设计的安全感 - UCD大社区

前端也应关注安全

手气不错 — 2009-03-13 05:44:39

此文刊登在《程序员》三月期，有删改

提到安全问题，首先想到应付这些问题的应该是系统管理员以及后台开发工程师们，而前端开发工程师似乎离这些问题很遥远。然而，在 2008 年发生在安全领域的一系列 Web 安全事件，改变了人们对于传统安全的观念。让我们在这里简要回顾下：

IE7 的 0day 漏洞以及 Chrome 崩溃事件

2008 年的年底，IE7 爆出了个很严重的安全漏洞。与往期微软的漏洞不同，这次的漏洞是从 IE7 发布时起就存在（这也是称之为 0day 漏洞的原因）。

该漏洞的原理，就是通过解析某段精心构造的 XML 造成 IE7 内存溢出，进而可执行任意的代码。虽然官方很快发布了此漏洞的补丁，但此漏洞仍然影响至今。

另个类似的浏览器风波，就是 Google 在 08 年 Q3 发布 Chrome 浏览器。在 Chrome 发布当天，黑客们就发现只要在地址栏中输入构造好的字符就能导致浏览器崩溃。此后即便 Google 迅速的修复了该漏洞，但已经对用户造成了非常糟糕的印象。

感叹：浏览器平台的安全问题，直接影响着该浏览器日后的市场份额。好比当年 Firefox 起家时也正因着重打安全这张重牌，才有今日的收获。即将推出的 IE8 浏览器，微软已经在各种场合大肆宣扬该新浏览器的安全性能。由此，正说明各浏览器厂商对安全这块的重视程度。相信目前正酣的浏览器战场，对于安全这块必然是兵家必争之地。

各微博客的 CSRF 和 Clickjacking 漏洞

微博客的流行是 Web2.0 大潮中的奇葩，然而近期爆发的饭否、叽歪、Twitter 等的安全漏洞，着实让前端开发工程师大开眼界。饭否和叽歪的 CSRF 漏洞，使得攻击者能通过段 Javascript 代码在用户不知情的情况下，向微博客服务器发布相应的消息，从而造成攻击。

感叹：客户端的 Javascript 脚本早已经摆脱仅仅是显示页面效果的“玩具”，它已经变成一把利刀。这把刀能帮前端解决问题的同时，也能伤害到用户。

同比，年初爆发的 Twitter Clickjacking 漏洞，它将 Twitter 的发布页面通过 iframe 嵌入到第三方页面，然后通过 CSS 使得并将 Twitter 的发布按钮与第三方页面的按钮重合。这样，当用户本意点击第三方页面的按钮时，实际上点击的是 Twitter 页面的发布按钮，进而造成攻击。

感叹：前端攻击方式也正逐渐的升级，防范前端代码的攻击不仅仅就是防范 Javascript 等前端脚本，CSS 甚至 HTML 也能构成攻击。

“精武门”安全峰会

“精武门”安全峰会是阿里巴巴集团组织的针对 Web 应用安全的研讨会。和往年讨论后台安全不同，今年重点着重讨论 Web 攻击的方式和防范。众多国内著名的安全小组集聚一堂，讨论目前国内 Web 应用的前端安全问题。

感叹：在见识了琳琅满目的攻击方式的同时，也引发了对于未来国内 Web 应用安全的思考。

后记

Web 2.0 以降，前端这个职位已从传统“美工”，蜕变成用户体验的实现者。然而随着浏览器提供的功能日益强大、各种 Web 应用的日趋复杂，安全这块被传统笼罩的“灰色地带”，也正进入每个前端开发工程师的视线。相信在不久的将来，前端开发工程师作为新生的安全力量，必占有十分重要的一席。

郁闷，忘记了一个账户的password…

老冒 — 2008-12-12 21:28:01

忘记了一个账户的password, 折腾了n个常用组合全部不对…然后就收到警告说这是最后一次尝试机会，失败后就锁住帐号了。试图找回密码，问题之一是我的邮政编码，尝试了n个我曾用用过的也都说不对… :( :( 这是一个里面有钱的online帐户，否则我肯定立刻抛弃它算了。

参看email寻找蛛丝马迹的回忆，发现这个服务真是安全到家，任何email中都没有任何密码和找回密码相关的线索…:( :( 唯一能看到的是我在11月修改了一次密码，然后两天后连续登陆失败了2次后想起来了密码，但上个月我改用了什么密码呢？

密码真是个非常麻烦的事情，想想我有多少个密码，简直是太可怕的事情了 -- 电脑有密码，门卡有密码、email有密码，n张银行卡有密码，水、电、煤气、电视、垃圾全部有密码，还有税务局、billpay… 当然还有n多个网络服务的密码… 虽然我把所有密码归类成为3类：简单、常用较复杂、重要，但是有的服务只能用数字、有的必须要８位，有的需要大写字母和数字，有的不允许特殊字符如#$%… 更糟糕的是，我的公司IT强硬要求每３个月更换一次密码，而且所有曾经用过的密码都不能再用，所以每过一段时间就很不适应。

总之目前的密码体系是个很糟糕的事情，随着需要密码的服务越来越多，这个问题就会越来越严重。

这么多密码真的有足够安全意义吗？我看未必，我相信很多人和我类似只用几套密码于n多个服务，所以其实一旦一个服务的密码泄露就可能危及所有的－－而这种习惯也增加了泄密的风险，一个设计比较差的服务可能会被人攻陷而泄露明文保存的用户密码，然后被攻击者用于攻击其他更重要的系统，甚至可以专门为此设计钓鱼的骗密码网站－－这也是为什么我对不重要服务一律使用简单密码的原因，反正不care, 而且不会危及我真正重要的帐户。另外也有人可能会把密码写下来，或者记在某个online服务内（比如email）－－事实上这种看似不安全的做法却非常有用.

密码本身不是个问题，而是目前的密码体系各自为政的设计，这个局面也许即将被打破。

在安全和快捷上取舍

Kimi Huang — 2008-12-19 22:10:54

对于支付宝登陆的改进一文：http://www.kimihome.net/blog/?p=595

看到最新的一位网友的留言，我想回复如下：

很多人在产品设计的都用安全作为“借口”，这是我最不愿意看到的，也不愿意支付宝的产品经理们在这个地方设计的时候用这样的思维去考虑。

安全确实很重要，但是不能把安全建立在繁杂的用户操作和用户负担上面。比如现在支付宝快速付款的时候，金额大的，需要输入2次支付密码，还需要多次选择理由，以及输入两次手机验证码，你觉得安全了，但是用户的负担呢？

大家对于线下的一些操作都耳熟能详，比如政府部门一些操作，让你办事的时候，都是麻烦的要死，往往都有一个原因是：这样做才能确保安全，这时候你咬牙切齿，却毫无办法。

一样的，支付宝设计的时候，安全很重要，但是这个东西最好是做到后面，不要让用户感觉到。这才是我们的方向和做事情的一个态度。

尽管这样很难，但是我觉得不要因此而放弃。
就比如本文的Case，我相信一定有办法在确保安全的同时，用户体验也很好！你相信吗？我是相信的，只要大家肯努力去尝试寻找，而不是放之任之！

马上就要开放支付组织牌照了，大家的竞争会更加规范，那么除了用户数量的竞争，增量市场的竞争，最终树立竞争优势的，用户体验是非常关键的一点。这里的用户体验不是仅仅说用户看到的，而是整个产品设计的理念，以及产品的立场，你是为用户着想吗？真的是把用户放在第一位吗？

相关话题：设计的安全感源地址：http://www.kimihome.net/blog/?p=630

关于软件保存机制的讨论

行云流水泵 — 2008-12-11 23:42:11

“比如，打开一个WORD文档，将其打印一份，然后关闭文档，这时会弹出保存对话框，询问是否要保存文档的修改，其实用户没有对文档做任何修改。

或者在文档打开后，编辑了几个时，输入了几万字，在关闭文档时，也会弹出相同的保存对话框，其实很显然，没有人会轻易放弃几个小时的工作成果，这样的询问是多余的。

对于这种情况，使用过WORD软件的用户都能理解，清楚接下来要做什么，但这样的设计明显不是合理的。”

这是前一篇博文中所列举的例子，用以阐述“能让所有用户都理解的设计，并不等于就是好的设计、可用性高的设计”这个观点。

看到有网友回复说“为什么要弹出对话框，那是多方面考虑的，一个是老手来说是二次确认，避免犯错，另一个是新手有时候根本不知道自己执行的命令是什么意思，可以从这里得到提示。”

这位网友的观点很明确，在用户选择关闭软件后（这里泛指所有具备编辑功能的软件），弹出一个保存对话框，是既符合新手用户的心智模型，又遵从中间用户使用习惯的设计方案。

在讨论之前，我先举个真实的例子。由于一次意外的断电，一位学油画的朋友，丢失了画了9个小时的工作成果，当时他使用的软件是Corel Painter 8.0。为什么出现这种情况？是因为他还没养成随手保存的操作习惯。

那为什么一定要求这位画家朋友养成随手保存的习惯呢？

虽然对于突然断电这种情况，不能要求软件可以先知先觉，或者要求软件在停电的一瞬间把文件保存好，这都是目前技术达不到了。但如果这款软件可以设制自动保存文件，是不是这位画家朋友就不会损失这么大了？

画家在实际画纸与画布上绘画时，肯定不需要这么做，因为画在画纸上的线条，只要画家不想去除掉，它就会一直保留在那里。画家工作一天后，起身打开离开画架的时候，也不会弹出一个对话框，问他是否要保存。

做为对软件工作不了解的画家来说，在Painter提供的空白画布上作画感觉，与实际画纸十分接近，而且有更为便捷的地方。所以，对于CG绘画经验不多的人来说，很可能会忽视CG绘画与手工绘画的区别，即以手工绘画的经验，来对待CG绘画，手工绘画的经验，这也就是新手用户对于Painter软件的最初心智模型。

对于绘画软件以外的其它软件来说，也是一样。几乎所有软件菜单栏的第一项，都是“文件/FILE”，这其实是在以实际文档隐喻软件所创建的数据对象。现在世界中的文件，在更改和添加文字后，结果就会保留在文件上，这是尽人皆知的常识。而之所以软件编辑文件后还需要再提示用户，是由于软件的程序逻辑与操作系统的存储机制导致的。

我们打开本地硬盘中的一个文件进行编辑时，实际程序要做的工作大致是，先找到用户选择的文件，读取文件内容，在内存中创建一个备份文件，并通过软件将其显示在屏幕。在用户确认保存前，硬盘中存储的文件没有被更改，编辑、更改的是内存中的备份文件。这也就是打开大体积文件，内存占用会增高的原因了。

由此可见，在关闭软件时，弹出保存对话框并不符合新手用户的心智模型，这所以要此时弹出这个对话框只是遵从操作系统的存储机制，并否文件因未保存而丢失数据的责任，推到了用户的身上。

那这个对话是否能起到“提示用户执行的命令是什么意思”的作用呢？下图是WORD弹出的提示窗口，确实有提示信息，询问了用户是否要保存文件，但并没有对于保存功能的解释以及为什么要保存的说明。

对IT经验丰富的用户来说，也起不到避免其犯错的作用。比如，一个用户编辑一个几十页的文档时，进行了一系列操作，在输入新内容的过程中，误删除了一个段文字。上图中的对话框，对于这种误操作，根本起不到任何作用。

而且就用户操作来说，编辑文件的目的是明确的，清楚知道要编辑哪个文件及应该如何编辑，编辑完成之后，有二次确认的必要吗？也没有这个必要。

因此，用户关闭软件时，由程序自动保存文件与让用户点击对话框中的“是”按钮来保存，根本上没有任何区别，既然如此，也就没有必要多此一举。

之所以熟悉软件操作的用户会形成这样的操作习惯，恰恰是由于现有软件的功能逻辑所导致的，尽管不合理，由于用户已经适应了，这个问题也显得不那么突出了。虽然改变用户的使用习惯有一定的风险，但如果给用户提供一个更为合理的操作方式，可以大大降低用户的额外，用户应该会乐于面对这种改变的。

就拿OFFICE 2007来说，与之前版本相比，调整是巨大的、明显的，用户的许多操作习惯都被打破了，但花少许时间适应后，你会发现，这些调整都是合理的，它大大的提高了工作效率。因此，花点儿时间学习是值得的。但这些调整也是有风险的，听到不少反应OFFICE 2007不好用的声音，不少人又换回到之前的版本。

不过，始终相信这处积极的、更为合理的调整会慢慢被更多用户所接受，因为用户的使用习惯也是在不断改变的，好的操作习惯会慢慢替换掉原来的不良习惯。

对于上面那位网友认为文章开始时所举的例子有“想当然”的成份，我想说的是，为了说明问题，确实刻意标明了例子中的几个数字，那都不是绝对的。不过，由于现有软件产品设计上的问题，确实让用户形成了许多不良的习惯，做了大量的额外工作。

比如，可以注意一下身边的朋友，是不是在使用软件的过程中，有随时按CTRL+S的习惯，可以问问他们为什么会有这样的习惯，是否都有丢失数据的惨痛经历？相信绝大多数的回答是肯定。

当然，在进行产品设计时，简化操作逻辑与界面信息内容，采取进行扁平式的设计方向对于新手用户来说有一些帮助，但对于自身条件不同的新手用户应该综合全面的考虑，应该先做用户调查与研究工作，这里真的不能想当然。对于新手、中间用户及专家的操作体验要求，也应该很好的平衡。新手用户不应该忽视，但中间用户才是产品生存的基石，应该更为重视。

实事求是地讲，以WORD这款软件来举例，确实有我的用意，是因为WORD是大家最为熟悉的软件，即使是对IT了解不多的人，也安装操作系统后，接下来几乎都会安装OFFICE软件包。而其中WORD又是OFFICE系列软件中，大家使用机率最高的软件，群众基础比较好。

所以大家不要误会，以WORD为例，并不是说它在这方面的设计是最差的，恰恰相反，WORD是处理保存功能逻辑比较好的软件，它至少提供了定时保存的功能机制，虽然不能从根本上解决保存功能所存在让新手用户费解的问题，相比其它大多数软件来说，保存功能的可用性要高得多。

因为一会儿要开会，时间比较紧，先说这么多，有不同意见，大家可以继续回帖讨论。

搏白鸦的《设计与生命(安全)》

win — 2008-07-28 10:12:11

说明一下标题命名为“搏……”，意为PK。
在你的工作和生活中如果双方观点上不一致或者不认同，你可以选择PK或者不PK。

教学楼走廊过道

我跟大伙一样，经常去看白鸦扯蛋，主要是学习和吸收，早几周前就看了白鸦的《设计和生命(安全)》一文，当时是有很多观点个人是不认同的。但是一直没回应，因为我明白各人都有各人对事物的理解角度。

今天又看到白鸦拿“震中学校门向内开”说事实在觉得不妥，一定要把他这篇东西PK下去。有的时候我认为他就是一“粪青”，“粪土”的“粪”——在我心目中愤青不是个太“愤青”不是个太贬的词，“粪青”才是，我就想这篇东西是不是咱们白鸦喝高了写的。

首先说ATM机，ATM出现的问题是在哪？我了解到的是很多人拿了钱而忘记取卡。而极少有忘记拿钱而只拿了卡走人的。为何是这样？你照用户模型走一遍流程，用户目的是去取钱的，在潜意识下认为钱是最重要的。从而忽烈了拿钱后取卡的提示和操作。用户潜意识下认为钱重要性大过于卡，而银行会认为取卡重要性大过于取钱。我们映象中深圳招行ATM和建行ATM就是刚好相反的。我个人认为这是一个用户教育的问题，而不是一个流程问题。ATM取款的问题需要解决的是什么，缺的是什么？—— 一个ATM使用流程标准。只要所有ATM设备的流程是一个标准走下来，节省的是教育用户成本，整个流程操作将本作为一种常识。在我们生产生活中很多标准化的东西都是为了解决安全性和和谐环境设置的。当然，我认同标准化是跟个性化的容用性是有一部分冲突的，你可以在标准化后再将操作流程优化，增强其易用性。

结论是，ATM的设计跟拿钱拿卡先后顺序无关，两样都是用户必须拿的，需要的是一个标准流程。科学的标准流程需要怎样设置？我认为需要靠一系列数据，从用户插卡使用开始，所用的时间长短统计，和用户的心理情绪，通常流程ATM柜员机处理能力，事故发生率等一系列数据(当然我没有做过研究调查，我无权说具体操作办法。)。这些东西包括了柜员机的硬件和软件两方面的设计都需要一个标准。

然后再回到说“震中的学校门都向内开”的事，我就“断章取义”出其中一段原话：

“我不知道这些门的设计以前或以后是否导致了生命的失去，无论有抑或没有，这些设计对于孩子们的生命都是一种威胁，设计和决定把门这样装的人都应该拉出去砍了。”

首先，这么多年来我没见过的学校教室的设计是将教师门设置朝走廊通道开的（通常是将大空间留给教室，然后是1m多不超过2米的走廊过道，然后是楼梯间。），当然不排出会出现这样烂的设计的教学楼，如果你能找出来，只能说明我没见识，不代表他的设计是合理可行的。
引用一段白鸦原文：

“
关于设计和安全的问题，在业界我们经常用到的两个例子是：公共场所的门窗必须向外开；银行ATM取款机必须先出卡再出钱。
这两个典型的问题在很多欧美国家已经形成“法律”。
在中国一些类似《公共娱乐场所消防安全管理规定》里也明文写了“疏散门必须向外开”，如果不符合是可以罚你款的。可学校不属于“公共娱乐场所”抑或不在可执行罚款范围内，我没有搜索到类似的规定。在我们的生活中这样的“悲剧”依然在不停的发生。
”

是这样的，按照我个人的理解：

疏散门向外开的硬性要求。是的，当然应该是向外开，这是大众认可的。疏散门是一个安全通道，指紧急情况使用的EXIT出口通道（紧急事故备用出口通道）。是用户通常情况是不使用的，朝外打开是为了应对大量人流汇集时更便捷人员流通的设计(如遇到火灾，煤气泄漏等事故)，根本就是两码事，要么就是你举的例子不恰当。无论教学楼教室还普通学生宿舍也好，整个是个大家都熟悉的模型。我刚才做了一个模拟体验，你们尝试一下。（不知你们曾经体育课的时候有没有做过两点间转身跑测试，怎么样转身更便捷？和迅速），我只是要说明学校门向内或向外不是学生逃跑时间上的障碍（除非你说这个门用的什么样的门锁产品，导致开启上的障碍）。根据学校过道和门的现状设计，门向内开是最节省空间，人员开启时间加上流通最便捷的设计。不占用有限的走廊过道空间，人员流通是在走廊上，你要考虑到用户开门后流通的方向是向前还是想两旁。门和过道都是用户使用频率极高的一个唯一通道，你将门向外开会带来极大的不便。

我认为震中学校向内开是没什么好说事的，我只能说您设计的这个教学楼我感觉很惨。平时课间消息，门关着还好，打开的话走廊望过去全是们挡着。无语……
这样的产品能不受鄙视么！

申明，此文仅就事论事，白鸦在我这是老师。

相关话题：设计的安全感源地址：http://www.dengjin.com/post/188.html

设计和生命(安全)

白鸦 — 2008-07-28 10:06:23

1、设计要考虑的不只是易用问题。安全也是重中之重。这里说的安全不只是设计要展现用户的“安全感”，而是实实在在的安全措施，这些甚至会涉及到生命的东西。

2、为了安全往往我们宁愿牺牲一些良好的体验。这是可行的，也是必须的，是最基础的可用性问题。
今天在5GSNS上，杨涛提到了一个类似的事情。

3、关于设计和安全的问题，在业界我们经常用到的两个例子是：公共场所的门窗必须向外开；银行ATM取款机必须先出卡再出钱。
这两个典型的问题在很多欧美国家已经形成“法律”。
在中国一些类似《公共娱乐场所消防安全管理规定》里也明文写了“疏散门必须向外开”，如果不符合是可以罚你款的。可学校不属于“公共娱乐场所”抑或不在可执行罚款范围内，我没有搜索到类似的规定。在我们的生活中这样的“悲剧”依然在不停的发生。

4、地震后我无意中在一张震后学校的图片里发现所有教室的门都是朝内开的。
后来又专门搜索了震中学校的图片，发现只有极少数学校的门窗是朝外开，绝大部分都是朝内开。（比如这里、这里、这里、这里、这里、这里、这里… 包括前几天我在王大湾希望小学拍到的，以及政府给北川中学高三学生的临时校舍）

我不知道这些门的设计以前或以后是否导致了生命的失去，无论有抑或没有，这些设计对于孩子们的生命都是一种威胁，设计和决定把门这样装的人都应该拉出去砍了。

5、可能会有很多人反驳“门朝外开会浪费空间，会撞到外面经过的人。所以得向内开”。
但，这不应该是一个设计师说出来的话。我们应该想办法解决向外开造成的一些不易用的问题，但绝不能牺牲掉安全性让门向内开。

.
6、我没有过在银行取款的时候拿了钱就走忘记拿卡的经历，不知道你是否有。但确实很多人有。
Google一下“取款机忘记拿卡”有293000个结果、百度一下2010个结果。

天涯上有这么一个典型取钱后忘记拿卡导致丢钱的帖子，后面的回复很能反应问题：几乎所有人都在建议赶紧报失或者讨论后面偷偷取钱的人应该如何处置，只有一个人注意到楼主说的“应该先出卡再给钱”（因为他也也犯过类似错误），甚至还有人说“这和把钱扔在马路上没有区别，先出卡再拿钱会导致后面的操作很麻烦”。
反正没有一个人意识到“银行有责任”。当然，我们的银行为了推卸责任，明文规定了拿别人忘记的卡取钱的人算“盗窃罪”。

yahoo知识堂里有人问“银行有没有责任”，竟然有人回答“不妥善保管密码和卡是你自己的过失”。

7、四川有过类似事情状告银行的案例，银行竟然说“这件事我们没有任何责任。如果要改程序会让二次操作的人多次输入密码，要不要改程序得去问问更多储户的意见”。记者去大街上作民调，市民十个有七个说“不用改”。看完以后我觉得特别可笑：
1》银行的人难道不知道欧美同行有类似“必须先出卡再出钱”的法律规定？肯定知道。他娘的装不知道而已，因为他们更知道我们的国民只有吃过亏的人才会意识到这个问题。
2》记者也太他妈白痴了。你丫去大街上问，10个有9个没有吃过这样的亏，他们当然说不需要了。

8、实际上全世界的取款机都在进行这样的变革，都在变成“先吐卡后吐钱”。因为丢银行卡排名第一的危害正是“取款时忘记取卡”。

9、不指望所有没有吃过亏的普通民众能意识到这些问题，但必须要求银行重视和正视这个问题，不要逃避。

最后，这类为了设计的“易用”而不顾安全的问题还有很多很多。希望看到更多因为取钱后忘记拿卡而状告银行的例子，也希望看到更多的设计师们清楚这类问题。

相关话题：设计的安全感源地址：http://uicom.net/blog/?p=754