WEB 2.5彌補WEB 2.0的不足

本文作者:admin       點擊: 2007-06-06 00:00
前言:
網路技術若被善加利用,能為人類帶來便利,而如果被有心人士加以使用,則可能會存在風險,如跨站描述語法攻擊(XSS, Cross Site Scripting),可以非法取得使用者的私人資料。未來這些潛在的風險還是有待來改善與補強。下面文章將以三種層面(資訊本體、網站經營者、安全性)來探討WEB 2.0的不足,並幫助IT產業由WEB 2.0繼續邁向WEB 2.5。

WEB 2.0這個名詞,相信大部人都已經聽過,但是也有一部分人不太瞭解,它其實還不算是一種標準,所以可能以後會有WEB 2.1、WEB 2.3、WEB 2.5或WEB 2.x的名詞出現也說不一定。隨著網通技術的突破,網路頻寬與存儲空間的成本下降,支持WEB 2.0的背後技術正在持續增加,也加速WEB 2.0應用的發展,改變了使用者瀏覽網際網路的行為。

在WEB2.0下,把人類比喻成電腦程序的程式碼似乎有點不妥當,但是WEB 2.0將使用者的行為由被動轉化為主動,以一個程式設計的觀點來看,所有的網路資訊依照分類轉化成為某個同類型的標籤類別,使用者也主動成為這個網路資訊產生器的物件裡一個高度智慧型加工方法,是個不爭的事實。某個幾個字眼如社會群體化,成本分攤化,入口網站個人化,新聞媒體知識分享化,這些不脫離一種網路中心思維─「社會人際關係的聯繫」。

網路技術若被善加利用,能為人類帶來便利,而如果被有心人士加以使用,則可能會存在風險,如跨站描述語法攻擊(XSS, Cross Site Scripting),可以非法取得使用者的私人資料。未來這些潛在的風險還是有待來改善與補強。下面文章將以三種層面(資訊本體、網站經營者、安全性)來探討WEB 2.0的不足,並幫助IT產業由WEB 2.0繼續邁向WEB 2.5。

WEB從哪裡來? 
在敘述WEB2.0之前先來複習一下什麼是WEB,為什麼要有WEB。WEB指的是在全球資訊網又名網際網路(World Wide Web or WWW)中扮演一個資訊提供者的角色,提供一個存放資訊的空間,並結合了當時HTML的技術,可以在WEB上面提供彩色的文字、圖片、聲音等等,取代電子佈告欄BBS及新聞群組NEWS,成為另一個使用者想要透過資訊交流地解決方案。由於其生動的資訊表達能力,使得大眾漸漸的接受了這個新科技,並爭相學習如何架一個WEB網站,在WEB上面提供個人資料,任其他使用者來點閱觀看。而參觀者也可以利用網站擁有者(簡稱站長或版主)提供的E-MAIL來與站長進行交流,由於使用E-MAIL雖然方便,但還是不及於BBS與NEWS即時回覆的便捷,所以這邊又衍生出另ㄧ項CGI技術(Common Gateway Interface),透過CGI的技術,可以使得一般的網站擁有留言板的功能,能使得站長與參觀者能透過留言板互動,此時WEB達到與BBS相同的目的。另外CGI的技術,不但可以產生留言板、網站計時器、點閱記錄器,也產生出另ㄧ種更快的訊息回覆機制與服務,令當時年輕人相當風靡與留戀的地方,那就是網路聊天室,與當時的網路尋呼機ICQ並列實現年輕人最Hito的熱門服務,網路聊天室造就了所謂「網友」取代了傳統的筆友,而ICQ以文字即時通訊取代了以往E-MAIL通信的模式,堪稱為是現在MSN或Yahoo Massage的老祖宗。 

WEB的商機與泡沫化 
在WEB1.0的時代裡,網站的點閱率,就好比電視台的收視率,而收視率高的時段,刊登廣告的金額就更多,因此許多廠商看中WWW裡面背後潛在的廣告商機,紛紛將大量的資金往WEB裡頭丟,一堆「.com」的網站呈爆炸性的成長,各家廠商無不想破腦筋的提供一堆文字、圖片集合而成的資訊刊登在自己的WEB網站上,其最終的目的就是增加自己網站的點閱率,這樣才有更多籌碼跟各家公司談廣告金的問題或是在自家的網站上賣自家的產品。事實上ㄧ堆資料變成資訊的過程,是要事先分析,歸類,盲目的增加資訊在網頁上所付出的成本(各種資訊的權利金、網站空間,伺服器服務的效能、網路頻寬升級等等問題),或是自己網站上的資料已經跟別的網站的資料重複,已經成為一個必須要解決的問題。許多「.com」公司因為無法再變出花樣來餵飽廣大的網路使用者,大部分網站因為創新力,資料整合能力不夠,資金也燒完了,紛紛的關站,造成當時網路泡沫化的危機。 

WEB 2.0出現,一言堂變異言堂
WEB 2.0最初是由O'Reilly提出,然而不只此一家公司在探討該名詞背後所代表的意義是什麼,WEB2.0ㄧ詞眾說紛紜,但其背後的意義不是一個技術的標準,而是代表著是cost down,也就是WEB經營成本,成本的降低代表著ㄧ家公司產品毛利率的提升,用比其它家「.com」公司還要低的成本去經營WEB網站,自然營收盈餘的機會是比較多的,而真正cost down的作法是捨棄以往網站經營的策略模式,不再是單單由服務商提供媒體資料供客戶瀏覽,而是轉而允許由客戶端主動提供資料並透過WEB網站分享給其他客戶,這種互動的形為模式,正巧為已經快找不到題材,付出的成本如流水的「.com」公司帶來ㄧ線生機。WEB 2.0所代表的是以全新的分享與參與的設計樣式來設計自己的WEB網站,透過這樣的網站設計架構,已經逐漸將網站成本(各種資訊的權利金、網站空間,伺服器服務的效能、網路頻寬升級等等問題)轉嫁給網路的使用者,而著重在資料互動的WEB 2.0網站設計架構,有幾個重點代表的應用服務如下: 
* 部落格Blog,由WEB服務供應商提供WEB空間與Blog資料分類的框架,而裡頭的Bolg資料由網路使用者自行發佈,這有點像是個人工作日誌、或日記,並透過RSS的機制,其他使用者也可以透過RSS來訂閱該Blog版主的最新日誌,並且回覆給該版主。(話說回來,RSS正是成就WEB 2.0的重要推手之一,用它不只可以訂閱文章,更可以用來訂閱該文章其他網友最新的回覆內容,訂閱留言板,訂閱新聞,訂閱最新最熱門的影片等等,網路使用者不必瀏覽特定的WEB網頁,就可以在自己的電腦中收到該網頁所發佈最新消息,這樣的組合能有效降低WEB服務廠商的頻寬,更能加快人與人之間交流的速度。) 

* 網路相本,由WEB服務供應商提供WEB空間與相片資料分類的框架,而裡頭的相片資料由網路使用者自行發佈,這樣子的服務結合Blog,可以說是時下最受年輕人最愛也最常使用的網路服務。 

* 網路字典,不再僅僅只是單方面的翻譯工作,而是類似百科全書那樣的介紹特定名詞背後的意思,但也不像百科全書那樣的一言堂,是可以接受眾多使用者去修改或編輯更正確的翻譯語言或加入更多特定名詞背後的意義。像這樣接受共同創作的行為模式,現在有一個代表性的名詞稱為「wiki」,這樣的一種WEB動態服務正式利用AJAX技術來完成(第二個推動WEB 2.0的技術)

* 網路地圖,使用者不再被迫等待整個地圖圖片下載所需要的漫長時間,利用AJAX技術,依照使用者選取改變的範圍,快速地放大、縮小或移動改變地圖位置,並精確的顯示其經緯度,此外,結合了旅遊圖片分享機制可以讓網友們在當地旅遊時所拍攝的景象,分享在地圖上,讓其他使用者搜尋到此地點時,能夠顯示當地實際的景觀。

WEB 2.0資訊盲從下的隱憂
WEB 2.0背後是一片龐大的知識資料庫,這是優點,也是缺點,優點在前面我們已經略知一二,另外可以改進的地方,我們可以從資訊本體、網站經營者、安全性等三個層面來探討:

1. 資訊本體:
過多重覆且良莠不齊的分散資訊─因為網友自由的創作與分享,產生龐大的知識資料庫,但是這裡面卻是過多的重覆,錯誤的資訊,資訊的濫用,也許隨便使用Google搜尋一下一個您感興趣的關鍵字,您就會了解什麼是「我文中有你,你文中有我」,配合圖1所示,到頭來每每搜尋到錯誤且重複的資訊時,是不是很浪費使用者的時間,亦或是企業網站的頻寬成本呢?


圖1:使用者與網站企業主與資訊本體的關係圖

一個網站的經營者要有能力替使用者分析與篩選使用者想要的資訊,這邊有個key point!那我們如何隨時得知使用者真正想要的是什麼呢?這裡有一個Idea,請參考圖2的使用者Profile決策機制,對使用者提供一個獨一無二的網路ID,而這個ID背後代表的是使用者提供自己的Profile(如大部分使用者每每碰到要填具網路表單資料,如興趣、學歷等等),但這裡並不需要使用者自行輸入,我們可以借由我國政府大力推廣的「自然人憑證IC卡」來更新自己的Profile,而經由政府認證過,且具有安全性的WEB 2.0網站可以即時的從資料庫中擷取個人的Profile,並依照Profile裡面的資料欄位,依照特定的演算法則,提供更準確的資料給使用者,如即時顯示的網路廣告框架,往後並不是每一位使用者看到的網路廣各內容都是同一份,它可以依照使用者專屬的Profile來決定該廣告的內容。如搜尋引擎所產生的大量搜尋結果,可以利用使用者以往的瀏覽過網頁的關鍵字與Profile的資料欄位,依照特定的演算法則,來預先為使用者過濾掉一些就不相關的內容。如每天的新聞等等,它可以依照使用者專屬的Profile排序各新聞種類與各標題的優先順序。如網路相片,它可以依照使用者專屬的Profile,並依照特定的演算法則與防止圖片重複的MD5演算法,來顯示使用者感興趣而訂閱的相片內容。如RSS/ATOM這方面的技術搭配使用者Profile,可以隨時過濾出使用者想要的回覆或資訊等。

2. 網站經營者:
挾著WEB 2.0的名義的網站大量的產生─這或許又回到WEB1.0那樣的狀況,許多WEB 2.0網站大量的增加,但卻沒有找到真正支撐網站生存下去的關鍵點,還再重拾以往賣廣告空間的獲利模式,如搜索引擎的廣告,網頁入口跑馬燈的廣告等,但這些廣告收益卻都是無濟於事。似乎網站經營者該是化被動為主動的時候。網頁點閱率不再是正比於收益,而忠心的使用者名單才是每個網站經營者最想要的,如何能取得龐大的使用者名單,而且使用者不會隨意跳巢並且乖乖的成為付費會員呢?利用現在Blog的技術為網路使用者提供了行事曆樣式的筆記本,如果說是日記形式的個人Portal也可以。既然是Portal,從這裡可以看得出來,一個個人Portal如果經營的很好,日記口味也符合時下網友們的喜好,則這個個人Portal將會是非常熱門的,網友們進出往來的頻率將是非常的高。這好比是一種以個人Portal為中心的族群,如果網站經營者注意到這一點,掌握個人Portal就可以掌握整個族群,這可以看作是灑網捕魚,而非亂槍打鳥的一種新方法。

網站經營者可以這樣做─以Blog為核心而開始擴充許多的加值功能吸引其他的網友來互相觀看與使用,例如其他使用者可以觀看這個Blog版主的朋友名單,或是成為他的朋友名單中的一人,其他使用者也可以觀看Blog版主的相簿,聽著版主提供的音樂,或使用RSS與ATOM訂閱版主的最新文章,與其他人的最新回覆,利用群眾感興趣的話題,而將群眾聚集起來,這就是一種「同儕心理、物以類聚法則」,另外其他使用者通常也會點閱熱門的Blog瀏覽,這時網站經營者就能獲取大量的使用者名單,以及其背後帶來的可觀利益。

在這個以網路群組為主的時代裡,身為一個網站經營者,如何能抓住這一群一群的小社群是當務之急的事。

3. 安全性
WEB 2.0其主要核心技術就是AJAX(Asynchronous JavaScript And XML),而主要應用就是Blog之類的網路社群應用。AJAX 是利用JavaScript和DOM來存取網頁資料並達到網頁與使用者的互動性,利用CSS來做為網頁外觀的呈現,而在Mozilla核心的使用者瀏覽器上是使用XMLHttpRequest物件來向伺服器服務做存取的動作,在以IE為核心的使用者瀏覽器上是使用ActiveXObject物件來向伺服器服務做存取的動作。就兩個物件的實作之的特性就是非同步功能,以往同步存取的時候,我們從網頁上下載資料必須要等候資料完全下載時才能流覽,此時使用者沒有辦法對網頁進行操作,在現在AJAX的非同步存取時,使用者不需要浪費額外的等候時間,就可以一邊下載一邊瀏覽網頁的其他功能了。隨著WEB 2.0服務的崛起,這時候JavaScript就會被大量應用,而有心人卻能利用JavaScript的XSS語法非法取得使用者的機密資料,但是這裡就會產生安全性的問題,需要網站經營者多加注意的地方,安全性如果沒有做好,可能會導致使用者流失,影響公司信譽。以下有幾種網路攻擊模式,是必須要被加以探討與防治。

* XSS方式,例如JavaScript較常被使用來製作陷阱,俗稱「釣魚」,這是一種自己的網頁上秘密的加入XSS語法,它會竊取瀏覽此網頁的使用者的資料,如登入網站的帳號、密碼等。為了解決這個問題,有一些軟體公司開發了自動化網頁語法檢測工具,幫助一些企業網站自動定時搜尋自家的WEB網頁是否有危險語法的存在,並加以處理。

* 字集編碼方式,利用網頁標籤使用非一般使用者能理解的字元編碼,並在網頁裡植入惡意連結,使用者不小心點去這些連結之後,將會被開啟後門,使得資料被洩漏與監控。

* SQL Injection方式,這是利用網頁上可以輸入資料的控制項,或是直接從網址列輸入資料,直接輸入SQL語法,執行查看與修改資料庫的資料。防治方法是檢查輸入資料欄位並過濾掉有資料庫的語法或字元。

結語
以上是現階段最常見的網路漏洞,也是駭客經常使用的手法之一,隨著JavaScript語法的推陳出新,危險語法的被利用與漏洞的被發覺也是持續的進行著,但有錯誤就修補,網路技術也就這樣的持續更新。未來WEB 2.5的到來可望能夠針對網路安全更加以嚴密的防護。

電子郵件:look@compotechasia.com

聯繫電話:886-2-27201789       分機請撥:11