一 : 潘海东 维客大规模协作改变互联网

10月25日，2007年艾瑞Web2.0暨互联网投资年会在北京召开，会上，互动在线CEO潘海东做了主题演讲，以下为他的演讲实录：

　　潘海东：此时此刻我站在这个地方心情很沉重，为什么这样讲呢？我看到的是很多人都在打哈欠，因为今天大家确实很辛苦，听了一天，所以我在这里有两点承诺。第一点我不会讲任何关于我们公司广告性的内容。第二，从现在开始计时，我一定在15分钟之内把我要讲的东西讲完。另外我觉得，我想给大家一个建议，尤其是听会议的话，要专门听像我这样小哥们儿的讲话。郭德纲现在很牛，但是当年他晚上没有钱打车，然后从宣武走到南三环，所以说他今天上午讲的相声是最好的。 在这里我是非常敬佩周鸿祎(周鸿祎博客,周鸿祎新闻,周鸿祎说吧)，今天听说他没有来，虽然大家说他是互联网的一个“老流氓”，但是他真的能讲很多，但是我比他更能说。

　　维客是BBS下一代的升级产品，换句话说很多人可以同时在一个网页上修改东西。但是这个概念中国人非常普及，我们那个客户打电话过来说你们是做喂鸡的是吧，第二天我们看到一个新用户，有一个网名叫做的“喂鸡专业户”的用户，后来了解到他是养鸡专业户。所以在这里给大家介绍一下我们网站，我们只是做维客的事情，我们这个网站是中文百科知识网站，我们有200万个词条被用户改过500万次。第二个，因为我们想推动这个事情在中国的发展，所以我们做了一个开源的软件，这个叫互动维客，下载量不是很大，用的人也不是很多，但是我们也一直在做，这实际上是全球开源的知识库，有关这个的一个国外网站全球排名第9位。实际上这是上一周在旧金山Web2.0峰会的时候发布的一个研究，可以看一下维客的发展现状，是非常令人惊讶的。

　　我觉得简单讲为什么要做百科这样一个事情，我觉得就是有三个原因。第一个，我们这类人不愿意走在路上被别人拍板砖。我听到一个故事，有一个哥们儿因为跟陈天桥(陈天桥新闻,陈天桥说吧)长的很像，然后被当街打的头破血流。而我们要做的是真正的为用户解决实际问题，十万个为什么？邓小平老先生花了15年的时间做了一件事情，而且有一部分专家在没有出版这本书的时候就挂了。百科究竟有什么用？大家都说以后的时代是互联网的时代，我觉得不一定，中国的互联网用户其实很多是从腾讯大学毕业的，就是一上网的时候就是用的QQ这类的东西。我举一个例子，我亲戚的小孩，他有一天问我AV女优是什么意思？小孩肯定很好奇，我跟他讲你去我们网站去查这个词条，然后他知道这个东西是很不好的东西，我以后就不去看了。另外举个简单例子，去年Google把youtube收购的时候，有相当一部分人不知道youtube是什么，结果有人到我们的网站上看youtube原来是这样一回事，所以这对用户是非常有用的。

　　我觉得现在是个大规模协作的时代，你修我改，大家一起把这个事情做更好。我们现在做的是开源知识库，我们为什么做这个事情，因为我们在今天看到了太多垄断的东西，这是我们不想要的，所以可以看到比尔盖茨这个“王国”很厉害，但是因为他垄断以后有非常多负面的东西。王开源他就非常反对比尔盖茨，我也做了非常支持王开源的事情，他第一天从公安局放出来的时候，我请他去吃了饭。

　　强大的互联网怎么可以微软化呢？微软的趋势我们要通过这种开源，有人说世界上本来没有窗户，但是为什么用“Windows”这样的东西去看。对用户来说开源不需要用一分钱，而且还可以为企业提供价值。全球92款维客软件里面没有一款是中文的，这一个很大的在中国发展不起来的原因。另外在维客里面创建起来的应用，在三年以前IBM计算机被联想收购以后，实际上可以看到图上的一队人，全部穿着一身西装，叫做小黑社会，这在IBM总部里面有非常高的认同感。而且在腾讯、新浪这些网站上做到了非常好协作的应用的话，得到了非常多的认可。另外我也看到“修女也疯狂”这样的文章，而现在我们看到和尚也在用网站来传播佛学。

　　我讲的东西就这么多，主要是让大家知道还有一个维客的东西是这样的。另外还有一个拉丁语，意思是我来过、我看过、我征服过。最后请大家忍耐30秒钟，这是广告性质的东西，我们公司在两年前还在慢慢成长，但是为什么不知道在2004年的时候被焦点访谈采访，上一次我们有幸作为中关村创新的代表，作为技术创新、观念创新代表，我们觉得都是非常的幸运。非常感谢大家。

二 : 互联网最大规模帐号劫持漏洞即将引爆

笔者与近日从国内资深互联网应用安全提供商知道创宇安全研究团队处得悉,目前有一项严重危害用户隐私的漏洞刚刚被发现,包括旅游，招聘，娱乐，SNS交友，各大电商等各类网站均会被影响。经知道创宇安全研究团队测试，该安全漏洞在国内使用第三方登录机制的网站中普遍存在,甚至知名的安全厂商360的网站平台以及360浏览器也存在这个问题。由于此类攻击不受同源策略等浏览器的安全限制，且不易被目标发现，因此危害严重。一旦被利用，用户的帐号会被永久劫持，账户信息会被任意浏览和改动。由于之前出现过关联类漏洞，疑似已经有攻击者开始利用这个漏洞进行实际攻击，请广大网民确认自身账号信息是否已遭恶意劫持，及时采取措施保护自身账号。

经知道创宇安全研究团队确认，此漏洞是由于开发人员没有正确按照OAuth2授权机制的开发文档使用OAuth2，导致攻击者能够实施跨站请求伪造(CSRF)通过第三方网站来劫持用户在目标网站的账户。

劫持流程：

虚拟测试：

攻击者想通过自己的微博劫持并登录受害人的账户

如上图所示，正常的授权流程，用户点击授权后便不再可控，剩下的工作由第三方应用和授权服务器(资源提供方)进行交互来完成。而攻击者可以阻止授权流程的正常进行，将中间的关键URL截取下来，诱骗用户访问，成功后可以将受害人的账户绑定到攻击者的微博账户上。此后，攻击者可以使用微博的账户自由登入受害人的主站账户及浏览器账户，任意查看和修改用户的隐私数据。

受到OAuth2 CSRF漏洞影响的部分网站列表(测试后)：

安全厂商：360网站 360浏览器 …

it媒体：CSDN 中关村在线 …

团购：糯米团购 …

资讯：果壳 …

购物分享：蘑菇街 …

电商：聚美优品 …

视频：优酷 乐视网 CNTV …

招聘：大街 …

婚介：百合网 …

轻博客：点点 …

SNS ：开心网 …

知道创宇安全研究团队对于OAuth2 CSRF漏洞防御,建议如下：

1)对于开发人员：

1，授权过程中传递state随机哈希值，并在服务端进行判断。

2，在绑定过程中，应强制用户重新输入用户名密码确认绑定，不要直接读取当前用户session进行绑定。

3，限制带有Authorization code参数的请求仅能使用一次(避免重放攻击)

4，推荐使用Authorization Code方式进行授权，而不要使用Implicit Flow方式。这样access token会从授权服务器以响应体的形式返回而不会暴露在客户端。

2)对于普通用户：

定期查看重要网站的第三方帐号绑定页面，检查是否有陌生的其他帐号绑定到自身账户，如果发现应立即取消绑定或授权。

三 : 美议员敦促国会制定独立互联网流量法规

新浪科技讯 北京时间8月17日早间消息，据国外媒体报道，美国5名民主党议员周一呼吁美国国会制定独立的互联网流量法规，而不是采用两家通信公司提出的方案。

此前，众议院能源与商业委员会成员埃德·马基（Ed Markey）、安娜·埃休（Anna Eshoo）、迈克·多伊尔（Mike Doyle）、杰·因斯李（Jay Inslee）致信美国联邦通信委员会主席朱柳斯·杰纳科夫斯基（Julius Genachowski），要求后者保持互联网的自由和开放。

“联邦通信委员会不应该依靠两家拥有既得利益的大型通信公司来制定法规，他们应该展开正式行动。”这几名议员在信中写道。

随后，这5名民主党议员向国会发起倡议，要求国会制定独立的互联网流量规范。杰纳科夫斯基表示，任何不能保证互联网开放性和自由性的结果或协议都是不能接受的。但联邦通信委员会发言人简·霍华德拒绝对此发表评论。

上周，Verizon和谷歌指出，监管部门应该能通过电缆和电话线监控互联网流量，但电信运营商自身应该控制用户访问无线设备（如智能手机和iPad）内容的速度。

两家公司提出的方案促成了一个名为“网络中立”的妥协方案，即：高速网络服务提供商不应阻止或减缓信息流动速度，或者向提高流动速度的网站收取费用。

去年10月，联邦通信委员会签发了一个网络中立方案，向公众征求意见，但委员会为透露何时执行该方案。

在该方案中，联邦通信委员会向公众提出问题：是否应该阻止电信运营商在其有线和无线网络上对第三方发布合法内容作区别对待？

该方案一旦执行，联邦通信委员会将实施“适度的”网络管理，以保持网络畅通，清除病毒和垃圾，并阻止儿童色情或盗版内容等信息的传播。（子云）

【相关新闻】

80名反对者聚集谷歌 抗议网络中立否定框架

四 : 互联网继熊猫烧香开始大规模黑客运动

　　只要06年底以后上网的朋友会发现,鸽子几乎是泛滥了! 为什么呢? 尤其是07年中,黑客性质的网站,QQ群..等都比06年多了很多!

　　原来是熊猫烧香领导了这次暴动, 据传说'熊猫烧香的作者居然一年挣了千万+' 而且使用熊猫烧香的黑客还免费的参观好多人的电脑! 甚至有写隐私的都看到了. 80后在这年代正巧属于好奇心最强的时候! 所以青年们很容易就陷入里面! 开始研究黑客! 最后导致不能拔出! 越陷越深!

　　据金山毒霸全球反病毒监测中心统计数据，2007年全国共有近5000万台计算机感染病毒，与去年同期相比增长了18.15%，互联网用户遭受过病毒攻击的比例占到90.56%。其中，仅仅广东就有500多万台电脑中了病毒

　　这个数目多么可怕! 现在互联网如果有500人~至少有300个黑客!

　　可以想想! 尤其这次艳照门时间! 大家可以了解多少内幕呢? 互联网不再纯洁! 2010年后~不知道大家还敢不敢上网了! 　接二连三的网站被黑!

　　让我们祈祷吧!

本文标题：互联网大规模定制-潘海东 维客大规模协作改变互联网
本文地址： http://www.61k.com/1105716.html