硕鼠的博客站

eoe移动开发者大会下午，我参与了Android分论坛的活动。

第一位演讲的是金山网络的CTO——徐鸣。他演讲的主题是“什么是移动安全”。

作为新加盟金山网络的员工，这是我第一次比较完整的听到金山网络在移动安全方面的声音。

首先，徐鸣先提出了一个问题，那就是移动设备是不是安全的？那些骚扰电话和短信，是手机首先要解决的安全问题吗？传统PC上的那种感染型病毒，是移动设备上的主要安全问题吗？移动设备上到底存不存在安全问题呢？

答案是所有人心里都清楚的，移动安全问题已经非常严重了，已经危害到了移动互联网大环境的健康成长。移动设备上的安全问题，主要来自于智能手机的操作系统和应用，不再是感染型的病毒。

最早接触到病毒这个词，应该是在91年刚上大学的时候，那个时候对于病毒的定义是：没有文件名的程序。每一个程序，都要有一个名字，以方便其他人或应用能够找到它，运行它。病毒则没有文件名，没有名字。病毒将自己贴在其他有名字的程序里面，在其他程序运行的时候，顺带运行，然后再去感染其他程序，以达到传播的目的。

现在，移动设备，特别是手机已经和我们每一个人的生活息息相关了。手机里面存储的大量的隐私信息，我们用手机打电话、发短信、办理银行业务、购物、娱乐。

手机的安全问题要比PC更加严重。PC时代的安全问题，主要是一些程序高手为了显示个人的技术成就而做的一些恶作剧。手机时代的安全问题，背后是有经济利益推动的。现在常见的移动安全问题包括：偷跑用户的流量、影响用户的使用、盗窃用户的隐私，甚至是直接恶意扣费。

现在的手机App，特别是Android下的App，数量庞大、版本繁多、分发渠道混乱。用户很难作出选择，并对应用进行管理。这其中有些应用的质量实在是让人无法恭维，同一个应用，在市面上也流传着各种各样渠道修改过的版本，让人晕头转向。前几天在地铁里面看到几个中学生在玩儿神庙逃生，感觉不错于是就去几个大型的市场里面搜索，结果版本繁多，根本搞不清应该下载哪一个。

当前，手机安全案例曾出不穷。现阶段，手机等移动设备上的主要安全问题，集中在广告和隐私问题上。

徐鸣为大家列举了很多案例。


以上面这个应用为例，一个星座的应用，却需要获取手机号，并上传到网上。需要获取手机中安装的软件清单，并上传。这个软件使用了客户的1.84M流量。弹出了通知栏广告，却不告知用户这个广告是那个应用弹出的。

这些应用盗窃用户的隐私信息，下图是金山监控到的某软件的广告SDK调用的云端链接就是这个样子的：


有些广告会遮蔽应用的操作区，以增加用户误点击的概率，从而提高广告的点击率。



这款叫做水果对对碰的应用上居然挂接了35个不同厂商的广告插件。这应该就是那种被修改版本了，应用开发者很少有人会丧心病狂的往一个应用中加入这么多的广告插件。一些应用中所嵌套的广告，是应用开发商和广告平台正式签约，然后放进去的。为了得到更高的收益有些应用会选择同时签多个广告平台，最多也就是三四个的样子。但是这种一次性放进去几十个广告插件的应用，通常都是未经开发商允许的修改版本。这种被修改的版本上，会将应用开发厂商所添加的广告去掉，换上其他的一些广告。然后这些版本会在各个博客、贴吧、论坛中流传，有个别不正规的Market也会放这种版本的应用。这种行为在影响了用户体验的同时，也极大的伤害了开发商和广告平台的利益。

更有一些恶略的应用，会在应用里面向外发短信，然后再读取用户的短信列表，这些应用能够自动胁迫用户订阅一些收费服务。自动发出服务订阅的短信，自动的接收回复回来的短信，然后再发送确认短信。

很多支付平台现在使用手机作为移动支付的最后确认手段。淘宝和很多网银都会在网上交易的时候，向用户发带有随机数字的验证短信。一些应用可以自动获取这些验证码，然后再去实现一些不可告人的目的。

手机号码、手机的IMEI号、地理位置信息、手机上安装的软件列表、通讯录、通讯记录、短信记录这些都是隐私。现在到底有哪些应用在我们的手机中提取这些信息呢？这些信息被提取，并传输到云端之后，又被拿来做什么用途了呢？这个问题，光是想一想，就让人觉得不寒而栗。

徐鸣还介绍了几个手机安全漏洞方面的案例。

手机安全漏洞，属于那种由于开发者不慎，而存在于操作系统或应用中的安全隐患。这些漏洞如果被发现，并被某些心怀叵测的人所利用，就会造成非常严重的后果。

近些年来比较著名的Android漏洞包括：Root提权漏洞，也就是说一个应用程序能够通过某个漏洞使自己拥有管理员的权限；远程擦除漏洞，用户只要点击一个互联网链接，就可以将手机上的所有信息通通擦除。建行网银应用，则出现过钓鱼漏洞。这些漏洞都会在被发现之后，第一时间由相关的公司或部门修补掉。

金山在移动安全这一块提出的解决方法分为两个步骤：

1、发布手机毒霸产品，帮助用户远离那些恶意软件和带有恶意广告的软件。告知用户，哪些软件调用了用户的哪些隐私信息。手机毒霸能够做的，仅仅是告知，如果用户不喜欢那些恶意软件，可以自己去卸载。

2、提供云安全接口，允许所有的Market、网站、开发者自助使用，在他们相关的环节中，尽量降低用户的安全隐患。

最后，徐鸣提出了倡议：

行业的不规范行为，最终损害的是整个行业的利益。当年的SP行业，非常的红火，就是因为行业没有自律，最终被国家叫停。现在的移动互联网行业也是处在这样的一个阶段，要么进行行业自律，将安全问题始终控制在政府能够容忍的范围之内；要么，就这么愈演愈烈的混乱下去，直到有一天混乱程度超过了政府的忍耐限度，由政府出面来进行整顿。

安全，是为整个行业健康稳定的发展保驾护航的一个重要的领域。这个领域里面，如果是一个公司、一个部门或一个人来进行判定，那么很容易变成美国反恐战争那样的闹剧，他说谁不安全，谁就不安全，这是要不得的。安全的标准必须是公开透明的，所有行业的参与者和相关公司，都应该有权利对安全的标准提出意见和建议。大家也都应该有权利能够使用开放的安全工具，来保障自己的安全。

徐鸣的演讲结束之后，我又听了一两个人的演讲，没有等到会议结束，就提前退场了，去享受我所剩不多的周末欢乐时光。遗憾的是，遇到了帝都的周末大堵车，到家已经很晚了。据说现在帝都正在讨论，要在某些地区，某些时段再次启用单双号，这就是政府管制的结果，希望移动互联网不要因为安全问题而沦落到相同的地步。

10月14日的eoe移动开发者大会，是10月份众多开发者活动中的一个。由于10月份的天气比较舒适，很多开发者社区的年度线下活动都放在了这个时候。基本上每个周末都能够赶上两三场，甚至是四五场。

eoe android社区，也算是一个历史悠久的Android开发者社区了。他们每个月都会有一期线下活动，10月14日应该是他们组织的第一期年度峰会，集合各种平台的移动开发者，到一起来探讨移动互联网方面的一些技术相关的话题。

这个会在社区联盟移动开发者大会，和csdn、创新工场合办的移动开发者大会中间。在社区联盟的移动开发者大会上，eoe社区就是android分论坛的组办方。eoe在android开发这一块还是有一定影响力的。

我是上午到场的。做开发者关系，就是没有周末，没办法的事情。

会场上人很多，一些没有座位的程序员只能站在房间的边上。

到场的时候，这位来自微软的熊总正在介绍微软的移动开发者扶植计划。他说现场有一家公司，公司里唯一的一位女程序员就是做 winphone 开发的。这位女程序员为整个公司的程序员团队的稳定做出了巨大的贡献。全场以男性为主的程序员们都笑了。男女搭配干活不累，这是走到什么地方都立得住脚的真理。

微软之后，是一位投资的朋友上来分享移动社交的相关投资机会。

这位没有PPT的仁兄，一边讲，一边低头看手机。他拿了一只巨大的三星galaxy note手机上去，估计是把演讲提纲记录在手机上了。

他的演讲主题相对比较凌乱一些。主要是一些他投资时的选择标准和理念，真正的社交没有讲什么。他的一些观点，实在是不敢苟同。比如：他不愿意投资包子铺，所谓包子铺，就是那种可以快速盈利的小生意。今天投资，过几天就盈利了，这种项目他不感兴趣。他喜欢的是那种三年不盈利，然后一下就变成Google那样的项目。他还说，不要挡巨人的路，那些腾讯、360要去做的东西，那些苹果、google要去做的东西，就没有必要再做了，否则的话，必然会被巨人无情的踩在脚下的。其实，很少有人能够准确的判断巨人的脚步。包括那些巨人自己，也在不断寻找、调整着方向。Instagram算不算挡住了Twitter的路呢？围绕着巨人提供的平台来做项目，是现在这个阶段那些中小创业者很难避免的事情。如果一个项目做得好，用户量和收益都很好，导致了巨人的转向，并将其踩在了脚下，那么是责怪这个创业团队在选择方向的时候，犯了错误，还是责怪他们将项目做得太好，引起了巨人的注意呢？这个逻辑实在是太神奇了。这位投资人还叫嚣着，不要着眼于现在，要为未来两到三年做项目，这就是赌博，没有什么其他的。我刚刚离开了一个为未来五到十年做项目的地方，才干了不到三年就干不下去了。

不脚踏实地，不着眼现在，不做盈利模式清晰的事情，天天猜测巨人的下一步往哪个地方踩，这样的项目就是这位投资人所喜欢的。最后，他说不喜欢那些App和工具，前端做得很漂亮的应用没什么意思，核心技术肯定都是在后端服务器上的，如果一个项目没有核心的服务器端技术，他也是没有兴趣的。

后面上来的创新工厂的设计总监，上台的时候就有一些压力了。毕竟，前面刚下去了一个说前端和设计没什么意思的家伙。

设计师之后，是著名的吐槽专家来自丁香网的冯大辉上来吐槽应用市场上的一些让人不满意的地方。现场点名批评了微软，微软的market审核周期非常漫长，中间过程不透明，退回原因不清晰。并且号召大家不要去做winphone的应用。

微软的嘉宾就坐在台下，他觉得有必要解释一下，于是就站起来，说微软的退回政策是很清晰的，用四个标准来会衡量应用是否可以通过。

冯大辉很少在吐槽的时候遇到阻击的，他愤怒了。他说，当初微软将他的应用退回的时候，给他的回复是：你的应用没有通过，因为违反了微软的某一项政策，具体情况是“FALL”。而且一个审核周期就是两周，对于几天就更新迭代一个版本的移动互联网应用来说，实在是太漫长了。

最终微软的嘉宾认识到了在这个时候站起来是一件多么不明智的事情。最后只能表示，以后会改进的，然后坐下了。

这些大型企业，想要迎合现在这种移动互联网狂潮，还需要在自身的体系结构上，在运作机制上做出一定的调整啊。否则很难适应这种节奏。

冯大辉拖堂了，冯大辉后面是黑莓的周霖，这个家伙最近非常活跃，距离黑莓的BB10上市的时间已经越来越近了。黑莓在各种活动上露面的频度也在逐步的提升。每次活动都会分发黑莓的平板和黑莓的实验手机。据说全世界一共分发了6000台工程样机，中国分到了200台，我也说不清黑莓这是重视中国市场，还是不重视中国市场。

朋友的Blog在新浪，新浪对于所有不在上面开博的评论者都比较歧视，没法署名，所以只能将评论写回自己的Blog站了。朋友博客的原文请见：http://goo.gl/eZr1

移动互联网确实是未来的方向，我的观点和现在网上流行的很接近。
移动互联网，将是Web的杀手。
Web实际上是一个特定时期的产物，这种东西，可以非常完美的渲染各种内容，而且其间基本上不需要消耗那种很昂贵的叫做“程序员”的资源。甚至有一段时间，Web都搞得程序员们为生计而发愁。
经过多年的发展，Web也走上了当年程序员们的那条不归路，那就是需要越来越高的带宽，越拉越高的显示和渲染能力，甚至是需要越来越高的客户端计算处理能力。而且，Web也遇到了当年程序员们所遇到的那个问题，那就是兼容性的问题。Web当年其实就是为了解决兼容性问题而产生并发展起来的，现在随着Web表现和交互能力的提高，终于也遇到了兼容性问题。不说HTML5，只是JS就存在着严重的兼容性问题，css的情况要好得多，但是也不能做到在各种浏览器之间完全兼容。Web里面还有臭名昭著的ActiveX和各种浏览器插件。这些都是兼容性杀手，现在Web的兼容性问题，已经促使很多大的厂商纷纷发布自己的浏览器，以达到最佳的兼容自己公司的服务网页的目的。
现在是移动互联网时代了，由于移动设备本身的带宽、处理能力、显示能力的限制，那种为大显示器，和高带宽而设计的Web应用了。更不要说有很多移动设备还不是全时在线的，比如上面提到的Bambook的工作方式，就是在线同步，离线阅读。
新的移动互联网应用，大多就是起到原来那些Web应用的作用，只是用移动应用的方式重新包装一次，并不涉及复杂的服务器逻辑。所以开发移动互联网应用，并不比开发web页面复杂太多。同时，移动应用要比Web更容易得到用户的支付，这方面也更值得程序员们去付出精力。
总之，在不需要付出更多成本的情况下，可以在移动互联网平台上得到更加完美的用户体验，得到更多的收益，这就是现在的移动互联网应用，这就是Web的终结，至少在移动互联网设备上的终结。
最早没有Web，或Web的表现力不够，那时候使用应用来代替Web；后来有了Web，Web的表现力不断的增强，就开始用Web来代替应用，这不失为一种矫枉过正的行为。现在，在移动互联网时代，让应用去做应用的事情，让Web去做Web的事情吧。