看到什麼。我的伺服器每日都會收到大約二、三百封電子郵件。在過去的一星期,每日平均收到六、七萬封電郵,幾乎全部都是寄到已過期的 10minutemail.com 帳號,相信絕大部份都是垃圾郵件。但是...有沒有可能藉此來躲避相關的問題,甚至成另一種"不負責"的黑函或垃圾信來源呢?這點還是得思索一番,當然,也有不少網路服務開始阻擋拋棄式信箱的登錄(註冊),至於能追得上拋棄式信箱換網域的速度?我想就只能等時間來證明。
首先,我並不是要介紹那些拋棄式電子信箱好用...,因為在Google上有一堆,請自行尋找看得順眼的來用就好,我只是在思索這樣子的服務,可能會帶來那些反效果。
我大略為這一類服務做個分類,使用的模式可分成兩種:
1.透過轉信機制,讓暫時信箱能夠轉發信件到自己的真實Email。
2.產生隨機的電子郵件,供你暫時收信(轉信)。
共同特性:
1.可用於申請測試服務,或者是不想被收集個資。
2.避免受到垃圾信(SPAM)的疲勞轟炸。
3.可免除繁瑣的註冊流程。
雖然拋棄式的電子郵件有不少「可取之處」,但是跟其它工具一樣,是把雙面刃,你能用它來避開危險,也可用它來製造他人的危機,以下就是我個人想到「可能」的風險(不代表"一定"會有這些風險)
1.透過轉信機制來轉發郵件:
優點:可透過原本慣用的信箱來保存資料。
缺點:服務商能「順手」收集到大量有效的郵件名單。
透過轉信機制將信件傳到自己真實的信箱,有沒有覺得那一點很熟悉,像不像郵件跳板的模式?只要服務的提供商不小心把相關LOG記錄下來,再不小心的被人HACK走相關的資料(那這麼多不小心呀?),我想這裡面的有效郵件名單,應該可信度相當高。
說我危言聳聽也好,或是把現實想得太過險惡也罷,不過連我這小市民都能想到的「漏洞」,會沒有其它有心人士想得到?我想我還沒有這麼大的能耐吧?(只要有利可圖,有心人士無所不用其極的程度,絕對能令你昨舌)
2.隨機的電子郵件信箱:
優點:隱藏自身的郵件信箱。
缺點:讓惡意或SPAM的來源更難以追查。
隨機的電子郵件信箱,我想會很受到大家的喜愛,因為它更能夠保護自己的隱密性,而提供這類的服務商,怕造成其它人的困擾(例:有人透過它們發送垃圾信),所以絕大部份都「只能收,不能主動發信」,頂多是回信或轉寄。
這樣子的出發點雖然很好,但是只要能回信或轉寄,稍稍動點手腳,一樣能夠達到發送垃圾信或黑函的效果,舉例來說:
案例一:假設A想要發匿名的黑函給B。
A只要先偽造B的電子郵件信箱(改個郵件的標頭就可以),寄一封信到這個可拋棄的電子信箱內,再直接透過「回信」的功能,把信回給B,至於內容要寫什麼...一樣是決定在A的手中。
案例二:發給特定族群的廣告信或含惡意連結的郵件。
透過一偽造的來源寄送給此拋棄式的郵件信箱,再透過「轉寄」的方式,轉給想發送的特定族群,一樣能夠達到目的。(如果把流程變成排程!威力更加強大...不過還是得先測試一下這類拋棄式信箱的使用限制)
光是以上這些可能性,我這個"平凡人"能夠想到的弱點,有心人士只要大肆發揚,我想威力及變化更多,不需要自己架設Server又能夠達到效果,這也算是另類的Botnet(Bot service)嗎?
雖然這個服務連我自己都非常心動(尤其是去申請測試服務...),但是,這些可能造成別人困擾的部份,不知此類服務的提供者,是否也能夠提供更有效的防範機制呢?我想這才是萬全之道。(這類服務大多是免費的...要求它們太多也說不太過去,又不是每間公司都跟Gxxxxxxx...一樣)
2008年6月12日 星期四
產測研討會的心得(Observation on Beta Tests Workshop)
前兩天去參與了一個產品測試的研討會,業者從國外請了一個Team來講述有關產測(產品測試)的技術跟注意事項,雖然先前在採購某些軟體前,自己也會做一些簡單的測試,但是跟這一群專業人士所做的測試相比,可能連三成都不到。(但是...測試的結果是否真能反應在採購上呢?我後面會再細述)
雖然產品測試的出發點很好,但是對大多數的使用者來說,它並不適用,因為他們通常只要得知結果,至於是不是自己所測試,或者這個結果是否真的能套用在自己的作業環境上,往往就被輕忽而選擇性的遺忘了。
或許有人會說,我那有這麼多時間可以做測試,況且某些條件的測試,對一般人來說的門檻過高(例:Tom Hardware的專業測試),所以直接引用專業人士的報告(結論),能夠交差就好。
在某部份而言,我能夠接受且認同這樣子的觀點,但是...應用軟體上的測試,這點就不太能夠苟同,畢竟,絕大多數的軟體都有"試用版",就算是閹割後的版本,但是主要功能應該都會保留,這樣子的測試門檻,除了手邊是否有工具與可重複性測試的平台,其它就只是時間的長短。
因為當天的議程是整整一天....,我也只能摘要式的點到為止,而且會場有發給我們"兩大本"的內容,基本上講述的內容,在那兩本講義中均有整理,讓我能夠盡情的聽台上的人講述心得與技巧。(雖是全程英文,但有即時翻譯,這一點還蠻有人性的,不過...)
回歸正題,雖然這個產品測試的研討會,主要討論的對象是AV Software(防毒軟體),但是我相信同樣的技巧與概念,也能夠跨到其它軟體且都能適用才對,畢竟基本功是人人都得練的,不是嗎?
在台上的講者,提到的內容包括下列幾個重點:
1.樣本的選擇:
主要是告訴我們在取得測試樣本時,應該注意廣度及適用性,其中包括:
(1)擴大測試樣本的來源。
(2)篩選有效的樣本(這點我覺得極困難)。
(3)加入乾淨的樣本(做為鑑別測試)。
如果換到別的軟體測試的話,應該就是要確認測試項目,以及要採用什麼樣的方法來測試,要先有所準備,才能開始針對不同產品來做一連串的測試,否則一個偏頗的取樣範圍,很容易造成過大的誤差,甚至會造成數據失效。(無鑑別度可言)
2.線上威脅介紹:
可能會遭遇到那些不同的攻擊,或者說是應該要具備怎樣的防範能力:
(1)釣魚網站。
(2)木馬。
(3)病毒。
(4)廣告軟體。...族繁不及備載
這一點,在我看來...其實最大的外在因素,往往是來自使用者的觀感,或者說是使用者對於產品熟悉的程度,因為每種軟體的目的不同,所以在測試的過程中,要試著站在使用者的角度來思考,也就是說...測試者本身對軟體應用的領域也要有一定程度的瞭解,不然就有可能發生「拿大砲打麻雀」的狀況,一整個不切實際。
3.動態測試:
進行實際的測試,透過軟體來收集實際感染惡意程式或病毒後的變化,藉此來確認所採用的防毒軟體是否能夠有效的阻擋相關的威脅。(這點還包含了相關惡意程式的收集)
(1)利用第三方的軟體來找出系統或軟體漏洞。
(2)透過虛擬化的技術來協助資料的收集。
(3)模擬真實環境下可能會遭遇的狀況。
(4)在無防備的乾淨系統內啟動惡意程式。(資料收集)
這種動態測試,其實在所有的測試過程中是最重要的部份,往往也是最嚴苛的部份,因為你永遠無法知道在「真實」情境中,可能會碰到什麼事,未知的錯誤、硬體或作業系統不支援,甚至連能不能把測試的軟體安裝上去都還很難說。
況且,在動態測試的過程中,還得考量系統實際會運行那些程式,是否會因為使用者習慣的不同,造成有差異的測試結果,如果非得加入通用性的測試,自己是否具備足夠的能力來達成,我想都是在做動態測試前,甚至在規劃該如何測試前,就得先衡量進去。
4.效能測試方法論:
其實這是網路上最多人愛討論的部份,例:誰最不佔系統資源?誰的某某能力最好?說穿了,這個效能測試,一直以來都很難有所定論,因為,尚未有大一統的標準,或者說...還沒有一個能夠讓各家廠商都信服的準則。
(1)測試平台的統一性。
(2)數據取樣的平均值。
(3)效能判定的標準。
(4)使用工具的客觀性。
其實在所有軟體的測試過程中,效能一直是兵家必爭之地,尤其是現在硬體的思維已經漸漸地走向同時間能夠做好多少事,而不是做好一件事能多快(多核心的演進),所以這項測試也是必做的項目之一,最好是能夠再把效能的快慢與實際的條件相關連,例:能夠為公司節省多少時間成本、讓舊有的硬體達到最大化的效能...等。
雖說效能是很重要的一件事情,但是再好的效能還是比不上使用者的真實感受,例:使用者只要感覺到lag的現象發生,無論是10或30秒,對他們來說差別並不大。但是在效能的數據上,就會有三倍的差距,所以效能測試這部份僅能做為參考依據,並無法讓使用者能夠完全接納該產品的條件(除非你能做到使用者完全沒有感覺...)
至於,為什麼我在最前面會提到測試結果不一定能反應在實際採購或選用上?原因很簡單,因為產品測試這部份並沒有考量"價格"或"成本"這個項目,這部份牽扯的層面很廣,人數多寡、是直接由廠商、經銷或零售商能夠談到的價位,各別有所不同。
因為企業主或老闆,其實最在意的不外乎也是這一點,他會跟你說,我可以犧牲一些效能來換取更低的購入成本,或者是能採用較精簡的版本來壓低支出,就是不太能接受用較高的價格來購入效能較高的產品(除非你能夠提出數據來佐證,最好還是能夠顯而易見的...千玩不要是那種經過三年五載才看得到的,因為那太遙遠且不可期待。)
這也是為什麼「產測」在一般人或相關人員的手中,成了一門既愛又恨的技術或文化,因為想讓自己或技術人員信服自己的選擇,你就得具備產測的能力及條件,但是在實際的操作上,卻又敵不過金錢攻勢,而淪為一疊白紙黑字的佐證報告。(可能只剩學術性的價值吧!)
所以,這些技術就當做是練內功!光有技術是無法讓老闆信服的(不過...千萬別只剩一張嘴),在技術的最外層,請回歸現實面後再來跟決策者討論產品的優劣,不然,就是加入實際的商業考量跟明確的(預算)數字,我想...這一點在每個領域都適用吧!
雖然產品測試的出發點很好,但是對大多數的使用者來說,它並不適用,因為他們通常只要得知結果,至於是不是自己所測試,或者這個結果是否真的能套用在自己的作業環境上,往往就被輕忽而選擇性的遺忘了。
或許有人會說,我那有這麼多時間可以做測試,況且某些條件的測試,對一般人來說的門檻過高(例:Tom Hardware的專業測試),所以直接引用專業人士的報告(結論),能夠交差就好。
在某部份而言,我能夠接受且認同這樣子的觀點,但是...應用軟體上的測試,這點就不太能夠苟同,畢竟,絕大多數的軟體都有"試用版",就算是閹割後的版本,但是主要功能應該都會保留,這樣子的測試門檻,除了手邊是否有工具與可重複性測試的平台,其它就只是時間的長短。
因為當天的議程是整整一天....,我也只能摘要式的點到為止,而且會場有發給我們"兩大本"的內容,基本上講述的內容,在那兩本講義中均有整理,讓我能夠盡情的聽台上的人講述心得與技巧。(雖是全程英文,但有即時翻譯,這一點還蠻有人性的,不過...)
回歸正題,雖然這個產品測試的研討會,主要討論的對象是AV Software(防毒軟體),但是我相信同樣的技巧與概念,也能夠跨到其它軟體且都能適用才對,畢竟基本功是人人都得練的,不是嗎?
在台上的講者,提到的內容包括下列幾個重點:
1.樣本的選擇。(測試的條件)雖然聽起來好像都是針對AV(防毒軟體,不是Adult Video...)來說,但是「()」中是我自己加註的,主要是思考那些是否能適用於其它軟體的測試呢?
2.線上威脅介紹。(外在因素)
3.動態測試。(實際會遭遇的狀況)
4.效能測試方法論。(操作環境的適用性)
1.樣本的選擇:
主要是告訴我們在取得測試樣本時,應該注意廣度及適用性,其中包括:
(1)擴大測試樣本的來源。
(2)篩選有效的樣本(這點我覺得極困難)。
(3)加入乾淨的樣本(做為鑑別測試)。
如果換到別的軟體測試的話,應該就是要確認測試項目,以及要採用什麼樣的方法來測試,要先有所準備,才能開始針對不同產品來做一連串的測試,否則一個偏頗的取樣範圍,很容易造成過大的誤差,甚至會造成數據失效。(無鑑別度可言)
2.線上威脅介紹:
可能會遭遇到那些不同的攻擊,或者說是應該要具備怎樣的防範能力:
(1)釣魚網站。
(2)木馬。
(3)病毒。
(4)廣告軟體。...族繁不及備載
這一點,在我看來...其實最大的外在因素,往往是來自使用者的觀感,或者說是使用者對於產品熟悉的程度,因為每種軟體的目的不同,所以在測試的過程中,要試著站在使用者的角度來思考,也就是說...測試者本身對軟體應用的領域也要有一定程度的瞭解,不然就有可能發生「拿大砲打麻雀」的狀況,一整個不切實際。
3.動態測試:
進行實際的測試,透過軟體來收集實際感染惡意程式或病毒後的變化,藉此來確認所採用的防毒軟體是否能夠有效的阻擋相關的威脅。(這點還包含了相關惡意程式的收集)
(1)利用第三方的軟體來找出系統或軟體漏洞。
(2)透過虛擬化的技術來協助資料的收集。
(3)模擬真實環境下可能會遭遇的狀況。
(4)在無防備的乾淨系統內啟動惡意程式。(資料收集)
這種動態測試,其實在所有的測試過程中是最重要的部份,往往也是最嚴苛的部份,因為你永遠無法知道在「真實」情境中,可能會碰到什麼事,未知的錯誤、硬體或作業系統不支援,甚至連能不能把測試的軟體安裝上去都還很難說。
況且,在動態測試的過程中,還得考量系統實際會運行那些程式,是否會因為使用者習慣的不同,造成有差異的測試結果,如果非得加入通用性的測試,自己是否具備足夠的能力來達成,我想都是在做動態測試前,甚至在規劃該如何測試前,就得先衡量進去。
4.效能測試方法論:
其實這是網路上最多人愛討論的部份,例:誰最不佔系統資源?誰的某某能力最好?說穿了,這個效能測試,一直以來都很難有所定論,因為,尚未有大一統的標準,或者說...還沒有一個能夠讓各家廠商都信服的準則。
(1)測試平台的統一性。
(2)數據取樣的平均值。
(3)效能判定的標準。
(4)使用工具的客觀性。
其實在所有軟體的測試過程中,效能一直是兵家必爭之地,尤其是現在硬體的思維已經漸漸地走向同時間能夠做好多少事,而不是做好一件事能多快(多核心的演進),所以這項測試也是必做的項目之一,最好是能夠再把效能的快慢與實際的條件相關連,例:能夠為公司節省多少時間成本、讓舊有的硬體達到最大化的效能...等。
雖說效能是很重要的一件事情,但是再好的效能還是比不上使用者的真實感受,例:使用者只要感覺到lag的現象發生,無論是10或30秒,對他們來說差別並不大。但是在效能的數據上,就會有三倍的差距,所以效能測試這部份僅能做為參考依據,並無法讓使用者能夠完全接納該產品的條件(除非你能做到使用者完全沒有感覺...)
至於,為什麼我在最前面會提到測試結果不一定能反應在實際採購或選用上?原因很簡單,因為產品測試這部份並沒有考量"價格"或"成本"這個項目,這部份牽扯的層面很廣,人數多寡、是直接由廠商、經銷或零售商能夠談到的價位,各別有所不同。
因為企業主或老闆,其實最在意的不外乎也是這一點,他會跟你說,我可以犧牲一些效能來換取更低的購入成本,或者是能採用較精簡的版本來壓低支出,就是不太能接受用較高的價格來購入效能較高的產品(除非你能夠提出數據來佐證,最好還是能夠顯而易見的...千玩不要是那種經過三年五載才看得到的,因為那太遙遠且不可期待。)
這也是為什麼「產測」在一般人或相關人員的手中,成了一門既愛又恨的技術或文化,因為想讓自己或技術人員信服自己的選擇,你就得具備產測的能力及條件,但是在實際的操作上,卻又敵不過金錢攻勢,而淪為一疊白紙黑字的佐證報告。(可能只剩學術性的價值吧!)
所以,這些技術就當做是練內功!光有技術是無法讓老闆信服的(不過...千萬別只剩一張嘴),在技術的最外層,請回歸現實面後再來跟決策者討論產品的優劣,不然,就是加入實際的商業考量跟明確的(預算)數字,我想...這一點在每個領域都適用吧!
2008年6月11日 星期三
當Yahoo! 站長工具遇上Google Analytics(Y & G Analytics Tools)
對部落客來說,自己所經營的網站(部落格)早已成為生活中的一部分,在上面無論是吐苦水、分享心得、八卦或是藉由它來拓展人脈,如果是商業經營或有特定用途的網站(部落格),對於網站流量分析及追蹤的需求,就變得十分迫切。
礙於平台定位與系統負載的考量,一般BSP平台所提供的網站分析(統計),功能大多比較陽春,如果你想要知道來自己網站的人,究竟是來自什麼地區、族群、時間...等,更為詳細的資料,就得藉由其它的工具來達成。(若是自己架站,可在主機端做其它的流量分析,不用假手它人)
先前有紅極一時的Google 分析(Google Analytics),光是掛著Google之名號,我想就有一堆人搶著用,幾周前,台灣入口網站的龍頭Yahoo!奇摩也提供了免費「Yahoo!奇摩站長工具」。我自己已經使用Google Analytics好一段時間,既然本土的入口網站也提供了相關服務,怎能不來試它一試,看看它究竟跟Google所提供的分析有何不同呢?
...原文刊登於ZDNet(上)、(下)
令人疑惑的設計
先不論Yahoo!奇摩站長工具與Google分析的相似度有多高,或許各有其優缺點,例如Yahoo!奇摩站長工具主打「15分鐘的更新速度」(不過不知道是指15分鐘內的線上人數,還是精確度到15分鐘?),但是有些弔詭的設計,就讓我無法理解。
1.網址列不相容Google:
正當我興高采烈的在自己Blogger上的一個小部落格試用站長工具的「統計工具」時,網站竟然跟我回報此網址(URL)無效?經我交叉比對之後發現,原來是因為我使用的網址含有「─」這個符號而無法使用。(例:http://xxx-xxx.xxx.com)
yahoo站長工具不能加入上層網址有"-"符號的blogger網站
不過, Yahoo!的部落格(myblog)網址不是也有一長串的符號嗎?其中還不乏「!」這個非英數的符號(例:http: //tw.myblog.yahoo.com/jw!xxx...),就算使用內建自訂網址的服務,也允許加入「─」這個符號(例:http: //tw.myblog.yahoo.com/xxx-xxx...),為什麼就能夠加入統計工具呢?
經過我一番研究,我推想是只有最上層網址不能含「─」這個符號,再下層的網頁結構似乎就沒有此類限制。喜歡追根究底的我,突然閃過一個想法,Yahoo!部落格內建產生的那一長串網址(含!)能不能加入Google分析呢?
結果,竟然也發生「因為特殊符號!而成為無效輸入」的情況!難不成這是另一種「市場壁壘」?(就算可以將加入Google分析,也無法在myblog中正常使用,這我第三點會提及)已有朋友跟我遇到相同的情況,難不成為了要使用該工具,還得去更改使用許久的網址,我想會遭遇此問題的人應該不在少數,希望未來可以獲得改善。
Google Analytics也不能加入有"!"的myblog部落格網址
另外,原有內建於myblog上簡易型的「統計資料」當加入Y!站長工具的統計工具後,似乎就成了觀賞用的裝飾品(停擺不再更新),或者是仍在進行資料整合或更新,但我看不出來。
2.無法支援自家其他服務:
我部落格因為架在Google所擁有的BSP平台,即「Blogger(Bolgspot)」上,所以使用Google Analytics作為分析工具,並採用Google Adsense(類似於Yahoo!站長工具中的「廣告工具」)。Google分析和Adsense皆採用Javascript的方式收集資料,所以 Blogger支援Javascript是理所當然的一件事。
Yahoo!站長工具中,也提供了一個「搜尋工具」,但是它似乎無法直接套用在自家部落格平台,但支援JavaScript的別家部落格,則可以套用(除了無名小站非金級會員及Yahoo! My blog以外,多數BSP業者均支援Javascript。
Yahoo!站長工具不允許自家部落格支援Javascript,卻允許別人的部落格使用,這就形成,自家部落格反而不能使用站長工具的有趣情形。安全性的考量固然重要,使用者方便性是否也該兼顧呢?是否也該像「統計工具」一樣,製作出自家平台也適用的搜尋工具呢?雖說myblog原本就內建有搜尋工具。
3.使用門檻:
最後一點讓我覺得無法理解之處,就是「廣告工具」的門檻。雖然在說明頁上只是「建議」每月有100萬Page View的部落格再來申請,成效最佳。
Yahoo廣告工具的申請頁面。
但我實際測試了一下,其實那100萬的Page View是「最低門檻」,相較之下Google AdSense或BloggerAD的門檻似乎就低了許多。我心想:「如果每個月有百萬流量的部落格,應該距直接談下廠商廣告不遠了吧?還需要透過 Yahoo!的平台嗎?」,這麼一來促銷嫌疑不免有點濃。
誰會使用Y!站長工具?
自從Y!站長工具正式公開之後,我就問了幾個跟我一樣有在玩部落格的朋友:「你們會跳槽過去用這個新的站長工具嗎?」聽到的答案大多是否定的,其實這跟使用習慣及開放的時間有關,畢竟Google分析比Y!站長工具出現的時間早得多。
唯一讓我看見Y!站長工具可能出線的機會,就是看見了許多不支援Javascript部落格的需求(可用Gif的圖檔來做資料統計)。除此之外,挾帶著大量人氣的社群網站(它們自家的產品)也是使用族群之一,因為它們已經直接把這工具內建在網站的平台上(便利始終來自於惰性),只是,你還得付費才有資格使用。
如果你部落格是自行架設,當然也能使用此工具,不過究竟是哪一項誘因,會讓你捨棄Google而去採用Y!,這點就挺耐人尋味,是「即時」的更新速度?老實說,我個人覺得統計資料的分析,應該比即時來得重要。
此外,上述問題其實在Yahoo官方討論區中,也已經有人提及,例:統計工具中無法加入含「─」的網址、搜尋工具的不合理性,甚至有些負面的消息傳出,但 Y!站長工具和Google 分析最大的不同應該是兩者的營利與經營方向上。
設計的工具對自家競爭有利乃天經地義,端看服務能否為使用者接受,在線上音樂剛興起時風靡所有網民們,一說要收費,使用人數就隨即銳減,但還是有人會繼續延用,原因在於「習慣」和「便利」性讓大家願意掏錢出來。「一個願打,一個願挨」端看你站在什麼角度來看待,其實,並無對錯的問題。
礙於平台定位與系統負載的考量,一般BSP平台所提供的網站分析(統計),功能大多比較陽春,如果你想要知道來自己網站的人,究竟是來自什麼地區、族群、時間...等,更為詳細的資料,就得藉由其它的工具來達成。(若是自己架站,可在主機端做其它的流量分析,不用假手它人)
先前有紅極一時的Google 分析(Google Analytics),光是掛著Google之名號,我想就有一堆人搶著用,幾周前,台灣入口網站的龍頭Yahoo!奇摩也提供了免費「Yahoo!奇摩站長工具」。我自己已經使用Google Analytics好一段時間,既然本土的入口網站也提供了相關服務,怎能不來試它一試,看看它究竟跟Google所提供的分析有何不同呢?
...原文刊登於ZDNet(上)、(下)
令人疑惑的設計
先不論Yahoo!奇摩站長工具與Google分析的相似度有多高,或許各有其優缺點,例如Yahoo!奇摩站長工具主打「15分鐘的更新速度」(不過不知道是指15分鐘內的線上人數,還是精確度到15分鐘?),但是有些弔詭的設計,就讓我無法理解。
1.網址列不相容Google:
正當我興高采烈的在自己Blogger上的一個小部落格試用站長工具的「統計工具」時,網站竟然跟我回報此網址(URL)無效?經我交叉比對之後發現,原來是因為我使用的網址含有「─」這個符號而無法使用。(例:http://xxx-xxx.xxx.com)
yahoo站長工具不能加入上層網址有"-"符號的blogger網站
不過, Yahoo!的部落格(myblog)網址不是也有一長串的符號嗎?其中還不乏「!」這個非英數的符號(例:http: //tw.myblog.yahoo.com/jw!xxx...),就算使用內建自訂網址的服務,也允許加入「─」這個符號(例:http: //tw.myblog.yahoo.com/xxx-xxx...),為什麼就能夠加入統計工具呢?
經過我一番研究,我推想是只有最上層網址不能含「─」這個符號,再下層的網頁結構似乎就沒有此類限制。喜歡追根究底的我,突然閃過一個想法,Yahoo!部落格內建產生的那一長串網址(含!)能不能加入Google分析呢?
結果,竟然也發生「因為特殊符號!而成為無效輸入」的情況!難不成這是另一種「市場壁壘」?(就算可以將加入Google分析,也無法在myblog中正常使用,這我第三點會提及)已有朋友跟我遇到相同的情況,難不成為了要使用該工具,還得去更改使用許久的網址,我想會遭遇此問題的人應該不在少數,希望未來可以獲得改善。
Google Analytics也不能加入有"!"的myblog部落格網址
另外,原有內建於myblog上簡易型的「統計資料」當加入Y!站長工具的統計工具後,似乎就成了觀賞用的裝飾品(停擺不再更新),或者是仍在進行資料整合或更新,但我看不出來。
2.無法支援自家其他服務:
我部落格因為架在Google所擁有的BSP平台,即「Blogger(Bolgspot)」上,所以使用Google Analytics作為分析工具,並採用Google Adsense(類似於Yahoo!站長工具中的「廣告工具」)。Google分析和Adsense皆採用Javascript的方式收集資料,所以 Blogger支援Javascript是理所當然的一件事。
Yahoo!站長工具中,也提供了一個「搜尋工具」,但是它似乎無法直接套用在自家部落格平台,但支援JavaScript的別家部落格,則可以套用(除了無名小站非金級會員及Yahoo! My blog以外,多數BSP業者均支援Javascript。
Yahoo!站長工具不允許自家部落格支援Javascript,卻允許別人的部落格使用,這就形成,自家部落格反而不能使用站長工具的有趣情形。安全性的考量固然重要,使用者方便性是否也該兼顧呢?是否也該像「統計工具」一樣,製作出自家平台也適用的搜尋工具呢?雖說myblog原本就內建有搜尋工具。
3.使用門檻:
最後一點讓我覺得無法理解之處,就是「廣告工具」的門檻。雖然在說明頁上只是「建議」每月有100萬Page View的部落格再來申請,成效最佳。
Yahoo廣告工具的申請頁面。
但我實際測試了一下,其實那100萬的Page View是「最低門檻」,相較之下Google AdSense或BloggerAD的門檻似乎就低了許多。我心想:「如果每個月有百萬流量的部落格,應該距直接談下廠商廣告不遠了吧?還需要透過 Yahoo!的平台嗎?」,這麼一來促銷嫌疑不免有點濃。
誰會使用Y!站長工具?
自從Y!站長工具正式公開之後,我就問了幾個跟我一樣有在玩部落格的朋友:「你們會跳槽過去用這個新的站長工具嗎?」聽到的答案大多是否定的,其實這跟使用習慣及開放的時間有關,畢竟Google分析比Y!站長工具出現的時間早得多。
唯一讓我看見Y!站長工具可能出線的機會,就是看見了許多不支援Javascript部落格的需求(可用Gif的圖檔來做資料統計)。除此之外,挾帶著大量人氣的社群網站(它們自家的產品)也是使用族群之一,因為它們已經直接把這工具內建在網站的平台上(便利始終來自於惰性),只是,你還得付費才有資格使用。
如果你部落格是自行架設,當然也能使用此工具,不過究竟是哪一項誘因,會讓你捨棄Google而去採用Y!,這點就挺耐人尋味,是「即時」的更新速度?老實說,我個人覺得統計資料的分析,應該比即時來得重要。
此外,上述問題其實在Yahoo官方討論區中,也已經有人提及,例:統計工具中無法加入含「─」的網址、搜尋工具的不合理性,甚至有些負面的消息傳出,但 Y!站長工具和Google 分析最大的不同應該是兩者的營利與經營方向上。
設計的工具對自家競爭有利乃天經地義,端看服務能否為使用者接受,在線上音樂剛興起時風靡所有網民們,一說要收費,使用人數就隨即銳減,但還是有人會繼續延用,原因在於「習慣」和「便利」性讓大家願意掏錢出來。「一個願打,一個願挨」端看你站在什麼角度來看待,其實,並無對錯的問題。
2008年6月3日 星期二
自動登入的隱憂(Worries about Auto Signed-In)
現在的網路服務何其多,無論是EMail、Blog、Twitter...,或是近年興起的各種社交網路服務(SNS),只要是用WEB介面的平台,絕大多數都有設計「記住我」(Remember ID/PW)的功能,也就是下次你到這個網頁就能夠不用重新輸入帳號、密碼等個人資料。
老實說這真的是個極為便利的功能,絕大多數也是透過「Cookie、記住密碼」來達成此目的,即為自動登入的功能,但是它帶來的風險有那些呢?我們直接看這張圖吧!(以Firefox為例)
從圖中我們可以很清楚的看見這個密碼管理員,已經把我的帳號跟密碼給記下,如果你稍離開位置一下,有人藉機來你的電腦,打開這個功能,我想就沒有什麼私人隱私可言。
雖然記住密碼的風險不小,但是絕大部份的網頁平台或瀏覽器都有設置這樣子的功能,人總是擋不住便利之門,況且,還是有很多使用者是痛恨記一大堆帳號、密碼,尤其是現在密碼漸漸地要求要有六(八)碼以上,所以不用懶人密碼的話(生日、身份證、特別紀念日...等),要記住各式各樣密碼,老實說,真的是有點強人所難。(有些人會"統一"記在小本子裡,不過那樣的風險相對地增加不少)
其實這一類自動登入的隱憂,在各式即時通訊軟體(IM)內也很常見,甚至已經有許多IM的惡意程式,會在使用者(被感染者)離線的狀態,傳送帶有惡意內容(廣告)的網址,甚至還會跟被感染者的帳號十分雷同,例如:
所以,這些狀況讓我不得不正視「記住密碼」這功能的風險,更何況只要利用一些第三方的軟體(例:MessenPass、載點)就能夠輕易的把你電腦中那些「****」的內容給解出來。
其實像上圖所示,它是Firefox內建具備的「密碼管理員」,就是你在網路上大量記憶密碼時,"原則"上都會把密碼存一份在此(加密連線、某些入口網站例外),下次再造訪這個相同網站時,就不需再輸入密碼,所以這個密碼管理員就顯得格外重要,有在使用FF(Firefox)的人,自己去檢查一下是否有做一些補強的動作,例:主控密碼的功能。(如下圖)
當你使用了主控密碼的功能之後,要再進入密碼管理員,就得多一道密碼才能夠存取(如圖),除此之外,當然也有網路版(OnLine)的密碼管理員,例:PASSPACK。(網路資料頗豐)
雖然有了補強的加密機制,我還是傾向於不要記憶密碼,沒有人可以保證在電腦裡的資料,能夠有"絕對"的安全性(雖然FF的密碼管理員是採AES加密)。
畢竟人性本「懶」,只要該工具夠便利,總是會有廣大的使用者"愛"它,更何況很多人時間一久就會忘了原先設計的密碼,而密碼重置的功能,並非每個網站都做的很完備,尤其是你在註冊時,很有可能資料不太正確(假的),一旦換台電腦,或是電腦不慎重灌,你就要有被網站拒於門外的心理準備。
所以,又衍生出密碼備份的問題,如果你是FF的愛好者,就可以考慮使用Password Exporter 1.1(外掛)來將密碼管理員內的資料進行備份,或是在異機匯入,如此一來就能夠帶著你的密碼趴趴走。(或許可以避開鍵盤偵測程式,但保存需要小心...)
註:在使用Password Exporter匯出、入密碼時,有個奇怪的發現,在未匯出前,如果要檢視密碼時,是會被要求輸入主控密碼才能看得見。但是你若直接採用匯出(未勾選加密)卻能直接把密碼給匯出(*.xml或csv檔)。雖然開啟FF的時候就會要求輸入主控密碼,但是,你如果裝上了Password Exporter,又暫時離開位置,別人就有機可趁囉!所以安全的作法是,匯出密碼後就把密碼備份的機制刪除吧!
老實說這真的是個極為便利的功能,絕大多數也是透過「Cookie、記住密碼」來達成此目的,即為自動登入的功能,但是它帶來的風險有那些呢?我們直接看這張圖吧!(以Firefox為例)
從圖中我們可以很清楚的看見這個密碼管理員,已經把我的帳號跟密碼給記下,如果你稍離開位置一下,有人藉機來你的電腦,打開這個功能,我想就沒有什麼私人隱私可言。
雖然記住密碼的風險不小,但是絕大部份的網頁平台或瀏覽器都有設置這樣子的功能,人總是擋不住便利之門,況且,還是有很多使用者是痛恨記一大堆帳號、密碼,尤其是現在密碼漸漸地要求要有六(八)碼以上,所以不用懶人密碼的話(生日、身份證、特別紀念日...等),要記住各式各樣密碼,老實說,真的是有點強人所難。(有些人會"統一"記在小本子裡,不過那樣的風險相對地增加不少)
其實這一類自動登入的隱憂,在各式即時通訊軟體(IM)內也很常見,甚至已經有許多IM的惡意程式,會在使用者(被感染者)離線的狀態,傳送帶有惡意內容(廣告)的網址,甚至還會跟被感染者的帳號十分雷同,例如:
ID:chris@hotmail.com
傳送的惡意(廣告)連結:http://chris.infomall.net
所以,這些狀況讓我不得不正視「記住密碼」這功能的風險,更何況只要利用一些第三方的軟體(例:MessenPass、載點)就能夠輕易的把你電腦中那些「****」的內容給解出來。
其實像上圖所示,它是Firefox內建具備的「密碼管理員」,就是你在網路上大量記憶密碼時,"原則"上都會把密碼存一份在此(加密連線、某些入口網站例外),下次再造訪這個相同網站時,就不需再輸入密碼,所以這個密碼管理員就顯得格外重要,有在使用FF(Firefox)的人,自己去檢查一下是否有做一些補強的動作,例:主控密碼的功能。(如下圖)
當你使用了主控密碼的功能之後,要再進入密碼管理員,就得多一道密碼才能夠存取(如圖),除此之外,當然也有網路版(OnLine)的密碼管理員,例:PASSPACK。(網路資料頗豐)
雖然有了補強的加密機制,我還是傾向於不要記憶密碼,沒有人可以保證在電腦裡的資料,能夠有"絕對"的安全性(雖然FF的密碼管理員是採AES加密)。
畢竟人性本「懶」,只要該工具夠便利,總是會有廣大的使用者"愛"它,更何況很多人時間一久就會忘了原先設計的密碼,而密碼重置的功能,並非每個網站都做的很完備,尤其是你在註冊時,很有可能資料不太正確(假的),一旦換台電腦,或是電腦不慎重灌,你就要有被網站拒於門外的心理準備。
所以,又衍生出密碼備份的問題,如果你是FF的愛好者,就可以考慮使用Password Exporter 1.1(外掛)來將密碼管理員內的資料進行備份,或是在異機匯入,如此一來就能夠帶著你的密碼趴趴走。(或許可以避開鍵盤偵測程式,但保存需要小心...)
註:在使用Password Exporter匯出、入密碼時,有個奇怪的發現,在未匯出前,如果要檢視密碼時,是會被要求輸入主控密碼才能看得見。但是你若直接採用匯出(未勾選加密)卻能直接把密碼給匯出(*.xml或csv檔)。雖然開啟FF的時候就會要求輸入主控密碼,但是,你如果裝上了Password Exporter,又暫時離開位置,別人就有機可趁囉!所以安全的作法是,匯出密碼後就把密碼備份的機制刪除吧!
訂閱:
文章 (Atom)