Web 2.0 早已不是什么新话题。过去的几年内，知名度高如 Google、Yahoo、MySpace、PayPal 等大站，也都无法完全免疫，而陆续爆发过各种攻击事件（钓鱼、虫…）。Web 2.0 网站不管是选择用 AJAX 、Flash，还有逐渐风行的离线解决方案，如 Dojo Offline、Google Gears 、Adobe AIR 等，来提供互动性更高的 UI，只要一不小心，这些 Web 应用出现安全漏洞、被坏人占便宜的机率，其实是很高的。有时候不仅是自己的 code，而问题也可能出现在第三方提供的现成工具箱、API。

要如何防范？对网站开发人员而言，在过去，对这个主题的探讨，往往比较零散，要不就偏学术，要求较高的门槛（例如 OWASP 发表的文献），一直缺乏系统化，全面性，且深入浅出的探讨。不久前终于出了一本好书 — AJAX Security，作者为 Billy Hoffman 和 Bryan Sullivan 这两位 Web 2.0 安全的专家（过去在零星的安全相关报道中，也常出现他们两位的影子）。在此强烈推荐这本书，给所有从事与 Web 2.0 开发相关的网友。尽管书名选择叫 "AJAX" Security，但事实上，除了 AJAX 之外，Flash 安全，甚至于如何将 CSS 这种看似无害、展现层的东西，拿来攻击的方法，在书中都有深入探讨（第十二章）。尽管这样的书，早该出现，但出版时间晚，反而也做出一些额外的贡献 — 比较新的科技，如上述的 Google Gears 和 Dojo 离线工具箱的安全弱点，在书中都涵盖了。希望它尽快能被翻译成中文，以造福更多大众。

more »

过去两年因著书《长尾》而巨红的作者克里斯安德森，最近开始推销他的下一本书《免费》（英文书名目前定为：“Free: the Economics of Giving Stuff Away”），预计明年出版。一如过去对《长尾》的行销，这次要阐述 “免费经济” 的现象和模式，安德森的首选渠道，自然是充分利用他任职总编的《Wired》杂志。前两天他在 Wired 网站发表了这篇专文。除此之外，还配合三月号“订杂志、免费附赠别册” 的行销活动（老掉牙的把戏了，但好歹还是得营造出一点气势来）。而他在稍早，半年前的一个 O’Reilly 的演讲场子上，已开始谈 “免费”。这场演说在一个月前被整理成播客发行。

这篇文章将近几年在互联网经济和摩尔定律推波助澜下产生的种种免费现象和经济模式，做了一个比较完整的整理。因此，个人认为还是蛮值得看的（不过目前在网上还没见到中译版）。至于那场演说，除了基本上把文章中的重点都快速地涵盖之外，还多谈了一个主题 — 为什么书不能走免费路线？《长尾》大卖后，安德森接下来要出的书，还是要收钱的；深知这个问题一定会被人拿出来检讨，故决定将此问题，主动提出来探讨。很多网友知道，我在8年前便实验过免费电子书的模式，故对此一课题，特别感兴趣。在针对安德森在那场演讲中，就他在免费书议题的表述上，讲一些我个人的观点前，我想先来对他在专文中整理出来的六种免费经济的模式，和大家做个扼要的分享。《Wired》杂志另外还整理了一页 “How-to Wiki”，将提供免费商品／服务的手法，做了一个罗列（推荐）。

more »

今早上班途中，在一个 podcast 中听到一个很酷的概念。这个 podcast 谈的是 Centric CRM 这家公司所提供的服务和产品，它是利用 open source 堆栈所建立的一套本身也是 open-source 的 CRM 应用，除了和 Salesforce.com 一样，以 SaaS 模式提供客户直接从网络远程租用之外，它和 Salesforce 这类 closed-source 服务商在商业模式上的一大区别，在于除了可以通过网络租用外，也可让客户选择把整套应用部署在客户自己的机器上，像传统的 CRM, ERP 一样，让企业自行运维（有趣附带一提的是，Salesforce 本身也大量采用 open-source 软件，例如它后台的数据库用的是 MySQL，但在 open-source 基础上建立的 CRM 应用则是 closed-source 的。这种 “在 open-source 平台上搭建 closed-source 应用服务” 的现象在 Web 2.0 领域里比比皆是，Yahoo!, Google, …）。

同样强调 open-source 、并采用相同商业模式的 SugarCRM （以前也听过一个他们介绍自己产品的 podcast），是 Centric CRM 主要的竞争对手。Centric 强调自己的平台建立在 Java 之上，效能和 scalability 上都远比建立在 PHP 上的 Sugar 更适合规模和用户数较大的企业。

今天在 podcast 里听到一个比较酷的比喻，是他们用“租用大自然” — Rent Mother Nature 这家公司的商业模式来比喻。

more »

Google Checkout 推出已满半年了（先前盛传了一年多的 “GBuy” 名号，最后没有被采用）。纽约时报前几天对 Google Checkout 做了一个半年的 reality check。整体的评价非常的正面。这篇报导可以在大陆的网站找到翻译。几个重点节录：

推广Checkout对于Google来说还有更深的意义：当对手雅虎与微软在不断加强其搜索与广告系统的同时，Google正在不断巩固自己的领先优势。

另外，该报导谈到，Google 可以借着和它的金鸡母 AdWords program（以前曾写过一篇 review）相互进行杠杆操作，赚进更多的银子： more »

（当然不是在盼 SARS！）与上一篇相关的是，最近试用透过 3G 手机 (Nokia 6680)，将拍摄的照片直接 email 上传至 Flickr，感觉可用性还很不错。虽然尚未测试将照片和文字直接透过手机发布成 blog，但由于 Wordpress 等 blog 系统所提供的上传机制，和 Flickr 没什么两样，所以类似的使用体验，应该是可以预期。最近 Opera 新推出专为 smart phones 设计的新版 Opera Mini 3.0，（以 Java/J2ME 开发，所以许多手机都能安装）。试用后惊喜的发现，不但接口设计比 Nokia Series 60 系统内置的浏览器更为贴心（例如浏览历史、整页上下滚动），还增加了包括 RSS 订阅器、内置 Google、Wikipedia 搜索条等 Web 2.0 的支持。我终于可以在上下班的路上，操作着够简单顺手的浏览器，边走边阅读当日的科技新闻，想到什么就可以随即搜索，过隧道不断线，一路到家。

more »

当初在两只老虎安装 Wordpress 部落格系统时，附带安装了一个垃圾篩選 plugin Akismet，具有篩選评论功能，至今已拦截了六百多篇可恶的 spam。但这两天赫然发现，某些不明原因，导致它的算法错将过去几封来自正人君子、非广告性的评论，认定为疑似 spam，因此让这几封评论迟迟未能发布出来，其中包括这篇关于 geotagging 的 post 中，分别来自于 Charlesc、对 Geotagging 有特别研究和兴趣的 CK，及 Vista 等网友，感觉很不好意思。看来以后还是得三不五时去检查一下 Akismet 的管理接口，看是否又有被错杀的评论 。

more »

最近这半个多月，注意到 Yahoo! 悄悄地改用 AJAX 科技，来自动刷新 Yahoo Finance 网页中的股价变化（似乎没看到任何新闻稿或宣传活动；英文说法叫 “without much fanfare”）。Yahoo 把这个功能称作 “Streaming Quotes”，可以随用户喜好关掉或开着。在美国股市开盘期间，例如目前当下，在主页左侧的大盘指数，每家上市公司的行情摘要页（例如 BEA），以及用户自行配置的 portfolio 投资组合页面中，都可以看得到。表格中数字的变化，做得非常园滑顺畅，令人喝采。

Yahoo Finance 的这项动作，可以说是继 Google 推出财经网 Google Finance，并且在其中采取几项创新做法之后（例如用小旗子在线图上标注新闻发生的时间点；Flash 做的），所发动的一计回击。这类相互刺激，不断透过进步、创新所作的良性竞争，英文的说法叫「跳蛙」– 造两个句：”Yahoo Finance and Google Finance leapfrog each other.” “Yahoo Finance uses AJAX to leapfrog Google”（因为当作新闻标题用，所以用现在式）。Leapfrog 是一个小朋友玩的游戏：两人轮流，一前一后，一人先蹲下，让后面的人从头上跳过，然后换跳过的人蹲下。”leapfrog” 也被用来指开发中国家「跳岛」式的发展策略 — 尚未布建电话缆线的基础设施，便干脆直接走移动通讯；未具备拨接上网的设施，便直接拉光纤，走宽带；不具备生产 VCR 的能力，干脆直接研发制造 VCD/DVD players。

Web 2.0 网站 tagging 的功能，已非常稀松平常，不需要再多讲；而 geotagging 则刚在萌芽。geo- 是和地理相关的字根，顾名思义，所标注的东西，必定和地点有关。互联网上有些信息类型，如照片、活动、新闻事件，如果在整理时，能附带将相关的地理信息，例如经纬度、邮政区号、甚至海拔高度等，都一同纳入成 meta-data 的一部分，便可能进一步提升信息的实用价值。

more »

连续写了三篇的 digg，今天想谈点别的。前天看到一篇纽约时报的报导，主题是关于 Yahoo 和 Google 对旗下各类服务的开发和提供方式，一个打的是总体战 (Yahoo)，强调服务的一致性、完整性，和连贯性；另一个打的是游击战，喜欢出奇致胜，强调酷炫。不管用的是哪一种策略，服务毕竟是免费的，亿万的会员数和洪水般的流量，并不是赚钱的保证，最终的关键还是在将内容和服务 monetize 的能力，谁能将关注的眼神更有效地转成钞票，谁就赢。MySpace 是最好的例子，它的流量现在已经直逼、甚至有人说已经超过 Yahoo，成为全球流量最大的网站，但收入呢？仍远远低于 Yahoo 和 Google，差太多了！这从它的母公司，梅铎的 News Corp 的财报就可以看出（不过 News Corp 买下 MySpace 后，至少股价因而膨胀了不少）。纽时的报导引用的这句话说得很好:

The battle is about one thing: getting that search box in front of as many people in as many places as possible.

要赚钱，以 Yahoo 和 Google 目前的主要获利模式，就是要尽量提高搜索引擎的使用次数，有了搜索，才能牵动广告引擎，秀出吸引用户的广告，点了下去，嘿嘿，又进帐一笔。

之前写过敏捷开发，纽时文章最后提到:

Yahoo says it is now trying to emulate Google’s faster method of creating products. Like most big companies, it used to develop software by first creating a comprehensive design that defined how features would be written and tested. Instead, it is now trying what is known as a scrum method, where it will plan, build and test parts of a product every 30 days.

Scrum 的项目管理／开发方法论，颠覆传统瀑布式做法，灵感和命名源自英式橄榄球，逐渐成为当红显学，这点从微软也在拥抱便可看出。Wikipedia 提供了入门介绍。此外，这里是 Scrum 教父的网站。

Yahoo 的主管开始体认到敏捷开发在 Web 2.0 大环境下的优势，能够尽早观察用户的反应，并配合调整:

“We may not know how everything fits together,” … But by creating partly completed products that can be shown to customers, “We can get insights from users and react to that over a three- or four-month period to put it all together,”

之前在《点击成金》一篇中提到，Yahoo! 对大幅改良的新一代广告系统寄与厚望。但坏消息是，这个已研发两年的系统，在周四的上季财报中，宣布要延到年底，甚至有分析师猜测会到明年。Yahoo! 股价立即大跌十几个百分点，到近两年的新低。

你丢我捡 — Yahoo 丢失的广告商机，多进了 Google 的口袋。Google 周五公布财报，再度大幅超越分析师预期，revenue 较一年前成长 77%。纽时引用业界分析师数据显示，Google 平均从每笔搜索中所能赚取的 revenue，比 Yahoo! 多了 40%。套句「行话」，也就是广告引擎 monetize 搜索结果的能力，因为它的软件能挑出更贴切的广告内容，来 target 消费者。

Yahoo! 现在一定后悔当初并购 Overture 之后，没有立即针对广告系统缺失，进行改造工程。反观 Google 的 CEO Eric Schmidt，在昨天公布财报时，不忘提到: Google 并未松懈，而仍处心积虑地企图吃干抹净。光是在上一季，他们的工程师便对搜索／广告引擎关键部分的算法（即英文俗称的 “secret sauce”，秘密酱汁），又做了十四项调整，力求广告能更精准地命中客户。互联网商场的激烈竞争，真的是得战战兢兢，一刻都不能放松。