Web 2.0 早已不是什麼新話題。過去的幾年內，知名度高如 Google、Yahoo、MySpace、PayPal 等大站，也都無法完全免疫，而陸續爆發過各種攻擊事件（釣魚、蟲…）。Web 2.0 網站不管是選擇用 AJAX 、Flash，還有逐漸風行的離線解決方案，如 Dojo Offline、Google Gears 、Adobe AIR 等，來提供互動性更高的 UI，只要一不小心，這些 Web 應用出現安全漏洞、被壞人佔便宜的機率，其實是很高的。有時候不僅是自己的 code，而問題也可能出現在第三方提供的現成工具箱、API。

要如何防範？對網站開發人員而言，在過去，對這個主題的探討，往往比較零散，要不就偏學術，要求較高的門檻（例如 OWASP 發表的文獻），一直缺乏系統化，全面性，且深入淺出的探討。不久前終於出了一本好書 — AJAX Security，作者為 Billy Hoffman 和 Bryan Sullivan 這兩位 Web 2.0 安全的專家（過去在零星的安全相關報道中，也常出現他們兩位的影子）。在此強烈推薦這本書，給所有從事與 Web 2.0 開發相關的網友。儘管書名選擇叫 “AJAX” Security，但事實上，除了 AJAX 之外，Flash 安全，甚至於如何將 CSS 這種看似無害、展現層的東西，拿來攻擊的方法，在書中都有深入探討（第十二章）。儘管這樣的書，早該出現，但出版時間晚，反而也做出一些額外的貢獻 — 比較新的科技，如上述的 Google Gears 和 Dojo 離線工具箱的安全弱點，在書中都涵蓋了。希望它盡快能被翻譯成中文，以造福更多大眾。

more »

過去兩年因著書《長尾》而爆紅的作者克裡斯安德森，最近開始推銷他的下一本書《免費》（英文書名目前定為：“Free: the Economics of Giving Stuff Away”），預計明年出版。一如過去對《長尾》的行銷，這次要闡述 「免費經濟」 的現象和模式，安德森的首選通路，自然是充分利用他任職總編的《Wired》雜誌。前兩天他在 Wired 網站發表了這篇專文。除此之外，還配合三月號「訂雜誌、免費附贈別冊」 的行銷活動（老掉牙的把戲了，但多少還是得營造一點氣勢出來）。而他在稍早，半年前的一個 O’Reilly 的演講場子上，已開始談 “免費”。這場演說在一個月前被整理成podcast發行。

這篇文章將近幾年在網路經濟和摩爾定律推波助瀾下產生的種種免費現象和經濟模式，做了一個比較完整的整理。因此，個人認為還是蠻值得看的（不過目前在網路上還沒見到中譯版）。至於那場演說，除了基本上把文章中的重點都快速地涵蓋之外，還多談了一個主題 — 為什麼書不能走免費路線？《長尾》大賣後，安德森接下來要出的書，還是要收錢的；深知這個問題一定會被人拿出來 challenge，故決定將此問題，主動提出來探討。很多網友知道，我在8年前便實驗過免費電子書的模式，故對此一課題，特別感興趣。在針對安德森在那場演講中，就他在免費書議題的表述上，講一些我個人的觀點前，我想先來對他在專文中整理出來的六種免費經濟的模式，和大家做個扼要的分享。《Wired》雜誌另外還整理了一頁 “How-to Wiki”，將提供免費商品／服務的手法，做了一個羅列（推薦）。

more »

今早上班途中，在一個 podcast 中聽到一個很酷的概念。這個 podcast 談的是 Centric CRM 這家公司所提供的服務和產品，它是利用 open source 堆疊所建立的一套本身也是 open-source 的 CRM 應用，除了和 Salesforce.com 一樣，以 SaaS 模式提供客戶直接從網路遠端租用之外，它和 Salesforce 這類 closed-source 服務商在商業模式上的一大區別，在於除了可以透過網路租用外，也可讓客戶選擇把整套應用部署在客戶自己的機器上，像傳統的 CRM, ERP 一樣，讓企業自行維運（有趣附帶一提的是，Salesforce 本身也大量採用 open-source 軟體，例如它後台的資料庫用的是 MySQL，但在 open-source 基礎上建立的 CRM 應用則是 closed-source 的。這種 “在 open-source 平台上搭建 closed-source 應用服務” 的現象在 Web 2.0 領域裡比比皆是，Yahoo!, Google, …）。

同樣強調 open-source 、並採用相同商業模式的 SugarCRM （以前也聽過一個他們介紹自己產品的 podcast），是 Centric CRM 主要的競爭對手。Centric 強調自己的平台建立在 Java 之上，效能和 scalability 上都遠比建立在 PHP 上的 Sugar 更適合規模和用戶數較大的企業。

今天在 podcast 裡聽到一個比較酷的比喻，是他們用「租用大自然」 — Rent Mother Nature 這家公司的商業模式來比喻。

more »

Google Checkout 推出已滿半年了（先前盛傳了一年多的 “GBuy” 名號，最後沒有被採用）。紐約時報前幾天對 Google Checkout 做了一個半年的 reality check。整體的評價非常的正面。這篇報導可以在大陸的網站找到翻譯。幾個重點節錄：

推廣Checkout對於Google來說還有更深的意義：當對手雅虎與微軟在不斷加強其搜尋與廣告系統的同時，Google正在不斷鞏固自己的領先優勢。

另外，該報導談到，Google 可以藉著和它的金雞母 AdWords program（以前曾寫過一篇 review）相互進行槓桿操作，賺進更多的銀子： more »

（當然不是在盼 SARS！）與上一篇相關的是，最近試用透過 3G 手機 (Nokia 6680)，將拍攝的照片直接 email 上傳至 Flickr，感覺可用性還很不錯。雖然尚未測試將照片和文字直接透過手機發布成 blog，但由於 Wordpress 等 blog 系統所提供的上傳機制，和 Flickr 沒什麼兩樣，所以類似的使用體驗，應該是可以預期。最近 Opera 新推出專為 smart phones 設計的新版 Opera Mini 3.0，（以 Java/J2ME 開發，所以許多手機都能安裝）。試用後驚喜的發現，不但介面設計比 Nokia Series 60 系統內建的瀏覽器更為貼心（例如瀏覽歷史、整頁上下捲動），還增加了包括 RSS 訂閱器、內建 Google、Wikipedia 搜尋條等 Web 2.0 的支援。我終於可以在上下班的路上，操作著夠簡單順手的瀏覽器，邊走邊閱讀當日的科技新聞，想到什麼就可以隨即搜尋，過隧道不斷線，一路到家。

more »

當初在兩隻老虎安裝 Wordpress 部落格系統時，附帶安裝了一個垃圾過濾 plugin Akismet，具有過濾評論功能，至今已攔截了六百多篇可惡的 spam。但這兩天赫然發現，某些不明原因，導致它的演算法錯將過去幾封來自正人君子、非廣告性的評論，認定為疑似 spam，因此讓這幾封評論遲遲未能發布出來，其中包括這篇關於 geotagging 的 post 中，分別來自於 Charlesc、對 Geotagging 有特別研究和興趣的 CK，及 Vista 等網友，感覺很不好意思。看來以後還是得三不五時去檢查一下 Akismet 的管理介面，看是否又有被錯殺的評論 。

more »

最近這半個多月，注意到 Yahoo! 悄悄地改用 AJAX 科技，來自動刷新 Yahoo Finance 網頁中的股價變化（似乎沒看到任何新聞稿或宣傳活動；英文說法叫 “without much fanfare”）。Yahoo 把這個功能稱作 “Streaming Quotes”，可以隨用戶喜好關掉或開著。在美國股市開盤期間，例如目前當下，在首頁左側的大盤指數，每家上市公司的行情摘要頁（例如 BEA），以及用戶自行設定的 portfolio 投資組合頁面中，都可以看得到。表格中數字的變化，做得非常園滑順暢，令人喝采。

Yahoo Finance 的這項動作，可以說是繼 Google 推出財經網 Google Finance，並且在其中採取幾項創新做法之後（例如用小旗子在線圖上標註新聞發生的時間點；Flash 做的），所發動的一計回擊。這類相互刺激，不斷透過進步、創新所作的良性競爭，英文的說法叫「跳蛙」– 造兩個句：”Yahoo Finance and Google Finance leapfrog each other.” “Yahoo Finance uses AJAX to leapfrog Google”（因為當作新聞標題用，所以用現在式）。Leapfrog 是一個小朋友玩的遊戲：兩人輪流，一前一後，一人先蹲下，讓後面的人從頭上跳過，然後換跳過的人蹲下。”leapfrog” 也被用來指開發中國家「跳島」式的發展策略 — 尚未佈建電話纜線的基礎設施，便乾脆直接走行動通訊；未具備撥接上網的設施，便直接拉光纖，走寬頻；不具備生產 VCR 的能力，乾脆直接研發製造 VCD/DVD players。

Web 2.0 網站 tagging 的功能，已非常稀鬆平常，不需要再多講；而 geotagging 則剛在萌芽。geo- 是和地理相關的字根，顧名思義，所標註的東西，必定和地點有關。網路上有些資訊類型，如照片、活動、新聞事件，如果在整理時，能附帶將相關的地理資訊，例如經緯度、郵遞區號、甚至海拔高度等，都一同納入成 meta-data 的一部分，便可能進一步提升資訊的實用價值。

more »

連續寫了三篇的 digg，今天想談點別的。前天看到一篇紐約時報的報導，主題是關於 Yahoo 和 Google 對旗下各類服務的開發和提供方式，一個打的是總體戰 (Yahoo)，強調服務的一致性、完整性，和連貫性；另一個打的是游擊戰，喜歡出奇致勝，強調酷炫。不管用的是哪一種策略，服務畢竟是免費的，億萬的會員數和洪水般的流量，並不是賺錢的保證，最終的關鍵還是在將內容和服務 monetize 的能力，誰能將關注的眼神更有效地轉成鈔票，誰就贏。MySpace 是最好的例子，它的流量現在已經直逼、甚至有人說已經超過 Yahoo，成為全球流量最大的網站，但收入呢？仍遠遠低於 Yahoo 和 Google，差太多了！這從它的母公司，梅鐸的 News Corp 的財報就可以看出（不過 News Corp 買下 MySpace 後，至少股價因而膨脹了不少）。紐時的報導引用的這句話說得很好:

The battle is about one thing: getting that search box in front of as many people in as many places as possible.

要賺錢，以 Yahoo 和 Google 目前的主要獲利模式，就是要儘量提高搜尋引擎的使用次數，有了搜尋，才能牽動廣告引擎，秀出吸引用戶的廣告，點了下去，嘿嘿，又進帳一筆。

之前提過敏捷開發，紐時文章最後提到:

Yahoo says it is now trying to emulate Google’s faster method of creating products. Like most big companies, it used to develop software by first creating a comprehensive design that defined how features would be written and tested. Instead, it is now trying what is known as a scrum method, where it will plan, build and test parts of a product every 30 days.

Scrum 的專案管理／開發方法論，顛覆傳統瀑布式做法，靈感和命名源自英式橄欖球，逐漸成為當紅顯學，這點從微軟也在擁抱便可看出。Wikipedia 提供了入門介紹。此外，這裡是 Scrum 教父的網站。

Yahoo 的主管開始體認到敏捷開發在 Web 2.0 大環境下的優勢，能夠儘早觀察用戶的反應，並配合調整:

“We may not know how everything fits together,” … But by creating partly completed products that can be shown to customers, “We can get insights from users and react to that over a three- or four-month period to put it all together,”

之前在《點擊成金》一篇中提到，Yahoo! 對大幅改良的新一代廣告系統寄與厚望。但壞消息是，這個已研發兩年的系統，在週四的上季財報中，宣布要延到年底，甚至有分析師猜測會到明年。Yahoo! 股價立即大跌十幾個百分點，到近兩年的新低。

你丟我撿 — Yahoo 丟失的廣告商機，多進了 Google 的口袋。Google 週五公佈財報，再度大幅超越分析師預期，revenue 較一年前成長 77%。紐時引用業界分析師數據顯示，Google 平均從每筆搜尋中所能賺取的 revenue，比 Yahoo! 多了 40%。套句「行話」，也就是廣告引擎 monetize 搜尋結果的能力，因為它的軟體能挑出更貼切的廣告內容，來 target 消費者。

Yahoo! 現在一定後悔當初併購 Overture 之後，沒有立即針對廣告系統缺失，進行改造工程。反觀 Google 的 CEO Eric Schmidt，在昨天公佈財報時，不忘提到: Google 並未鬆懈，而仍處心積慮地企圖吃乾抹淨。光是在上一季，他們的工程師便對搜索／廣告引擎關鍵部分的演算法（即英文俗稱的 “secret sauce”，秘密醬汁），又做了十四項調整，力求廣告能更精準地命中客戶。網際網路商場的激烈競爭，真的是得戰戰兢兢，一刻都不能放鬆。