博客首页|TW首页| 同事录|业界社区
2009-11-30

谷歌数字图书馆的风波在国内还没有平息,微软如今又联手新闻集团商议一项计划,微软打算向新闻集团付费,并以此换来独家的网站内容搜索,这也就意味着今后谷歌等搜索引擎无权在搜索新闻集团旗下报刊媒体网站的内容,而新闻集团旗下拥有多家报纸,包括美国的《华尔街日报》和英国的《太阳报》等。

除了新闻集团之外,微软也接洽了其他大型网络出版商,劝说他们把自己的网站从谷歌的搜索引擎中撤除。不过谷歌对微软的计划和报纸内容的重要性表现得不以为然,甚至表示,谷歌不以新闻内容为生。

不管谷歌是否以新闻内容为生,但是在这场出版界和微软的谈判合作中释放出来的信号就是,知识无论是印在纸面上还是呈现在互联网的虚拟世界中,都应该具有它所应该有的价值。在互联网时代,版权和知识产权不能够因为互联网传播的方式而变得不受尊重!

最近网上各大论坛热传少林寺方丈释永信在少林寺网站上撰写的“悔过书”,悔过书中释永信自称对少林寺的现状感到羞愧、痛悔,并表示不要在商业化这条不归路上越走越远,成为少林寺和佛教的罪人。事件的真相现在已经浮出水面,只是黑客攻击了少林寺网站,并篡改了主页所致。

释永信方丈在接受人民网的采访时,虽然表示了对黑客的谅解,不过他也说出了自己的无奈,这个无奈就是少林寺中的各位高僧虽然武功了得,但是网络防范的“功夫高手”却没有,因此在今年网站屡屡遭受到黑客的入侵。

少林寺的确需要用一个网络高手保护自己网络中的山门不被黑客袭扰,可是网络安全防范并不能够只依靠高手,更多的需要法律和警方的保护。犹如在现实中的少林寺中犯罪,也需要警方来帮助处理,而是少林寺的武功高手们将犯罪分子暴打一顿。

大雪封路,能源涨价,这些因素让快递公司最近苦不堪言,于是最近有传言说国内几大快递公司要封杀淘宝,要集体涨价。天气因素导致物流公司近期送货缓慢,可以理解。可通过封杀淘宝网能够解决什么问题呢?

在一则报道中,甚至有物流公司是这样理解的,他们认为自己的利润低是因为淘宝在议价方面有优惠,胁持众多消费者当做杀价资本。显然这家物流公司没有想明白,如果自己封杀淘宝不送货,淘宝网并不会因此遭到消费者的唾弃,反而是物流公司因为不重视消费者利益,最终会成为被指责的对象。

消费者并不是谁想胁持就可以胁持的,只有做到服务质量、价格等多方面因素让消费者满意,消费者才能够成为一个企业的资本。因为天气原因导致的配送成本上升也归罪在消费者或者商家身上,这些依靠网络购物发展起来的物流公司还不如去封杀中石油来的更加直接。

2009-11-25

Bussinessweek作家Carmine Gallo总结了五条乔布斯在介绍iPhone时的演讲技巧 ,希望对大家有所启发。

 

1.构造紧张情绪

 

一个成熟的作家从来都不会在书的开篇便把所有的情节全部铺展在读者面前,而是慢慢构建整个故事情节。乔布斯即如此,一开始就用“Apple公司最具革命性的产品”之类的词来开吸引读者,“不经意间这世界上就可能会出现革命性的产品或创意,而Apple则荣幸的作为先行者”,从“1984年 Macintosh 的推出改变了整个计算机行业”,到2001年iPod的问世“同样也改变了整个音乐行业”,诸如此类。

 

在做完这些基础铺垫后,乔布斯要开始构建iphone在观众心中的形象了,在这里他和大家开了一个小小的玩笑,“今天,我们要介绍三个具有革命性的产品。第一个是带触摸屏的ipod,第二个是个移动手机,第三个是个互联网通信装置。”在反复对这三个产品进行多次评论后他才开始展露真正的图,“你们懂了么?我要介绍的不是这3个产品,而是结合了这三种技术的一个产品,Apple将要进行手机革命了!”,接着观众开始为这个设计癫狂了。

 

乔布斯的演说就像一部交响乐,有高低起伏,让人激情澎湃。为你的演说设计一些意想不到的情节吧。

 

2. 每个幻灯片只放一个主题

 

一位聪慧的设计者曾告诉我,有效的演讲幻灯片每张里面只能有一个信息,一个要点。当乔布斯在演讲中介绍那三个具有革命意义的产品时,他并没有在一个幻灯片上同时展示这三个产品,而是一张一个产品分别介绍的,每张幻灯片上只有一个相关图片而已。

 

乔布斯注重图像效应,他的演讲里面的幻灯片没有一张仅仅只是一个观点或者一组数据而已。换句话说,图片就是全部。简单的幻灯片可以保持观众对于讲演者的注意力 ,因为幻灯片上过多的文字会使观众分心。

看来把你的演讲幻灯片设计得更图像化吧,而且要注意每张只能有一个主题。

 

3. 发声技巧

 

乔布斯在制造观众情绪高潮方面不仅仅有巧妙的情节设置,还有他语音语调的起伏变化。当他介绍Apple过去的成绩时始终保持着慢速低音,让人有种可敬的感觉,直到他说“今天Apple准备进行手机革命了!”。所以在适当的时候改变语速和语调来吸引你的观众。

 

4. 平日训练

 

乔布斯以在产品发布会前花大量时间彩排著称。我知道不少有名的高管演讲前都不怎么准备,这是看得出来的。我总觉得,商业领袖花大把美元请人设计发布会,却几乎不花一点时间彩排,这实在是不可思议。

 

5. 态度诚恳并表现你的激情

 

如果你认为你独特的产品或服务可以改变这个世界,那么就告诉大家吧。要对你要表达的内容充满激情。在介绍iPhone时,乔布斯用了许多形容词如“不平凡的”“革命性的”“酷的”来形容它。他开玩笑地说这个具有触摸功能的手机将“带给你魔法般的感觉”并且已经申请了专利。

 

我想作为讲演者也抱有这样的疑虑,就是过度夸大将要推出的产品可能会带来一些不好的影响,从而他们的演讲变得有些乏味。记住,如果你对这个产品或服务有信心,就应该让你的听众知道。放松自己,相信自己的感觉,并且表达出你的激情!

       最近输入法是绝对的新闻主角,搜狗和腾讯打得不可开交,另外一个老牌的输入法——郑码,也在状告微软的官司中取得了胜利。郑码输入法的开发公司中易公司认为,从1998年微软支付过一次郑码使用费之后,没有支付后续费用,因此微软此后在Windows操作系统中默认安装郑码和其字库等内容属于侵权行为。

       最终法院要求微软中国停止销售包括上述侵权相关字体产品,包括Windows 98第二版、Windows 2000中文专业版、Windows XP中文家庭版及XP中文专业版等产品。在这场官司中,郑码虽然取得了胜利,但是从郑码输入法推广和宣传的角度而言,却是彻头彻尾的失败。

       长久以来,郑码一直作为Windows操作系统默认安装的输入法被许多用户所认知,但是由于缺乏五笔字型一样的用户基础,又缺乏相关教程,导致郑码一直乏人问津。即便在Windows升级到XP的时代,微软拼音多次升级优化之后,郑码的改动也非常缓慢,这让郑码成为了距离用户最近,但是有让人感觉最陌生的输入法。

       如今国内的输入法战争已经焦灼到动用法律武器的程度,各家的输入法如今都想破了脑袋要挤进用户的计算机中,郑码此次和微软对簿公堂,或许能够换来些许的经济补偿,但是这种专利门槛无疑也给今后郑码推广笼盖上了阴影。而对于这种技巧性的输入法,如果没有了群众基础,即便再优秀又能够如何呢?中国古代以前也有许多精妙的独门绝技,但是最终因为传承问题导致技艺的消失,而郑码也在走向成为记忆的道路上。

2009-11-24

在操作系统的大战中,Linux一直被视为“自由”的战士,和唯一能够挑战Windows霸主地位的操作系统。也正是由于这个原因,许多自由软件团体经常游说政府或者教育机构,这些对成本十分敏感的部门在自己的电脑中预装免费的Linux。

去年俄罗斯政府就曾雄心勃勃的表示要将全国的教育系统变成Linux的天下,可时隔一年,这项计划可能随时面临夭折。夭折的原因除了推动该项目的资金削减之外,更重要的原因在于,许多学校认为培训师生使用Linux的成本也非常高昂。而此时微软又趁虚而入,在俄罗斯推出了校园版的低价Windows版本,免费不宜用的Linux自然遭到了冷遇。

半途而废的推广计划肯定会让许多自由软件组织痛心疾首,不过他们并不用担心,多年来免费的Linux在许多国家、机构组织推广的时候总会有市场,因为微软和Windows在部分组织的潜意识中是永远的“敌人”,Google也推出了基于Linux的Chrome操作系统,胜利或许有一天真的属于Linux也不一定。

可对于Linux与Windows的战争,最令广大用户伤感的并不是Linux又一次失败,而是这种依靠政府强力扭转用户习惯最终导致的失败,即浪费了大量的金钱、时间,也让许多用户在反反复复迁移平台过程中痛苦不堪。自由软件组织最好应该也清醒认识到,多数用户并不在意他们使用的操作系统是这个世界上最富有的人开发,他们更加在意的是系统好不好用,如果不易用,口号、理想和政策都无法改变这一切,无论是Linux还是Vista。

      在操作系统的大战中,Linux一直被视为“自由”的战士,是唯一能够挑战Windows霸主地位的操作系统。也正是由于这个原因,许多自由软件团体经常游说政府或者教育机构,希望这些对成本十分敏感的部门在自己的电脑中预装免费的Linux。

      去年俄罗斯政府就曾雄心勃勃的表示要将全国的教育系统变成Linux的天下,可时隔一年,这项计划可能随时面临夭折。夭折的原因除了推动该项目的资金削减之外,更重要的原因在于,许多学校认为培训师生使用Linux的成本也非常高昂。而此时微软又趁虚而入,在俄罗斯推出了校园版的低价Windows版本,免费不好用的Linux自然遭到了冷遇。

       半途而废的推广计划让许多自由软件组织痛心疾首,不过他们并不用担心,多年来免费的Linux在许多国家、机构组织推广的时候总会有市场,因为微软和Windows在部分组织的潜意识中是永远的“敌人”,微软在许多国家和组织机构中几乎等同于“霸权”和“垄断”的同义词。

       这几天Google也推出了基于Linux的Chrome操作系统,胜利或许有一天真的属于Linux也不一定。可对于Linux与Windows的战争,最令广大用户伤感的并不是Linux又一次失败,而是这种依靠政府强力扭转用户习惯最终导致的失败,即浪费了大量的金钱、时间,也让许多用户在反反复复迁移平台过程中痛苦不堪。自由软件组织最好应该也清醒认识到,多数用户并不在意他们使用的操作系统是这个世界上最富有的人开发,他们更加在意的是系统好不好用,如果不易用,口号、理想和政策都无法改变这一切,无论是Linux还是Vista。

2009-11-23

一个成功的产品就像一个人的成长过程一样,会经历孕育、婴儿、少年、青年、成年、老年等几个不同的阶段,而产品经理就像无数操心的父母一样,在不同阶段要有不同的心态和处理方式,以帮助产品茁壮成长。

 

 

文/Eric Sink 译/顾全

 

 

在我贴出的一篇博客中,有这么一段:

最后说点完全不相干的事,别错过了6月3号微软技术大会上的即兴演奏会。我们几个SourceGear来的小跟班儿打算上台表演一曲Pinball Wizard。我弹原声吉他,我们的开发经理Jeremy Sheeley 弹贝司,而我们的产品经理Paul Roub弹EvilMastermind Schecter PT。

话说回头,那篇博客的第一个读者评论写道:

3个经理。哇。你们公司肯定还在增长,要么就比较大。

发表评论的仁兄很可能是用“经理”一词来指代“管人的人”。如果是这样,那是没错,我们公司的经理不止3 个,但是演奏Pinball Wizard 的3个并不都符合这一名号:

  • Jeremy Sheeley的确是个经理。他管理着Vault 和Fortress 开发部门。
  • 严格说来,我觉得我是经理。但是认识我的人会说,把我当成经理实在太抬举我了。
  • 但是Paul Roub是“产品经理”。在SourceGear(还有我所知道的大多数其他公司)这里,产品经理并不[必然]管理他人。

 

因此,当我看到那个评论时,我告诉自己应该写篇有关产品经理角色的文章,也就是本文。

 

 

产品经理是什么?

简而言之,产品经理是市场营销人员,他们关注于战略和产品特征之类的东西。

人们一想到市场营销,念头就跑到标识、图形设计和广告等事情上去了。这些是市场营销中的沟通传播一面而已,也就是所谓的“营销传播”(marcomm)。

市场营销的其他方面是那些更关注产品本身的东西:

  • 市场定位
  • 产品差异
  • 功能特性
  • 竞争状况
  • 市场研究

 

这些活动都是产品经理的领域。

我仍然记得自己当初学到这些区别的时刻。那时候我在Spyglass工作,一位同事问我:“我们为什么没有产品营销的人员?”

我说:“你是什么意思?我们有营销人员啊。Marc 和他那组人刚花了六个月来确定我们的徽标上该用哪种标准色卡红。这就是市场营销,对吗?”

我一窍不通的说法之后引起的探讨,让人很有启发。

 

 

管产品还是管人

“经理”一词令人迷惑。像刚才提到的,产品经理不一定管人。 为了要凸显产品管理和人员管理之间的区别,我打算先简明扼要地讲解一下软件公司里管理人员的问题。

对软件公司人员管理的简要讲解

别把他们当孩子。

这就完了?

对滴,就是这样。别把他们当孩子。如果你遵循这一规则及其引申,你就会成为能干的经理,并让你在软件业界的经理中百里挑一。软件从业者都是成年人了,他们不该被当成孩子一般对待。

 

 

而另一方面……

软件产品跟你的同事不一样,它们应该特别被像孩子一般地对待。它们叛逆任性,需要有严格的界限和大量的引导。 像孩子一样,产品也需要经历各个阶段。Joel Spolsky说:“做优秀软件,十年磨一剑”。这些十年并不都相同。

软件产品的成长历程有六个不同阶段,而期间的进展过渡,非常类似养育子女的过程。

  • 每个阶段都需要不同方式。
  • 有一个逐步从“严控”到“放手”的过程。

 

 

第一阶段:准备

在养育子女时,第一阶段是受孕怀胎。而在软件业里,这一阶段涵盖了第一次产品发布前的所有时间,其中心思想是“准备”。这一阶段中,你找到一个产品创意,梦想它长成以后的样子。

产品经理在第一阶段容易犯跟新爸爸一样的错误:他认为既然妈妈(开发团队)正怀着孩子(撰写代码),他就什么都不用干,而所有要做的,就是等着孩子大到能去打酱油了,是这样吗?

 

准备

作为产品经理,第一阶段可能是

你最重要的一步。如果想要产品成功,你有许多准备工作要做。

  • 你需要找准产品定位。
  • 你需要明确定义产品差异。
  • 你也需要弄清楚这两点如何体现在产品的其他方方面面。

 

这富于挑战,而你必须现在就做,以后就太晚了。

 

失败案例

有谁还记得苹果Pinpin吗?

当我在大会上讲演时,经常被介绍说:“他在Spyglass领导的团队,开发了后来许可给微软成为IE的浏览器”。这是真的,但是却不是真相的全部。

有大概120 家不同公司获得Spyglass 的授权,发布了全部或部分基于我们浏览器代码的产品。除了一个产品,其他全部玉石俱焚。所以也可以同样准确地(尽管是很不客气地)介绍我是“本星球上与失败浏览器产品的关联最多的人”。

其中一个产品是苹果Pippin(虽然我迫不及待地要说,我的代码不是Pinpin失败的原因)。

Pinpin是产品营销的灾难式范例。它败就败在有人在第一阶段的活儿极其糟糕。该产品的定位从来就不清晰。

  • 它是个游戏机吗?
  • 它是个计算机吗?
  • 它是个机顶盒吗?

 

对上述问题的回答都是肯定的。

Pinpin 努力要适合每个分类,结果却成了四不像。可以预见,Pinpin 的主要差异化特点就是在每个产品分类都表现差劲。对,它是个游戏机,但是贵得离谱,而且与市面上100%的流行游戏都不兼容。对,它也是个计算机,但是运行缓慢,马力不足。

 

 

第二阶段:照顾

在养育子女时,第二阶段是出生和婴儿期。而在软件业里,这一阶段涵盖了1.0版发布和之后的时间,其中心思想是“照顾”。这一阶段中,你耐过产品出世的最后痛苦。

产品经理在新产品初次发布中扮演着非常重要的角色。生育的痛苦由开发团队承受,但产品经理要对启动负责。信息发布准确是十分重要的。1.0版的发布、正如新婴儿的降生:非常非常多的痛苦,接着是稍纵即逝的纯粹幸福感,然后再有好一阵子无休无眠。

大多数B2B软件产品的1.0版本发布,更像是个开始,而不是结束。

 

照顾

婴儿出生后,照顾的责任压倒了父母。新生命是个完全的依赖者,自己什么都做不了。要是他想凌晨3点吃东西,那也是不得不照做的事。

很多1.0版产品也有相似的需要。用户需要技术支持,有时候非常紧急,时间也非常不凑巧,也是不得不照做的事。

像母乳喂养的妈妈的丈夫那样,产品经理可能不用对所有这些需提供的照顾承担基本责任,但他可以参与其中,这会让他和产品都从这一选择中获益。 在第二阶段,产品经理和新爸爸们通常也分享另一个相通的任务:反省。我所认识的每个爸爸都曾经怀抱着他的婴儿,思忖自己是否真的准备好了承担这份责任。

对于准备程度,产品经理在第二阶段需要自问:

  • 产品定位准确吗?
  • 产品差异化足够吗?
  • 信息发布清晰吗?

 

第二阶段不是开始去做第一阶段本该完成工作的时候,却是复查的时机。做出改变,这时还不晚。

 

失败案例

大约十年前,我们公司上市了名叫SourceSurf 的1.0 版产品。它是一个基于网络的应用程序,用于浏览源代码库。如果你能穿越时空回到过去, 问问SourceSurf 它长大以后想成为什么,它会洞彻未来地说:“我想成为像Atlassian FishEye 那样的软件”。但是SourceSurf 没机会长大成人了,1.0版是它第一个也是最后一个主要发布。我们本该做的,是微调我们的策略并继续进行下去,然而当时我们看了看初步结果,决定就此放弃。SourceSurf 1.0做得不好,但是产品概念还是不错的。我们只是没能作出该产品成功所需的细微方向调整。

 

 

第三阶段:倾听

在养育子女时,第三阶段是所谓的“可怕的两岁”(有父母都知道,这一时期实际持续到孩子几乎四岁的时候)。而在软件业里,这一阶段通常涵盖2.0版发布周期。其中心思想是“倾听”。

这是反抗叛逆的时期,产品开始展示自己的意志。

我的大女儿在这一阶段时,有天我们叫她去吃晚饭。她悠哉游哉地爬上桌,瞟了眼我们准备的食物,吃惊地倒抽一口气说:“除了黄油,这儿没我爱吃的!”

这几年里显然孩子们需要被管教,但他们也需要被倾听。这是“童言无忌”的阶段,有些话很可爱,而有些则令人烦恼尴尬。不论如何,这一过程是成长的重要阶段。父母需要提供管教,但又不能挫伤小孩的情绪。这经常代表要去倾听孩子所说的各种奇谈怪论。

 

倾听

产品经理也需要在第三阶段花时间倾听。客户要求很多东西,需要听到这些反馈并将其整合进产品的下一次发布。在产品进入主流之前,仍有时间微调策略。

 

失败案例

第三阶段是产品失败的最普遍时期。有非常多的例子。几乎任何没跨过鸿沟而死在坑底的产品都是失败于第三阶段。我最爱用的两个例子是BeOS和Wingz。

BeOS是90 年代后期发布的新操作系统。技术上说,BeOS很酷,但是它掉进了坑里,因为在鸿沟另一头没有找到商机。

Wingz是80年代后期发布的电子表格软件。Wingz 具备Excel 直到今天尚没有的功能。但是要生存,它需要在一小群用户中流行并从此传播开来。我非常喜欢Wingz,但我认为大部分人都觉得它太古怪。

我经常在想,如果这些产品更愿意倾听最早期用户的反馈,并作出方向调整,那么他们或许会成功。这可能意味着,让这些产品变成他们的父母不曾梦想过的东西。

 

离题: 望鸿沟对面

自从我受雇于一家版本控制软件厂商, 现在对我来说最有意思的鸿沟情形是分步式版本控制系统。这一分类下的显著例子包括诸如Git、Mercurial和Bazaar等开源工具。今天,这些产品尚未成为主流。它们在某些社区内名声很响,但是从事软件开发的大批公司仍在使用集中式工具。

DVCS工具是否能跨过鸿沟呢?

 

 

第四阶段:对话

在养育子女时,第四阶段是从小学到青春期的时间。而在软件业里,这一阶段通常涵盖3.0版本,也就是产品可以被当作主流的首个发布。其中心思想是“对话”。

在这一阶段,父母经常对他们的孩子能做到的事情表现出惊诧:“小Bobby 真棒!七年前我们生了这个孩子,现在我能和他真正交流了!”第四阶段来到了,父母突然发现他们的婴儿俨然成了个小大人。

相似的,软件产品在第四阶段已经达到了大部分人都能使用的程度。它们是主流了。先前的发布只在早期试用者和有耐性的人中间流行,但3.0发布已经足够精致到成为大半个目标市场的有效解决方案。

第四阶段时,产品和孩子对竞争的关注,发展到了不健康的程度。当孩子进了学校,他们开始了解,可以将快乐建立在他人痛苦之上。他们需要花费很多年才能摆脱这一影响,学到精神健康和个人安宁是来自于后天教化的选择:不必过虑于他人,而是照管好自己。

类似的,第四阶段的产品可能不该那么过分关注竞争,如果此时还没有获得很好的差异化,也就不再可能得到了。照管好你自己的客户吧。

 

对话

对父母和产品经理而言,第四阶段最重要的是对话。

这是孩子需要信息的阶段,也是你要说任何事情他们都还愿意听从的最后阶段:父母需要与孩子讨论未来的风险。告诉他们诸如抽烟、性和吸毒以及成为芝加哥小熊队的粉丝等糟糕决定会带来的烦恼和后果。

类似的,第四阶段中产品经理的主要工作是提供信息。你的产品已经是主流了。人们想要它。但是为了让他们意识到他们的需要,你需要为潜在客户提供大量信息。你需要白皮书。你需要演示视频。你需要产品附加文档。诸如此类。

 

失败案例

作为第四阶段进展不佳的例子,我会引用我自己公司的旗舰产品,SourceGear Vault。Vault很受欢迎,也是我们公司的成功产品。但是要说到提供一个主流产品所需的各种信息,我们就搞砸了。就在Vault 3.0发布前后,这一产品开始通过“口口相传”获得大量关注。人们会到我们的网站获取产品信息,但是我们能提供的太贫乏了。

值得称道的是,我们意识到了失误,采取措施补救。我们招聘了一个产品经理专门处理此事。但我们仍然起步晚了,所以就算到了现在,Vault仍在追赶进度。

 

 

第五阶段:平衡

在养育子女时,第五阶段是青少年期,从青春期到高中的时间。而在软件业里,这一阶段通常涵盖3.0版之后的发布。其中心思想是“平衡”。在这一阶段,孩子不再想让你们叫他孩子了。这是通向成年的转变时期,充满了反叛。没有什么阶段比第五阶段更难熬了。每个父母都希望孩子最终独立,但很少能意识到这一历程将如何痛苦。青少年期与可怕的两岁期非常相似。

当孩子不能为所欲为时,他的愤怒可能十分暴烈。但是,他不是满地打滚、又踢又叫,而是大喊“我讨厌你!”,再摔上卧室的门。

 

平衡

但正像可怕的两岁期那样,这一阶段也是成长的关键时期。父母必须要达到两全其美的平衡。这时开始要少一点操纵,让少年对自己的生活多一些控制。

第五阶段里,孩子和产品把大量时间花在讨要他们所不需要的东西上:

  • 可是爸爸,地球上哪个十几岁的孩子没有无限手机短信套餐呀!
  • 可是妈妈,我怎么能再穿同一条裙子啊!我得买条新的!
  • 可是爸爸,所有其他字处理软件都有语法检查器了!

 

作为第五阶段中的产品经理,你需要给产品一些自由。是时候为客户提供一些你多年来抵制的功能了。即使你觉得那功能不是个好主意,只要它不会毁掉产品,你就应当严肃考虑去做到这一点。

但是你仍旧需要划出些界限:

  • 父母一定要开始让孩子成为他们想变成的样子,但是别让他们把自己的生活给毁了。设定足够界限,以保证他们安全完成成年的过程,避免一失足成千古恨。
  • 相同的,软件产品在第五阶段发运一个糟糕的版本,也一样可以毁掉自己。产品经理需要成为质量捍卫者。版本3.0如何棒是毫无意义的,如果4.0缺陷多而不可靠,产品的名声可能就永远没法完全恢复了。

 

 

失败案例

低质产品毁掉自己的最佳例子就是微软的Visual SourceSafe。时至今日,几乎所有关于版本管理软件的笑话里,SourceSafe 还是点睛之笔。它被广泛鄙视,大家通常都认为它不可靠。微软买下SourceSafe 之前,它还是个受到景仰的杰出产品。这一产品没有成为最广泛使用的专利版本控制软件,实在是没有天理。SourceSafe重新定义了软件行业,比任何后来者提供的易用性都要多。但是在微软的养育之下,SourceSafe 毁掉了自己。5.0 和6.0 都是灾难性的。我敢打赌SourceSafe 是史上最受用户鄙视的赚钱软件。我们公司从全世界对SourceSafe 的不满中赚得盆满钵满。讽刺的是,最新版SourceSafe可能不该遭受这么多贬损。我还没用过SourceSafe 2005,但我了解它其实没那么差。他们修复了大量的问题。但是,这一产品已经成了大家都乐意去讨厌的东西,这就为时已晚了。世界已经不可能再信任SourceSafe。

 

 

第六阶段:放手

在养育子女时,第六阶段是成年期。而在软件业里,这一阶段涵盖产品成熟的时段。其中心思想是“放手”。这时你作为父母的工作基本结束了。从此往后,孩子的任何错误都是他们自己的问题,你不得不放手了。

同样的,产品步入成熟期后,产品经理也没有太多可做的了。

对父母和产品经理而言,这都是庆祝的时刻,一个长久而时时遇到困难的历程成功结束了。

 

放手

父母和产品经理经常会觉得很难放手,但是这么做很重要。你是个产品经理,你的工作是帮助定义和塑造产品的特征。当孩子“长大成人”,你就不要再帮他寻找他要成为什么样子,他已经成形了。

让营销传播、销售和支持部门就此接手一切吧。

 

经典失败案例

产品经理不愿放手的两个最明显例子是微软Windows 和微软Office。

这些产品都完成了,完成都好多年了。不幸的是,微软在很大程度上没能找到下一个产品。所以,由于微软没什么好做的,他们不断地向我们兜售我们不需要的新版本,杜撰各种理由强迫我们购买。

自然有些人会埋怨我所说的,史上营收最高的两大产品怎么成了失败案例。我没有这么说。我要说的是,这两个产品在第一到第五阶段都惊人地成功,但这无法改变事实,他们第六阶段的实施实在糟糕。

 

 

结语

产品经理与父母都各自承受着大量各不相同的观点的压力。你那里的书店对每一主题各自矛盾的书籍也是汗牛充栋。

本文包含了我对于养育子女和产品营销的大量观点。有些读者可能同意我,而另一些认为我错了。

问题在于,对于养育子女和产品营销,人人都知道怎么做,却没人真正知道怎么做。你四处阅读,然后尽力做好。而在养育子女时,做到最好应该就够了。

这是产品管理与养育子女完全不同的一点:绝大多数父母都是成功的。

很少有完全失败的父母。我们焦虑失眠,可最后事情大都会解决。如果你爱你的孩子,并做出最佳的努力,他们很可能成长得挺好。

相反的是,大多数产品都失败了。市场营销是个光靠努力和“全力以赴”并不一定足够的领域。

Pinpin 的失败不是因为没有产品经理——它失败于产品经理是个傻瓜。

微软没在Windows Vista 上对我们快马加鞭地驱赶,因为他们不在乎找到新产品。微软企图找到下个产品,他们非常地努力。他们搭上了最聪明的人迎接这个挑战。他们花费成百上

千万的美元来寻找,但是从未找到。

而Google找到了。

 

 

 

 

 

 (本文来自《程序员》杂志0911期)

2009-11-17

本期主角:TOM音街

问题所在:各种漏洞、后门链接

主要危害:网站被黑客入侵

调研时间:2009.9.6~2009.11.10

 

TOM音街,一个汇集大量歌曲的地方,相信登录的网民一定不少,但它的安全性却令人担忧。我们电脑报安全团队的成员,在该网站发现多次安全问题,涉及目录查看漏洞、物理路径泄露、黑客后门、注入漏洞。这些安全隐患虽然还没有对用户带来直接的影响,但对TOM音街却敲响了安全的警钟,是时候对网站进行一次彻底的安全检查了。

 

发现第一个漏洞

在刚进入TOM音街的时候,主要是为了听歌曲,只是非常无意的一个举动,在IE浏览器返回的时候想偷懒,因此直接将http://play8.tom.com/player/ splay.php?songid=706463网址后面的字符串去掉了,我认为http://play8.tom.com/player/会直接返回到首页,但是我错误了。

在取出掉网址后面的字符串之后,http://play8.tom.com/player/竟然直接呈现出了网页的目录(图1)。这是非常致命的错误,网站出现这种错误通常只有两个原因,管理麻痹大意,配置服务器的时候,由于技术生疏或者忽视,导致了配置错误,最终出现目录暴漏。

另外一种原因则是漏洞。例如FTP软件等造成的漏洞,由于管理员没有及时修补,或者管理员根本就不知道有这个漏洞,因此就造成了网站目录暴漏的问题。TOM音街的这台服务器就因为暴露了目录,让我很容易的就获取了网站的结构,还好这个网站使用的是PHP脚本语言,如果使用的是ASP+Access,那么重要的后台数据肯定会暴漏在黑客的面前,让黑客可以轻易根据数据库路径将数据库整体下载窃取走。

目录暴漏漏洞很容产生衍生,随后经过详细的查找,我有找到了TOM音街的多个目录暴漏点,最简单寻找这种目录暴漏点的方法,就是将网址后面的数值去掉,或者干脆顺着已有的漏洞点击,就总会发现更多弱点。

 

再报漏洞——泄露的物理路径

为了挖掘更多的目录漏洞,我开始逐一点击各个目录,结果这次扫荡式的点击有了更多出任医疗的收获,在网址为“http://play8.tom.com/autorun/” 的目录下,有多个“.sh”后缀的文件,“.sh”格式文件是UNIX或Linux操作系统的可以执行的Shell脚本文件,打一个通俗的比喻,它非常类似Windows系统中可以执行DOS名冷的.COM文件。

这些.sh后缀的文件中,通常会包含有网站在服务器中的物理路径等信息。在马上下载回这些.sh文件后,使用记事本程序将文件打开,果然发现了TOM音街在这台服务器中的物理路径为:/www/webroot/a8/upload/tempfile/file。(图2)

黑客小百科:物理路径泄露属于低风险等级缺陷,它的危害一般被描述为“攻击者可以利用此漏洞得到信息,来对系统进一步地攻击”。提供Web、FTP、SMTP等公共服务的服务器都有可能出现物理路径泄露的问题。

比较常见的是Web服务器的路径泄露。导致Web服务器路径泄露的原因很多,可能是Web平台本身、脚本语言解释器、引擎插件、组件、辅助程序等一些原因造成的,也有可能是脚本编写错误所导致的。

很多时候,黑客会精心构造一个畸形、超长或不存在的文件请求,而这个请求是Web服务器没有预料且不能正确处理的,这时往往会返回出错信息——最直观的就是暴露物理路径。

得到物理路径能够做什么呢?对于许多黑客而言,物理路径有些时候能给黑客带来一些有价值的非公开信息信息,比如说:可以大致了解系统的文件目录结构;可以看出系统所使用的第三方软件;也说不定会得到一个合法的用户名(因为很多人把自己的用户名作为网站的目录名)。

 

最后的进攻——PHP注入

虽然得到了TOM音街的物理路径,但是毕竟都是危害级别不高的漏洞。不过管理员竟然出现了如此多的错误,想必平时一定不注重网络安全,于是我决定挑战一下,挖掘一下音街是否有危害更大的漏洞,例如注入漏洞。

查找注入漏洞的整个过程顺利的有点儿让我无语,甚至没有使用任何辅助工具的帮助,仅是随机的点开了几个网站,然后每个后面加入了一个“,”号,其中一个页面就立刻爆出了MYSQL的错误提示页面。

注入点http://comment.a8.tom.com/user.php?username=546557694。注入点顺利的找到了,此时可以祭出辅助工具帮助进行渗透了。我调出了PHP注入中小有名气的“Pangolin”,这是一款能够帮助黑客进行SQL注入的最好的工具之一。

黑客小知识:所谓的SQL注入测试就是通过利用目标网站的某个页面缺少对用户传递参数控制或者控制的不够好的情况下出现的漏洞,从而达到获取、修改、删除数据,甚至控制数据库服务器、Web服务器的目的的测试方法。Pangolin能够通过一系列非常简单的操作,达到最大化的攻击测试效果。它从检测注入开始到最后控制目标系统都给出了测试步骤。

 

在Pangolin的URL一项中输入查找出的注入点网址,然后点击Check就开始进行注入漏洞的检验了。很快Tom音街数据库的名称等信息就全部被猜了出来,然后使用MySQL的提权工具进行提权,添加管理员账号,上传Webshell木马。

 

惊天发现——黑客后门

正当我准备上传Webshell的时候,不知道是幸运还是不幸,我竟然惊讶的发现,TOM音街网站中已经有许多黑客的后门了,数量不低于20个。半个小时之前还兴奋的如同收到礼物一样,而现在则是一盆冷水从头浇到底。

既然别人已经放了后门了,那么我还上传什么WebShell,直接借用就好了。不过由于没有密码,在几个黑客留下的后门试着输入了几个白痴的密码,结果都被拒绝了。不过我很快想到了,许多黑客在上传Webshell的时候会留下大量用后门页面构造的虚假文件,根据日期排序,很快找到了一个文件,开打之后果然看到了密码,登陆。

TOM音街就这样失守了。

 

深度分析

TOM音街大概是最近一段时间我见过的知名大站中漏洞最多的一个网站了,从危害级别最低的目录查看漏洞,到网站被植入了20过个黑客后门,真不知道那些平时使用TOM音街的网友现在后怕不后怕。

导致目录查看漏洞的原因有多方面,有可能是软件漏洞,也有可能是管理员在配置服务器方面出现了差错或者经验不足,都有可能造成这个问题。程序出错网上是这个问题的主要原因,错误处理是各种语言编程中一个很重要的部分,虽然每种语言都提供了完善的出错处理函数,但你也得正确使用它。如Perl中的“die”函数,如果没有在错误信息后面加上“\n”的话,就很可能会导致物理路径泄露。然而,脚本程序员却一直忽略了这些问题,任何时候程序员都应该充分考虑,给出完整的出错处理方案。

而对于网站本身出现注入漏洞,则完全是代码检查不严造成的漏洞,如果网站在正式上线前进行仔细的代码安全监测,哪怕就是最常规的检测,都不可能出现如此低级的错误。

最令人叹为观止的还是Tom音街中的二十多个黑客后门。从时间来看,有不少后门在Tom音街的服务器中已经存在了一段时间了,网站方面竟然没有病毒过滤和探测系统,而管理员也没有及时查看服务器的新增文件变化,这些都是造成如此后果的原因。

 

TOM音街漏洞列表

 

目录查看漏洞

http://upload.a8.tom.com/ZendPlatform/

http://play8.tom.com/autorun/

http://play8.tom.com/upload/

http://play8.tom.com/player/

http://play8.tom.com/zhuanti/

http://play8.tom.com/images/

……

暴露物理路径文件

http://play8.tom.com/autorun/ClearUploadSession.sh

http://play8.tom.com/autorun/tempClearUploadSession.sh

http://play8.tom.com/upload/tempfile/upload.cgi

……

黑客后门(WEBSHELL)

http://play8.tom.com/autorun/weili.php.bak

http://play8.tom.com/upload/upload_yc2.php

http://play8.tom.com/upload/done_public.php

http://play8.tom.com/ZendPlatform/common/jpgraph/gogogo.php

http://play8.tom.com/ZendPlatform/common/text/en/shelll.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/2.php

http://play8.tom.com/ZendPlatform/common/htmlHelp/whgdata/Vote.php

http://play8.tom.com/uploadfile/photo/200602/23/1140700434_22939.php

http://play8.tom.com/uploadfile/photo/200602/23/1140704002_13145.php

http://play8.tom.com/uploadfile/photo/200602/23/1140705424_22939.php

http://play8.tom.com/uploadfile/album/199508/12/c1.php

http://play8.tom.com/uploadfile/photo/200607/04/1151979366_58787.php

http://play8.tom.com/uploadfile/photo/200604/18/1145322994_37261.php

http://play8.tom.com/uploadfile/photo/200604/18/1145323568_37265.php

http://play8.tom.com/uploadfile/photo/200604/17/1145277425_37161.php

http://play8.tom.com/player/images/shiting/2008.php

http://play8.tom.com/images/help/shabi/

……

注入漏洞

http://comment.a8.tom.com/user.php?username=546557694

……

 

2009-11-10

/苗得雨

对于杀毒软件,用户对付费购买的接受程度一向很高。然而,宣称永远免费的360杀毒软件似乎想打破这一观念。那么,它是否真的可以替代收费杀毒软件?又会给杀毒软件领域带来什么样的震动呢?

360杀毒的核心是什么?

360的主打产品360安全卫士早已为众多用户熟知,甚至有不少用户误以为它就是一款杀毒软件。360安全卫士其实是一款系统维护软件,并不能从真正意义上查杀病毒,这也是为什么用户安装了360安全卫士后,通常还需要安装其他厂商提供的杀毒软件以确保安全的原因。不过,此次推出的360杀毒软件,却是一款地地道道的杀毒软件。

早在一年前,360杀毒软件就进入了测试阶段,在360杀毒软件的介绍中,明确告知了它的核心引擎来自罗马尼亚的Bitdefender,而Bitdefender自身也有一款免费的杀毒软件。实际上,免费杀毒在国外已经是一种逐渐流行的做法了。杀毒厂商通常在推出新一代产品后,将较老一代的产品进行免费,或者将部分功能受限的产品进行免费,例如去除网络防火墙功能,只允许用户使用扫毒杀毒功能。

目前的360杀毒软件也是侧重于病毒的清除和防护,暂时没有网络防火墙等功能,从简单对比来看,360杀毒软件类似于Bitdefender免费版的中文汉化版,同时在此基础上融入了360自身的一些技术。由于在杀毒软件领域,病毒扫描引擎异常重要,因此360杀毒软件的品质高低,将在很大程度上取决于Bitdefender引擎的强弱。

永远免费的馅饼能吃多久?

做永远免费的杀毒软件,让广大用户能够受益,这无疑是一件好事,然而,让我们担忧的是,360免费杀毒能否持续做下去?并保证在免费的前提下,产品品质能不断提高呢?

这样的担忧并非杞人忧天。首先360杀毒软件的核心引擎来自Bitdefender,如果有一天Bitdefender不再和360合作,就有可能出现360杀毒从此消亡,或被迫做较大的产品改动,让用户承受这些无形的风险。

现阶段360并没有说明和Bitdefender的合作模式与期限,唯一可以借鉴的消息来源是,在360杀毒处于测试期时,Bitdefender方面仅和360签订了一年的合同。如果此次Bitdefender只是同360续签了一年的合同,360承诺的永久免费杀毒可能只是一厢情愿的许诺。

可以参见的范例是360安全卫士,360之前能够迅速占领国内市场,获得许多用户的认知,也是因为使用了国内著名设备级发病毒引擎制造商安天实验室的反病毒引擎技术,因此在清除顽固木马等方面表现的异常出色。不过在和安天合作到期后,由于没有继续延续合作,360安全卫士对顽固木马的查杀能力迅速下降,即便后来推出了顽固木马专杀,也失去了之前查杀木马的快速全面的特性。

其次,360安全卫士此前依靠巨大的装机量,吸引了不少杀毒软件将它作为很好的推广平台,而360自身也从这样的合作中获得了相应的利益。由于360安全卫士本身不是一款杀毒软件,因此并不会对杀毒厂商构成威胁。但360杀毒却是一款真正的杀毒软件,在众多与360合作的厂商看来,继续合作无异于与虎谋皮。杀毒厂商的担忧极有可能会让360失去代理其他杀毒软件的利润,而维护并不断提升杀毒软件品质,需要庞大的人力和财力,如果找不到新的盈利模式,将会让360杀毒的前途充满变数。

因此,免费之后,360杀毒依靠什么样的增值服务,能让冲着享受免费杀毒的用户掏腰包,这恐怕是360杀毒最现实的问题。

360会带来何种免费效应?

在360正式宣布推出免费杀毒软件前,微软也刚刚宣布推出免费杀毒软件,允许每一个正版Windows操作系统的用户免费下载使用,这一举动在全球安全业内引起了不小的震动。360的免费杀毒又会对国内杀毒软件市场造成什么样的影响呢?

用电脑的人几乎都需要杀毒软件,而杀毒软件也是被大众认可必须购买正版的软件产品。因此杀毒软件公司一直被认为是软件行业中正版用户群体最多,产品利润最有保障的企业。这一次360高调推出免费杀毒软件,虽然不会在短时间内冲击国内杀毒软件的收费模式,但各家厂商恐怕也会对用户群体庞大的360安全卫士,在推广软件的强大能力上有所顾忌。

对于现在已经陷入与卡巴斯基等国外杀毒软件血战的国内杀毒软件厂商而言,虽然现在表面上仍然会不动声色,但在未来恐怕各家厂商都会推出自己的免费产品,如同当年360依靠免费将安全卫士做大后,瑞星就推出了与360安全卫士功能类似并同样免费的卡卡,金山也推出了一系列免费的安全小工具。

即便各家厂商不跟风推出免费杀毒软件,恐怕也会加强现有杀毒软件的附加增值功能,提高收费杀毒软件的吸引力。同时,国内各家杀毒软件厂商是否推出自己的免费产品,也要看360杀毒能否长久保持品质,一直将产品坚持做下去。如果360仅是为了跟风微软做一次宣传战,并不能够保证360杀毒的持久品质,那么相应对目前国内杀毒市场的影响也就只能是昙花一现了。

360杀毒一年前宣布推出测试版免费杀毒,给多数用户的感觉仅是一场宣传秀,随后市场上就少有360杀毒的声音了,用户继续付费使用杀毒软件,免费的360杀毒测试版维护得并不好,很快被遗忘了。

此次重出江湖,360杀毒仍然开了一个好头,但是想做到足以影响行业格局和用户使用习惯的程度上,仍然要看360此后是否能够持续发力,毕竟对于杀毒软件而言,每天是否更新,更新的病毒库能够查杀多少病毒才是最关键的因素。■

 

360杀毒软件评测

本次测试,我们根据国内大多数计算机用户的状况,设定了一个虚拟用户角色,这个虚拟用户会进行大多数用户使用计算机时的常规操作,我们根据这些操作来观察360杀毒在系统消耗方面的性能。虚拟用户还会模仿许多中毒的场景和过程,来观察评测360杀毒对病毒的防御效果。

除了虚拟角色测试,我们也在网络中收集2009年最流行的一万种计算机病毒,用于考验360杀毒查杀流行病毒的能力和清除速度。此外,我们还准备了一些非流行病毒和恶意脚本用来测试360杀毒在网络中能够查杀这些扩展病毒的能力。

扫描速度测试:在扫描速度测试中,我们分别用使用“快速扫描”和“全盘扫描”两种模式对测试用电脑进行测试。分别记录两种扫描方式使用的时间、内存消耗和CPU平均占用量,评估软件在活动时的资源消耗。

查杀率测试:通过我们评测用的一万个2009年流行病毒样本,检测360杀毒的查杀率,并记录扫描这一万个样本的时间。此外,我们还将测试能否查杀内存病毒,能否阻断U盘病毒,能否清理感染病毒或顽固木马病毒,用户在执行常规活动时,实时防护能否监测到带毒文件的活动等。

功能分析:根据测试出的数据和软件中的功能,评测出360杀毒具有的功能。

自我保护:测试360杀毒在遭遇顽固病毒时的自我保护能力,能否被病毒终止进程。

其他测试:测试360杀毒的升级速度等综合功能。

杀毒软件基础测试平台

CPU Intel Core2 Duo P8600 2.40
内存 2GB
硬盘 日立320GB
操作系统 Windows 7旗舰版

 

安装过程

360杀毒提供了两种形式的安装文件,一种是完整安装包,大小约64.2MB。另外一种是网络安装包,大小在610K。360推荐大多数用户使用网络安装包,下载网络安装包双击打开后,安装包使用P2P过程进行再次下载安装软件所需要的文件,我们分别使用电信和网通两条线路下载安装,测试显示使用网络P2P安装包的下载速度都在100KB左右,速度属于中等水平。

 

 

下载完成之后,程序会自动执行安装过程。360杀毒会首先判断用户计算机中是否有360安全卫士,如果用户电脑中安装有360安全卫士,则360杀毒的默认安装目录将会修改为与360安全卫士同级安装路径。

网络安装包

完整安装包

安装后体积

610K

64.2MB

192MB

 

 

扫描速度测试

扫描方式 硬盘大小 扫描文件数 扫描时间 CPU占用率 内存峰值
全盘扫描 320GB 291569 00:59:04 30%~50% 160左右
快速扫描   1037 00:01:04 30%~50% 160左右