第三方開發的軟體插件

有人會說，開心農場這麼好玩，為什麼會不開心呢？問題在哪呢？問題是在於每位愛玩 Facebook 小遊戲的朋友都是冒著「個人資料外洩」的風險在玩這些小遊戲的。前面說過，這些軟體插件其實都是由 Facebook 公司以外的第三方所開發的，為了讓這些「社群」遊戲好玩，Facebook 開放眾多個人資訊給這些軟體開發者存取，其中包括大頭貼、基本資料、學經歷、朋友清單等等，該有的都給人家了。

好奇心的驅使

就像簽書面同意書一樣，在 Facebook 中每玩一個新遊戲，Facebook 都會問使用者，「允許XXX存取代表你同意該程式取得你的個人檔案、相片、朋友以及其他相關所需資料嗎？」。雖然，我們都有權利說不，但是當朋友邀請你玩這些小遊戲，你又沒有任何管道可以預先了解這是什麼樣的遊戲，在好奇心的驅使下，相信大部分的人都會按下了「允許」的按鈕，於是就再一次讓自己的個人資料暴露在不安全的環境中。每個人都在偷菜，為了玩開心農場，新手的你，能說「不」嗎？

門戶大開的隱私設定預設值

面對這些可能侵犯隱私的遊戲，Facebook 自然得提供一堆隱私設定值，讓使用者可以把不想要透漏給第三方程式的內容關掉。但是如果你有仔細去設定話就會了解，近 20 項的設定裡面，有 15 項預設是開放的，包括大頭貼、基本資料、學經歷、朋友清單等等，該給了預設都給了，預設不開放的那幾項，相信你也沒有提供那種資料給 Facebook。

第三方程式並非在 Facebook 的伺服器運行

安插在 Facebook 上第三方軟體，看起來好像「Facebook 裡面」，讓一般人有種「玩來玩去，資料還是在 Facebook 管轄之下」的錯覺。然而，實情是「所有第三方程式都是在開發者自己的伺服器執行」，每當你玩這些小遊戲的時候，這些架設 Facebook 小遊戲的網站會連線到 Facebook「索取」你的資料。一旦資料交給第三方網站後，Facebook 完全無法保證資料不會被記錄、分析、販售，因為一切都在對方的伺服器中。

在現代複雜的社會裡，每個人從小到大，都會歷經過各式各樣的環境，結交不同的朋友，所以一個人擁有許多不同的社交圈並不是一件令人訝異的事情。當我們在某個圈子得罪了人，或是傳了誹聞，基本上，消息只會在那個圈子裡面跑。即使有的時候，消息偶爾會莫名其妙的回流到其他圈子，但是故事內容早已被翻版好幾次，主角也早就變成小王，甚至我們根本不會知道那就是我們的故事。但是，當社交網站出現以後，網路的力量可能會讓事情變了調…..

族群大融合，網路的世界沒有三等親屬

在現實的生活中，朋友有分親疏，人們很習慣在適當的場合說對的話，做對的事情。但是，在社交網站的朋友並沒有親疏之分，只有一只帳號與它的所有朋友。這些朋友在網路上的地位一律平等，大家能看到的公開資訊可以說幾乎是一樣多。當我們正用同學的口吻與一群大學同學交流的時候，別忘了，你正在社交網站上，而不是大學同學會。

你的朋友名單，正在洩漏你的社交生活

大部分的社群網站預設都會公開你的朋友名單，即使觀看者可能並不是你的朋友。這種預設值，相信基本上是為了提高社群交流的機會，但是我們是否曾經想過，任何一位不認識的朋友，只要註冊一個帳號（甚至不用註冊帳號）就可以了解這個人的交友圈，連帶好幾層的關係都可以被挖掘出來。只要裡面有位他知道或認識的人，有心人士就不難利用這項資訊，一步一步滲透進你的社交圈內。

雙向塗鴉牆，正是洩漏你的把柄的高度危險管道

想想在現實的生活中，誹聞的洩漏管道是什麼？最常見的就是口耳相傳，但是口耳相傳充其量只會在同一個圈子產生效應，擴散到其他社交圈的機會並不是那麼高。在 facebook 裡面的雙向塗鴉牆，可不這麼一回事，假使你的朋友在你的塗鴉牆上寫了一則關於你的誹聞，等於你 facebook 上所有的朋友都看的到這則誹聞消息。反之，假使有人在 plurk 上回應了你的「噗」，也等於你 plurk 上所有的朋友都看的到這則誹聞消息。對於公眾人物來說，他們害怕的管道就是「媒體」，因為只要媒體知道了，就等於所有不相干圈子的人都知道了。當社交網站竄紅的時候，諸如 facebook 的塗鴉牆，plurk 的 timeline，都將成為你的個人報紙，而每位朋友都有能力在你的個人報紙上刊載一句「頭條」。

偽裝成良民的惡意郵件

電子郵件已經是新時代居民最常使用的系統之一，樂於分享的人們三不五時就轉寄』好康』的資訊給朋友。不過，一般人可能沒有警覺到，有些披著羊皮的狼已經悄悄的借機流竄。這些惡意郵件非常了解人性，它們會假藉時下流行的話題，像是「新流感防護，你不可不知」來騙取使用者點擊郵件。或許，你會說，這些郵件看起來很正常阿，裡面的附件檔案打開後也看起來很正常阿。事實則不然，這些附加的檔案很多含有惡意程式，當使用者打開檔案後，惡意程式便會透過 PDF、Word 等軟體的程式漏洞（exploits）進駐電腦中，成為新居民。

潛伏於良心企業的網站

在這個宅男多於陽光男孩的時代，人人都會上網，上網除了收信、MSN 以外，剩下最常見的不就是瀏覽網站嗎？颱風來了要看氣象局的網站，沒事要看新聞網站關心國事，老闆交代的工作得上網看看企業網站，幫老婆大人買東西需要到購物網站。那這些網站安全嗎？他們平常有沒有「定期打掃，做好居家防護呢」？很幸運的，並沒有！看看資安之眼的網站淪陷資料庫 [1] 吧。很多網站設計不良，導致駭客可能透過跨站腳本攻擊（Cross-Site Scripting，XSS）、跨站請求偽造（Cross-Site Request Forgery，CSRF）、資料隱碼（SQL Injection）等方式，把放有惡意程式的連結（通常稱為惡意連結）植入網站之中，導致使用者在瀏覽網站的時候，在不知情的情況下大開門戶，歡迎新居民（就是這些惡意程式）的到來。

企業家們硬起來？

我們不難發現這兩項原因跟企業很有關係。不管是惡意郵件或是網站，惡意程式的傳播路徑都是從「駭客->郵件伺服器/企業網站->使用者」。特別是企業網站被植入惡意連結這種傳播路徑，把防毒責任放在用戶端身上實在是說不過去。面對縝密的組織行動，光是在最後一線防堵疫情是不合理的，企業有責任在第一線做好自家網路的把關責任，不是嗎？

[1] 資安之眼網站淪陷資料庫 : http://www.itis.tw/compromised

不合理的資料要求

當網站要求你填寫一些個人資料的時候，最好想想這是必要的嗎？一個普通的社交網站要求你填寫身分證號，這顯然不合理，一個社交網站有什麼理由需要這個。一個微網誌網站要求你填寫電話號碼，這也有點不合理，微網誌有提供語音發表服務嗎？一個部落格網站在註冊的時候要求你填寫 MSN 帳號，如果是必填選項，這也不太符合常理，不就只是寫寫文章，有這麼需要 MSN 嗎？

合理化資料填寫的拿捏

社交網站中，如 facebook，為了提高社群的交流，提供使用者填寫的資料，仔細到工作地點、高中學校都包含。說好聽一些，你可以透過這些資料，更容易結交認識的朋友。說嚴重一點，就是 facebook 了解你這個人的背景，連帶著覬覦 facebook 龐大的社群資料的駭客，也很了解你。

透過社交網站發信通知好友

為了廣徵使用族群，社交網站往往都會提供「發信推薦好友」的功能，而這些功能現在也都做得很強大。你只要填入 GMail、Yahoo! Mail、MSN 等等帳號及密碼，社交網站就會很樂意的幫你抓出裡面的通訊錄，挨家挨戶的發信通知他們。當你在使用這項功能的時候，你是否想過，你輕忽了什麼？帳號及「密碼」？是的，沒良心的黑心網站可以藉機偷你的帳號及密碼，然後再順便備份一下信箱的通訊錄，廣告信名單不就出來了嗎？

不經意洩漏個人資料給新認識的朋友

每當我們註冊一個帳號，往往都會被要求填寫姓名、性別、生日、電子郵件，等個人資料。像 BBS 這樣的系統，只提供有限的資訊開放，註冊時填寫的個人資料，一律都是不開放的。然而，像 facebook 這類型的社交網站，為了促成更多的互動，不只開放這些資訊，更擴大希望使用者能輸入過去畢業的學校、任職單位等。透過這些資訊的配對是 facebook 網站本身的一大賣點，但無形中也擴大資訊洩漏的程度。假使，今天我們在 facebook 上認識了一位新網友，很高興的把對方加入自己的好友中，卻忘記一旦成為朋友，他將可能知道你之前所填寫的所有個人資訊。加入這位好友，等同於就把姓名、電話、生日、電子郵件、MSN 等資料通通給了這位認識不深的朋友，而我們卻完全不自覺。

任何人都可能掌握你生活上的一舉一動

很多人玩 plurk、facebook，習慣在上頭昭告天下自己今天的心情，有什麼活動，例如「今天特別早起」、「明天下午要去國賓看電影，特種部隊：眼鏡蛇的崛起」、「今天又被老板唸，我不要再加班畫圖了啦」。有時候從這些零星的資訊，就可以推測出這個人的工作、生活習慣等，甚至有可能被當成詐騙利用的資訊來源。譬如，facebook 提供的塗鴉牆，當你在自己的牆上塗鴉的之後，當你的朋友 A 回覆留言，這些留言朋友 B 也會看得到，但是 A、B 兩個人其實並不是朋友，只是他們的共通朋友是你。諸如此類，這些元素的本意是希望擴大交流的管道，但是反之就變成洩密的管道。

不經意的出賣了親朋好友

很多朋友喜歡寫 blog，寫 blog 就像是屬於自己的一個發洩或分享空間。但是人們是群居的動物，很多生活的故事都會牽扯到周遭的人，如果平時沒有注意，把親朋好友的姓名等等寫了上去，這些故事與資料就會成為脈絡，讓不認識的陌生人得以從中推測出彼此的關係。

上傳頭像是好意也是風險

這些社群網站，幾乎沒有一個不提供上傳頭像的，雖然上傳頭像看似是一種基本好玩的功能，但是如果你真的老實的上傳自己的頭像，那就不怎麼好玩了。我觀察到，在一般的 web forum 中，大部分的使用者並不會上傳自己的相片當頭像，取而代之的是明星照片、KUSO 圖片等。然而，在 facebook 中，大部分的人卻都很老實的上傳了自己的照片當頭像，加上 facebook 的系統中，在顯示部分都是直接顯示個人的姓名，而沒有另外使用「暱稱」的機制。於是乎，危機就出現了。雖然我不認識路人甲，但是他是我朋友的朋友，透過 facebook 瀏覽個人檔案的時候，姓名跟頭像就一起出現了。你說危不危險呢？

可怕的人臉辨識功能

人臉辨識的技術已經夠成熟，facebook 與 Google Picasa 都推出了這樣的功能，但是它其實是個蠻邪惡的功能。雖然它可以快速的幫你依照人整理出照片，但是一旦我們很老實的幫這個人填寫上名子，特別還寫上了真實姓名。想想看，在那一瞬間，你是不是已經出賣了你朋友的頭像隱私？一旦這些網站把功能更加擴大，哪天，只要拿一張照片就可以從網路探聽到這個人的姓名，是不是蠻令人害怕的？

第一張圖是蘋果（Apple）與宏達電（HTC）這兩個手機大品牌在台灣地區，從 2004 到現在的搜尋趨勢。圖中很明顯可以看到，HTC 的搜尋量從 2007 六月的時候出現爆量的成長，原因無他，因為 HTC 當時推出了該公司的第一支觸控面板手機。自此之後，HTC 的搜尋次數不斷地成長，最近三個月，兩大品牌的搜尋次數差距已經來到了51/46，兩個品牌在台灣的熱門差距已經不大了（第二張圖）。究竟 HTC 有沒有可能超越 Apple 成為在台灣的第一大品牌呢？從 Google 提供的「市場數據」，我只能說，再來一個創造話題的殺手級產品吧！是什麼呢？會是 Android 嗎？

Google Insights for Search : http://www.google.com/insights/search

就這麼簡單？是的，就是這麼簡單！Omegle 大概是我介紹過的網站中，操作最為簡單的了吧。它的特色就是沒得選擇的「隨機」與完完全全的「陌生」。隨機挑選人配對聊天的概念，我得說，感覺蠻有趣的，但是比起「隨機」，我更感興趣的是「陌生」。怎麼說呢？一般的聊天室，或是社群網站的聊天工具，我們都會知道這個人叫甚麼？也許是暱稱，也許是帳號，不管是甚麼，總是有點「東西」。但是 Omegle 就不一樣了，它統一把對方稱為 Stranger（陌生人），也就是整個聊天過程，假使你不開口問，你永遠不知道怎麼稱呼對方，更何況是男是女，是高是矮了，Omegle 給你的是一個完完整整的 “陌生”。

這種陌生的感覺，與現實生活是類似的，而且有過之而無不及，因為我們「看不到」對方。這會降低人們想聊天的興趣嗎？我想不見得，在某些情形下，反而可能更引起人們的興趣。當雙方聊開了，從陌生轉為點頭之交，要怎麼繼續下去呢？Omegle 的 “隨機” 性迫使雙方不得在結束前做個選擇，「要不要繼續交往？」（哦，不，是聯絡），交換其他的連絡方式是讓友誼繼續下去唯一的方式，否則要在茫茫人海中遇見對方的機率，可能只有拍電影才有可能。說到這，如果能男配女，女配男的話，感覺可以來辦個我愛紅娘了。

Omegle : http://omegle.com

一個能夠安全使用的網站，就技術上的觀點來說，網站設計者是要負起一些責任的。這裡我們僅從 SSL 加密技術作為引子，讓各位了解，網站有好網站、壞網站，也有神經大條的網站。

對於一個擁有帳號系統的網站來說，帳號登入網頁是一個很重要的門戶，使用者會在這裡輸入他的帳號與密碼，顯見這個門戶的安全性是相當的重要。通常這些網站都會採取 SSL 加密，簡單一點說，當你在登入網址的開頭看到 https，就代表它會採取加密的手段來傳遞你的帳號資料。這點相當的重要，因為這些資料在從你的電腦傳送到該網站的伺服器前，會經過相當多的網段，簡單一點說，就是會經手很多你想都沒想過的人（設備）。不過，很不幸的是，取得 SSL 加密認證是需要付費的，對於許多小網站、小論壇來說，不見得會花錢去購買這些 SSL 加密認證，所以，很多平日我們喜歡逛的論壇、網站，其實都潛藏著安全風險。

就跟防範釣魚網站一樣，如果我們自身有注意的話，自然可以降低這些風險。第一重要的，或許也是大家最常聽到的，就是「不要隨意在公共電腦或是公眾網路使用網路服務」。我好像講得太嚴重了點，像是 GMail、Yahoo! Mail 這類網站，其實都有在帳號登入時採取 SSL 加密技術，所以在公眾網路上使用，安全性上應該還不構成問題。最令人擔心的當然還是那些沒有使用 SSL 技術的網站。因此，第二點我會建議各位採取帳號密碼分級制。從網路銀行、Web Mail、論壇、個人 Blog，分成不同的重要等級，使用不同的帳號或是密碼。當然，假使記憶力超強的話，很常聽到的建議是「密碼都不要重複」，如果實在不行，至少要把那些不具有 SSL 加密的網站區分開來，這樣即使不小心被盜取了，也不至於影響到其他你個人重要的網站帳號密碼囉。

Miife Blog 的讀者比例不如 MMDays

從圖中的例子，MMDays 的推文數約是 Miife Blog 的五倍。從 page view 部份來看，Miife Blog 每天約 20 個左右，五倍的話最多也不過 100 個 page views，但是顯然 MMDays 每天不可能只有 100 個人次到訪。從網站瀏覽的習慣來說，以 page view 做比較不是很合理，若改從 feed 訂閱數來看的話，Miife Blog 目前大約 100 個人訂閱，但是 MMDays 已經有兩三千人以上的訂閱數，顯然超過五倍太多。另外在從 funP 的我的最愛來看，Miife Blog 約十位朋友，MMDays 大約 400 位左右，兩者相差至少也有個三四十倍。就已知的這些不算是相當精準的數據來推定，假定 MMDays 的讀者們比較不喜歡推文顯然很不合理，因此對於推文數與既有讀者群是否有很大的關連，我認為程度上來說並不是很高。

funP 首頁的曝光機會

雖然每個網站都有首頁，但是我蠻好奇大部份的人有多少時間停留在首頁上。不管是哪個網站，免不了都會想辦法把最新、最熱門、最有趣…等 “之最” 放在首頁上，就像一家店面的玻璃櫥窗一樣，目的就是希望能夠吸引路過的人駐足一看，但是對於常客來說，櫥窗可能就不是他最注意的地方了，就像是網頁上固定位置的廣告一樣，當你每天都進 Yahoo! 首頁的時候，想必你的大腦已經很習慣的自動忽略那些廣告的存在。想要讓文章出現從首頁曝光上提升推文數，顯然不是一件很容易的事情，首先你要讓文章達到 funP 規定的 “三顆星”，其次就算擁有了三顆星的等級，要在短短的黃金十秒裡面，讓對的人（有興趣推文這篇文章的人）看到對的文章，可能就像買彩卷一樣，是有蠻高的隨機運氣成份存在的。所以，funP 首頁曝光機會對於同樣內容文章的推文數差異，我認為影響程度也不怎麼大。

funP 讀者的閱讀習慣

對於經常使用 funP 的使用者來說，我認為一定有他習慣性的閱讀方式，也許是習慣從首頁開始到處挖寶，也許是習慣閱度自己喜愛的 Blog，也許是習慣訂閱某類型的文章。我相信這些 “習慣性”，某種程度上來說已經限制住每個人看的見的東西，並不是其他的文章不存在，也不是故意忽略那些文章，我想大家都不是那口井底的蛙，而是 “習慣性” 讓我們總是只有看到這麼大的天。就像是當我們唸國中、國小的時候，生活中看到的盡是小學生，當我們開始唸高中的時候，卻在想那些小學生跑哪去了，怎麼都看不到？當我們開始上班工作的時候，就會覺得天底下都沒有學生了嗎？等到自己的小孩開始上小學的時候，忽然間，這些學生又全部跑回來了。其實有時候，可以特別注意一下推文的是哪些朋友，就會發現很多熟悉的名字，然後看看這些人的 funP 好友，也許又會看到很多熟悉的名字，於是可以下一個大膽的看法，我認為因為這些 “習慣性” 也導致我們每個人 “習慣性” 的推推 “生活” 中看的到的好文。因此，同樣內容的好文並不是大家不推，而只是這篇推文不會出現在他的習慣領域。

最後做個結語，就 funP “推文” 來說，我認為在 “推” 字的背後，最重要的並不是代表著這是一篇好文，而是代表著熱情推薦這篇 “文章”（不是用 “好文” 哦），熱情推薦可以有很多理由，寫的很好、值得閱讀、認同看法、喜愛這個 Blog 的文章、支持這個 Blog 的文章、自己人推啦！…等等，只要可以足夠驅動你登入 funP 去推它，很多都可以是理由。

從 Miife Blog 的 Google Analytics 流量統計上可以看到很多特別高的流量，通常那幾天發表的文章也在推推王獲得比較多的推薦，這些流量的來源多半是來自於推推王，但是隔天很快的流量就會快速下降。從這個現象開始思考，Digg 網站本來就是希望能夠把好文章不斷的從排名往上推，這些好文章能夠在一天之內快速被推廣的原因也在於越熱門的文章通常會出現在越顯眼的地方（像是 Digg 網站首頁），聽起來很不錯，但是為甚麼這些熱情沒有被延續下來呢？

使用 Digg 網站的人這麼多，每個人都有不同的喜好，不管是上網時間，感興趣的話題等等，如此統計下來的推薦或是閱讀流量肯定是有一定的極限值，或許我們可以假設 Digg 網站的推廣效益相當高，通常在一兩天之內就達到這個極限值。從這裡我們也可以清楚的看到一點，新興部落格若只是單純挑選一個 Digg 網站作推廣，很容易就侷限在這個網站的族群裡面，流量的大小變成與 Digg 網站有很大的直接的相關性，不過即使如此，目前我的感覺是 Digg 網站仍然是直接效益最高的推廣方式，只不過就如同我在「Digg – Digg 類型網站感覺上是大者恆大？」這篇文章裡提到的一樣，真正能夠有效益的 Digg 網站實際上卻又沒幾個。

既然 Digg 網站要維持夠多的使用族群，相對來說新進文章的內容肯定也有一定層級的數量，隨時隨地都不斷有新文章被發掘、被推薦，但是這也表示你的文章隨時都有可能被淹沒，這並不一定代表你的文章內容不吸引人，所以文章的推文數是有可能被低估的，推廣的效益是有可能被抑制的。所以當一篇好文章出現時有可能在第一天獲得很不錯的流量，但是第二天就因為有更新的好文章出現而導致流量快速的下降，甚至有些文章可能是因為發表的時機不對，或許在還沒被這篇文章的喜好者發現之前就已經淹沒在五十萬公尺深的海裡了。

因此我們會發現，即使 Digg 網站可以把好文章推廣出來，但是容易出頭的文章理論上會與網站使用族群中最多數共通的喜好為主，但是相信我們都同意一篇熱門的文章不代表每個人都會喜歡它，相反的一篇非常不熱門的文章也不代表它沒有價值沒有喜歡它的族群。因此一篇文章如果無法在有效的時間內被它的喜好者發掘出來，它就會越來越不容易找到屬於它的喜好族群，這種時效性通常是因為不斷的有新文章被張貼上來造成的，所以說水可載舟亦可覆舟，持續的新文章可以延續使用族群，卻也對部落格的發展產生了一些限制。

Miife Blog : http://blog.miife.com