Quantcast
Channel: iThome
Viewing all 33138 articles
Browse latest View live

臉書高層地震,產品長與WhatsApp副總裁雙雙離職

$
0
0

臉書創辦人暨執行長祖克柏(Mark Zuckerberg)宣布,在臉書準備打造以隱私為中心的社交平台,展開新頁章的同時,該公司的產品長Chris Cox,以及負責WhatsApp的臉書副總裁Chris Daniels都即將離職。紐約報導則引述消息來源報導,這兩位臉書的大將都是因為與祖克柏的理念不合才決定離開。

根據報導,他們彼此間的主要的歧見在於祖克柏堅持要控制一切,將臉書、Instagram、WhatsApp與Messenger加以整合,並打造以隱私為中心的單一社交平台,而各服務的負責人則擔心這將危及各別產品的成長及普及,也會失去主導權。

祖克柏是在2004年成立了臉書,Cox隔年就加入了臉書,是臉書最早的15名軟體工程師之一,之後他陸續負責動態消息、設立臉書第一個人資團隊、參與臉書的定位、主導臉書的設計與產品團隊、開發Facebook程式,至掌管臉書的所有程式。

其實從祖克柏的描述來看,Cox早有去意。他說Cox一直想做其它的事,只是兩人在2016年之後都意識到改善臉書產品是更重要的任務,於是Cox決定留下來協助他進行改革,而隨著臉書即將進入新的旅程,Cox亦認為是該離開的時候了。

至於臉書副總裁Chris Daniels原本負責的是企業開發團隊、Internet.org與WhatsApp,亦已提出辭呈。

祖克柏已找到接手Cox與Daniels任務的對象,但近期內並不打算重新聘任產品長,因而未來不管是接手Facebook程式的Fidji Simo、掌管Instagram的Adam Mosseri、主導Messenger的Stan Chudnovsky或是負責WhatsApp的Will Cathcart都將直接向祖克柏彙報。

Cox也公布了自己的離職感言,從文章中可看出要離開一家待了13年的公司所溢出的感傷,他感謝祖克柏建立了臉書,凝聚了這些一起成長的夥伴,不過他也說要打造一個兼顧表達、安全及隱私的現代通訊平台是個龐大的專案,臉書需要能為此感到興奮的新主管,似乎顯露了他自己並不那麼感興趣。


臉書、IG同時當機,只因變更伺服器配置

$
0
0

臉書(Facebook)與Instagram(IG)在3月13日同時發生大當機事件,最多的抱怨是無法登入、行動程式不能用了,無法上傳照片或是網站掛了,而臉書隔天透過Twitter宣布,那是因為變更了伺服器的配置,而讓許多用戶無法存取程式或服務,已經解決了問題,正在回復所有的系統。

不過,根據臉書的平台狀態報告,在14日晚間11點時,某些API請求還是會出現問題,可能需要更久的回應時間或遭遇無預期的失敗,正在調查並尋找解決方案。

另一方面,專門監控全球當機情況的Outage.report則顯示,臉書與IG的當機事件在13日最為嚴重,當天分別有逾2萬及3萬的當機報告,且這些報告來自全球超過130個國家,也莫怪乎此事很快就成為全球議題。

至於14日的臉書與IG仍然呈現不穩定的狀態,儘管狀況已減緩,皆依然分別收到超過1萬份的當機報告。

一般而言,就算系統偶爾出現小問題,Outage.report所收到的當機報告也只有數十或數百份;以同樣在13日發生全球當機狀況的Gmail及Google Drive來看,其當天的當機報告數量分別只有6,800份及881分,可見臉書與IG的當機規模之大。

研究:Android防毒軟體只有3成有效,更有2成5反而不安全

$
0
0

行動上網病毒防不勝防,Android手機用戶可能想到下載防毒強化手機安全。不過一項研究顯示,連Google官方的 Play Store上的防毒軟體或反惡意程式軟體,僅三分之一具備一定水準的防護能力,其他的不是偽造程式,就是沒什麼效果,更有24%屬於不安全的程式。

國際獨立測試機構AV-Comparatives今年一月針對Google Play Store上250款反惡意程式app做了測試。研究團體讓所有app在同樣條件下偵測新近2000隻惡意程式樣本,並判斷這些app的偵測結果。透過自動化工具,每支app都做了2000次。

測試結果中,有80款app對惡意app偵測率超過30%,列入前段班。包括MalwareBytes、AVG、Avast、Avira、Bitdefender、Qihoo、ESET、F-Secure、Sophos、TrendMicro、卡巴斯基、McAfee以及Google Play Protect等都上榜了。

但是研究團隊發現有138款程式偵測率不到30%,或誤判率很高,會將乾淨程式誤判為病毒。有些程式是單純因為不當實作第三方掃瞄引擎而有臭蟲。研究發現,有些防惡意程式app並未實驗掃瞄下載程式的程式碼,只是比對白名單/黑名單,而且只掃瞄封裝名稱。如果程式的封裝名稱未被加入到白名單中,則它檢查的每個程式都會被認定為惡意程式。惡意程式只要封裝程式內有合法名稱,如「com.adobe」,就以躲過這些app的偵測。

有些app只能抓得到很舊的Android惡意程式樣本,這是因為Google自Android 8 (Oreo)後限制app背景執行,這使反惡意程式app必須改成檢查Android 的「封裝添加廣播」(Package Added Broadcasts)來偵測新安裝的程式。如果沒來得及改,就會無法抓到最新惡意程式,有這問題的也不乏某些知名大廠。

研究人員也發現,這些很弱的app UI往往很類似,只有顏色不同而已,顯然是套用了相同的版型。

有相當比例的「反惡意app」本身就是被優良安全防護app偵測為有問題的程式,不是木馬程式、可疑或假防毒惡式,就是垃圾軟體。有61家(24%)開發商被研究團體列為高風險。它們當中大部份可能未來幾個月內就會被Google發現而移除。

過去二個月內已有32款app偽造或唬人的反惡意程式遭Google移除,包括Taobao、Weather Radar Forecast等。

研究人員指出,多數高風險app是來自業餘開發人員或非安全業界的廠商,後者多半是從事廣告業,或只是想用安全軟體打知名度。前者則可從Google Play Store的作者聯絡資訊來判斷。一般業餘開發人員不會提供公司網址,只有Gmail或Yahoo等電子郵件信箱。這些app大部份也不會有任何隱私政策。Google Play Store禁止沒有隱私政策的app,以避免用戶下載到品質低落的產品。

但研究人員也說,也不是所有業餘開發人員開發的app就一定沒效果。

Google工程師以雲端運算算出多達31.4兆個數字的圓周率,奪金氏世界紀錄

$
0
0

一名Google日籍工程師Emma Iwao利用Google運算引擎(Google Compute Engine)的一個虛擬機器叢集,算出了精確度達31.4兆個數字的圓周率(π),並在圓周率日(3月14日)當天奪下了最新的金氏世界紀錄

圓周率為一圓形的周長與直徑之間的比率,大家所熟悉的圓周率為3.14,但其實它是個無法用分數表達的無理數,有著無止盡的小數;由於沒有準確的π值,也使得人們永遠無法計算出圓形的精確周長與面積。

對於許多數學家或書呆子來說,圓周率是個迷人又神秘的數字,人們相信它在西元前1894年的巴比倫時代就被發現了,只是當時的圓周率是3.125,上一個算出最多圓周率數字的金氏世界紀錄保持人是一名瑞士的科學家Peter Trueb,他花了超過100天的時間算出了22兆個數字。

這次Iwao則是在25台Google Cloud的虛擬機器上,執行專為π設計的 Chudnovsky演算法,她花了121天算出了31.4兆個數字的圓周率,準確地來說是31,415,926,535,897個數字。

Iwao不僅刷新了π數字長度的世界紀錄,同時這也是第一個建立在商用雲端服務、第一個使用SSD,以及第一個使用網路儲存的π紀錄,

臺灣醫療AI先驅看醫療的下一步:AI預防醫學的3大機會

$
0
0

「許多醫療AI應用,仍在影像判讀上,」投身醫療AI超過25年的臺北醫學大學醫學科技學院院長兼萬芳醫院皮膚科主任李友專認為,比起發展醫療影像判讀AI,預防醫學AI更重要。

李友專看好臺灣擁2大優勢,包括統一的健保資料庫和經年累月的醫療大數據。他指出,健保資料庫統一管理了全臺人民的醫療資料,「這是其他國家沒有的,」比如加拿大和歐洲,各省擁有各自的健保局,其資料格式互不相通、資料也無法共享。其次,臺灣健保的另一個好處,就是自開辦20多年來,全臺500家醫院、2萬家診所「都必須將電子病歷做好,」再加上國人常看醫生,一年平均掛號15次,每次看病的檢驗和診斷資料,長年累積下來成為「超級大數據」。李友專更提到,臺灣醫療的用藥、診斷記錄皆由醫生直接輸入到檔案中,「和其他國家不同,」比如美國,醫生先用Word撰寫用藥和診斷記錄,再透過程式處理,才匯入至醫療系統中。相較之下,臺灣直接輸入系統的做法,就十分精準。

「擁有這麼多資料,我們該研究什麼題目?」去年,李友專在美國洛杉磯一場AI in Healthcare會議上,發問卷調查在場三百多名臨床醫師和醫療從業人員的看法。這份問卷分涵蓋3個角度,包括利害關係人(病人、醫生、醫療管理人員、保險人員)、地點(家中、醫院、其他機構),以及照護急迫性(預防型、急性、長照型),受試者須從這3個角度中各勾選1項自己認為最重要的因素。

統計問卷結果顯示,最高票的組合為「病人+家中+預防型」,「這給我一個靈感,預防性照護很重要。」

不過,預防醫學要發揮效益,得靠預測。「要先Predict,才能做到Prevent,」李友專眼中的預測,要具備準確(Accurate)、及時(Timely)、個人化(Individualised)和可行(Actionable)等4個特點。也就是說,精準的疾病預測,其預測發病期應在未來的3至12個月,而這樣的預測必須量身訂做,考量個人家族病史、身體狀況和生活習慣。

預防醫學AI的應用層面

因此,李友專認為,AI在預防醫學上可以有3大類應用,首先是用AI降低早期風險(AI-based Earlier Risk Reduction),也就是根據個人的家族疾病史、基因、身處環境和飲食習慣等百萬個變數,來計算未來3至12個月罹患某疾病的機率。

第二是AI可用於偵測早期發病(AI-based Earlier Detection)。他解釋,目前各國在第零期就偵測出癌症的比例,仍相當低。以乳癌零期來說,美國的偵測率為20%,臺灣只有3%。他指出,要是能在第零期、第一期就發現癌症,治癒機率就會提高,「這是AI能介入的地方,」關鍵是機器學習可以處理大量的變數,不像古典統計學難以處理,削弱了預測準確率。

而第三項針對慢性病病患,AI介入可以降低併發症的發作(AI-based Earlier Intervention)。他舉例,北醫大先前開發一款App「MoleMate 痣能達人」,透過4位皮膚科醫生和3,000位病人的資料,來訓練深度殘差網路(ResNet),民眾只要上傳痣的照片,系統就會告知是否需要就診,並定期要求上傳照片追蹤,以降低轉化為黑色素瘤或皮膚癌的風險。

北醫也正進行一項肝癌預測計畫,利用過去36個月的個人健康紀錄(PHR)來預測未來12個月罹患肝癌的機率。北醫利用去識別化的8萬名肝癌患者資料、2,700多個變數等,來訓練監督式機器學習模型。北醫還有一項獨特的做法,將時間矩陣轉換為圖像再來訓練,以強化時間維度(Temporal Dimension)的影響。「因為醫療資料非常注重時間,」李友專指出,過去以統計方法來預測時,因為時間維度不好處理,所以經常壓縮成一個變數。「但過程很重要,」他表示,用單一時間變數的預測準確率才70%,「如果將時間展開,就可以達90%以上。」

時間維度的重要性,不只反映在單一疾病的預測上,也反映在個人一生的疾病預測上。李友專認為,透過時間維度和每個人的表現型變數(Phenotype)、環境變數(Exposotype)、基因變數(Genotype)與行為變數(Behaviors),就能以機器學習來準確預測人一生中可能面臨的疾病。文⊙王若樸

華為證實正在打造自家作業系統以防被美國封殺

$
0
0

華為消費者業務執行長余承東在接受德國世界報(Die Welt)專訪時證實,華為的確一直在開發自家的作業系統,以防遭到美國封殺。

中國媒體南華早報先前即曾報導,華為最早是在2012年美國傳出將針對華為於中興展開調查的同時,就決定要開發自己的作業系統。華為的擔憂其來有自,因為美國在去年對中興所下達的出口禁令,是禁止美國業者將產品輸出給中興,除了各種電子零件或商品之外,也包含了各式作業系統,雖然該禁令只維持了3個月,但已造成中興逾10億美元的虧損。

余承東向Die Welt坦承,他們一直在準備自己的作業系統,但這僅是華為的B計畫,相較之下,華為更願意與微軟及Google等生態體系合作。

余承東也發下豪語,指出華為將會在即將來臨的5G時代成為全球智慧型手機市場的霸主,即將在明年超越三星的市場地位。

根據IDC在去年第四季的調查,三星以18.7%的市佔率成為全球最大的智慧型手機製造商,居次的蘋果佔18.2%,華為以16.1%名列第三,余承東的發言意謂著,華為很快就會一舉超越蘋果及三星。

此外,余承東也預期摺疊螢幕手機在5年內就會成為市場主流,且相關手機的價格在一兩年內就會低於1000歐元(3.5萬元新台幣),但可能要花更久的時間才可能低於500歐元。

GraphQL基金會與聯合開發基金會合推GraphQL開源規範標準化

$
0
0

Linux基金會旗下的GraphQL基金會,與聯合開發基金會(Joint Development Foundation)聯手,共同推動開源標準的採用,並且持續發展GraphQL規範

由於GraphQL的使用者日漸增長,臉書考量開源專案的發展,在去年11月的時候,為GraphQL成立基金會,並交由Linux基金會代為管理。GraphQL基金會為社群提供資金、營運以及行銷資源,以推廣GraphQL採用並加速整體生態系發展,另外,還支援GraphQL.js參照實作、DataLoader函式庫以及GraphiQL開發者工具等技術專案開發。

聯合開發基金會是一個獨立的非營利組織,提供法人和法律需要的基礎設施,使團隊能夠建立標準且按照標準運作,同時也能提供原始碼開發協作支援。GraphQL是第一個Linux基金會與聯合開發基金會合作的專案,目的是要加快開源專案開放規範標準化的過程,而開放人員也才能夠使用開放的GraphQL規範和開源軟體,設計出符合要求的API。

Linux基金會表示,GraphQL對於API的開發非常重要,因為他能讓單個API請求內含巢狀物件,而在傳統的作法則需要進行多次API請求。該基金會也提到,隨著應用程式轉向微服務架構,GraphQL可以重新定義API設計以及客戶端到伺服器端的互動,減少傳輸的資料量,還能大幅改善開發人員體驗,加速開發工作。

英特爾修補19個Windows繪圖驅動程式的安全漏洞

$
0
0

英特爾本周修補了19個基於Windows平台的繪圖驅動程式漏洞,相關漏洞可能帶來權限擴張、阻斷服務與資訊揭露,雖然所有的漏洞都需透過本地端存取才能開採,但其中有兩個被列為高度風險,允許駭客執行任意程式。

屬於高度風險漏洞的分別是CVE-2018-12214與CVE-2018-12216。前者存在於Windows繪圖驅動程式的核心模式驅動程式(Kernel Mode Driver)中,含有潛在的記憶體毀損問題,將允許具有特權的使用者執行任意程式。

CVE-2018-12216也同樣存在於Windows繪圖驅動程式的核心模式驅動程式中,只不過該漏洞源自於輸入驗證不足,允許具特權的使用者執行任意程式。

其實上述漏洞都是在去年就被發現,也有部份修補程式在去年便開放下載,只是英特爾統一於本周發出公告,此外,這些漏洞都必須自本地端存取Windows裝置才能開採,威脅性相對不高。


工研院領先Google一步!國產糖尿病視網膜病變AI診斷技術獨步全球

$
0
0

近年來,世界各地吹起一波醫療影像AI浪潮,比如Google 3年前就用了近13萬張眼底圖,開發一套糖尿病視網膜病變AI診斷系統,可快速判斷病變程度,準確率還與人類醫生相當。隨著這波風潮,工研院更在2年前,就著手打造國產糖尿病視網膜病變AI輔助診斷系統,最近也公開揭露成果。工研院這套系統,不僅能將視網膜病變的嚴重程度分為5級,讓醫生能依此進行恰當的治療方式,還可以標示出4種肉眼難以辨識的初期病徵位置,讓病患及早發現問題、及早治療。工研院更表示,這還是「目前國際上唯一可偵測4種主要病徵並清楚標示位置的AI技術,」連Google糖尿病視網膜病變AI系統都沒做到。

工研院糖尿病視網膜病變診斷輔助分析技術計畫主持人李雅文說,打造這套系統的動力,是因為目前「全臺眼科醫生只有1808位,但臺灣365個鄉鎮市區,超過半數沒有眼科醫生在執業,」因此,工研院決定開發這套AI輔助診斷系統,來協助非眼科醫生(比如新陳代謝科、內分泌科、家醫科等醫生)進行眼底圖判讀,並判斷糖尿病患是否該轉診至眼科,提高糖尿病患視網膜病變的早期篩檢率。

也因此,2017年時,工研院向國內3家醫學中心取得31萬張眼底圖,同時通過人體試驗委員會(IRB)認證、確保取得的資料是安全且沒有問題的。經過資料前處理之後,工研院便請了50位眼科醫生來標註影像。

不過,由於這項專案的目標之一,是要輔助病患早期篩檢,但早期病徵非常微小,像是微細血管瘤(Microaneurysms)、出血(Hemorrhages)等,而且在一張眼底圖中(如黃線標註處),這類病徵才11像素左右,「我們花了很多心思在這一塊,」李雅文說,因為病徵非常微小,一般影像標註工具難以標示,工研院還特別開發了一套標註系統,來給醫生使用。

而影像標註,是建立機器學習模型基準(Ground Truth)的重要過程,如果基準不準確,模型也無法準確預測。但在標註影像時,每位醫生對眼部病變的判斷難免有異,為解決醫生意見分歧,工研院安排3位醫生共同標註1張眼底圖,當前2位醫生對病徵或病變嚴重程度持不同意見時,就由第3位醫生來仲裁,或是協調2位醫生的看法,取得一致結果或是採用多數決方式決定。

後來,工研院使用醫生標註好的10多萬張眼底圖,來訓練AI模型。在訓練過程中,工研院研究團隊也不斷根據訂定的效能指標,來調整模型,完成後再部署至場域中,進行實際操作。但在實作過程中,團隊發現,操作結果與當初醫院給予的報告仍有落差,因此又得重新訓練模型,再一次評估與調整。

現在,這套糖尿病視網膜病變診斷輔助AI系統,可偵測4種主要病徵,包括微細血管瘤、出血、軟滲出物、硬滲出物(Microaneurysms、Hemorrhages、Soft Exudates、Hard Exudates),而且能標示出這些病徵的位置,方便醫生與病患解釋病變情況。李雅文強調,自家研發的糖尿病視網膜病變AI系統,可說是國際上唯一一個能標示出病徵位置的糖尿病視網膜病變AI系統。

偵測病徵後,這套系統也會依此來分類病變程度,包括0至4級(No DR、Mild NPDR、Moderate NPDR、Severe NPDR、PDR)共5類,準確率已達85%以上。此外,該AI系統也有2分類模型,根據病變程度來建議是否要應轉診至眼科。

李雅文提到,工研院這套糖尿病視網膜病變AI,還需連同軟體開發文件一起送至衛福部食藥署(TFDA)來查驗登記,之後才能上市販售。工研院目前也正尋找醫療器材行,為未來的技術商轉作準備。文◎王若樸

 

臺藝大10人小IT也可大作為,自建算圖農場連AI校務都力推

$
0
0

在2011年時,國家高速網路與計算中心打造了全臺第一座算圖農場(Render Farm),瞄準製作電影特效、動畫影片時的大量運算需求,不僅吸引了文化科技產業,也大受藝術學校的青睞。

「藝術大學的學生經常有製作動畫的需求,其中最耗費運算資源的就是算圖,」臺灣藝術大學電算中心主任戴孟宗說道,儘管國網中心算圖農場的運算力強大,滿足製作動畫需求,但以往學生租用時,仍常會遇到算圖軟體版本不同、缺乏外掛套件,或是超大檔案上傳時間太長等問題。後來,臺灣藝術大學(簡稱臺藝大)決定在2013年時,利用虛擬化後汰換的老舊主機,自建了一套臺藝大專屬的算圖農場系統,也客製化安裝了校內常用的算圖軟體和套件,方便學生執行算圖工作。

臺藝大這套算圖農場,專門用於支援純粹算圖而需大量CPU運算資源的需求。不同於虛擬化桌面、將單一主機CPU資源分散給多人使用,算圖農場是單一主機的所有CPU資源給1人使用,來縮短算圖時間。臺藝大電算中心將多部算圖主機組成叢集,並搭派排程主機,自動安排學生上傳的算圖任務。

儘管使用的是汰換下來的主機,但是,戴孟宗說,透過學校機房的運算能力,只要1天,就能完成原本學生用個人電腦得花20天的算圖任務,快了20倍以上。「靠機房幫學生算圖,這是其他學校所沒有的服務。」他說。

為強化便利性,臺藝大還大動作自建了臺藝大私有儲存雲ArtDisk,每人提供20GB容量,來解決超大檔案傳輸的問題。戴孟宗提到,像電影系學生,一支影片可能就高達500GB或1TB,難以上傳到雲端進行算圖。臺藝大也開放了高容量儲存空間,學生只需再透過校內網路,將自己的電腦連結到ArtDisk模擬的網路硬碟X磁碟。戴孟宗解釋,只要將算圖任務的檔案,放進X硬碟中的Render目錄,就等同直接上傳到算圖農場的環境。

臺藝大創新力,還包括AI校務應用

不只自建算圖農場,臺藝大電算中心還想嘗試時下的頂尖技術,要以AI來加強校務研究(IR)應用,稱為AIR。其中一項就是校務影像處理,「結合人臉辨識、場景辨識和環境辨識,」來打造一套AI檢索標籤系統,自動從學校照片資料庫中,找出所需要的照片。

戴孟宗解釋,各項校務工作大量數位化之後,照片數量百倍成長,但許多圖檔命名形式為image01等難以識別用途的編號檔名,讓有需要的業務單位,很難從巨量照片庫中快速找出想要的影像。目前,臺藝大打算將校內檔案系統中的影像或影片匯出到另一個主機環境,再介接微軟Azure平臺的辨識功能來自動標記人臉或場景,打造一套校內圖片搜尋服務,幫業務單位更快找出照片。

就以製作校慶的校史短片來說,戴孟宗提到,透過建立AI照片檢索、語意分析關鍵字檢索功能,能從數十TB的檔案系統中搜尋關鍵字「歷年校慶資料」,找出過往校慶照片和相關資料等,快速製成動態校史。這個功能,也可用在製作會議或活動報告,比如找出特定年間開會地點照片等。

而AIR的另一個應用,則瞄準了學生的選課推薦,根據學生的學習需求和興趣條件,來客製化推薦學習課程,以及建議學生在課餘之時如何自我進修。戴孟宗提到,未來也打算推出職涯發展的建議服務。

不只如此,電算中心也計畫運用AI,來打造學生學習表現分析工具My Data,讓學生掌握學習狀況。「我們發現學生成績和進出圖書館次數有關,」戴孟宗表示,電算中心打算以此為基礎繼續發展,將學業表現對比學生行為模式,比如上網時間、社團活動等,來找出成績表現與行為模式之間的關聯,並將分析結果呈現給學生,供學生自我檢視、調整學習狀態。

另一方面,臺藝大就推出網路選課,這幾年也隨智慧型手機興起,打造了一項M化服務,要以單一App來整合查詢、選課、儲存空間、雲端服務甚至是虛擬桌面的功能,希望師生「握有手機,就握有全世界。」而去年開始,電算中心打造了臺藝大校園App,也導入單一身份驗證功能,來整合ArtDisk儲存空間、校務資訊查詢、臺藝大News App和作品展示平臺藝泉網等,選課功能也在整合中。

舉例來說,這項M化服務,讓學生可透過手機來使用學校平臺上的軟體,比如AutoCAD,來修改繪製的圖像。雖然目前手機只能處理關鍵性步驟、還無法進行較細緻的操作,但「這對學生的創作和策展,提供強大的便利性。」

只有10人的電算中心,如何撐起全校IT運作?

臺藝大電算中心主任戴孟宗表示,IT治理要能熱服務、冷處理,面對師生的IT服務需求要熱誠聆聽,有溫度的回應。 (攝影/洪政偉)

「我們一年有200場展、演、映活動,幾乎天天都在發生,」 戴孟宗認真地說。不像一般大學將IT重心放在教學研究上,臺藝大為藝術大學,校內有博物館、演藝廳,IT單位常要配合策展單位,支援展覽、演出和播映的IT需求。

比如針對活動舉辦單位架設的宣傳網站,臺藝大電算中心就提供網路主機來管理,來介接資料庫和單一簽入(SSO)架構等,也一併協助活動舉辦單位與委外廠商訂定規格,比如要求廠商配合弱點掃描、遵從個資規範。

而在宣傳展覽、播映、表演和學術活動方面,臺藝大也有一套流程引擎來應對,也就是10年前委外開發的E化流程管理系統,專門用來管理場地借用、網站公告和公文系統等,可串連不同單位間的作業流程。例如,活動舉辦單位填妥電子表單,活動訊息就自動發布到學校網頁,或是推播到校方各社群網站。

不只簡化決策展跨單位的作業,前年,臺藝大電算中心導入了社群網路熱點服務FansWIFI,參觀民眾只要使用指定的無線網路,在校方粉絲專頁上打卡、按讚後,就能讓手機上網。不只解決民眾查詢展覽資訊的上網需求,也能宣傳學校品牌。

臺藝大電算中心不單要滿足頻繁的策展需求,還要兼顧校內各項IT建置,然而,「我們是公立大學中,IT人力最精簡的學校,」戴孟宗表示,只有10名人力,要負責全校IT的運作。

所以,臺藝大早在2006年時,就開始分批將分散於各系所和研究單位的伺服器虛擬化,集中於電算中心來強化管理。未導入虛擬化前,電算中心難以統一管理病毒碼更新和軟體修補程式,也無法善用各伺服器的儲存設備等。集中整併後,除了能統一IT資源,建置新專案測試環境的時間,也從原本的數周縮短為1小時。或像是每年例行的電力歲修,原本要花2小時才能關閉所有伺服器,虛擬化後改透過中央管理機制,只要不到30分鐘就能全數關閉。

而在開發方面,「必須委外。」戴孟宗解釋,精簡人力要發揮最大效益,就得藉助外力。「我們掌握Know-How、擔任專案管理的角色,而委外廠商就像加工廠。」戴孟宗以建置臺藝大學校首頁為例,在設計代表學校門面的首頁時,電算中心不只考量該呈現的資訊,連頁面配置都要精心設計,因為要「通過學校藝術家的審美眼光。」也因此,臺藝大電算中心集結校內專家意見,擬訂出各項細節和整體規畫等「原料」後,再交由外部廠商「加工」。

不過,他也坦言,臺藝大委外的比重將近70%,近幾年的新專案幾乎交給外部廠商執行。但是,臺藝大並不擔心IT生死大權掌握在委外廠商手中,因為「Know-How在我們手上,資訊安全也在我們手上。」

戴孟宗口中的資訊安全,就是所謂的資安管理驗證標準ISO 27001:2013。他說,這套標準也是一個管理框架,涵蓋14個領域、35項目標和114項控制措施,影響層面含作業流程、人員管理和IT技術。戴孟宗表示,這也大大提升了臺藝大的「風控與流程優化能力,保護學校資訊的機密性和完整性。」

而臺藝大更是取得英國標準局(BSI)的驗證,每3年換證、年年續評,至今已連續7年通過。此外,電算中心每個月也自行舉辦ISO會議,來檢視各項專案細節,比如委外廠商何時進入學校系統、何時登出、執行哪些作業等。

除了用ISO標準來把關資安,戴孟宗指出,「這套標準,對人員異動也有很大的幫助。」他解釋,電算中心人力精簡,每個人的職掌廣泛,比如網管得負責網管、資安和IDC虛擬業務的建置。但公家單位要招募新人,得等到人員離職後,才能開缺。這兩項原因,使電算中心不得不期待新進人員快速上手。

為降低人員異動引起的風險,ISO 27001的規範中有一套標準流程,要求職員需明記每項專案的進度和流程細節,比如帳號管理、軟體版本管理、進度說明等,而這種透明化的機制,「也有助於新進人員快速上手。」

除了持續精進IT軟硬體服務,臺藝大電算中心還要提高使用者體驗(UX)。戴孟宗表示:「IT治理要能熱服務、冷處理,」他希望讓冰冷的IT服務也能讓使用者體現出溫度,他先從硬體設備改造做起,不只將電腦教室全面汰換成強調使用者設計的Mac電腦,也開始重視操作環境的設計風格,例如加上書法藝術,連教室燈光和桌椅,也改為溫和的日光燈和氣墊座椅。

接著,臺藝大電算中心要精進的使用者體驗是IT服務態度,不只要從電話禮儀這類小地方開始做起,未來連開發流程都要更講究UX。

 CIO小檔案 

臺灣藝術大學電算中心主任戴孟宗

學歷:美國北愛荷華州立大學工業教育博士班畢業

經歷:博士班畢業後,曾任印刷工業研究中心紙器包裝與色彩管理顧問,也是Esko ArtiosCAD大中華區包裝設計種子教師。2004年時正式進入臺藝大,擔任圖文傳播藝術學系專任副教授,2015年擔任學務處學生生涯發展中心主任,隔年接任電算中心主任。 

 機關檔案 

臺灣藝術大學

● 地址:新北市板橋區大觀路一段59號

● 成立時間:1955年

● 校長:陳志誠

● 全校教職員:370人

 資訊部門檔案 

● 資訊部門主管職稱:電算中心主任

● 資訊部門主管姓名:戴孟宗

● 直屬主管:陳志誠

● 資訊部門人數:10人,除主任與組長之外,其餘8人分管系統軟硬體、網路等相關業務。

 IT大事記 

● 1997年:建置校園資訊服務系統

● 1999年:完成校務行政系統包含學生學籍管理系統、學生選課系統、學生成績查詢系統、通識課程管理系統、教育學程甄選作業系統等共12項

● 2003年:完成校園骨幹網路整合暨校園資訊安全管理平臺建置

● 2006年:完成虛擬化

● 2007年:完成第一階段校務行政系統建置工程,完成學生、教職員、學籍、課程、成績、學務、場地等資料庫整合

● 2009年:完成校務行政資訊系統二期整合建置(含出納薪資暨保險、推廣教育、土地建物工程管理等系統)

● 2010年:完成流程管理基礎環境建置,含新進離退、場地借用申請、入口網站公告管理、公文管理系統等,也建置無線網路訪客系統

● 2012年:完成ArtDisk雲端儲存系統,導入Artdisk & Artcloud 藝術在雲端服務

● 2013年:完成校務行政資訊系統訊息平臺系統子系統,提供教職員發送校園及即時通告訊息,亦完成雲端算圖農場建置

● 2015年:完成建置IR系統平臺,啟動校務研究流程及校務研究議題

● 2017年:完成虛擬桌面系統VDI與pure Storage建置,建置校務資訊大數據分析平臺,也完成FansWIFI系統導入作業

● 2018年:打造臺藝大校園App,導入單一身分驗證功能整合ArtDisk、校務資訊查詢、臺藝大News App、藝泉網等整合成為一個臺灣藝術大學行動資訊App

軟體科技革命教父的未來白皮書

$
0
0
天下雜誌出版

我們都知道世界正在改變,但卻很少有人問:「世界何以致此?」讀懂未來的關鍵,在於了解世界如何運作,並時時問自己:「如果事情這樣發展下去該怎麼辦?」

看待世界的正確眼光

錯誤的思考方式阻礙我們看世界的廣度,連那些絕頂聰明的成功人士也不例外。看看舊有的思維如何束縛企業家,哪怕他們足夠聰明:

2014年,在Uber成立五年多之後,蘋果也推出Apple Pay,但從它的簡介卻讓人意識到,即使是最先進的公司也有可能陷入舊思考模式之中:「到處找錢包的日子過去了,也不要再浪費時間找卡,不用再刷卡和等待,現在只需輕觸一下就完成結帳。」

Apple Pay描繪的場景,只是將一個正要被淘汰的過程數位化而已。真正具顛覆性的新服務,不僅會把我們熟悉的東西數位化,還會使它終結。我乘坐Uber或Lyft時,從來不用找錢包,從亞馬遜買東西時也不用,從iTunes上購買歌曲或是從蘋果商店買手機時也不會。在這些情況下,我的付款資料只是一個儲存的憑證,已經與我的身分連結在一起。除了直接的付款流程外,這種身分識別方法愈來愈得到認可。

以Uber為例。我叫了車,司機會知道我的名字和長相,我們的手機在行駛過程中同時在移動。根據全球定位系統,Uber知道我該付多少錢,而且會自動扣款。我只需到達目的地後下了車就算是「付費」了。這才是支付的未來,而不是「手指按著指紋識別感應器,把iPhone靠近感應式機台」。

因此,從某種意義上來說,Apple Pay這種支付方式,只適用於那些還沒跟上腳步的人,這些人還沒有見識到真正顛覆式的服務平台,早已不再使用老舊支付模式。

亞馬遜一直致力於推動支付的未來。2016年末,亞馬遜宣布正在開發主打Amazon Go和「買完就走」體驗的新型便利商店。只需啟用Amazon Go應用程式,機器視覺和其他演算法就會記錄下你從貨架上拿的物品,然後自動從你的帳戶扣款。

如果你繪製的新地圖夠完美,不僅可以改變對未來的看法,還會改變對過去的看法。以前看似不可能的事情變成如今的日常,我們很難再想起它曾經只是眾多可能中的一種。重點在於,我們如何將「有可能」變成「顯而易見」。

新眼光看現在,想別人不敢想的

2011年,蘋果發布Siri語音智慧助理,自此語音辨識成為智慧手機的一個重要功能,但亞馬遜卻拖延了許久才推出Echo。然而,亞馬遜的Alexa,卻超越Siri和Google,帶來了一個看似不起眼、卻最終發揮巨大作用的變化:Alexa是第一個不需要先按下按鈕就能一直接受你命令的智慧語音助理。

貝佐斯非常善於想別人所不敢想的。他在1998年就已預見,應該消除消費者對帳號內存儲信用卡資料的疑慮。如果你膽子大一點,就有可能創造更好的用戶體驗。現在他又預見,時機已成熟,可推出一款能一直在家聆聽你說話的智慧助理。

這是一個很重要的經驗,每個企業家都應該自問:什麼是難以想像的?當然如果你永遠認為市場還沒有準備好、還不打算去突破那個不可想像的邊界,你仍然可以先做準備。然後,等待那塊缺失的拼圖出現。即使你不是那個突破邊界的人,但一旦有人成功了,就要緊跟在後,抓住這個機會。做好準備吧!用全新眼光看待現在的能力,是最傑出企業家的成功關鍵。他們的創新能力就在於能夠理解世界發生的變化,並做出改變,而其他人卻仍然按照舊地圖行事。

未來不是想像出來的,是創造出來的。當企業家不光是用新科技來複製前人的工作,或者改進世界現在的樣貌,而是重新想像世界應該是什麼樣貌時,真正的突破才會到來。這就是那些神奇科技背後的力量,不僅讓我們有機會重新審視事物的運行方式,而且獎勵我們這麼做。未來有很多可能的樣貌,世界本來就不是一定應該怎麼樣,而是我們可以去重塑的。

你的工作正在被AI搶走?矽谷先知告訴你:別怕!

未來,難道真的會沒有足夠的工作給人類做嗎?

我們的確再次聽到了悲觀者和懷疑者一起在唱衰局勢。他們擔憂,自動化將消滅白領階級的工作,就像它曾經摧毀工廠裡的工作一樣;我們的經濟體依靠成長,但成長的時代結束了。種種論調,不一而足。

儘管當前出現了巨大混亂,未來也還會面臨更多問題,但如果社會整體做出了正確的選擇,最終就能挺過難關。短期痛苦非常真實,但我們必須重訂經濟規則,加強社會安全網來減輕痛苦。歷史經驗告訴我們,如果能在不發生暴力革命的情況下過渡,我們有充分理由保持希望與樂觀。

早在1811年,英國諾丁漢的紡織工人就高舉旗幟奮起反抗,破壞威脅到他們生計的機器織布機。他們的害怕是對的,因為後來的幾十年,情況是嚴峻的。機器的確取代了人力,而且社會花了很長時間來調適。

但那些紡織工人無法想像的是,他們後代擁有的衣物比歐洲國王和王后還要多,普通人也能在寒冬吃到夏天水果。

他們也無法想像,我們可以開鑿隧道穿山渡海;可以飛越天際,數小時內即可到達另一大洲;可以在沙漠建立城市,建築物高達800多公尺;可以站在月球,並把太空探測器發射到行星的軌道;還可以消除這麼多的疾病。他們更無法想像,後代子孫能找到富有意義的工作,將上述一切帶進現實。

如今在技術的幫助下,還會發生什麼不可思議的事情呢?

光顧著關注流失的工作是不對的。與其說工作流失了,還不如說是工作轉換和轉型了。Uber和Lyft旗下司機雖然大都是兼職的,數量卻比原先的整個計程車業的司機還多。據我所知,Uber在全球每月有150萬名實際上線的司機;Lyft則有70萬。除了在市場競爭中幾乎壓垮傳統計程車業者外,還為禮車司機帶來了更多客源。

同樣,機器人的使用似乎也加速了亞馬遜雇用人員的速度。從2014年到2016年間,他們倉庫裡的機器人從1,400台增加到45,000台。同一時期,他們新增了近20萬名的全職員工。光在2016年,就新增了11萬名員工,其中大部分是在高度自動化的物流中心工作。

機器人沒有取代我們,反而強化了我們。

很多問題待解決,人類不怕沒事做

創業家哈諾爾曾說:「要理解人類社會繁榮最好的角度,是從問題累積而來的解決方案來看。我們不會沒事可做,除非已無問題需要解決。」但問題都解決了嗎?我不認為如此。為了回應氣候變化,能源基礎設施正面臨巨大的變遷;新的傳染病正給公共健康帶來挑戰;人口金字塔呈現倒三角形,即愈來愈少的勞動人口要支撐愈來愈多的老齡人口;重建城市基礎設施;向世界提供潔淨的水;要替90億的人口提供食物、衣物和娛樂。我們如何在未來讓數百萬流離失所的人安居城市,而不是把他們收留在骯髒的難民營?我們要如何改造教育?人與人之間如何能有更緊密的關懷?

明日的新工作,可能不會以我們熟知的形式出現。請注意哈諾爾說的是「我們不會沒事可做」,而非「我們不會失去工作」。工作是一種人為設置,工作內容由企業和其他機構來管理分配,所以個人必須先申請加入這些機構,才能參與完成工作。金融市場理應獎勵完成必要工作的個人與公司。如今金融市場獎勵的,和經濟真正需要的正背道而馳。

我們已經看到了技術平台如何建立新機制,讓人、組織和需要完成的事情更容易連結在一起,這是一個更高效的勞動力市場。你可以認為這是隨需革命的核心驅動力之一,像是Uber和Lyft,儘管這些平台無法提供穩定收入和社會安全網,但不該忽視它們的巨大作用。

我們需要做的是提升這些平台,使它們能真正服務那些透過平台找到差事的人,而不是倒退回1950年代那種保證雇傭關係的就業結構。

歐萊禮和貝佐斯的一封信,竟開啟群眾募資大未來

2000年,我收到程式設計師史托曼的請求。當時發生兩件事,讓他非常擔心︰一是亞馬遜一鍵下單專利申請通過;巴諾書店在網站上添加類似功能,遭到亞馬遜提告。史托曼催促我,身為亞馬遜的重要出版商之一,應該抵制亞馬遜。

「你跟貝佐斯談過了嗎?」我問他。他還沒問,於是我寫了一封電郵給當時還沒見過面的貝佐斯,請他要三思:

主旨:亞馬遜一鍵下單專利

日期:2000年1月5日週三10:03:59

寄件者:提姆.歐萊禮

收件者:傑夫.貝佐斯

我想讓您和您的公司注意,人們希望我公開回應對亞馬遜一鍵下單專利的看法,要我幫忙宣傳對亞馬遜的抵制行動,我拒絕了。但我的確想告訴你們,雖然我不贊同他的做法,但我支持他的主張,在世人都知道之前,把我的觀點告訴你們⋯⋯

亞馬遜已經利用世界上各種免費技術獲得了巨大的競爭優勢。如果其他人都像你們這樣追求自利,試圖留一手,讓這種自相殘殺的環境取代禮物經濟,甚至千方百計阻止他人複製自己的模式,並且大獲成功,那麼不久你就會發現,必須花費更多錢用於開發自己的技術,或者更有可能的是,你們會發現自己再次被商業軟體供應商綁架。

如果你們把自己主要看作是技術公司,那麼你們可能想要玩微軟的把戲,試圖用專有的應用程式介面、文件格式和專利來壟斷技術市場,但是如果你們認為自己是優秀的消費者服務平台和電商公司,就會希望其他人去開發技術平台供你們利用。這也是你們至今為止取得成功的關鍵:你們能夠提供了不起的開放平台,建立垂直應用程式,為消費者提供絕佳服務。申請無謂的專利,只會阻礙這個平台的發展。

我認為亞馬遜是了不起的競爭者,提供了很棒的服務,我不認為你們需要使用這項專利當工具來維持自己的優勢地位。你們不需要它,就能贏了。我堅信從長遠來看,這對你們會是弊多於利。

我知道你們對這個專利的態度非常強硬,要你們立場大轉彎,撤回專利,肯定很困難。但敦請你們做出抉擇⋯⋯我曾在多個場合公開表示,我堅決認為那些從網路上獲利最多的公司有義務要做出回饋。這不僅是為了感謝讓你們獲得成功的開發者,也是為了你們自己,為了讓創新得以持續。

幾天後,我收到貝佐斯的回覆,婉拒我的請求。我決定向公眾公開這個話題,並公布我寄給貝佐斯的電郵和一封公開信,呼籲我的客戶和其他感興趣的人聯署附議。不到兩天時間,我收到一萬份簽名,還有貝佐斯的電話。

貝佐斯爭辯說,這項專利是有效的,因為那時圖書零售業的龍頭老大巴諾書店一直在抄襲亞馬遜的一舉一動,事關亞馬遜的存活,他是合法反擊。但是他同意我的說法有可取之處,開放創新勝過專利戰爭。他說,亞馬遜需要申請專利來保護自己,但是將來這個專利將僅用於防衛。

然後,貝佐斯在公關操作上,漂亮的扳回一城。他提議我們一起去華盛頓特區遊說專利改革。我們真的這麼做了,後來還共同投資一家新創公司BountyQuest,致力於讓「先前技術」為大眾所知。(註:所謂的先前技術,就是以前就存在的技術,如果專利局知道這些技術的話,就會拒絕受理後來的專利申請,或要求申請人說明與先前技術相比,有什麼創新之處。)

BountyQuest本身就是先前技術的很好例子,它是群眾外包最早的實例之一,為後來的創新,如籌集資金網站Kickstarter提供了示範,雖然「群眾外包」一詞直到六年之後才出現。

在貝佐斯的支持下,BountyQuest開始研究一鍵下單,當作是探察先前技術的第一項任務。曾經我和很多人都認為一鍵下單這種所謂的發明,簡直是侮辱公眾的智商,但調查發現,卻讓所有人感到驚訝。儘管發布10,000美元的獎金,居然找不到任何一款軟體,可以實現像亞馬遜的一鍵下單如此簡單的購買按鈕。雖然也重金求到了幾種可能有用的先前技術,但沒有發現「鐵證」。一鍵下單的專利確實是原創。

當下回頭來看,才會覺得這個發明顯而易見。當亞馬遜推出一鍵下單時,我們心裡重新繪製了往日地圖,好讓事物的現狀看起來必然會發生。這不過是地圖重繪力量的必然結果。

丟掉你的舊思維!想看清未來,先搞懂這張圖

在理解未來的時候,要從引力核心的角度去思考,不要老是想著用嚴格的界限來框定範圍。就像太陽的引力完全可以到達冥王星的軌道之外,範圍不僅包括黃道上的行星,還包括有偏心軌道的彗星和小行星。同樣的,改變未來的力量也有一個引力核心,在核心之外,影響力會逐漸衰減,這些互相貫通的潮流趨勢互相影響,又匯聚在一起。

記住這一點,我把這張圖稱為「未來經濟的商業模式圖」。我故意把一些影響因素空著不填,你可以想想,如果是你的公司或是你消費的服務,你會如何填寫。

有些方框我已經填好了,因為對正在開展的未來,這些似乎是最重要的。

未來經濟的商業模式核心要素包括以下幾點:

用資料取代材料:「用資料取代材料」的構想,比「以使用取代擁有」更加強大。是的,隨需提供內容的訂閱模式,與Uber和Airbnb之類的服務,兩者之間有共同的營運原則。把當中的原則進一步擴大,我們就可以更理解現代世界。

當你聽到類似這樣簡明扼要的新概念時,把它加到你的心智工具庫。試著用這樣的概念來理解你周圍的世界,看它如何幫助你以不同的方式思考。

網絡化的市集平台:不只Uber和Lyft,Google、Facebook、亞馬遜、YouTube、推特、Snap、百度、騰訊和蘋果,都是從演算法管理的網絡化市場平台中,獲取巨大力量。他們與20世紀的企業組織之間,已經有根本上的差異。

隨需服務:在TaskRabbit這樣的平台,消費者只需點一下按鍵,就可以雇用臨時勞力,例如搬家工人、居家清潔工或園丁,這種模式就跟Uber和Lyft一樣。透過外包人力平台,你可以進入一個全球化市場,找到專業軟體工程師、設計人員和其他技術人員的短期零工。對於新一代經濟,許多觀察者看到的也就這樣了。

但亞馬遜不也是隨需公司嗎?它有愈來愈多的產品是當天就可送達,當全世界的公司都開始嘗試用無人機送貨,當亞馬遜的自動化倉儲能做到每個包裹的存取只需要一分鐘的人力,大部分工作是由複雜又巧妙的軟體和機器完成,這時隨需服務會變成什麼樣?

隨需送貨只是一個例子,說明了科技公司推出的令人驚奇的服務,是如何成為人們日常生活的一部分。就像史都帕筆下的獨角獸一樣,從稀有變得「平凡如常」,隨需服務正在成為一種普遍的消費者預期。亞馬遜提供了快速、免費的送貨服務,現在對任何一家大型零售商來說,若不提供同樣的服務,幾乎很難與它競爭。

由演算法管理:像Uber或Lyft這樣的公司,用的演算法是運算密集型的,就像搜尋引擎、社交網絡和金融市場的核心演算法一樣。很多情況下,數學最好的公司會贏。最高端的演算法,當然是人工智慧,但是人工智慧也和其他演算法一樣,正變得愈來愈自動化,現代世界的運作已經愈來愈仰賴它們。

演算法系統如何影響我們的社會?若想抓住機會,為我們自己和孩子們創造一個更美好的未來,不只要了解這些演算法的性質正在如何變化,而且要知道為什麼我們最應該害怕的,可能並不是人工智慧的演算法,而是控制我們經濟的那些未經檢驗的演算法。(摘錄整理自《未來地圖》,天下雜誌出版)

未來地圖:對工作、商業、經濟全新樣貌, 正確的理解與該有的行動

提姆.歐萊禮(Tim O'Reilly)/著;黃庭敏/譯

天下雜誌出版

售價:600元

作者簡介

提姆.歐萊禮(Tim O'Reilly)

當代科技知識普及的重要推手,曾兩次引領網路發展方向,是推動Web 2.0、開放原始碼軟體、政府資訊公開、自造者運動等科技革命的先鋒。對未來趨勢與商業模式有準確掌握,被媒體譽為「矽谷先知」。貝佐斯經常邀請他到亞馬遜向內部人員分析技術趨勢。於1978年創辦歐萊禮媒體並擔任執行長至今。

【知名法學家吳修銘剖析注意力產業的影響力】注意力將成為新型態的數位貨幣

$
0
0

以「網路中立性」(Net Neutrality)一詞喚起全球各國重新思考人類數位權力的知名法學家吳修銘,近幾年也把焦點放在關注熱門的「假新聞」議題。最近他更來臺直言,賺取人們眼球的假新聞,其實是注意力產業(Attention Industry)催生的產物。他點出了,越來越多注意力商人的崛起,甚至變成了一整個產業鏈,來競爭和交易人們的注意力。

吳修銘是哥倫比亞大學法學教授,研究領域包含反壟斷、著作權及電信法,擔任過美國聯邦貿易委員會的高級顧問,也曾是美國國家經濟委員會的特別顧問。早在2003年發表的一篇論文中,他率先提出了「網路中立性」概念,影響了十多年來,各國訂定電信規範、網際網路規範時的重要原則或參考概念,就連2017年臺灣通過的「數位通訊傳播法」草案中,也都參考了網路中立性概念,要求數位通訊傳播服務提供者不能附加有失公平的限制,除非法律另有規定。

吳修銘近年更進一步轉而聚焦於注意力交易現象的研究,撰寫了《注意力商人》一書,他結合政治、經濟、社會不同元素的觀點,深入剖析注意力產業,以及討論注意力商人的演化。

注意力產業在無形中,占據人們寶貴的時間,收割人們的注意力,進而販售。為了吸引人們的眼球,這樣的商業模式把焦點放在製造能獲得參與度、創造反應的事物,而越聳動的新聞標題、新聞內容,越能夠吸引目光,因此注意力產業催生了假新聞,使假新聞入侵人們的生活。

假新聞正透過推特和臉書流傳,這兩者也是注意力商人的一種呈現形式,不過吳修銘表示,不論是推特或臉書都無意製造假新聞,只是他們無形之中提供假新聞發酵需要的肥沃環境,假新聞也間接成為他們的副產品。

工廠在生產製造過程中,常會產生污染物質,吳修銘形容,推特和臉書就像是兩座製造「動態狀態」的工廠,而假新聞就好比這兩座工廠在生產過程中,產生的污染物。

注意力商人從平面媒體大舉侵入民眾家中

吳修銘將注意力商人獲取民眾注意力的手法,畫分為4個螢幕演化階段。從獲取注意力的角度,報紙和海報都是吸取注意力的媒介,可視為是第一螢幕時期。注意力產業的崛起,最早可追溯至,報社業者以低價的方式,迅速獲得廣大的讀者群,然後用販售廣告作為利潤的主要來源。吳修銘認為,1883年創刊的《紐約太陽報》是注意力商人的始祖。而在第一次世界大戰時,英國投遞宣傳單招募兵力,及後來納粹的宣傳部,藉控制人民的注意力推行新的信仰,這時期的注意力商人則由國家和政黨扮演。

第二螢幕時期是電視、電影和廣播,各企業看見廣告宣傳可帶來的效益,開始投入更多的廣告費用,藉新媒體的出現,利用節目的休息時間,推播廣告,這讓注意力商人踏入民眾的家中。第三螢幕是電腦與網路,因民眾仰賴他們處理生活中大小事,也讓他們奪走民眾的注意力。 最後,第四螢幕時期則是現代人離不開、放不下的手機,兩大注意力商人Google和臉書,正透過民眾手中小小的螢幕,收割注意力。

吳修銘觀察,過去這兩三年,民眾對注意力商人的意識,逐漸地抬升。然而,保護自我意識和注意力的運動,才正展開,現今只處於第一階段的發展進程,仍有漫長的路要走。吳修銘比喻這個階段,就像是70年代初期環保運動的處境,人們的環保意識正開始發芽,但他也樂觀地看待,並強調大事皆有隱微的開端。

人們也開始採取行動抵抗注意力商人,並且從現今日常生活中,最密不可分的連網裝置,也是注意力商人演化的第四螢幕手機下手。除了有數億支手機安裝廣告攔截擴充程式,有學校為確保學生的受教品質,禁止學生使用手機;有博物館為維護參觀環境,禁止參觀者使用手機;更出現餐廳為保持用餐環境,禁止顧客在店內拿出手機;也有基金會專注在推動保護注意力的運動,如美國的基金會Center for Human Technology,致力於扭轉行動裝置和社群媒體,影響用戶生活品質所造成的「注意力危機」。

好處與便利性掩蓋了副作用

當新穎的事物冒出時,首先,吸引大眾注目的常常只是,新事物帶來的好處與便利性,卻往往遺忘背後的副作用,吳修銘提到,需要經過一段時間的沉澱,等新奇感沖淡後,人們才會開始注意到,新事物帶來的副作用。

從過往可窺知一二,如古柯鹼、鴉片等管制藥品,過去曾作為精神問題或舒緩壓力的解藥,而如今被列為毒品,再到科技發展所推波助瀾的新產物,像是 Google的問世被視為,能解決查詢和獲取資訊,受時間、地點限制的問題;臉書的誕生則被當作,能解決朋友間交流困難的靈丹。

無法掌控自身的注意力,成世代性危機

注意力商人對社會造成的影響,可從個人和組織兩個層面探討,吳修銘歸納兩大個人層面的影響,首先是危害個人的心理健康,注意力商人大量攫取人們的注意力,導致人們的情緒容易受他們推播的內容影響。其次是破壞個人的生活品質,人們困在使用網路和手機的循環裡,因而無法將時間花費在自己想要做的事物上,使得人們不易經營生活,吳修銘更提出警告:「失去掌控注意力的能力,已成為新的世代性危機。」

組織層面,不管是何種類型的組織,則都面臨人們大量的注意力,被注意力商人奪取,而使人們無法把注意力集中,專注在需要執行的任務上,因而影響組織的生產效率。

2020美國總統大選將成注意力產業的角逐場

吳修銘認為,未來注意力產業的走向,還不明朗,不過,即將到來的2020年美國總統大選,將是一個觀測的指標。上屆總統選舉,美國總統川普成功地運用注意力商人的模式,以高曝光量吸引民眾的注意力, 吳修銘表示,川普是利用此商業模式獲利的好例子。

當選後,川普也不斷以發送推文的方式,來宣達政策、表達觀點等,而這些吸引民眾注目的舉止,都非過往美國總統會採取的,吳修銘指出,民眾面對這樣不尋常的型態,可能會產生一股翻轉的反作用力,又或隨著時間,民眾接受、習慣了這樣的舉動,使吸引民眾注意力的型態,變得更為普遍,甚至成為社會「新的常態」。民眾會反擊或接受注意力產業,下一屆美國總統大選的過程和結果,將透露端倪。

注意力產業發展至今,已超過200年,近年也有新的產業變化,注意力商人走向自成一條產業鏈的模式,他們的收益不再只來自於廣告,更來自廣告所推播的自有產品收益,例如美國零售龍頭亞馬遜,近年除了在零售市場耕耘,將觸角伸入醫療領域,還大舉進軍視聽娛樂的市場。

更進一步窺探,就能發現亞馬遜在推播廣告的同時,也透過廣告販售自有品牌的產品,以及自有出品的影劇。吳修銘指出,未來,將有機會看到更多的注意力商人,自己發展出一條龍的產業鏈。

注意力到底價值多少呢?吳修銘表示,或許民眾個人的注意力,不具多少價值,但當數百萬名民眾的注意力,集結在一起,背後所乘載的價值,就不可小覷。他更進一步形容,民眾注意力的價值,相當於加總臉書、Google、電視臺等注意力商人的資本額。注意力並非取之不盡,因此更為彌足珍貴,他預期,「注意力將成為新型態的貨幣,成為最具價值的東西。」

臺灣EDR崛起

$
0
0

近年來端點防禦的市場上,偵測與回應的解決方案(EDR)大行其道,不只國外資安廠商爭相推出產品,也出現了臺灣自主研發的品牌,包含成立已滿30年的防毒廠商趨勢,以及新創公司奧義智慧與杜浦數位安全等3家業者,展現臺灣資安技術的軟實力

區塊鏈技術漫談

$
0
0

自2008年Satoshi Nakamoto發表比特幣技術論文至今,區塊鏈也走了十年之久,暫且拋開加密貨幣等區塊鏈應用是否真能落實不談,區塊鏈在技術上累積的生態,確實頗有可觀之處。

走入區塊鏈的技術應用

任何一門技術能走過十年之久,必然充滿著許多名詞,對於從未接觸過區塊鏈的開發者來說,嘗試觀摩、實作個基本微鏈,就會遇上區塊定義、交易、共識演算、挖礦等名詞,之後,還有支持區塊鏈2.0、3.0概念的各種技術與工具鏈必須認識。單從網路上零散的文件中,試圖釐清這諸多名詞之間的關係,往往只會更令人感到困惑。

若想歷史演進的順序來認識相關的名詞與原理,可以參考《白話區塊鏈》,其中也有關於區塊鏈基本原理的介紹,像是區塊雜湊、加密演算等,可以讓我們認識到,何以區塊鏈具有去中心化、難以竄改、匿名等特性,亦可從加密貨幣的分岔等事件上,認識到區塊鏈的限制等問題。

在認識比特幣的基本原理後,作為一名開發者,可以自行實作個簡單的區塊鏈,這有助於進一步驗證與應用相關原理。關於這部份,我們可參考〈Python Blockchain App〉(https://bit.ly/2I74Evz)或〈Learn Blockchains by Building One〉(https://bit.ly/2fOQsqt),如果你也需要Java方面的實例,可以參考〈Creating Your First Blockchain with Java〉系列(https://bit.ly/2Jazn7x)。

下一步,你也許會想要嘗試挖礦。別想用個人電腦挖掘那些主流的加密貨幣,因為幾乎不可能搶到區塊打包權(加入礦池嘗不到什麼甜頭,就技術學習而言,也無意義),不如試著建個私鏈。

相對來說,以太坊是個不錯的開始。例如,我們可以透過Go語言實作的Geth,來建立私鏈、進行挖礦,然後,試著用Ethereum Wallet做轉帳交易,從中認識一下區塊鏈、挖礦、錢包之間的關係。

然後,可以認識一下Solidity這門合約導向語言,在以太坊上,試著撰寫、部署合約,做些函式呼叫交易之類,甚至進一步基於以太坊ERC-20協議,自己造個ERC-20相容加密貨,或者在瀏覽器試著裝個MetaMask,試著連上自架的私鏈,在自造的加密貨幣上,做些交易。

接下來,要不要繼續玩TestRPC、Truffle,或者更進一步地試試Fabric之類的Hyperledger框架,就是看個人興趣了。不得不說的是,「2019 iT 邦幫忙鐵人賽」下,有不少區塊鏈的文件,可以輔助大家認識區塊鏈的相關主題。

區塊鏈與演算法

就開發者而言,研究區塊鏈技術最大的收穫,應該是接觸到加密、共識等演算法之運用,建議大家不妨深入研究一下實際的演算原理。

以加密演算來說,雖然概念上主要是公開金鑰加密(非對稱式加密),需要有成對的私鑰與公鑰,然而,透過其中一把金鑰加密,必須透過對應的另一金鑰解密,不過,像比特幣使用的SECP256k1是怎麼回事呢?為什麼不是使用RSA演算?

就像在《改變世界的九大演算法》中第4章〈公鑰加密〉,是從混漆法開始談起,說明如何在可聽到對話的第三者存在下,令其無法得知配方又能混出相同的油漆。實際運用於電腦加密時,則是需要有個像是混漆方式,易於計算、但又幾乎不可能還原的演算,而九大演算法介紹了鐘算法,進一步談到了「迪菲-赫爾曼金鑰交換」,但比特幣使用的不是鐘算法,而是基於橢圓曲線數學的橢圓曲線密碼學,相關參數定義為SECP256k1。

這時,私鑰用來產生公鑰,公鑰用來產生比特幣位址,因此,遺失了私鑰就幾乎不可能解密區塊鏈上的資料,這也就是為什麼明明區塊鏈資料存在於各個節點,卻偶有新聞報導,有人因為遺失了私鑰,而使得鉅額的加密貨幣就此鎖死。

此外,參與區塊鏈的各節點,可能出錯或失效,對於最後要由哪個節點來打包交易、寫入區塊的這個問題,正如拜占庭帝國的將軍們共同圍困一座城市,在可能存在反叛者的情況下,對於要進攻或撤離的決策,將軍間如何取得共識。而面對這類拜占庭將軍問題,主要是由共識演算法來解決。

比特幣採用工作量證明(Proof-of-Work),然而對區塊鏈應用來說,耗費大量運算能力並非必要(發幣獎勵也不是必須)。例如,以太坊採用不需耗費大量運算的股份證明(Proof of Stake),Fabric提供solo(單節點排序,用於開發測試)、kafka(多數決)和PBFT(開發中,採三階段協議)等模式。若能認識這些共識演算,就等同於認識了不同的應用情境,這也會是研究區塊鏈的收穫之一。

區塊鏈與時間軸

談到區塊鏈真正的落實應用,各方人馬總有不同想像,例如,基於去中心化(權利解放)、點對點(流程簡化)、匿名性(估且不論法幣兌換、投票時往往還是需要有個身分)等,構築出未來。

然而,在我的想法中,區塊鏈在應用時,主要必須考慮到與時間軸結合的優缺點,也就是如同時間是不停地前進,發生的事情就發生了,你改變不了,而以太坊上的#metoo交易(https://bit.ly/2qUu842)就是成功的應用案例之一(這世界不再有404)。

對於回到時間軸的過去,科學界存在著平行世界之說,而對於區塊鏈來說,試圖回溯曾經發生的交易,則會令區塊鏈產生分岔。

關於區塊鏈的分岔,最著名的案例,就是以太坊上的TheDAO漏洞事件(https://bit.ly/2SsOzVP)。為了奪回被攻擊者轉移的以太幣,在2016年7月,以太幣官方強行分出一條被盜前狀態的區塊鏈,也造成了今日有ETC、ETH兩個分岔,而分岔之後,原鏈依舊是存在的,至於選擇原鏈或新錄,變成了是否堅持「區塊鏈不可竄改(就算有了違法之類的交易)」的價值觀問題。

不可竄改這件事,對部署至區塊鏈的合約也是相同,區塊鏈上無法更新既有合約來修正臭蟲或新增功能。至於一些談及可更新(Upgradable)合約的文件,基本上,是從分離邏輯與資料、代理等技巧(或說是模式),適當地拆分合約元件,若真的有修正臭蟲等需求之時,可透過儘量只部署小部份的「新」合約元件來達成。

這意謂著雖然有著EOS這類合約平臺,但在設計、測試、部署、更新等各方面,區塊鏈上的分散式應用程式(DApp),從一開始就與開發者過往習慣的平臺應用程式不同。而關於這方面的經驗,實際上還處於模索階段,可更新合約的技巧,也是各有利弊,有興趣的話,可以參考〈Contract upgrade anti-patterns〉(https://bit.ly/2N1eaiz)。

開發工具鏈

就幾個區塊鏈工具生態來說,圍繞著以太坊的工具鏈,相對來說是比較建全的。而在合約開發上,也有著Remix這個Solidity前端整合開發環境。雖說如此,在試著將相關工具結合在一起時,還是需要不少功夫與一定的經驗來摸索,這突顯了工具之間的整合,還是處於較為陽春的階段。

在大廠支援的部份,IBM、Google、Amazon、微軟、甲骨文等,都提出或多或少的開發套件,一整個看來十分熱鬧,就像在為區塊鏈背書一樣。從這點來看,無論區塊鏈本身的落地應用是否能真正到來,就技術層面來說,其相關技術在區塊鏈之外,也應當會有其應用的時機與場合。

Tags: 

一周大事:TensorFlow 2.0預覽版以高階API降低學習門檻

$
0
0

Google發布TensorFlow 2.0預覽版,提供高階API降低學習門檻

Google推出TensorFlow 2.0預覽版,加入針對TensorFlow優化過的類神經網路函式庫Keras,Google稱之為tf.keras,來簡化框架的使用,想試用的開發者可以到TensorFlow的新網站,查看教學和相關的說明文件。更多內容

 

微軟告鴻海,郭台銘炮轟:微軟仍是霸權心態

微軟(Microsoft)在美國控告鴻海集團,鴻海董事長郭台銘除了在臉書上發表個人看法,又在鴻海土城總部舉行臨時記者會,郭台銘炮轟微軟仍以霸權心態向手機供應鏈施壓,並質疑其提告動機。更多內容

 

IBM即將在下半年在臺成立客戶體驗中心,預先鎖定5項技術實際案例展示

攝影_李靜宜

臺灣IBM在今年舉辦的新春記者會上,宣布即將在臺成立IBM客戶體驗中心(IBM Client Center),預計今年下半完成建置。臺灣IBM技術長暨業務副總經理徐文暉表示,一旦臺北的客戶體驗中心正式落成後,將成為IBM大中華區繼北京、上海、廣州與香港之後的第5個客戶體驗中心。更多內容

 

微軟釋出Visual Studio 2019 for Mac第三預覽版,採用全新的C#編輯器

圖片來源_ 微軟

微軟為Mac的.NET開發者提供最新版本的IDE,釋出Visual Studio 2019 for Mac第三預覽版,現在開發者可以使用Xamarin創建更小更快的Android應用程式,還更換了跟Windows版本具有相同核心的Unity偵錯器,也能開啟多個Visual Studio實例。更多內容

 

宏碁Cloudgoda平臺要讓企業挑雲就像上網訂房

圖片來源_ 宏碁

IBM正式對外宣布,加入宏碁雲架構服務打造的雲端連接入口Cloudgoda,該平臺整合多雲資源,涵蓋了公有雲和私有雲,主打一站式全方位服務,提供符合企業需求的雲端解決方案。更多內容

 

谷歌號召成立CHIP聯盟,邀請Linux基金會一同推動開源晶片設計

圖片來源_ 開放晶片聯盟

過去昇陽、IBM分別推過OpenSPARC及OpenPOWER專案,但前者在昇陽被甲骨文買下就死了,後者則仍然由IBM主導,並非真正開放。Google等四家廠商和Linux基金會宣佈,Linux基金會將為CHIP聯盟專案(CHIP Alliance project)代管開源晶片裝置設計相關的開源程式碼,協助擴大開源晶片生態圈。更多內容

 

畢業生搶人大戰啟動,金融業跟科技業大搶數位人才

攝影_翁芊儒

「金融區找不到國泰,在科技區第一排。」3月9號在台大徵才博覽會這個企業年度徵才主要活動中,國泰金控打破歷年慣例,首次將自家攤位從「金融區」搬到了「資訊科技區」。今年國泰金融集團預計釋出約5,200個職缺,其中數位科技人才的比例因應趨勢提升。更多內容


當監控成為一門好生意

$
0
0
如果出版

試想一下,如果美國政府通過一條法律,要求所有民眾都攜帶一個追蹤裝置,這條法律馬上會被認定違憲;但是我們不管去哪裡都帶著手機。地方派出所如果要求我們每認識一位新朋友,就要向它回報,全國人民都會起而反抗;但是我們卻會通知臉書。國家的間碟如果要求我們繳交所有對話和通訊內容的副本,人們會拒絕;但是我們卻會把副本交給電子郵件服務供應商、手機服務供應商、社交網路平臺和網路服務供應商。

這種排山倒海而來的大量監控都是企業組織做的。它會發生,是因為我們表面上同意了這件事。我並不是說,我們是有根據地決定同意這件事。我們會接受它,要不是因為我們從企業的服務中獲得好處,就是我們拿到的是全套交易,其中就包含了監控,而且除了接受以外別無選擇。

這裡主要是在講網路監控,但是別忘了,每一樣東西都已經(或遲早都會)連上網路。在以網路相連的世界裡,網路監控真的是全面監控的速成手段。

網路監控

所有企業網路監控的主要目的都是廣告。有小部份是為了市場研究和消費者服務,但是這些都是次要的,主要目標還是為了更有效地賣東西給你。

網路監控傳統上是靠一種叫做cookie的東西來運作的。這個名字聽起來無害,但是它的專業定義「永久性識別碼」(persistent identifier)可就正確多了。cookie本來不是要用來當成監控工具,其設計的原意是要讓瀏覽網路更容易。網站本來不會記住你每一次的造訪或點擊,cookie提供了解決之道。每一個cookie都包含了一個獨特的號碼,可以讓網站認出你。所以現在當你在一間網路商店的網站上四處點擊時,你就等於不斷地告訴這個網站:「我是六○八四三一號客戶。」網站可以依此找到你的帳號,把你的購物車連到你的帳戶,當你下一次造訪時仍記得你等等諸如此類的事。

許多公司很快就發現,它們可以在其他網站的網頁上設定自己的cookie──只要經過對方的允許,並且付費享有這個特權──於是,第三方cookie就由此產生。像是雙擊公司(DoubleClick)(二○○七年被Google收購)這種企業,就開始在許多網站間追蹤網路使用者。從此,廣告開始跟著你,你在網路上逛到哪兒,它就跟到哪兒。你去研究某一輛車、某個度假勝地或某種疾病症狀看看,那麼接下來的幾個禮拜,你將在造訪每一個商業網站時看到那輛車、那個城市或那個疾病相關藥物的廣告。

這已經演變成密集、強大又有利可圖得嚇人的監控架構。你上網後,幾乎所到之處無不受到眾多公司和資料仲介商的追蹤──這個網站上十間不同的公司在追蹤你,而另一個網站有十多間。臉書會在每一個有「臉書按讚」連結的網站上追蹤你(無論你有沒有登入臉書),Google則會在每一個有「Google Plus+1」連結的網站追蹤你,或是只要這個網站使用Google分析來監控它的網站流量,你也會落入Google的追蹤。

大部分追蹤你的公司,它們的名字你聽都沒聽過:盧比根(Rubicon Project)、艾森那(AdSonar)、寬射(Quantcast)。如果想知道誰在追蹤你,你可以安裝一個能監視cookie的瀏覽器外掛程式。我保證你會目瞪口呆。一位記者發現在三十六小時內,有一○五間公司在追蹤他的網路使用。二○一○年,當你瀏覽一些看似無害的網站(像是Dictionary.com),它們會在你的瀏覽器上安裝超過兩百個追蹤cookie。

你的智慧型手機也沒什麼不同。應用程式同樣會追蹤你。它們追蹤你的位置,有時會下載你的通訊錄、行事曆、書籤和瀏覽紀錄。二○一三年,饒舌歌手Jay-Z與三星攜手合作,人們只要下載某個應用程式,就可以在Jay-Z新專輯發行之前先聽為快。這個應用程式要求查看手機上的所有帳號、追蹤手機的位置,還有追蹤使用者用該手機跟誰講電話。憤怒鳥遊戲甚至會在你沒有在玩遊戲時,蒐集你的位置資料。

康克斯特(Comcast)這類的寬頻公司也會監控它們的使用者。最近它們主要在監控你是否非法下載有版權的歌曲和影片,沒多久後也會針對其他的應用軟體。威訊無線(Verizon)、微軟和其他公司則在發展數位機上盒,它可以監控房間內的情形,然後根據這些資訊來提供廣告。

這比較不像是「監控老大哥」(Big Brother),而是數以百計打小報告的小老弟(little brothers)。

如今的網路監控遠比cookie還窮追不捨。其實,一場小型的軍火競賽正在上演。你的瀏覽器具備強大的控制功能,可以封鎖或刪除cookie,許多人都已經啟動這個功能,不要懷疑,甚至連Google Chrome也有。DoNotTrackMe 是最受歡迎的瀏覽器外掛程式之一。而網路監控產業則用flash cookie反擊──它基本上是類似cookie的檔案,跟Adobe Flash Player 儲存在一起,即使瀏覽器刪除了cookie之後,它仍然存在。你如果想封鎖flash cookie,可以安裝FlashBlock。但是還是有其他方式可以專門追蹤你, 它們的名字深奧難懂, 像是evercookies、canvas fingerprinting 和cookie ynching。二○一四年,研究人員發現不僅是行銷人員,甚至連白宮也違反了自身的隱私政策而使用evercookie。我會在第十五章提供你一些防堵網路監控的建議。

cookie本身是匿名的,但是企業組織愈來愈能把它們與其他資訊進行相關性比對,然後認出我們的身分。你會心甘情願讓許多網路服務識別自己的身分,通常只靠使用者代號達成這件事,不過現在愈來愈多的使用者代號會與你的真實姓名連結在一起。Google試圖強迫執行「實名政策」,規定使用者必須用法律上的名字來註冊Google Plus,直到二○一四年才廢止這項規定。

臉書基本上要求你的真實姓名。任何時候,當你在一個網站使用信用卡購物時,你的真實姓名就會跟這筆交易的相關公司所設下的cookie連在一起。你在手機上的所有瀏覽行為,都會與你這支手機的擁有者連在一起,儘管你瀏覽的網站或許不知道。

免費與便利

監控會成為網路的商業模式,主要有兩個原因:人們喜歡免費以及便利的事物。事實上,人們也沒太多選擇。要不就是受監控,要不就是一無所有,而監控狡猾地隱而不顯,所以你並不需要思考這一點。這一切之所以能夠成真,都因為法律沒有跟上商業行為的改變。

「免費」是一種特別的價碼,而且各種心理研究都顯示,人們對於「免費」的行為很不理智。我們會高估免費的價值。當某個東西不要錢的時候,我們的使用量會超過我們本該使用的程度,我們也逼別人去消費它。免費扭曲了我們對成本以及獲利的常識,而最終,人們拿個資換來一些較沒有價值的東西。

當公司企業刻意確保使用者不會注意到隱私議題時,這種低估隱私重要性的趨勢便日趨嚴重。登入臉書時,你沒有想過你洩露了多少個人資料給這間公司,你只想到在臉書跟朋友聊天。早上醒來時,你沒有想過自己正允許一大票公司整天追蹤你,你只是把手機放進口袋裡。(摘錄整理自《隱形帝國》)

隱形帝國:誰控制大數據,誰就控制你的世界

布魯斯.施奈爾(Bruce Schneier)/著;韓沁林/譯

如果出版

售價:480元

作者簡介

布魯斯‧施奈爾(Bruce Schneier)

國際知名安全科技專家,被《經濟學人》稱為「安全大師」,曾親自採訪潛逃俄羅斯的前國安局僱員史諾登,並受邀對美國國會議員講解國安局的監控行動。著有十二本書,包括《當信任崩壞》及《應用密碼學》(Applied Cryptography)。

【拒絕郵件詐騙,從帳號安全與收信安全做起】2019使用者郵件安全指南

$
0
0

近年不曾停止的釣魚郵件威脅,一直是網路犯罪者的最愛,因為不需太複雜的技術就可以讓用戶上鉤,回顧2018年的各式大小新聞事件,仍然不少與郵件安全相關。

儘管這些新聞事件,已經不斷提醒使用者要注意,但還是有許多民眾,遭到社交郵件工程手法所引誘,並缺乏基本的安全概念。

就像詐騙電話的社會新聞不斷,若民眾警覺心不足,而相信對方的話術,就可能上當受騙,政府執法單位也不斷宣導,希望避免民眾受害。詐騙郵件也是如此,網路犯罪分子透過各式假冒的內容,以及種種夾帶惡意程式、連結的方式,讓使用者誤信而上當,就是要讓電腦中毒,或是竊取用戶帳密,又或是騙取金錢等。

過去幾年,iThome其實也報導過許多企業郵件安全的議題,包括像是商業電郵詐騙猖獗、重新認識釣魚郵件威脅,以及企業郵件安全防護方案、社交工程演練服務等。

而提升企業員工郵件資安意識的重要性,也是重要的一環。不過,企業在教育宣導時可能不知如何著手,除了透過演練的方式來加強,在各式郵件引起資安新聞事件中,不論執法單位與資安公司,也都有論及一些基本的使用者自保要點,只是這些資訊較為零散,加上郵件安全防護面向廣大,因此,這次我們期望整理成一份基本的自保之道,以提升使用者郵件防護意識。同時,也期望讓企業與用戶,能夠以此統整出更全面或是適合自身的教戰守則。

對於釣魚郵件、惡意郵件用戶該如何自保?簡單來說,一些基本的網路安全知識不可少,要知道所有機制都有被利用的可能,風險無處不在,只要有使用就該有基礎的安全概念。這裡我們歸納了兩大安全面向,包括帳號安全與收信安全,讓一般民眾能有更多郵件安全的風險概念,以及簡單的遵循方式。

 去年10月開始,專騙一般民眾的郵件詐騙手法激增,對方聲稱知道你的密碼,甚至竄改寄件者為自己,並以恐嚇方式騙取比特幣 ,要讓民眾誤以為自己真的被入侵。而這樣的詐騙信件,其實突顯了使用者在不同網站服務,使用同一組帳密的不安全性,以及帳密外洩的狀況確實嚴重。

強化電子郵件帳號安全

在郵件帳號安全方面,使用者應該要有一些基本的認知,首先就是做好基本的密碼安全管理與保護,簡單的兩大原則,例如:(一)郵件帳號的登入,不要設定他人易於猜到或破解的帳號密碼。(二)開啟兩步驟或多因素驗證來強化帳號安全。

接下來,我們將一一說明兩大原則。首先,第一點,對於一般民眾而言,容易輕忽電子郵件帳號的密碼設定問題,在註冊時就往往可能因為要方便記憶,而使用簡單易猜的密碼,像是「111111」、「123456」、「12345678」等符合最低字元數要求的數字密碼,以及「password」、「iloveyou」、「P@ssword」等常用單字組合,又或是「qwerty」等鍵盤上的橫排。

拒用懶人密碼

儘管一些電子郵件業者,會要求禁止設定易於破解、規則簡單的弱密碼,最主要原因就是一些懶人密碼,在全球可能成千上萬用戶如此設定,等於駭客利用這些密碼來破解的可能性大增。

因此,重要的網路服務更應該避免使用,像是個人主要的電子郵件帳號。

不要以自己的手機、身分證等個資當密碼

此外,同樣是為了方便記憶密碼,不少用戶可能以自己的個人資訊相關,如身分證字號、手機號碼當成密碼,或是設定了符合複雜度要求的密碼,但在不同雲端服務使用同樣的帳號與密碼,這些的作法也不夠安全。

相信民眾對於個資外洩事件應該並不陌生,這類新聞時有所聞,因此用戶密碼設定要更謹慎。已經有不少案例,像是國內有犯罪集團透過個資猜出用戶電子郵件密碼,進而將用戶網路銀行盜轉。

如果要設定強度足夠的密碼,又要能讓自己記住,其實每個人可能都有一套自己的方法。舉例來說,以下密碼組合23$%0920654321FA,是透過鍵盤排列大小寫,加上非一等親的朋友電話號碼,再搭配單字、縮寫或參數組合而成。

如用戶沒有使用密碼管理工具,這可能也是一種變化的方式,但如果未來密碼有變動,也要記得,變化前後的規則也要避免容易被猜到。

使用多個雲端服務時,不要設定同一組帳號密碼

在國際間,更多的是利用已經外洩的帳號密碼,以自動化方式嘗試登入不同雲端服務,也就是說,若使用者以同一組帳密在不同網站服務,若其他網站帳密外洩,也等於自己的郵件帳密遭外洩。

因此,在不同網站服務最好不要使用同樣的密碼。由於大多數網路帳戶,都是以個人郵件信箱為帳號,至少使用者該注意到的一點是,各式網站服務的密碼,不要與郵件信箱的密碼相同。

更重要的是,由於近年資料外洩問題嚴重,更有人將所有洩漏的帳密集結成一大包,使用者如果知道自己帳密外洩,就應該立即從正確管道,去更改密碼,不要偷懶也不要怕更改密碼。若要知道自己的帳號密碼,是否曾經被駭過,網路上也有Have I Been Pwned等網站能提供查詢上的幫助。

建議使用較安全的雙因素認證

另一方面,現在使用的主流雲端電子郵件服務,普遍都提供了兩步驟或雙因素驗證,是普遍保護用戶郵件帳密常建議的方法,只是,但還是有不少用戶沒有採取行動。

用戶該知道的是,這可以讓自己的郵件帳號多一道保護的關卡,也就是在輸入密碼之外,還要另一個驗證程序,像是用手機接受通知以確認,或是使用安全金鑰驗證身分,才不致於讓密碼被他人竊取,就能直接登入。

此外,一般民眾也要從相關新聞資訊得到概念或教訓。

舉例來說,各式網路帳密外洩的新聞事件,都是在提醒用戶,一旦收到帳密外洩通知,要知道去修改密碼,並注意該網頁不是釣魚網站,也要小心自己是否使用同一組密碼,在其他服務。

還有像是密碼管理業者公布的最常見密碼,其實意謂著使用者要避免使用的密碼,而對於密碼難記的問題,不少專家也鼓勵一般用戶使用密碼管理工具,來降低記憶各種網路帳號及密碼的困擾。

應啟用雙因素驗證以強化帳號登入安全

帳密外洩事件頻傳,為了確保帳號安全,使用者應該要啟用多因素認證機制來保護,如此一來,使用者將可用自己的手機,或是硬體安全金鑰裝置,做到更進一步的郵件帳戶身分驗證,才不會讓密碼被他人竊取後就能直接登入,畢竟資料外洩的問題是外在環境已經存在的現況。

電子郵件收信需提高警覺

在郵件收信安全方面,一般民眾也可以把握三個大原則,避免自己遭受到釣魚郵件、詐騙郵件與惡意郵件的威脅。簡單來說,就是(一)對於陌生寄件者與可疑信件,要有警覺。(二)不輕易開啟郵件中的附檔,以及網址連結。(三)應該要從不同得管道,確認信中資訊的正確性。

基本上,這些原則套用在即時通訊上也是可行。

一般而言,現在電子郵件服務都會搭配防毒、垃圾郵件過濾,或是一些資安防護措施,幫助用戶過濾大部分的威脅,但再好的機器也只是機器,使用者的經驗判斷仍是最後一道防線。要建立警覺性,民眾就是要先體認到風險無所不在。

接下來,我們將說明依循這三大原則的原因與注意細節。

不隨意開啟陌生寄件者的來信

要如何識別可疑的郵件呢?

其實有幾個徵兆可以注意,像是陌生寄件者的來信,以及帶有引誘的標題與內容。

關於陌生寄件者的概念很簡單,就像陌生人給的糖果不要吃,自己應思考的是,我為何會收到這封郵件。

看到優惠、情色、時事等誘人與引發好奇的內容,要有戒心

對於與個人或公事無關的郵件內容,自己也應意識到,通常根本沒有開啟的必要性,像是聲稱有好康優惠訊息,腥羶色聞、時事話題,或是金錢、交易與借貸的廣告內容。

看似可信、熟悉的寄件者,也可能是被竄改仿冒,或遭盜用

若是只開啟熟悉寄件者的信件,但用戶還是必須知道,寄件者有被竄改或盜用的可能性,以及其他種種狀況。

最要有所警覺的是,那些看是正常的假冒重要郵件,或著是系統通知信。

使用者該要有的安全意識是,為何對方傳來這封信,是否寄件者真的代表對方身分,對於郵件內容也要有所警覺,是否可能是詐騙行為。舉例來說,偽冒的系統通知信,讓使用者誤信帳號已遭檢舉為垃圾帳號,需於24小時內立即點選信中夾帶的連結,以進行帳號安全性確認。

還有像是收到熟悉的人所轉寄的信,自己也該意識到,是否有可能對方根本沒看信,就直接轉寄。民眾只要了解有這樣的現象,這時就能知道一件事,並不是認識的人寄出的郵件就沒問題。而這樣的狀況,也同樣會發生在大家熟悉的即時通訊軟體上。

惡意或釣魚郵件也可能偽裝成系統通知信的型態

對於信中夾帶的網頁連結,使用者要有風險的認知。但駭客使用的手法多元,例如會假冒成系統通知信,就是要讓使用者不慎中招。因此,使用者應注意不隨意開啟陌生寄件者的連結,也要知道寄件者有被竄改的可能,並且對網頁連結的欺騙方式要有基本認知,察覺信中夾帶的連結可能有問題。

如果你沒有足夠的網路安全概念,最好辦法就是置之不理

另一方面,對於郵件附檔與連結的安全性問題,這裡牽扯到的是民眾對於檔案與網頁連結的安全認知。首先要知道的概念是,檔案是否可能含有惡意程式,網站是否可能是惡意網站、釣魚網站。

如果民眾連基本的網路安全與風險概念都沒有,在自己無法確認的情況下,通常最安全的作法就是,千萬不要輕易點選或開啟。

就像前面所提,即便真的真的覺得郵件是認識的人所寄,或是看起來很像系統通知信,民眾對於信中連結與附檔,還是要培養一些基本的網路安全認知,除了要能判斷文字上的各式詐騙內容,還要有基本的網址、檔案格式,以及邏輯上的判斷。

接下來,我們也將進一步針對連結與附檔,說明一些簡單的網路安全概念與警覺點。

對於網頁連結常見的欺騙方式,要有基本認知和判斷能力

舉例來說,在郵件中提供的連件,如果連結上的文字顯示為www.yahoo.com,當滑鼠移過時卻顯示為www.yahooyy.com,就要警覺有問題而不能點選,還有更多不易判別的狀況,像是www.yahoo.hinet.com,這樣的網域其實是屬於Hinet,而不是Yahoo,以及短網址也無法立即識別。

而且,若是使用者點擊連結後看到的網頁模樣,也不該信以為真,因為他人可以將網頁設計的很相像。

在可疑的網頁連結之外,民眾必須知道,即便正常網站也是有可能在某段時間被注入惡意程式等。或者是網站的廣告被暗藏惡意程式。因此,電腦本身的漏洞修補與防護,也不能少。

對於開啟檔案的可能風險,要有基本概念和顧慮

郵件附檔也是如此,即便是熟悉寄件者的來信,也要注意盡量不要開啟高危險的檔案格式,像是.EXE、.JS、.JAR等,儘管現行一些郵件系統也會預設阻擋一些高風險的檔案格式,但一般用戶更應該先思考的是,為什麼會收到這種檔案格式的附檔?

還要注意的是,文件與壓縮檔也可能暗藏危機,例如近年一些攻擊手法就是在微軟Word、Excel文件中,夾帶惡意的巨集,或是能在PDF文件藏有JavaScript,或是將惡意軟體藏身在壓縮檔內,使用者不容易一一識別。

當然,如果用戶擔心檔案或連結有問題,有些人可能會想到上傳到Virus total網站檢查,這是一種查驗方式,但也必須要有一些觀念,像是還是可能有沒被偵測出的狀況存在,此外,也要有不應將重要檔案隨意上傳的安全意識。

夾寄Office文件也可能暗藏惡意巨集

對於郵件夾帶的附檔,使用者同樣要有開啟檔案後的風險認知。使用者應注意不輕易開啟郵件附檔,對於高危險性的執行檔,如EXE等更要小心為何會收到這類副檔格式,甚至要知道,看似無害的微軟Office文件,也可能藏有惡意巨集等,一旦開啟使用者千萬不要亂點而啟用巨集。

注意手機上的收信風險

不僅如此,在手機上的收信也要特別當心,例如,在手機郵件介面要檢視夾帶的真實連結並不夠直覺,需要對著超連結長按才會跳出相關資訊,很容易發生誤點的情況。

而且,手機上的系統防護也相對較為缺乏,因此在手機上收信,對於夾帶的連結與附檔,更要注意。

在手機上檢視郵件細節不易,更要提高警覺

由於手機螢幕的介面較小,因此要檢視寄件者電子郵件信箱,以及信中所夾帶的網址連結,都比較不直覺,而且手機上的系統防護也不如電腦,郵件附檔下載的風險也較高。(圖片僅說明手機檢視郵件的風險,不代表圖中來信有問題)

善用多方查證的方式,有助於判斷郵件內容的真偽

另一方面,為了判斷郵件內容的真偽,民眾應該要有從不同管道確認資訊的概念。

有警覺性的用戶就會發現問題,察覺可疑之處,若是沒有警覺性的人,由於近年流行的許多詐騙話術各式各樣,透過網路查詢,或是向朋友、同事詢問,都是再次確認的一種方式。當然,查詢確認也還是有需要注意的部份。

舉例來說,像是近期許多用戶收到聲稱知道使用者密碼,並勒索比特幣的郵件,不清楚也可在網路上查看,是否有人遇到同樣狀況,原因是什麼?以及該如何處理。

與金錢交易轉帳有關的事務,務必從第二管道向對方確認

更要注意的是交易匯款方面的內容,像是近年商務上就出現突然變更交易匯款通知的手法,這時應該要有所警惕,務必從第二管道與對方確認。

電腦本身安全防護也應注意

最後,在上述的郵件帳號安全與收信安全之外,要避免郵件所引發的各式威脅,在基本的電腦安全防護中,也有兩大必要的原則,分別是:(一)做好作業系統與軟體的安全更新,(二)啟用電腦的安全防護軟體。

這兩種基本的電腦防護,算是很基本的要求。而且,如同前面所提,一旦用戶不慎連到惡意網站或執行惡意程式,只要系統或軟體漏洞已被修補,或是被端點安全軟體阻攔或封鎖,就還有機會保護自己的電腦不受這些惡意威脅。

簡單而言,每個系統與軟體都有漏洞,有的輕微有的嚴重,因此業者也會一段時間就發布安全更新,將這些已知的漏洞修補,不僅是電腦作業系統本身,還有像是Flash、瀏覽器、微軟Office、Java與PDF檢視器,以及各式各樣的軟體、韌體等。由於各系統軟體的預設不同,有些會自動更新,有些則不會,因此使用者應要定期執行與檢查。

此外,各式端點進階威脅防護方案,不論是作業系統本身內建,或是資安業者提供的端點防護產品。對於一般民眾而言,安裝防毒軟體仍是一種簡單的方式,多一道保護的關卡,同時也應定期執行防毒掃描與更新病毒碼。

使用者郵件使用七大安全重點

 重點1 不要使用同組帳號密碼

 重點2  若得知帳密外洩,記得從安全管道變更

 重點3  對陌生寄件者與可疑信件要有警覺

 重點4  不輕易開啟郵件中的附檔與連結

 重點5  從不同管道確認郵件內容正確性

 重點6  落實作業系統與軟體定期安全更新

 重點7  啟用電腦的安全防護軟體

認識電子郵件使用上的風險

不要輕忽電子郵件帳密外洩的風險!

用戶自己必須認識這些風險的存在。畢竟,用戶主要電子郵件帳號被入侵,所衍生的風險太多,不僅是裡面存放了許多個人重要資料,許多雲端服務忘記密碼要重新驗證,電子郵件也是接收認證碼的管道之一,另外,也可能被他人偽冒成用戶本身來詐騙自己的聯絡人。

不該輕忽電子郵件附檔與連結的風險!

無論如何,民眾應該對於網站連結與檔案的安全有基本的認知,才能對於郵件夾帶的連結與附檔有所警覺。例如,信中夾帶的連結可能是釣魚網站、惡意網站,可能導向假冒的網站藉此詐騙,誘使用戶提供帳號、密碼,甚至是信用卡號碼等敏感資訊,或是透過程式漏洞等方式將惡意程式植入電腦內;還有,信中夾帶的附檔可能含有惡意程式,引誘使用者主動去執行,像是導致電腦被勒索軟體加密,或是被植入木馬程式與後門程式。

另外,詐騙話術各式各樣,使用者若是輕信詐騙信的內容,就跟接到詐騙電話一樣危險。同時,對於交易匯款的內容更要當心,要知道跟你通信的可能不是你以為的對方,自己若不慎把錢轉到詐騙帳戶,將帶來嚴重損失。

總統盃黑客松開跑,邀全民一起來許願

$
0
0

去年首次舉行的總統盃黑客松,今年競賽在3月17日到4月14日開放報名,和去年略有不同,這次競賽在官網設立「公民許願池」,開放民眾提出待解決的問題,鼓勵參賽的高手運用政府開放資料幫大家解決問題。

第二屆總統盃黑客松以「智慧國家」為主題,公佈了六項競賽議題:開放治理、跨域合作、產業發展、全球夥伴、國家永續及城鄉創新,讓各級政府透過交流合作,向「智慧國家」的目標前進。

今年還特別開放民眾在官網的「公民許願池」提出想要解決的問題,行政院科技會報辦公室執行祕書蔡志宏說明,大家可以將心裡積了很久的想法,或是創新的點子、政府遲遲沒有解決的問題,以50字以內簡短明瞭的方式說明,在許願池中提出,由民間的資訊高手和政府的開放資料,透過數據分析予以解決。

競賽活動網站已在3月7日到4月5日開放民眾許願,不只是公民,蔡志宏表示,也歡迎地方縣市政府首長提案,提出地方政府的需求或問題,藉由競賽為地方來注入活水。民眾提出的問題或是點子,經過數據分析找出解決問題的關鍵,鼓勵有意願、興趣的人認領並予以實現,幫全民「還願」。

除本地團隊報名,今年也有三個國際團隊報名參加黑客松,增加和國內團隊的觀摩交流機會。所有報名團隊經過初選、複選、決選,如同去年競賽將評選出五個卓越團隊,頒發獎盃,並可透過抽籤方式和神祕喜賓共進晚餐,目前尚未公佈神祕嘉賓身份,但是據主辦單位透露的訊息,可能是政府團隊中的名人。

代表行政院院長蘇貞昌致詞的副院長陳其邁表示,政府推動亞洲矽谷方案,旨在推動創新,透過協作及共享的精神,政府能夠開放資料,加上跨領域的公私部門合作,共同解決問題。如同科技的發展來自於人類的需求,政府存在的目的也在解決人民的問題, 但他打趣地說,有時候政府本身就是個問題,政府的問題需要解決,才能讓民眾的問題也獲得解決。期待經由跨領域的合作促成政府改革再造。

行政院數位政委唐鳳說明,不論是資安領域的駭客,或是公民議題領域的黑客,精神都在於系統中找到問題點,不同的是,駭客可能基於私欲謀利或基於系統安全通報業者修補,而在公領域的系統中發現問題或漏洞,以創新的方式予以解決,就是公民駭客。黑客文化是將發現的問題視為機會,例如在去年的黑客松中得獎的五個團隊之一,搶救水寶寶,利用數據分析發現漏水,將漏洞偵測的分析方法分享給其他有類似問題的政府使用,也將解決問題的過程自動化處理,同時基於完全開放的態度讓其他人也能使用、學習。

去年總統盃黑客松競賽共有104個隊伍報名,最後五個團隊勝出,其中「搶救水寶寶」利用大數據及機器學習技術,更快偵測漏水位置及預測漏水的可能性,已在臺灣自來水公司推動中,而「救急救難一站通」解決急救時跨單位溝通的問題,將EOC緊急醫療應變中心、消防局、衛生局、醫院、救護車整合在同一平臺;「零時差隊」則以電子表單自動化、電子病曆資料共享、電子簽章簽核、視訊會診,改善離島地區空中轉診的醫療照護問題;「永不回頭」以機器學習、人工智慧技術建立家庭為中心的風險預警管理系統;「法扶-如虎添翼隊」從據分析改善法律扶助資源管理。

今年總統盃黑客松競賽,除了政府已開放的資料外,行政院科技會報辦公室執行祕書蔡志宏補充說明,根據民眾的問題,也會協調各部門開放尚未開放的資料,以去識別化、統一格式的方式開放競賽團隊使用,如同去年競賽,今年獲選的五個團隊,其提供解決方案經過評估,在有需要且可行下,會被安排在公部門中落實,也是對獲選團隊最大的獎勵。

Linux基金會發布全新開源孵化平臺CommunityBridge,可提供募資、資安、人才媒合三大功能

$
0
0

Linux基金會宣布為開源開發者社群建立CommunityBridge平臺,為開源專案提供資金、安全以及人員三項關鍵資源,以幫助開源社群發展的可持續性、安全性和多元性。

即日起,Linux基金會將會為選定的專案、成員或是組織,提供資金、安全以及人員三大CommunityBridge平臺資源。而且為了獎勵早期申請者,使用該平臺不只不需要支付任何費用,且Linux基金會將吸收任何平臺以及運算資源費用,直到該平臺成功募集第一個1,000萬美元資金為止。

在安全方面,Linux基金會表示,CommunityBridge平臺提供豐富的安全性服務,像是掃描服務,能為開發者提供上游相依專案的相關資訊、安全漏洞、使用報告或是授權等細節。另外,還附加了臭蟲賞金專案,提供可重複的錯誤報告以及日誌資料,幫助開發人員提高專案的安全性以及強健性。

CommunityBridge平臺包含指導配對服務,能為學員尋找到適合的導師,或是為專案尋找捐助者以及新的開發者,而Linux基金會為了提升開源社群多元性,還提供Diversity Stipends Matching獎勵計畫,目的是要促進開源社群多元發展,為在技術與開源社群中,代表性不足或是邊緣化群體的學員,包括LGBTQ、婦女、有色人種或是殘疾人士等族群,提供100個名額3,000美元的獎勵津貼。

從簡單到繁複的OAuth2

$
0
0

第三方應用程式在無法取得使用者名稱、密碼的情況下,想對社交網站請求使用者私人資源,現今最常見的方案是採用OAuth2,而作為OAuth2客戶端,只要遵守社交網站規範的流程就可以了。

若進一步想瞭解授權伺服器、資源伺服器的具體實作,此時,我們該怎麼面對一大堆的觀念、術語,以及參數呢?

從基本驗證到客戶端憑證

OAuth2授權的框架,主要規範於RFC6749。從核心概念來看,對於客戶端(Client)與資源擁有者(Resource Owner)之間授權的流程,會獨立出來──由授權伺服器(Authorization Server)核發存取令牌(Access Token)給客戶端,而客戶端向資源擁有者提出請求時,必須出示存取令牌,接著,資源擁有者可以透過令牌來取得相關授權資訊,然後,再決定是否允許客戶端存取受保護的資源(Protected Resources)。

雖然,資源伺服器最終都是看存取令牌做事,不過,該如何核發令牌?

OAuth2有許多角色定義(方才只提到部份),並依它們之間的互動方式,規範出四種授權類型流程(Grant Type Flow),其中涉及了大量參數,然而,初次接觸OAuth2的開發者,經常又從授權碼(Authorization Code)的類型開始認識,這時,大家應該都曾有瞬間墜入五里霧的感覺。

在採用OAuth2的場合之前,更簡單的作法,其實是運用基本(Basic)驗證的場合,像是有個伺服器,必須具有憑證才能存取,基於名稱、密碼的基本驗證就夠用了。

不過,如果有多臺伺服器都有限制存取的需求,每臺伺服器都須執行名稱、密碼驗證,就會顯得麻煩了,這時,就可考慮OAuth2的客戶端憑證(Client Credentials)核發流程。

而在OAuth2當中,使用者(User)與客戶端是分離的兩個概念。使用者通常是個擁有帳戶的人,客戶端是指某個應用程式(前端網頁、App、伺服器等),在OAuth2客戶端憑證中,基本上,沒有使用者參與,而且,通常也不會有Role-based存取控制中的角色概念,取而代之的是範疇(scope)──客戶端會被授予範疇,類似Role-based存取控制中,使用者會被授予角色。

OAuth2客戶端憑證就像是基本驗證的延伸,每臺要限制存取的伺服器上,會設定哪些資源只允許具有某些範疇的客戶端存取。

而這類似於Role-based得存取控制中,某些資源只允許具有某些角色的使用者存取,客戶端必須提供存取令牌,伺服器依令牌取得範圍(scope)資訊,從而決定是否可以存取資源。

因為OAuth2客戶端憑證沒有使用者參與,適用於內部伺服器之間的資源存取,對授權伺服器請求存取令牌時,必須提供客戶端ID與密鑰(Secret)──前者像是社交網站上要接API時的應用程式名稱,後者就像是應用程式密鑰了。

擁有使用者時的密碼憑證

當授權過程涉及使用者,有些資源會基於使用者、角色來進行存取控制,OAuth2提供了密碼憑證(Password Credentials)核發類型,某些程度上,也是最簡單、容易理解的類型,因為就像是傳統驗證授權的延伸,使用者在客戶端輸入名稱、密碼,客戶端對授權伺服器請求核發存取令牌,在資源伺服器上,就可依令牌取得使用者的角色等資訊,決定是否符合某資源的角色設定。

除了使用者名稱、密碼之外,密碼憑證核發的類型在請求核發存取令牌時,也必須同時提供客戶端ID與密鑰,授權伺服器會依此決定客戶端被授予的範疇,因此除了依角色來限制資源存取之外,運用OAuth2密碼憑證時,還可以為不同客戶端設定各自的資源權限。

運用密碼憑證核發流程的情境,通常是客戶端與服務屬於同一個單位,該單位本身就擁有使用者的帳戶資訊,由於服務伺服器只要認同存取令牌就可以存取,也能用來實現 Single Sign-On,也就是一次登入,就可使用各個獨立服務的功能。

在採用密碼憑證核發類型時,授權伺服器可以決定是否同時核發更新令牌(Refresh Token)──其有效期比存取令牌來得長,可在存取令牌過期之後,無需使用者提供名稱、密碼下,直接透過更新令牌來取得新的存取令牌,因此可用來實作自動登入之類的功能。

適用第三方應用的隱含與授權碼

如果我手中擁有資源、使用者帳戶,第三方應用程式想要存取使用者私有的資源,我不能私下給第三方應用程式使用者名稱、密碼,使用者也不會給這些敏感資訊,怎麼辦呢?這時,可以採用隱含(Implicit)或授權碼授權類型,因為在不提供使用者名稱、密碼下,又要能授予權限,因此流程上就繁複許多。

採取隱含與授權碼類型時,第三方應用程式必須能在我這邊設定應用程式名稱、密鑰,以及重導(Redirect)網址,客戶端必須能聽從重導指示(通常是個瀏覽器),還會有個第三方應用伺服器。而第三方應用伺服器,會附上redirect-uri參數(值必須與應用程式設定的重導網址相同),將客戶端重導至授權伺服器,等到使用者在輸入名稱、密碼後,確認授予第三方應用程式的範疇,接下來的流程,則依隱含與授權碼而不同。

在隱含授權類型時,授權伺服器直接核發存取令牌,並重導至redirect-uri指定的位置,此時,所進行的形式,會像是下列這樣:https://3rdsvr/app.html#access_token=84f9-749e-45db&token_type=bearer&expires_in=43199&scope=message,其中的#分段,包含了存取令牌相關資訊,而瀏覽器不會發送#分段後的資訊,因此,在app.html之中,必須有JavaScript,以便提取#分段中的存取令牌,再用令牌向資源伺服器進行請求。

因此,隱含授權是針對只能在前端(瀏覽器)執行的應用程式,雖然,OAuth2的規範要求核發流程必須在加密連線中進行,然而存取令牌就直接附在重導網址上頭,依然是有安全上的疑慮,這可以採取授權碼流程來避免。

授權碼流程在重導瀏覽器時,會附上的是授權碼(而不是存取令牌),形式會像是https://3rdsvr/app?code=61vXSV,第三方應用程式伺服器取得code請求參數後,在後端對授權伺服器請求存取令牌,整個過程中,瀏覽器不會接觸到存取令牌,從而避免了存取令牌曝露在前端的問題。

依需求而疊加的概念

若一開始接從OAuth2的授權碼類型開始瞭解,就會驟然面臨大量術語,像是:第三方、客戶端、密鑰(往往與使用者名稱、密碼混淆)、資源擁有者、範疇(往往與角色混淆)、重導等,實際上,這些術語觀念,是從簡單的需求到複雜的考量,而逐一疊加上去的。

開發者可以從簡單的客戶端憑證開始,逐一認識更繁複的授權類型。這麼一來,除了不用突然面對大量術語之外,我們也可以明確地知道:哪些術語是前一個觀念的延伸,哪些設定又會是基於前一個授權類型的設定而來;之後在真正實作時,也能明確地知道,哪個授權類型,才是真正符合實際的授權需求。

 

Tags: 
Viewing all 33138 articles
Browse latest View live


<script src="https://jsc.adskeeper.com/r/s/rssing.com.1596347.js" async> </script>