Web 2.0 早已不是什么新话题。过去的几年内,知名度高如 Google、Yahoo、MySpace、PayPal 等大站,也都无法完全免疫,而陆续爆发过各种攻击事件(钓鱼、虫…)。Web 2.0 网站不管是选择用 AJAX 、Flash,还有逐渐风行的离线解决方案,如 Dojo Offline、Google Gears 、Adobe AIR 等,来提供互动性更高的 UI,只要一不小心,这些 Web 应用出现安全漏洞、被坏人占便宜的机率,其实是很高的。有时候不仅是自己的 code,而问题也可能出现在第三方提供的现成工具箱、API。
要如何防范?对网站开发人员而言,在过去,对这个主题的探讨,往往比较零散,要不就偏学术,要求较高的门槛(例如 OWASP 发表的文献),一直缺乏系统化,全面性,且深入浅出的探讨。不久前终于出了一本好书 — AJAX Security,作者为 Billy Hoffman 和 Bryan Sullivan 这两位 Web 2.0 安全的专家(过去在零星的安全相关报道中,也常出现他们两位的影子)。在此强烈推荐这本书,给所有从事与 Web 2.0 开发相关的网友。尽管书名选择叫 "AJAX" Security,但事实上,除了 AJAX 之外,Flash 安全,甚至于如何将 CSS 这种看似无害、展现层的东西,拿来攻击的方法,在书中都有深入探讨(第十二章)。尽管这样的书,早该出现,但出版时间晚,反而也做出一些额外的贡献 — 比较新的科技,如上述的 Google Gears 和 Dojo 离线工具箱的安全弱点,在书中都涵盖了。希望它尽快能被翻译成中文,以造福更多大众。
more »
无巧不成 blog。
大约在半年前写过关于 PaaS (Platform as a Service) 和亚马逊的 AWS (可谓 PaaS 鼻祖)。上周有位记者朋友向我询问相关信息,打算做个深入报道。同样在上周,看到有篇 blog,谈到一个马路消息,说 Google 很快就要开始“抢亚马逊” 的午餐了。当时看了以后,只觉得这个可能性的确存在,但不知何时才会发生。没想到来得这么快 – 几个小时前,华尔街日报报道,Google 也将开始做基础设施租赁的生意。
亚马逊最早开发 AWS 的念头来自于 — 既然我自己能把基础设施玩得这么好,为什么不干脆把它松耦合化,当成一门生意 outsource 出去?Google 玩基础设施、计算机中心这方面的效率是出了名的(之前也写过),这是他们的核心竞争实力,对公司财务报表的 bottom-line,带来很大的贡献,放眼 Web 的世界,可说无人能敌。所以本着同样的论点,Google 可说非常有资格做 PaaS 这门生意。
more »
REST 是好东西,但受到两个问题的拖累。
之前已经写过一些对 REST 的简介和看法。不久前恰好又在中文版的 infoQ 网站上看到一篇刚翻译成中文的文章,发现一些问题,于是又把整个 REST vs. SOAP 的论战再仔细看过一遍,刀光剑影,娱乐性十足。好消息是,最近这几个月,比较耸动或炒作性的 REST 话题似乎开始从网站、杂志头版消失。就来回顾和总结一下,事情其实很简单,REST 是被两个问题给害了。
more »
过去两年因著书《长尾》而巨红的作者克里斯安德森,最近开始推销他的下一本书《免费》(英文书名目前定为:“Free: the Economics of Giving Stuff Away”),预计明年出版。一如过去对《长尾》的行销,这次要阐述 “免费经济” 的现象和模式,安德森的首选渠道,自然是充分利用他任职总编的《Wired》杂志。前两天他在 Wired 网站发表了这篇专文。除此之外,还配合三月号“订杂志、免费附赠别册” 的行销活动(老掉牙的把戏了,但好歹还是得营造出一点气势来)。而他在稍早,半年前的一个 O’Reilly 的演讲场子上,已开始谈 “免费”。这场演说在一个月前被整理成播客发行。
这篇文章将近几年在互联网经济和摩尔定律推波助澜下产生的种种免费现象和经济模式,做了一个比较完整的整理。因此,个人认为还是蛮值得看的(不过目前在网上还没见到中译版)。至于那场演说,除了基本上把文章中的重点都快速地涵盖之外,还多谈了一个主题 — 为什么书不能走免费路线?《长尾》大卖后,安德森接下来要出的书,还是要收钱的;深知这个问题一定会被人拿出来检讨,故决定将此问题,主动提出来探讨。很多网友知道,我在8年前便实验过免费电子书的模式,故对此一课题,特别感兴趣。在针对安德森在那场演讲中,就他在免费书议题的表述上,讲一些我个人的观点前,我想先来对他在专文中整理出来的六种免费经济的模式,和大家做个扼要的分享。《Wired》杂志另外还整理了一页 “How-to Wiki”,将提供免费商品/服务的手法,做了一个罗列(推荐)。
more »
昨天从 Digg 得知 Google Talk 刚增加一个翻译功能,用法很有创意(大概又是哪位 Google 员工利用每周 20% 的自由时间想出来的),配置方式是必须先将恰当的语言,以联络人的方式加入,格式为 xx2yy@bot.talk.google.com,其中 xx 和 yy 是根据 IANA 制定的双字母语言码,中间加 2,例如英翻中为:en2zh@bot.talk.google.com,其他语言可如法炮制(Google 目前支持二十多种语言间的互转),@后一律相同。如果要利用这个 bot 充当语言不通的 IM 用户间的及时翻译的话,可以用 group chat 的方式,把翻译 bot 同时加入。
用几个口语的句子测了一下它的中英文翻译能力,和对简繁体字的处理,发现它和 Google 的搜索引擎一样,繁体和简体中文同时支持,Google 会自动判别,这点做得不错,至于翻译的准确性,就有点爆笑了 — 相同意思的三句话,分别用英文和中文版本测了一下(如下图),翻译出来的结果,其中甚至连语法都有问题(不过最搞笑的,还是将中文的语助词 “啊” 硬生生地翻成 "ah",让我想起在和香港的朋友 chat,英文句尾夹带 "ma"、"la" 的感觉)。(BTW, ”You never cease to amaze me" 是英文常用的说法,有时候用来讽刺,但这里我们看到 GTalk 的 bot 把意思完全搞反了)。
不过我主要想谈的,不是它的翻译水平,而是其背后的运作机制。这个翻译机器人 (bot) 的运作方式,仰赖的正是 Cloud Computing(云计算) — 无独有偶地,恰好是前几天纽约时报和美国商业周刊封面故事分别报道的主题(尽管二者的侧重点不同)。更巧的是,最早触发商业周刊对 Google 云计算做报道的,正是这个翻译 bot 。在商业周刊幕后故事 podcast中,记者谈到他在两年前,从卡内基梅隆大学那儿听到,曾经有一场自然语言电脑翻译大赛。参赛者中,IBM 自然不能缺席,此外还有来自亚洲、欧洲的团队,当然还有 Google。Google 团队的玩法与众不同,他们不用传统 AI 那套,从分析语句结构、语义模型等入手,而是利用一组超强的分布式计算 cluster(也就是那朵“云”),然后喂给它海量的联合国翻译稿件,让它根据字的关联性,做出统计分析,作为翻译的基础。结果 Google 队赢了。自此之后,美国许多大学的研究机构,都渴望能有一套像 Google 一样的计算怪兽,用来加速对海量信息的科学分析。两年后,他们终于如愿以偿。这篇报道讲的正是背后的故事 — 一名 Google 员工如何将公司核心竞争力平台的缩小版,带入校园,教导大学生如何善用并行计算资源。这项利用 20% 自由时间的项目,稍后还带动了和 IBM 的研发合作。同样巧合的是,纽约时报这周也对并行计算和它对编程带来的新挑战,做了一个报道(中译)。
纽约时报对 Cloud Computing 的报道,则着重于和微软的竞争,和潮流的变迁。简单的讲,Google 玩的是改变游戏规则的玩法,顺着时势潮流,用云来遮蔽桌面。
这几篇报道的相关链接:
回到 Google Talk 翻译机器人的翻译水平问题,由于听了上述翻译大赛的故事,还有之前对 Google 超级电脑的粗浅了解,我的猜测是 1) Google 的翻译引擎的翻译能力是可以调整的,而他们大概没有分给 Gtalk 翻译 bot 太多的脑细胞/计算能力(使用比较简化的计算过程),目前的目的只在实验这个新的应用模式,以致翻译品质仍处在搞笑阶段;2) 我用来考它的生活口语太难了,它比较擅长的,应该还是正经八百的官样文章,这或许是为什么喂食海量联合国资料和网页的 Google 云能够赢得冠军的原因吧!
今早上班途中,在一个 podcast 中听到一个很酷的概念。这个 podcast 谈的是 Centric CRM 这家公司所提供的服务和产品,它是利用 open source 堆栈所建立的一套本身也是 open-source 的 CRM 应用,除了和 Salesforce.com 一样,以 SaaS 模式提供客户直接从网络远程租用之外,它和 Salesforce 这类 closed-source 服务商在商业模式上的一大区别,在于除了可以通过网络租用外,也可让客户选择把整套应用部署在客户自己的机器上,像传统的 CRM, ERP 一样,让企业自行运维(有趣附带一提的是,Salesforce 本身也大量采用 open-source 软件,例如它后台的数据库用的是 MySQL,但在 open-source 基础上建立的 CRM 应用则是 closed-source 的。这种 “在 open-source 平台上搭建 closed-source 应用服务” 的现象在 Web 2.0 领域里比比皆是,Yahoo!, Google, …)。
同样强调 open-source 、并采用相同商业模式的 SugarCRM (以前也听过一个他们介绍自己产品的 podcast),是 Centric CRM 主要的竞争对手。Centric 强调自己的平台建立在 Java 之上,效能和 scalability 上都远比建立在 PHP 上的 Sugar 更适合规模和用户数较大的企业。
今天在 podcast 里听到一个比较酷的比喻,是他们用“租用大自然” — Rent Mother Nature 这家公司的商业模式来比喻。
more »
[10/19/2007 更新]
以前写过一个关于 Amazon Web Services (AWS) 的帖子,这应该算是第一个对 Web 2.0/SOA 基础设施租赁市场的大规模尝试。不久前接受 iTHome 采访,起因于微软的 Internet Service Bus,一个小规模、提供给开发者作实验性的尝试。
我对 AWS 、以及它所试探的潜在市场,基本上乐观其成,自从 AWS 推出 S3, SQS 和 EC2 后,已经出现了许多有趣的加值应用,例如有人用它来建构新一代的 B2B/EDI VAN,Doug Kaye 在这个 podcast 中,则侃侃而谈,说明如何利用 AWS 的基础设施,设计出 GigaVox 这个 podcast 平台的架构。在 podcast 讨论中,Kaye 除了讲解他如何善用 Amazon 出租的数据服务 S3,中介消息服务 SQS,和建立在 Xen 上的虚拟化平台 EC2,来设计出他的应用架构外, 还谈到作为一个 early adopter,所遇到的种种限制问题,如何克服,更提供了 Amazon 未来对 AWS 的改进参考。不意外,就像所有软件一样,这种直接通过网络租用的软件服务,目前仍属于非常早的阶段,当然还有不少可进一步完善的空间。这类的案例,非常有助于我们对此类服务的完备和成熟程度,进行更客观的理解。
more »
2005 年底,著名 IT 分析机构 Gartner 的一个分析师 Nick Gall 发明了一个新词 — WOA (Web-Oriented Architecture) 。大家知道,发明新缩写字 (acronym) 一向是 Gartner 的绝活。几个月后,SOA 界著名的 blogger 和专栏作家 Dion Hinchcliffe 对它表示支持,他甚至画了一幅图,说明基于 SOAP 和 WS-* 的 Web services,和基于 REST、POX和 JSON 的 WOA,以及其他 SOA 相关科技,在复杂度和丰富程度上的比较。
本以为 “WOA” 的命运,差不多已经和先前广遭声讨的 “SOA 2.0” 一样,开始消声匿迹,但最近在一片大谈 REST 声中(前两篇帖子的主题),发现 WOA 已死灰复燃。
more »
REST 的最大价值,在于它的简约;只要遵循上回帖子中提到的几个基本原则,便可直接充分利用 HTTP 和 Web 服务器先天具备的架构优势,包括 GET 的请求会被 Web 服务器有效地缓存,和因不需要维系各别的会话状态,而达到非常高的伸缩性。Google 和 Amazon 等所提供的 Web services,是最好的明证。这是 REST 的拥护者津津乐道的论点。
但如果照目前的气氛继续发展下去,过分炒作“REST 是比 SOAP 更适合于 SOA 的技术实现手段”、“SOA 未来的希望在 REST”这类危险的观念(上回谈的主题),其最终的结果,可能是既伤害了 REST,又对 SOA 没好处的双输局面。
more »
最近几个月,互联网上 REST vs. SOAP 的口角甚嚣尘上,实在看不下去了。就连在 SOA 和 Web services 界的重量级人物 — Burton Group 的分析总监 Anne Thomas Manes (ATM),也开始加入炒作 REST 的行列。
自 J2EE 草创期以来,我对 ATM 一直非常推崇,但这篇报导着实让我有些惊讶!或许其中难免有几分媒体的加油添醋,但大胆宣称“SOA 的未来在 REST”,实在是太过火了。 more »
要如何防范?对网站开发人员而言,在过去,对这个主题的探讨,往往比较零散,要不就偏学术,要求较高的门槛(例如 OWASP 发表的文献),一直缺乏系统化,全面性,且深入浅出的探讨。不久前终于出了一本好书 — AJAX Security,作者为 Billy Hoffman 和 Bryan Sullivan 这两位 Web 2.0 安全的专家(过去在零星的安全相关报道中,也常出现他们两位的影子)。在此强烈推荐这本书,给所有从事与 Web 2.0 开发相关的网友。尽管书名选择叫 "AJAX" Security,但事实上,除了 AJAX 之外,Flash 安全,甚至于如何将 CSS 这种看似无害、展现层的东西,拿来攻击的方法,在书中都有深入探讨(第十二章)。尽管这样的书,早该出现,但出版时间晚,反而也做出一些额外的贡献 — 比较新的科技,如上述的 Google Gears 和 Dojo 离线工具箱的安全弱点,在书中都涵盖了。希望它尽快能被翻译成中文,以造福更多大众。
