很多公司只顾着吸纳会员，却不重视客户服务。但是，为了留住会员，社区类初创公司需要注意整个用户体验。Zendesk CEO Mikkel Svane对客服技术非常熟悉，他大部分时间都用来帮助他的客户完善终端用户体验。他为读写网创业频道的用户提供了一些建议。

Svane认为现在创业的公司可以利用互联网提供的一系列简单、易用、经济的工具，可以帮助他们和自己的客户进行对话，这些工具包括：
1. 基于网络的解决方案：Svane建议初创公司不要在公司内部部署客服，应该考虑消除任何与安全、可扩展性、和持续维护相关的烦恼。他建议“把与客户的交流留在公司内，而把基础设施外包出去”。
2. 外包解决方案：除了一个常见问题（FAQ）页面外，考虑在网站内加入一个论坛或者对话工具。这些工具可以让那些有疑问的顾客和你的坚定支持者进行互动。
3. 社会性媒体：当你的顾客或以前的顾客抱怨你的公司时，他们通常通过Twitter或Facebook进行发泄。充分利用这些工具，保持对公司有利的对话。让专人负责在Twitter上和用户互动、解决用户问题，这样可以显示出公司对用户疑问的及时反馈以及重视程度。
编译：pestwave

知名网络安全大师、BT首席技术专家Bruce Schneier对Google昨天宣布的新操作系统Chrome OS嗤之以鼻。Google称自己的新系统代表了一种全新的安全结构，用户无需担心病毒、恶意软件和安全更新。这种说法体现了Google大无畏的精神，但Schneier却不这么认为，他说：“这是一种白痴的说法。” 

据一则雅虎新闻称，Schneier根本不相信Google的承诺。他认为几十年前人们就已经从数学角度证明不可能开发出一个对病毒免疫的操作系统。
他这话有点像是在鸡蛋里头挑骨头。他认为没有百毒不侵的操作系统。但Google的意思是说Chrome OS比其它操作系统更加安全。Schneier自己也承认严密设计的操作系统更加安全，但他认为“用户不用担心恶意软件”这种说法不靠谱。
Websense EMEA安全研究经理Carl Leonard也同意Schneier的看法。他认为所有软件都有软肋，要看恶意软件作者的认真程度以及有多少油水可捞。即便是Chrome浏览器也存在漏洞和安全问题。
明白了：从技术角度讲，Chrome OS也会遭遇恶意软件。但要比其它操作系统更安全吧？
Forrester分析师Andrew Jaquith则对Chrome OS持积极态度。他认为Google已经通过本地客户端（Native Client）代码技术和Chrome浏览器取得了重大安全进步。如果Google把这种思维带到新推出的操作系统上，会取得更多进步。
是这些安全大师小题大做呢？还是没有百毒不侵的操作系统呢？你怎么看？
（译者：pestwave）

根据彭博社今天的一份报告（link）， Mint.com的首席执政官Aaron Patzer正在考虑出售匿名化的用户数据。Mint是一个个人财务信息整合者（ online personal finance aggregator），手头拥有许多非常有意思的数据，公司也会在它的博客（link）上时不时的公布一些数据。考虑到这只是一个简短的采访，有关此计划的具体细节还很不明晰，我们对Mint计划出售哪类数据非常感兴趣。不过有一点非常清楚，那就是Mint得非常小心，不要把客户都吓跑了。
通过Mint，用户可以将来自己支票账户，信用卡，股票和退休金帐号上的信息聚合起来。正由于这一特点，Mint可以（至少是在理论上）为每个用户创建一个非常详细的财务资料档案，不过公司的隐私和安全政策明确声明用户的隐私不可出售。
只是聚合数据？
我们希望Mint仅仅只是出售用户的综合数据，而不要出售之外任何细化的数据——其中包括关于某个用户以及他的购物习惯方面的匿名数据。我们知道社交网络的匿名数据很容易就可以与特定用户对应起来，当美国在线发布一些匿名的用户数据集时，人们很容易(link)就可逆向追溯到数据的原来主人（link）。我们不难会想，如果拥有用户的信用卡数据，做起这类事情要更加容易的多。不过在彭博社的采访中，Patzer坚持认为公司”不会分享任何有关个人交易的信息。”
考虑到Mint可以访问的数据具备惊人的质量，我们也不能太责怪公司会对用户数据动起的心思。Mint的提供一些数据肯定会非常有意思——比如，我们可以看到公司会使用这些数据清楚的了解他们的顾客是怎样一个人。
Mint目前的隐私和安全记录还是完美无暇的
到目前为止，Mint在隐私和安全方面的记录非常良好，不过这个采访无疑会吓到一部分用户。Mint不得不把握好尺寸，对于用户而言将数据交付于Mint本身就需要巨大的信念，而Mint也必须得努力做工作说服用户，让用户相信这些交付给Mint的数据依然是安全的。

（译者：Moon. Wong.）

社交网络已经成为许多职员与好友，同事以及商业伙伴保持联系的默认方式，但是杀毒软件公司Sophos最新的一项投票结果（link） 表明，63%的系统管理员担心职员在社交网络站点上分享太多个人信息的话会将公司的IT安全带来风险。有四分之一的企业也称他们已经成为垃圾邮件，网络钓 鱼，恶意软件攻击的受害者，而这类攻击都是通过Twitter，Facebook，LinkedIn，和MySpace这样的站点发起的。

根据Sophos提供的信息，许多企业仍然担心在工作场合使用社交网络会损害职员的劳动效率，但是有许多企业现在也担心网络犯罪跟这些社交网络有千丝万缕的联系。

当然，读者需要记住的一点是Sophos是一家安全防护公司，强调这些安全风险符合他们公司的利益，然而，系统管理员们的观点表明这个有点不太严谨的投票调查得到的结果似乎可以跟我们之间见过的同类报告相媲美。
恶意软件，数据泄露，劳动效率损失
根据Sophos提供的数据，有40%到50%的企业并不限制对Facebook，Twitter，和MySpace的访问，而对于更加有商务倾向的LinkedIn，允许雇员访问该社交网络的企业数量要稍稍多点。那些对社交站点访问做了限制的的公司将劳动效率的损失视为在工作场合封杀这些社交站点的主要原因，而有12%到17%的公司担心的是恶意软件和数据泄露
有意思的是，大约有7%的被访者不知道为什么公司要限制这些站点访问。类似的，有将近四分之一的受访者不清楚他们的同事是否遭受过社交站点上的垃圾邮件骚扰，也不清楚他们是否曾经成为过恶意软件和网络钓鱼攻击的受害者。

即便企业有点害怕社交网络，但还是Sophos反对完全封锁这些站点的访问，因为用户必然会找到绕过这些封锁的办法（link），而这会带来新的安全问题。
我们也同意这点，但是我们也要指出许多钓鱼攻击和恶意软件仍然是通过邮件传播的。只要这些社交站点上不出现尼日利亚寡妇[1]这类诈骗信息，社交网络还是有许多合法的商务应用的，
 

注释：
[1]，尼日利亚寡妇诈骗是指一些垃圾邮件会冒充自己是尼日利亚的一个寡妇，有一笔钱需要中间人才能冒领走。
 
（译者：Moon.Wong）

在所有人恐慌之前，澄清一件事：最新的Twitter蠕虫只是由Secure Science的计算机安全人员发明的理论上可行的概念，不是在野外的虫子。那就是说它的存在应该给Twitter的安全状况提出问题，这比给出 Twitter服务正有多迅速地成为主流更重要。这样安全问题涉及到攻击，和上个月的clickjacking（一种最新的跨浏览器攻击手法）事件类似， 它利用Twitter网站的网络编程错误。攻击的后果会迫使用户想他们的Twitter流发送无用的信息。Secure Science的首席科学家Lance James说：“如果这些信息携带了恶意代码，就甚至可以用来控制受害者的计算机”。
潜在的威胁
发布在网上的这个攻击，首先会显示 一条警告然后将Secure Science的测试代码”@XSSExploits I just got owned!” 粘贴到受害者的简介中。但是如果黑客想用这种技术来危害用户的PC的话，他们不会使用屏幕警告并且会和恶意链接结合起来使用户不得不点击。在你知晓之前添 加进一些浏览器攻击代码，当你点击Twitter链接时黑客就连接上你的电脑了。对此詹姆斯说：“这只会吧cr*p从Twitter中撕掉”，他还补充 道：“我屏住呼吸，希望没人在此时做傻事”。

根据Secure Science的研究员所说，这个Bug通过修改交叉网站的脚本漏洞来排除，但是如果网站上出现另一个相似的Bug，用户将会很快再次面对相同的问题。
人们仍然不得不怀疑为什么他们要公开地 发布这个信息而不是直接警告Twitter。显然，是由于研究公司认为Twitter对安全不够重视。詹姆斯说他希望这个实例会推动Twitter使它更优化。
Twitter的安全状况
很容易看出为什么安全专家会担心Twitter的安全状况，应为该公司至今已经发生了一些令人瞩目的事件了。仅仅上个月在该公司刚刚在一月份发布补丁后第 二种clickjacking攻击就出现了。也就是在一月，33个Twitter的高端用户包括布兰妮，CNN新闻网记者里克·桑切斯和贝里克·奥巴马被 黑客入侵了，黑客使用难堪和攻击性信息攻击了他们的账户。
于此同时，Sophos的高级技术顾问建议Twitter多花时间和精力认真审视自身的安全状况，确保这种事再也不会发生，并且重新取得用户的信任。然而，也就是从那时起更多的潜在的攻击媒介显露出来了。
在Twitter上保持安全越来越难
如果Twitter确实要取代，或者至少增加电子邮件来人际交流的话也许是时候接受同样古老的规则了，一旦接收到邮件，注意你点击了什么。现在邮件附件不是总是安全的终于深入人心了，似乎也得重新开始告诉Twitter用户链接也是如此。
但是当一项服务像Twitter现在这样成为主流，当挤满了人时谁也不会多个心眼去想诸如此类的安全问题。相反，如果Twitter方面不对这些问题进行干预的话，用户最终会通过成为受害者来学会这种硬办法。
只有在你认为这种服务让人们很容易注册假冒名人账户而想不到也很容易让Twitter垃圾邮件发送者加入时这种安全问题会变得更糟糕。由于Twitter 不通过邮箱验证新账号，任何人可以从任何地址发送任何或真或假的信息，甚至有Twitter垃圾邮件发送者可以迅速加入的可选服务，这会通过迅速聚集大批 的追随者来看起来更合法。

尽管Twitter正在企图在几点上打击垃圾邮件（例如他们正禁用那些自动再跟踪的账号），看起来好像越来越多的Twitter垃圾邮件发送者正每天建立账号。（我怀疑这些搜索引擎优化顾问和生活教练这类的有多少是真的？）
由于Twitter成为主流，他们专注与网站提高如最近推出的“用户建议”和内部广告，一些人怀疑也许和Twitter快要出台的商业模式有关。也许更应 该在这之前解决一些问题。我们虽然可以理解服务需要发展他们的商业计划，他们最近刚刚关闭了一轮3500万的融资，这给他们在上一轮融资的基础上增加了更 多的现金，上一轮1500万。但是他们只有20个员工，理论上他们每年只花500万。我们不清楚Twitter用这些钱干什么，但我们建议他们用一些钱聘 请一些安全专家来使服务更安全，亡羊补牢，犹未为晚！
（译者：sailor.wu）

今天 Twitter 或第三方 Twitter 服务被一家成人网站黑了 。在过去几小时，某些用户的 Twitter 信息流中出现以下信息 ：嗨！23 位青春少女。邀请你激情视频，来吧 www.chatwebcamfree.com。
发布此文时，这条信息开始停止传播了。我们已经向问过 Twitter 寻求解答，如有更新情况，马上更新。
现在，我们建议查看更新，看是否收到这种消息。如果是，最好马上修改密码。

Twitter 公司对安全事件有很好的跟踪记录机制，但很多知名 ID 还时常被黑。我们猜测这个病毒制造者来之其他网站。目前，仍不清除这些黑客如 何获取这些用户的帐号。上次 Twitter 别“黑”，结果发现并不是有人故意捣乱，而是一个安全漏洞，也没有偷取用户密码或发布成人网址。在 Twitter 的 oAuth 工具真正推出之前，用户使用第三方 Twitter 服务时，不得不冒险提供 Twitter 个人用户和密码。有人可以很容易地编写一个恶意程序，获取大量的用户信息。
更新：
看起来，MSN Messnger 和 Facebook 也中招了。
（译者：挨踢狂人）

PC制造商在过去数年把生物识别技术引入产品中；意味着它要比传统密码方式安全性高，特别是对于大多数用户而言，他们对创建密码的安全性未给予过多重视。
几年前，MythBusters（美国的科普电视节目，在探索频道播出）证实指纹识别安全技术其实是有缺点的，很容易被破解，就在上周的黑帽子会议, Duc Nguyen– Bkis,的高级研究员，证实很容易就可以用一个低质量的图片就绕过了笔记本电脑上的面部识别技术。

MythBusters愚弄指纹识别器
2006年，MythBusters这个流行的栏目就展示了骗过指纹识别器是多么容易；尽管指纹识别器设想的环境包含了用户刷指纹的时候的手汗，身体的脉搏以及体温。
有三种方法，一个印在凝胶的指纹副本，用一种凝胶材料（模仿人体组织特性的材料，常用作武器测试）制作指纹副本，和一个指纹的影印件，MythBusters成功的破解了指纹识别系统。如何实现的呢，舔舔模拟有汗液的样子。尽管需要几天准备，但是一旦完成，它就可以在几秒钟内骗过这个系统。如果你漏掉了这期节目，我们会把节目视频链接放在最后。
模型可以蒙骗手掌几何识别器
在去年 defcon 16上， Zac Franken 说基于身体检测的访问控制系统很容易被攻破。并演示如何绕过手掌几何识别器–只是用牙科用的藻酸盐材料和硅橡胶（牙科材料，镶牙取模用）制作了他的手的模型。
正如Hack a Day 指出的那样，这样的解决方案并不能应对现实的攻击，但这并不能一笔抹杀生物测定学的意义；它是建立在每个人都是唯一，特征不可复制这样一个假定上。
但MythBusters和defcon的例子已明确说明复制和绕过生物识别技术是可能的，Nguyen下面的示范将更简单。
打印输出骗过面部识别技术
最近Internet News的新闻，尽管测试中的笔记本电脑（联想，华硕，东芝）都具有独特的算法，但是实现合法登录的基本概念都是一样的：用户坐在笔记本前，内置的网络摄像头扫描他们的面部，创建图像用于识别。
如果你认为搞到用户的图片是比较困难的，那就再好好想想。Nguyen指出，用户生成或共享的站点比如Flickr, Facebook, Twitter以及聊天程序(Skype, MSN 等)的存在，想找到或者获取用户的快照是毫不费力的事情。
通过Nguyen的示范，他证实用一个黑白照片（图像的质量和大小与真人差别不大）就绕过了联想笔记本的安全系统。在给Internet News的一封信里，联想发言人指出“他们的技术还他通过观测眼睛的移动以区别是照片还是真人。而Nguyen拿着照片在摄像头前晃一晃就蒙混过关。
最安全? 还是个秘密
从一个用户的视角来看，最好的安全措施还是一个复杂的密码，也是用户唯一知道的方法。公认的是一个密码中使用字母，数字，非字母数字以及最低8位被认为是比较安全的。但前提是系统配置是安全的，在输入错误密码一定次数后锁定帐户，而且在以后每次重试失败的等待候时间逐渐延长，以防止暴力解码。
不行的是，据我们所知，还没有这样的设计。生物识别技术能够帮助提高安全性吗，可能吧，但现在肯定还不行。
Myth Busters Finger Print Lock 视频
Myth Busters-Finger Print Lock - 更多视频
图片贡献者: Flickr Flick
（译者：herohao）