假keso在真王翌的blog上贴满了署名keso的留言,这事件把大家的注意力转到原本就不堪一击的匿名留言的问题上了。Blogger的成功,根基就是大胆的平衡了安全和成本:原本Trackback, 不注册的留言,乃至任何人都可以完整的拷贝整个站点内容的全文RSS,就是新一轮blog软件独特之处,实验证明,虽然spam问题日渐突出,整体上看,应用效果不错。关于Spam,我认为:
1. 提高spam的成本和降低spam的效果才是釜底抽薪。
垃圾电子邮件数量最多,乃是成本低(一个软件,一小时发个十几万不成问题),而效果好(其中链接直接促进网站流量)。手机效果数量其次,乃成本较低(一台机器,不到1毛一条),效果较好(尤其对于声讯电话,包月服务等)。骚扰电话数量再次,乃成本较高(要以专人扯着嗓子一个一个大过去),效果较差(除了被骂以外其它效果甚微)。
一日,一朋友,大叫:“我收到垃圾邮件了”。众人都笑他大惊小怪和没有见识。他补充说,“从英国寄过来的,好大一个包裹呢”。所有人都惊呼稀奇。电子垃圾邮件和平信的垃圾邮件数量悬殊的原因,可见一斑。
我曾放心的把手机号码放在我的网站上两年之久,从未收到过一次骚扰电话,倒是非常多有趣的采访和重要的朋友由此产生。在客齐集上,大家在问,如果把电话号码公开会不会有危险?真的想打电话骚扰的人,何需像邮件爬虫那样辛苦的爬,从任意号码开始,按连号一个一个试,不就有了所有的号吗了吗?何需到这里来找号码。真正对骚扰者重要的,不是号码本身,而是这个号码的主人的年龄段,关注点等信息和手机号码的匹配。做这件事情的成本就大得多了。
垃圾留言分两种。搜索引擎优化目的的居多,谓之“损人利己”。比起用复杂的给留言人制造麻烦的验证码(CAPTCHA技术),注册等,以打击垃圾留言制造者为目的,达到了更多人不愿意留言的效果,可谓扬汤止沸。
Google提倡的nofollow标签,才是釜底抽薪的办法。让其不利己,损人的就少些。对于另外一种,就是恶意冒充,所谓“损人不利己,白开心”,就算是用了验证码等技术,也不能避免。见了,删了;再见了,再删而已。好在白开心的人多没有持久地毅力和你开心下去。
2.互联网安全的守护神是人而不是程序。
整正的安全不是让坏人不能作某些事情,而是让坏人留下痕迹。举个例子,抢银行太简单,一把斧子也就干了;大街上的玻璃橱窗砸一个,随手一块石头就行。如果我们不建立警察的监督机制,而制造出火箭都打出穿的橱窗玻璃,乃是舍本逐末。现实世界的安全机制就是这样:做恶容易逃脱难。
关于客齐集的信息安全,大家都在为我捏一把汗。我的想法是,客齐集的梦想就是真实的互联网。Kijiji原本的意思就是“村庄”,村子里,在小村子里,大家互相认识,互通有无。虚假的东西,在虚拟的互联网里随处可见,而在一个泸沽湖边上40几户人家的叫落水的小乡村里就不那么明目张胆了。虚假的信息,我们首先会通过技术的手段甄别,但更重要的是,通过线下的方式,把坏人抓出来。
如果有人投诉客齐集上某消息不属实,甚至是诈骗,我会第一个拨110,第一个卷起袖子,协助用真实世界方式来处理,并将此事公布于众,让大家知道,在客齐集上发假消息容易,但是不被抓到难。如果没有这种震慑,这种教育,还是以前的那种,线下诈骗“一点技术含量都没有”(天下无贼中黎叔言)让人瞧不起,而线上发布虚假信息就因为“虚拟的”而好似不是诈骗一样,甚至还以为是“高人”,那我再强的技术,除了给绝大多数的好用户不断的增加麻烦以外,也只是成为“高人”练习诈骗技巧的靶子。
