為什麼 Google 不該關掉 Google Reader

圖片來源: graveyard of dead google products

Google 將 Google Reader 關掉，是一個極為愚蠢，並且將會長期傷害 Google 自己的舉動。

表面上看起來，是使用者在依賴 Google Reader，是 Google 在主導。當 Reader 關閉時，哀號、抱怨的是使用者。
而且，使用者的哀號是無理取鬧。 Google 又沒收你錢，他又沒欠你，你憑什麼對他頤指氣使的要求？

實際上正好相反。
請注意， Google Reader 的確沒有跟使用者收錢。但同樣的，使用者也沒跟 Google 收錢。

你說，什麼什麼，使用者跟 Google 收什麼錢啊。

Google Reader 提供的是資訊整合的服務，本身是種無形的東西，甚至連資訊也不是 Google 自己本身生產的。同樣的，使用者也提供給 Google 一個無形的東西，那就是信任，或者說忠誠度、習慣性。

在使用 Google Reader 的同時，你不會覺得上面那條 "+xxx 搜尋 圖片 ..."黑棒子礙眼。甚至還會順手的使用上面的連結前往相關網頁。因為你不討厭 Google。

仔細想想，隨隨便便我們就能找到一堆 Reader 替代方案。就算沒有替代方案，也一定有人會填補這個空缺。我看到這個消息的第一個想法就是想要自己寫一個替代方案。

所以事實上不是使用者依賴 Google Reader，而是反過來。

你說，沒那麼嚴重吧？ Google 還有很多更受歡迎的產品。

不，就是那麼嚴重。
想想，以後 Google 推出任何新產品時，比方說最近傳說的 Keep (Goolge 版的 Evernote )好了，你的第一個想法一定是"這會不會是另外一個 Reader?"。會不會把其他產品打掛後，自己又不做了？

那 Google 也不是第一次關掉產品了，為什麼這次才會有影響？

原因之一是，這次 Google 沒有好的替代方案，而且 Reader 從 2004 到現在，時間很久。

不過更重要的是，Goole Reader 的使用族群偏向習慣吸收大量資訊的人。這些人傾向自己主動追蹤吸收並處理第一手資訊，而不是別人消化、過濾後的資訊或感想。這群人中的一大部分也是資訊散布、製造者，會將資訊過濾處理後統整分析後，加上自己的意見散布出去。

簡單的說，他們有影響力。不見得會直接發表對 Google 不信任的看法，不過一旦不信任的種子在心理種下，這個不信任感會有意無意的隱藏在往後他們所有的論述、報導之中。

這正好和原本當他們在使用 Google Reader 時，潛意識中有著對 Google Reader 信任時相反。

所以我說，是 Google 該感謝使用者免費使用 Google Reader ，是 Google 依賴使用者使用 Google Reader，是 Google 應該或者將要哀號，而不是反過來。

Read More

iOS 版的 Google Chrome

聽到 iOS 的 Google Chrome 出來了，馬上拿起 ipad2 下載。一開始可能是太新，搜尋不到，後來先找到 google search，然後再查看同為 google 出品的產品才找到。 馬上拿來跑上星期寫的超任模擬器，看看 ipad2 的 CPU 和 xoom 的差異。 結果 javascript 速度很慢，跟 iOS Safari 一樣。 這只是個假 Chrome，沒有 V8, 唯一的好處大概只是帳號 sync 而已。
我還是用 Google Search App 就好了。

Read More

GoogleBack Machine

像是壞狗這類的寄人籬下型 Ajax 應用，一個大問題是無法儲存。
比方向是壞狗不道德，儲存搜尋出來的結果，或者編輯常用關鍵字清單。壞狗疊疊樂中，如果那些列表能夠讓使用者自行修改多好。又如果能夠定期紀錄排名，然後追蹤，不是能夠更有用嗎？
理論上既然能夠利用別人的服務來自動讀取資訊，那應該也可以利用別人的服務來自動儲存資訊吧，但這樣其實多半代表這個服務有一些安全上的疑慮，主要原因有三個:

1. 大多數的服務提供者並不希望自己的儲存空間被他人自由利用。畢竟不是慈善事業。
2. 就算提供了給使用者儲存的空間，這個私人空間如果能夠被壞狗這類網頁寫入，那這已經算是 XSS 的漏洞了。
3. 就算真的能利用某種方式，在某個空間中自動儲存東西（不管是公開或私人空間），那麼別人也可能用相同的方式來破壞或者干擾我儲存的資料。
   

所以其實仔細想一下，好像除了利用 cookie 或者利用 Google Gear 之外，別無他法。但兩個方式都不完美，前者儲存量太少了，後者要另外加裝軟體。
在繼續這個主題之前，我們先看一個服務，Wayback Machine 。這個服務主要是自動將整個 Internet 做備份。但有個缺點，就是新的資料無法很快更新，他只提供六個月之前的資料，而且更新的頻率你也無法控制。
另外有一個服務叫做 Hanzo:Web，就是讓你自己客制化的 Wayback Machine，你可以自己定義多久抓一次，要抓哪些網頁。不過這個服務會提供多久還不清楚，而且也抓不到 script 生成的動態資料。
現在我們可以利用 Mashup 來 DIY 一個 Wayback Machine，而且能抓到 Script 生成的資料。
其實很簡單，我用 Openkapow 寫了一個機器人，你只要利用下列的網址http://service.openkapow.com/weijr/googleback.rss?URL=http://slashdot.org
就能產生一個包含 slashdot.org 網頁內容生成的 RSS。
把slashdot.org 換成其他的網址，就能變成其他的網頁內容。
好吧，但是這樣並沒有辦法儲存舊網頁啊？這就是 Mashup 的精神了，接下來，你用 Google Reader 來訂閱這個 RSS， Google Reader 自動幫你把舊的 feed 存檔。接著再利用 Google Reader 提供的分享功能，產生 feed（配合 c=xxxxxx的參數，可以讀取舊的資料）。再利用 google feed API，就能造出一個 Google Back Machine了。

Remark

1. 這樣只能替單一的網頁做備份，但 OpenKapow 有 Crawl 的功能，技術上你可以砍站，或者做個 Sitemap 來備份 Sitemap 中的連結。但雖然 Openkapow 遵守機器人協定，這個還是太有侵略性了，所以自己寫比較好。
2. Google Reader 的 feed 會過濾掉一些 html語法的東西，所以要完整的網頁資訊，最好先將 html 語法編碼成安全的文字。
3. Openkapow 似乎不支援 Ajax ，但支援許多script 語法。如果你要儲存動態產生的資料，可以特別的寫些網頁，然後利用 script 產生一些內容。最後再用 Openkapow 抓取動態內容。

回到壞狗疊疊樂的例子。如果我想要每個星期紀錄一次「話題女王」的排名，那麼直接利用上面的 GoogleBack Machine 法，似乎不錯。但是壞狗因為用到了 Ajax，所以 OpenKapow 其實無法正確的生成內容。
理論上，我可以用 OpenKapow 做一個和壞狗疊疊樂相同的功能的機器人，產生報表，然後用 Google Reader 紀錄。配合 GoogleBack 的概念，我可以利用壞狗的名單 script，產生一個 google url 搜尋列表，然後用 OpenKapow 機器人去抓這些 Google 搜尋結果就可以了。這樣我只需要維護一份清單。
至於名單的紀錄就比較麻煩，但是我可以利用 Kapow，產生包含名單的 feed，然後讓使用者訂閱這些 feed。最後再用 Cookie 紀錄使用者的 Google Reader feed 網址就可以了。這樣還能支援無限 Undo 的名單編輯。
Hanzo:web 還有 Google 筆記本也可以做類似的運用。

Read More

壞狗疊疊樂

繼之前的壞狗不道德搜尋引擎（感謝有興趣的朋友的試用，大陸的朋友 Matrix也將該文貼到Solidot上了），我們又有了一隻新壞狗：「壞狗疊疊樂」。簡單的說，壞狗能幫你看看誰在網路上最紅最有名?是星光幫還是斧頭幫？林志玲還是馬英九?朱學恆還是林一平？豬頭、蔡頭還是蔣友柏？XDite 還是丁丁大站？
名稱由來：
在 Mobile01 以及其他地方，常常會看到一些「比較文」，其中不能免俗的，會有所謂的「疊疊樂」圖片，把要比較的手機、PDA、電腦，甚至汽車、自行車，疊在一起，讓讀者能一目了然，對於這些小玩意的外型做最直接的比較。
壞狗疊疊樂就是取其中「比較」的含意。從 Yahoo 、Google 開始成為網路重心以來，我們常常會用搜尋結果數量來當作熱門度指標，比方「其實我比你有名」這篇，就是一個典型的例子。
有需求，就會有人發展工具。相關的工具從很早以前就有了。現在甚至已經有官方的工具， Google Trends 和 Yahoo Buzz。但你要有名到變成星光幫、馬英九、蔡依林、謝長廷、Monkey，Google Trends 才會幫你畫圖。
壞狗疊疊樂不但幫你一次算出各式各樣的 Google 搜尋結果數量，而且還讓你把各種結果放在一起，玩疊疊樂。
網址：
壞狗疊疊樂
壞狗(疊疊樂和不道德搜尋)的特點在於，沒有主機，完全寄生於 Google 的服務上，純 Ajax。
這些特點一方面是優點，另外一方面也是限制。
有時 Google 會把壞狗當成是惡意軟體，不讓你連線，這時，你可以設定 Proxy試試看，比方說 Hinet 的可以設成 proxy.hinet.net 80，很有可能就能連了。
另外也可以試試看用匿名瀏覽的方式，只是這樣會很慢。
使用說明：
一開始使用壞狗疊疊樂的時候，可以點選左邊預先設定好的列表，看看誰是台灣最紅的名模？星光幫裡面誰最紅?總統候選人誰人氣最旺？飛輪海紅還是F4 紅？
然後，你可以清空所有結果、從上面搜尋框加入新的關鍵字，點選不同欄位改換排序。
也可以編輯右側的文字名單，一次整批搜尋，或者紀錄到左邊暫存。
你可以把右側名單複製，然後留在自己電腦的文字檔中。下次用壞狗疊疊樂的時候，直接貼回到右側的文字框中，然後按送出，就能整披查詢了。

Read More

XSS is the new buffer overflow, Web 2.0 is the new P2P

十多年前，當我在玩網路入侵的時候， buffer overflow 是個金礦，我自己也發現了好幾個。但是在主流軟體中，真的比較有「貢獻」的，只有一個 sendmail 的漏洞。我這方面主要的成果在國產軟體。
說來也不值得驕傲，我當時有一個「理念」，就是我假設中文軟體界的觀念與技術都比較落伍，所以我針對國產軟體下手，如果「西學中用」，在國產軟體中應該可以很容易找到漏洞。。不幸的，這個假設是成立的。所以當時 cxterm 有一些老的 xterm 漏洞，而 bbs 裡面也保有一些很老的 shell string 的漏洞，當時很多台灣的 cracker 都是用這類的技術在入侵的。
那時我雖然很弱，但還是和一般的 cracker 不在一個層級。所以我發現了不少比較有創意的入侵方式，比方幾種用環境變數弄穿 BBS 的方法(有一些用 buffer overflow)，而在光明界發展一些東西（的同時，也在黑暗界用同樣的技術破解國產軟體 ptelnet（當時很多 BBS 很流行用這個安全的 telnet)。在當時那個 BBS 流行的時代，說是橫行無阻一點也不誇張。外加一堆邪門歪道的方式，那時足跡遍佈各個政府機關、大專院校，一度想要在台北市政府發封讓自己免役的電子公文（至少那時還挺多這類的電子公文），抓了一些公園路燈管理處的地圖，還有一堆學生資料（我只拿來變魔術用，有幾次因為同名同姓搞錯）。
那時甚至為了要幫別人註冊體育課還什麼的，就順手破解了師大的機器。
當時覺得這段日子永遠不會結束，但終究這就和其他的興趣一樣，被另外一個興趣取代了。後來雖然還是有玩玩 SQL injection 之類的東西，也玩出一些很有趣的東西，我也保留了台大和台北市政府的後門很久一段時間，但整個興趣的強度和當時不能同日而語。

十年過去了， 經過 Buffer overflow 變成 SQL injection, 到現的 XSS 的時代。但是很不幸的，我當年的指導原則「國產軟體的觀念和技術比較差」這件事情卻還沒有變。 從 Gaaan 病毒、 黑米炸彈到 Funp 炸彈，國產軟體還是一堆簡單的安全弱點。公平一點，這裡面有些炸彈其實沒有那麼恐怖，而 Gaaan, Funp 的站主回應也都挺不錯的(就連黑米其實也有「反應」)，而且其實壞狗搜尋也算是利用了技術強權 Google 做 XSS。但這些弱點之淺顯，如果之前有人早已偷偷在利用，我一點也不意外。
而且，當年入侵網站說起來輕鬆、如入無人之境，但常常也要花個一天時間、甚至一星期。更重要的是精神上面的投入。所以，我現在玩這些漏洞的力量，可能只是用當年的萬分之一。
如果現在有個正在熱衷於入侵的年輕人，就像當年的我一樣，那他很可能就會用我現在一萬倍的力量去入侵這些網站，這樣的力量有多大？如果說能夠入侵主機拿到 root，也不讓人意外。
標題用了兩句老梗句型(snowclone)，以上是解釋第一句（附帶一題，"XSS is the new buffer overflow" 不是我先說的，可以在網路上搜尋一下）。
至於第二句，我不清楚有沒有人說過類似的話，但我相信這個看法不是新的。
前幾年 p2p 很紅，大家抓電影、 A片、音樂都在 p2p 上抓，現在也還是。但是，有一個趨勢是， web 2.0 的應用慢慢的取代了過去 p2p 的地位。慢慢的，有些人會用類似 youtube 的網路服務來看電視、日劇。比方 http://tv.funp.tw/ 就是一個例子， im.tv 也是。 事實上，最近這樣類似的東西還不少。另外一個例子，就是過去我們在抓 Poker 比賽影片的時候，都是用 p2p抓的。一開始是 The Pirate Bay，後來有個專門的 The Poker Bay 這樣的玩意。撲克也像我其他的興趣慢慢淡出，到現在也一兩年了，最近再和朋友談到，沒想到現在流行的是 Pokertube 這樣的東西。
就連抓 A片也是一樣，現在也不用 P2p 了。一大堆 porn tube , megarotic 之類的東西。如果想看的時候隨時都能看，誰還要用 p2p 抓？如果想看時用瀏覽器就能看，誰還想去另外抓程式來看？
抓歌也有很多選擇，像是搜狗就是一個。Google 也有一些搜尋方式(filetype: or music:)，獎勵那些識字的人。前一陣子我個人偶而要抓歌，我覺得 vlog.im.tv 還挺方便的（現在好像要用 mms: 下載器才行了）。
但 Web 2.0 的這個利用法有一個隱憂。 p2p ，資源(內容與機器)是整個社群提供的。web2.0，內容可以由社群提供，但機器呢？那些 Web 2.0站台可以容忍社群免費利用他的資源到什麼程度呢？羊毛出在羊身上，社群總是要用某些方式來回報這些 Web 2.0 站台的。

Read More

壞狗不道德搜尋: Google 不想讓你看的圖片

有善就有惡，有光明就有黑暗，有咕狗就有壞狗。
可能很多人都知道，Google 的圖片搜尋可以設定安全選項，使用者可以選擇「高安全性」、「中安全性」或「無」。依照選項的不同，Google 會把一些他認為不好的色情圖片過濾掉。
但正所謂有光亮就有陰影，在 Google 大神教導我們什麼是合乎道德的同時，祂同時也幫我們把不道德的東西找出來了。
因此，壞狗就誕生了。壞狗依照咕狗大神的判斷，將搜尋的結果分成「道德、不太道德、邪惡」（Good, Bad, Ugly) 三類。
壞狗的英文名字是 Bagle，因為 Google - Good +Bad =Bagle.
有興趣的人，可以到 Bagle 試試看。不過似乎 Google 的人工或智慧還不是那麼強，所以很多判斷很無厘頭，也許你會發現原來自己的照片被 Google 認為不適合讓小孩子看。不管怎麼樣，看看 Google 到底認為哪些圖片是限制級、不想讓你看，也挺有趣的。似乎人名和英文的判斷會比較準一點。
更新：
感謝各位的留言和回應（也包含PTT、黑米、推推王上面的）。
小明建議的名字：「悖骨」也不錯，頗有一點反叛的味道。原本的 More Bad，More Ugly，也改成了問句「More Good? More Bad? More Ugly?」，為善為惡只在各位的一念之間，可以自己決定。

更新:目前因為年久失修，已經無效。


技術細節：
這是一個概念測試，所以很多東西還不完整，比方倒退瀏覽功能鍵還沒有支援，一些搜尋結果資訊也不完整。另外 UI 也不是太好。
雖然「全部-好=壞」這個概念很簡單，但是實際要寫成程式有點麻煩，主要是 Ajax 的技術細節。照例，我不想自己架設主機，所以要用寄生蟲的方式。但 google image 沒有好用的 API(video有 rss，可以配上 google ajax feed api)，當然可以用 openkapow, bookmarklet, grease monkey 等方式達成，但這次我試著使用 Google 翻譯來完成。Google cache 應該也可以這樣玩。
基本上，這是把 Google 翻譯當成匿名瀏覽的用法，所以用一般的匿名瀏覽網站也許也能辦到。不過用 Google 翻譯的好處是 Google 太強壯，不會倒，而且一些 Ajax 動作比較直接。

Read More