通过一些方法来对产品进行评估和测试，我们才会发现设计、开发中存在的一些问题，然后迭代着再设计和再开发。我记得在 7 月份的话题我写过一篇贯穿整个产品生命周期的用户研究，里面谈到了定性研究和定量研究。为了控制篇幅，本文要谈谈产品面世（上线）后，如何通过定性的用户访谈去评估产品的使用体验。

另外，并不是只有设计师这个职位才有责任和义务去做用户访谈，一般来讲，有经验的产品经理会比视觉设计师来的更有效一些。

准备工作

产品的设计不可能 100% 所有人都喜欢，也不可能 100% 让细分的目标人群都喜欢，我们只要求做到 80%，争取做到 90% 就是优秀了（这里只是打个比方，可能大家对这个比例会持不同意见）。这点可能大家都知道，但很少人有这样的心态。摆正心态之后，用户访谈可能会进行的异常轻松和顺利。

那么在开展之前总是需要准备的，这个阶段的用户访谈大部分是定性分析为主，去了解产品是如何被使用，以及验证传达给用户的体验是否和自己所想的一致，更多情况下，是需要否定自己。准备工作这里就不展开了，无非就是按照设定的角色、目标人群去招募用户，约定时间，准备场地和环境，沏几杯茶或者准备一些饮料，然后就开始朋友间的聊天 :D

用户访谈

通过访谈，收集用户在使用过程中的问题，这是我认为比较有效、可行和可控的方式。而且可以在产品生命周期的各个阶段开展，而不限于是开发阶段还是上线 beta 等。经验告诉我，在实际用户中，有人比你更了解你设计的产品。:D

在访谈进行过程中，轻松并且适时地引导和让用户——实际使用产品的人——发发牢骚，而作为产品设计人员，在这些牢骚中总能挖掘和发现很多有价值的信息。

一般来讲，我们很容易从访谈中涉及以下问题：

* 没有我想要的某个功能或者找不到（前期业务流程和需求分析）
* 某个功能用起来很耗时间，步骤太多（信息架构、流程）
* 我以为 aa 表示的是 bb……（界面文字）
* 这个太丑了（图形设计）

同时他们也会提一些建议：

* 这个要是放在这里就好了
* 要是我一眼就能看到，不用点进去，那就太酷了
* 因为我想…所以最好提供…的功能

不用觉得他们的问题是多么的具体和细节化，实际上用户只会提这些问题。在访谈中，有一点必须去发现的就是用户对整个产品的印象。以前的一个同事用一个故事提醒了我，我们可以在访谈中加一些偏心理学的测试，举个例子：如果把网站比作人，你觉得是男人还是女人？像自己的孩子还是父亲、母亲？

访谈记录

关于访谈，还想说的就是最后怎么去记录和整理。如果是一对一的访谈，那么可以靠录音，访谈后再整理成文档。如果有第三人专门记录，那么挺好的（访谈的人可不要太多哦，用户是会紧张的）。至于录像、录制屏幕，我觉得一般也没有太大必要，而且挺麻烦。

整理后的访谈记录应当包括以下部分：

* 访谈对象的角色
* 他/她的使用情景和建议（用他/她的原话）
* 他/她为什么会这么做和这么建议（这不一定是问出来的，而且大部分情况下最好不要问）
* 访谈过程中的一些想法和总结

结尾

最后提一下的是，在一些产品中可以提供一个良好的反馈渠道。为什么说是良好的呢？比如每个网站都有联系我们，先不管大部分网站管理人员处理这些问题不及时，用户即使看到联系我们这个字眼，可能也不想把自己使用中的问题给反馈出来。良好的反馈渠道应该是友善的、方便的和快速的，比如很老套的使用一些小奖励，告诉用户“测试有奖哦~”，这招还是比较有效的，当然更多的也可以结合产品去发挥一些创意。

在这些都做了之后可能收集了一堆问题，然后怎么处理？这可能是大家更关注一些的问题，比如如何面对那 10% 的用户提出的建议。这牵扯到产品定位、品牌传达、商业目标等很多问题，如何平衡、取舍，这又是一个大话题了。我想篇幅有限，以后总有机会可以与大家探讨，或许本期话题中有人已经展开了 :D

最后祝大家中秋节快乐！国庆快乐！

转载请注明出自UCDChina.com，谢谢。

相关文章

• 开展全面的网站评估

各位虾友，大家好~

继前一阶段，新浪对于Rss地址进行调整以后，最近新浪又对博客文章地址进行了调整，这使得抓虾无法判断原来文章地址与目前地址之间的对应关系，因此文章未读数会多出20篇。

小虾和大家分享一下应对的办法，就是看的时候根据时间确定是否要读，在我上次登陆之后更新的文章，我就读一下，然后将上次登陆前更新的文章统一标记为已读，这样几个全部标记为已读下来，未读文章数又恢复正常咯

由于抓虾的文章严格依赖于BSP的Rss输出，因此BSP的调整可以给抓虾带来了不少的麻烦，希望大家能够谅解。

看博客，吃月饼，祝大家中秋快乐。

作者 李娜 - AdSense 博客小组

今天是我们中国的传统节日 – 中秋节，Google AdSense 全体成员在这里祝各位发布商中秋快乐!

I’m thrilled to announce that Version 2.3 “Dexter” of WordPress is now ready for the world. This release includes native tagging support, plugin update notification, URL handling improvements, and much more. This release is named for the great tenor saxophonist Dexter Gordon.

The entire team is really proud of this release, and I’m happy that this is our second on-time release under our new development schedule. The grand experiment of a more agile WordPress with significant features in the hands of users more often is working. I could write a blog post about each new feature, but I’ll try to be brief:

1. Native tagging support allows you to use tags in addition to categories on your post, if you so choose. We’ve included importers for the Ultimate Tag Warrior, Jerome’s Keywords, Simple Tags, and Bunny’s Technorati Tag plugins so if you’ve already been using a tagging plugin you can bring your data into the new system. The tagging system is also wicked-fast, so your host won’t mind.
2. Our new update notification lets you know when there is a new release of WordPress or when any of the plugins you use has an update available. It works by sending your blog URL, plugins, and version information to our new api.wordpress.org service which then compares it to the plugin database and tells you what the latest and greatest is you can use.
3. We’ve cleaned up URLs a bunch in a feature we call canonical URLs which does things like enforce your no-www preference, redirect posts with changed slugs so a link never goes bad, redirect URLs that get cut off in emails on similar to the correct post, and much more. This helps your users, and it also helps your search engine optimization, as search engines like for each page to be available in one canonical location. More info here.
4. Our new pending review feature will be great for multi-author blogs. It allows authors to submit a post for review by an editor or administrator, where before they would just have to save a draft and hope someone noticed it.
5. There is new advanced WYSIWYG functionality (we call it the kitchen sink button) that allows you to access some features of TinyMCE that were previously hidden.

You’ll notice that two of those features are straight out of the most-voted for ideas list. That’s just the user facing stuff, if you’re a developer you’ll be interested in:

1. Full and complete Atom 1.0 support, including the publishing protocol.
2. We’re using the new jQuery whis is “800% faster.”
3. Behind the user-facing tags system is a really kickass taxonomy system which, which adds a ton of flexibility. It’s probably the biggest schema upgrade since version 1.5.
4. The importers have been revamped to be more memory efficient, and you can now add an importer through a plugin.
5. Through hooks and filters you can now override the update system, the dashboard RSS feeds, the feed parser, and tons more than you could in 2.2.
6. The new $wpdb->prepare() way of doing SQL queries.
7. Finally there were over 351 tickets in Trac closed for this release, with over a hundred people contributing. This is the polish, the hundreds of tiny bug fixes and features that make WordPress what it is.

You can view the Codex for more information about the release and some screenshots. And of course the place to download is always the same. Before you upgrade you may want to check out our Preparing for 2.3 post and the list of compatible plugins on the Codex.

A number of people are hosting upgrade parties around the world, including myself in San Francisco. If you are let me know and I’ll promote it on my blog.

发表者： Panayiotis Mavrommatis, 反恶意软件组

原文：Malware reviews via Webmaster Tools
发表于： 2007年8月13日，星期一，12:27PM

在过去的一年里，受流氓/恶意软件感染的网站数目从每周几个增长到每周数千。在我们以前的帖子“关于恶意软件警告”以及“停止恶意软件讨论组”里，我们听到了一些你们的建议，也就是改善我们与被感染网站的站长的交流。现在，我们的站长工具可以重新评估感染恶意软件的网站。

通过我们对搜索结果加上"恶意软件“标记，或是在站长工具里对你网站的一个总的概括，你可能发现你的网站感染了恶意软件。我们现在已经简化了审查程序，使Google在你的网站时去掉”恶意软件"的标签：

1. 在站长工具里看一看你的感染了恶意软件的URL的样本。
2. 根据StopBadware.org网站的安全提示对你的网站作出必要的改动。
3. 新做法：使用站长工具要求Google重新评估你的网站。 我们会检查你的网站还有没有恶意软件。
4. 新做法： 你可以检查我们重新评估的状态。
• 如果我们觉得你的网站仍是有害的，我们会提供你的危险URL的最新名单。
• 如果我们确认你的网站已经是正常了，你可以期待我们很快（通常是24小时以内）清除关于你的网站有恶意软件的信息。

我们鼓励所有站长去熟悉Stopbadware的恶意软件预防小技巧。如果你有其他问题，请阅读我们的相关文献或在讨论组上发帖。我们希望您觉得这个在站长工具中的新功能是有用的，特别是对发现和修正任何和恶意软件相关的问题。我们也对你们为认识和预防恶意软件的努力表示感谢。

译自：StopBadware.org: Tips for cleaning & Securing Your Website

译者按： StopBadware.org是一个独立于Google的致力于消除恶意软件(badware)的非盈利组织。根据StopBadware.org对恶意软件（亦称流氓软件）和恶意软件网站的定义，Google对索引中带有恶意软件的搜索结果会加上“This site may harm your computer” 或 “这个网站有可能会损害您的计算机”。如何清除恶意软件并保护你的网站不受恶意软件的侵犯?StopBadware.org在他们的英文网站上给出很多非常实用的小技巧。我们刚刚翻译了StopBadware.org的恶意软件网站指南，在此，我们继续为广大中文站长翻译StopBadware.org关于阻击恶意软件的小技巧。

清除并保卫你的网站的小技巧

这篇文章提供从网站上清除恶意软件并保持网站干净的方法。它是一个起始点。之所以是起始点，是因为我们应该会不断更新它并提供更多的方法。请注意，这篇文 章中的方法绝不是全面的或详尽的。我们只想把它作为是关心恶意软件的站长们要做的第一步。我们鼓励站长们和网站寄存服务商们撇开这里所提供的建议，独立研 究网站的安全。获取关于网站安全问题的最新消息是站长和网站寄存服务商们自己的责任。

通常有三个基本步骤来保持一个网站的洁净：

1. 恶意软件的识别
2. 恶意软件的清除
3. 恶意软件的预防

恶意软件的识别

让您的网站保持不受恶意软件侵犯的第一步是检查你的网站上是不是已经有了恶意软件。恶意软件往往根本不顾用户选择如何使用他们的计算机。有些应用软件是恶意软件，因为他们的行为是欺骗性的或不可逆转的（例如，有的应用程序秘密安装难以或根本无法卸载的间谍软件）。还有些应用软件是恶意软件，因为他们有不良行为（如显示弹出式广告或改变用户的主页设置）。这些行为往往事先不让用户知道，也无从得到用户的同意。你可以从我们的软件指南中学到更多东西。

这里是一些你应该查一查的常见的恶意软件类型：

（译者按： 如果你的网站被Google在搜索结果加上"恶意软件“标记，或是在谷歌站长工具里的某个网站概括中有一个恶意软件标签，那么你在站长工具里可以看到你的感染了恶意软件的URL的样本。）

1. 你的网站有可以下载的恶意软件

根据StopBadware的软件指南，评估你提供下载的软件（包括任何第三方捆绑在你的软件上的应用软件）。如过你提供下载的软件违背了我们的指南，它就构成了恶意软件。

如果你的软件和第三方应用程序捆绑，你可能还需要检查是否捆绑软件会安装任何危险性或欺骗性的代码。一个检测方法是，下载整个捆绑软件到一个虚拟机，然后使用反病毒或反间谍软件对它扫描。

2. 在你指向的网站中存在的恶意软件

如果你的网站链向恶意网站，你的网站访问者就处于危险之中，哪怕是恶意软件或代码漏洞实际上不寄存在你的网站上。在以下情况下，你的网站可能违反了我们的网站指南：如果你的网页自动重定向到一个寄存或传播恶意软件的网站; 直接链接到恶意软件的可执行文件上; 链接到另一个企图自动安装恶意软件到用户电脑的网站; 或者是含有大量链接到其他主要是寄存或传播恶意软件的网站。

有一些方法可以判断你网站上的链接是否违反了我们的指南。检查你的所有链接，看是否有些链接会让用户下载其他网站上的恶意软件，或导致用户去访问其他网站上已被恶意软件感染的网页。（我们建议你在找恶意软件的时候用一个虚拟机，以避免损坏你自己的电脑）。以下方法也可能是有用的：通过搜索你的网站的源代码来并寻找到不明网站的链接，特别是到可执行文件的链接。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。有的应用软件可让您对一个网页的恶意链接进行扫描。你也可以使用这些应用程序来帮助决定是否链接到该网页。

您也可以把StopBadware报告以及我们的恶意软件网站清除站作为一种资源。你可以查询我们的数据库来得到你已经链接到的或者是想要链接到的网站和软件的信息。

3. 通过你网站上的广告传播的恶意软件

在你的网站上发布的广告是另一种恶意软件的潜在来源，因为大多数的广告包含到一个外部网页的直接链接。关于通过链接找出恶意软件的指南信息，请参阅第以上的1.2节。如果你在你的网站上展示第三方的广告，请确保那些链接不被引向不良软件或被恶意软件感染的网页。评估通过广告传播的软件的方法类似于在上面第1.1节描述的方法（"你的网站有可以下载的恶意软件"）。

您也可以把StopBadware深度报告以及我们的恶意软件网站清除站作为一种资源。使用我们的数据库来检查你正在考虑使用的广告网络，以了解是否有其他网站已经因为那些广告商而产生了恶意软件的问题。

4. 贴在你网站的用户区上的恶意软件链接

如果在你网站的任何部分，用户可以张贴或上传内容，这些地区可能是一个潜在的恶意软件或恶意软件链接源。关于恶意软件和恶意软件链接，请参阅上面的1.1节及1.2节。

5. 你的网站受到黑客攻击

另一种常见的恶意软件网站来自黑客攻击。黑客攻击是第三方在安全性很低的网站上插入代码或可执行文件。一个常见的例子是"注入攻击"，即黑客利用安全漏洞来在你的一个网页上注入有害代码。通常这个代码对你及你的用户来说是不可见的，但它会在一个访问者的电脑后台触发恶意软件的下载。你经常通过察看你的网页的源代码来发现这种攻击是否发生，从而确定它是否包含你从来没写过的任何代码。

两种常见的"注入攻击"类型是：

无形的隐藏框架(invisible iframe)

Iframe标签是一种HTML标签。一个iframe在一个网页上创建一个小"窗口"，在这个内嵌窗口中可以载入另一个页面。Iframe并非总是用于不可告人的目的; 它被经常用来，举例来说，在博客中嵌入一个视频。当恶意黑客使用它时，iframe可以被设置成小到看不见。访问受感染网页的用户永远不会知道另一页也在小iframe窗口里被载入。如果你在你网站上的一页中看到一个iframe的宽度是"0"，高度也是"0"的代码，你就找到了一个看不见的iframe。Iframe最常见的是被插在网页源代码的最上端或最底端。检查iframe应首先检查开始网页标准代码的<html>标签前，或结束网页代码的</html>标签后。

混淆代码 (Obfuscated Code)

混淆代码或脚本通常被隐藏在你的网站正常代码中，所以他们可以很难被察觉。这些代码是专门为了防止自动化查找工具发现他们。混淆代码不一定是恶意软件; 一些合法的编程者故意混淆编码以防止他人复制自己的工作。但是，如果你为你网站写的代码并不是想故意混淆，找到一块混淆代码可能说明有一个注入攻击。最常见的两种混淆代码的方式是通过编码和加密。

编码有时会很容易被看到，因为编码或者使用十六进制, "unicode”, 或“宽"字符。如果是十六进制字符，你会看到javascript代码的字符串由一些百分号后加两个字符的组合组成（例如％AA％BB％CC）。如果是unicode字符，你会看到字符串由一些"\u"紧随着四个字符组成（例如：
\u0048\u0069\u0021）。一般而言，编码成这种方式的代码块会占用若干段落。如果您在你的网页源代码里发现大块上述模式中的任何一种，它很可能是混淆代码。

加密代码更难被找到，因为他们没有一套模式。然而，加密代码看上去会像一块费解的文字。即使你不熟悉javascript编程，你会注意到你的网站上正常的javascript代码会使用基于常用英语单词的语法。编码或加密了的文本看上去就是完全不能理解的字母，数字和符号块。你应检查你网站日志来看看有没有对你所不认识的可执行文件的引用。可执行文件的扩展名包含.exe, .bat, .cmd, .scr, 以及.pif。

虽然大多数黑客的攻击重点是html代码，坏软件本身也有可能被上载到安全性很差的网站。不良软件可能包括不明的可执行文件（譬如以.exe, .bat, .cmd, .scr, 以及.pif结束的文件），javascript文件，甚至把图片上传到您的网站而你并未发觉。有时攻击者仅仅想利用你的网站来寄存恶意软件，然后从其它受害网站链接到该软件。这里有一个检测你的网站是否被寄存了不良软件的方法，即从你的正在运行的网站中下载所有的源代码到一个虚拟机，然后使用反病毒或反间谍程序进行扫描。

恶意软件的清除

如何从你的网站去清除恶意软件取决于你的网站寄存或链接了什么样的恶意软件。我们一般建议你在清除恶意软件和加强安全性之前先使你的网站离线，以防止你的网站访客者在你清除过程中被不知不觉地感染。

1. 如果你的网站寄存了可下载的不良软件

从你的网站上删除不良软件，不要再让它可供下载除非你确保它不是坏软件。你可以在我们的指南里了解更多关于什么是恶意软件的知识。如果你是一个问题软件的作者，StopBadware为如何使您的软件符合我们的指南提供了一些建议。

2. 如果你的站点链接到恶意软件

从你的网站上清除所有到恶意软件的链接。

3. 如果你的网站上的广告链接到恶意软件

删除所有链接到恶意软件的广告。如果你使用一个广告网络，这可能意味着从你的网站上删除该网络的所有广告，直到你肯定该广告网络是干净的。你也许可以联络你的广告商，让他们知道他们在你的网站上的一个或多个广告是恶意软件链接。

4. 如果恶意软件是从你的用户区得到的链接

从你的站点删除恶意软件的链接。你可能要编辑用户的帖子以消除恶意软件内容，或删除用户的整个帖子。

5. 如果你的网站已经被黑了

首先让你的网站离线，这样你网站访客和你的客户就不会有访问风险。然后删除所有不良代码，修复所有安全漏洞。最后才把你的网站重新上线。发现并去除特定的黑客插入的坏代码块以使你的站点干净是一时的。要使你的网站将来也不受到感染，你必须修补安全漏洞来防止黑客在你的网站插入代码。因此，一定要确保消除任何攻击者留下的后门。黑客留下的后门会使他们重新回到你的网站，即使你封锁了你的网站。

你的寄存服务商也应该能够帮助你查出你网站的安全漏洞，所以如果你认为你的网站已经被黑，和他们联系应该是当务之急。你也可以察看一下你的寄存服务商的论坛，看看使用该寄存服务的其他网站是否也已经被攻破。访问你网站所使用的软件的用户论坛也可以帮你看看有没有其他用户因为软件漏洞而失密，或者是你的网站没有对该软件的安全补丁进行更新。

恶意软件的预防

1. 在让网站可下载软件之前进行恶意软件检查

请参阅以上的第1.1节了解关于恶意软件及我们的软件指南的信息。

2. 在你网站链接到其他网址前对链接进行恶意软件检查

请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

3. 只使用有信誉、有良心的广告商，并定期监测以确保他们的广告是干净的

确保你的广告网络是有信誉的并积极为广告主屏蔽恶意软件。如果他们不这么做，赶紧换人，并告诉他们你为什么要换。请记住，一个在你网上的广告，即使是由第三方提供的，仍然是你的网页的一部分。你应该只接受来自为保护客户不受恶意软件侵害而不懈努力的广告商。你可以使用StopBadware的报告作为恶意软件广告商的一种来源。StopBadware正致力于把最坏的广告网络通过报告的形式来曝光，报告我们所看到的被这些广告提供者害苦了的网站。

4. 监控你网站的用户区

确保你网站的论坛，博客，和其他用户区的使用条款中明确禁止链接至恶意软件的帖子。您也可以选择不让用户直接连接到任何形式的可执行文件或插入javascript到论坛帖子或其他用户生成内容区。你要严密监督你网站的这些区域以防止可疑的链接或可执行文件。请参阅以上的第1.2节了解我们的关于链向恶意软件的信息。

5. 堵住安全漏洞以防黑客攻击以下是使你的网站更安全的一些基本步骤：

• 使用复杂的密码。
  
• 使用SSH和SFTP协议，而不是telnet或FTP。Telnet和FTP都被认为是不安全的，因为他们使用纯文本协议。他们传送的用户名和密码可以被任何接入网络的人读懂。SSH和SFTP都是加过密的以防止窃听。
  
• 利用漏洞审查扫描器（有免费的和商业的版本）来扫描你的网站的安全漏洞。使用安全更新管理工具，以查找被错过的补丁。一旦找到，要立即应用补丁程序。
  
• 跟踪你网站或者你的网站寄存商使用的软件的最新消息，永远运行最新版本，其中包括安全补丁。订阅，并定期阅读你的寄存服务商和软件提供商的任何通讯或警报。
  
• 确保你的寄存服务商保持所有软件的更新，包括安全补丁。如果它们不这么做，敦促他们这样做或转换到另一家能为客户的网站安全竭尽全力的网站寄存服务商。
  

当你的网站变得干净、安全后再重新上线，你可能想通知你的访问者你们所遇到的恶意软件问题，以及你解决问题的措施。如果一个用户因为访问了你的网站而已感染了恶意软件，让他们知道你的发现会帮助他们清理他们的计算机。讲述你的故事可以帮助其他管理员处理在自己网站上的类似情况。如果你想和其他站长分享你如何清洁你的网站的故事，或者想分享如何保持网站安全的小技巧，请访问我们的讨论组。

这一页是一个不断被更新的资源。如果你有进一步的问题或建议作为补充，请加入我们的讨论组分享你的想法。