Category Archives: IT

HTTPS & Referer

There are basically two usages of HTTP header “Referer”. One is to trace the origin of the visit, which could be used to analyse the visitor’s browsing path. The other is to identity and block illegal visits to some privately owned web resources, like images & files.

There are some tricky things about “Referer” when it comes to HTTPS. Generally speaking, for safety reasons, a redirect from a HTTPS page to a HTTP page will drop the “Referer” header. Thus, the server will never know where this request really comes from. Some websites use a https-http redirect to bypass the restrictions of private web resources. For example, a webpage quote an image from sinaimg.cn. Sinaimg.cn does not accept requests unless it has empty Referer or the Referer is one of Sina owned domains. To let the browser drop the Referer header, the <img> tag uses a src of https://example.com/redirect?url=sinaimg.cn?xxxxx instead of the original one. The only function of this https://example.com/redirect is to redirect the request to the URL that is specified by the “url” parameter. Therefore, the “Referer” header is dropped and the image file could be visited from other domains.

One known fact about Google is that it uses HTTPS on all of its search results. Most other websites, however, are still using HTTP. As a result, the referer info will be dropped when redirecting from google search result to the webpage. If there is some auto-tracing tools installed on the server, it may never know that the request comes from Google search result.

To solve the problem, two things have been done by Google. One thing is the introduction of “referrer policy” to webkit. Details of it can be found here: https://wiki.whatwg.org/wiki/Meta_referrer. Basically it uses a <meta> tag to tell the browser how to deal with referrers. The current policy used by Google is “origin”, which sets “https://www.google.com” as referrer with no extra information. This is only a little bit better than no referrer, since the tracing tool cannot collect keyword information from the referrer. The other thing is the redirecting page between Google search result and the real target page. Google owned tracing tool, like Google Analytics, can use this redirecting page to collect required data.

What about non-webkit bowsers? Google uses a http redirect page instead of  a https one. This page uses JavaScript for redirecting, not a 301 or 302 redirection. In that way, the target page can collect the correct “Referer” information.

移动支付将会如何改变未来?

在香港,货币不是由中央政府发行的,而是由三家商业银行发行的。由商业银行发行货币,是否会产生超发而影响市场的稳定吗?答案是不会,因为香港采用的是联系汇率制度,商业银行每发行7.8元港币,就要向香港政府指定的账户中存入1美元。正是因为每发行的1元港币背后,都有美元作为担保,港币的币值能够基本维持稳定。

其实如果我们仔细看一看支付宝里的钱,会发现支付宝的运作体系和港币几乎完全一致,甚至支付宝里的钱都可以称之为“支付宝币”:

1. 每发行1元支付宝币,支付宝公司都要向政府指定的账户中存入1人民币。

2. 支付宝保证1元支付宝币可以在任何时候兑换为1人民币,正如香港政府保证每约7.8元港币就能兑换1美元。

3. 支付宝币在网络上被广泛认可,不仅可以在淘宝天猫等网站上用于购物,很多网络上的个人交易也接受支付宝币。

4. 支付宝币透过移动支付开始渗透到现实生活中,已经有少量商户接受支付宝币。

从这个意义上说,支付宝做的事情比微信支付要更庞大,也更有意义的多:微信支付还停留在支付工具的阶段,而支付宝已经在以发行“支付宝币”为基础,重新定义互联网下的金融体系。

互联网企业做金融具有先天的优势,这是互联网公司的基因决定的。什么是互联网公司的基因,在我看来可以用下面的一句话来概括:以用户体验为核心,先把蛋糕做大再考虑如何分蛋糕。以用户体验为核心,保证了用户能够顺利、方便的使用产品,并且愿意继续使用下去;产品也会依据用户的需求而变,不断提升用户体验。先做蛋糕,再分蛋糕,是互联网企业做产品显著区别于传统公司的地方。传统公司做产品,往往等不及把蛋糕做大,就开始考虑如何把蛋糕围起来自己一个人吃;互联网公司做产品,是在竞争中共同成长,共同提升,并共享蛋糕做大之后的利益。一个典型的例子,就是电商的XX元包邮。在电商发展的早期,这个XX元的门槛是很低的,19元29元就能包邮,目的就是为了培养起用户使用网络购物的习惯;又比如最近的嘀嘀打车和快的打车之间的战争,大额补贴的目的就是培育用户使用手机进行现实生活中使用手机进行支付。可以想象,一旦手机支付做起来,今后还会有人使用麻烦的银行卡进行购物吗?

说到互联网企业,就不能不提传统的金融行业。那么金融行业做互联网金融会有什么优势呢?在我看来唯一的优势就是广泛的线下渠道和依靠政府监管获得的垄断牌照,除此之外没有任何优势。然而线下渠道的意义是让用户能够进行现钞的兑换,当越来越多的商户和个人接受支付宝币付款的时候,线下渠道的意义也就越来越弱。打个比方,如果你的工资是发到支付宝里,你超市买菜出租车付钱都能通过支付宝进行的话,有没有现钞有多大的区别呢?这绝不是天马行空的幻想,在香港几乎所有的商户都支持八达通卡付款;八达通是一种非接触式的卡片,需要付钱的时候,把卡放在读卡器上,嘀的一声就完成了。坐地铁坐公交便利店买东西超市买东西餐厅付款甚至是理发,都可以用八达通付款,八达通可以说是真真正正渗透进了香港的每个角落。更重要的是,八达通卡可以和银行卡绑定,当八达通卡余额不足时,自动从银行卡上划拨一定资金自动充值,这意味着你在平时生活中根本不需要用到现金!事实正是如此,我已经一个礼拜钱包里的钱没有变过了,而我完全感受不到任何的不方便之处。

从这个例子中我们可以看到,互联网公司们的胃口很大:他们要做大陆的八达通。没错,这就是移动支付为什么是最后最重要的关键一环。一旦这件事情做成了,互联网公司以后就能彻底抛弃传统银行自己玩了;一旦这一环做成了,整个基于互联网的全新的金融体系的基础就完全建立起来了:长期投资,可以用互联网理财,投资基金;短期流动资金,可以放在余额宝里保值增值;线上支付,可以使用支付宝转账付款;线下支付,使用手机APP支付;商家,使用手机收款,周转资金可以放入余额宝中,如果需要扩大经营可以申请阿里贷款,或者也可以通过互联网理财进行投资。

唯一有点遗憾的,就是信用卡在这个体系中的缺失,尽管中国人信用卡的消费习惯还没有建立。但是我们不得不感叹互联网公司的敏锐嗅觉,京东已经在开始测试”白条“了,相信很快支付宝或者是微信就会把这个给抄过去。

如果说余额宝只是让传统金融机构开始正视互联网金融的话,移动支付将彻底改写如今的市场格局。中国的银行的主要收入来源于利息差,非利息差的部分不多,大约15%左右,其中很大一部分就是线下刷卡收取的手续费,以及刷卡用卡带来的年费、账户管理费等各种费用。如果移动支付发展起来,银行的这部分收入会直接受到冲击,而在这场战争中,传统银行没有任何胜算。

第一,也是最严重的问题,传统银行以自身收入、而不是用户为重,蛋糕还没做大就要分蛋糕。以线下支付为例,刷卡时需要密码+签名,POS机打印收条又特别慢,严重影响用户的付款体验,而银行从来没有想过如何解决这个问题;一台无线的POS机就要几百上千元(淘宝价),磁条卡芯片卡闪付卡,据说一张三者兼容的卡片成本就接近一百元,还需要用户承担,蛋糕还没做大,就想着怎么收钱了。银行为了规避自身风险,规定凭密码完成的交易就视同本人,在银行卡被盗刷时拒绝承担任何责任;而互联网企业则不同,支付宝承诺你敢付我敢赔,用户资金被盗支付宝先行赔付;支付宝大概八年时间,几乎不收费,今年开始收取转账费用,相比银行费率依然很低而且手机上依然免费,相信只是支付宝阻击微信支付的一个策略,将用户引导到手机客户端上操作,支付宝本身并不依赖这部分的收费。余额宝成立至今,依然不收取任何手续费用。在出租车市场上,更是投入大量资金来培育市场,这对于传统金融机构是根本不可能的。第二,互联网企业竞争压力大,更容易做好产品。先不吐槽各大银行做的屎一样的网银,就说说排队的事情,银行就是这么想的:反正就这么几家银行,你总是要办业务的,等多久关我毛事?再说你们这些屌丝的业务,钱不多还麻烦的要死,都是纯成本,要是国家允许,恨不得把VIP窗口之外的窗口全部关掉最好。而互联网是个充分竞争的行业,用户下载一个新的支付工具,几乎不需要任何成本,为了留住用户,互联网企业必须不断的和竞争对手比较,优化自身服务挽留客户。正是因为这一点,所以就算互联网金融进入了寡头时代,寡头依然还是会把用户放在第一位:用户迁移到其它平台的成本实在太低,稍不留意,用户就会流失到竞争对手那里去。第三,移动支付方便快捷,这是前两条的因引出来的。从商户的角度说,一个500块山寨机,配张手机卡,再加个流量包,就能进行移动收款,不用登记营业执照法人执照也不用费神费力的去和银行打交道;对用户来说,反正手机天天带身上,多装个APP手机又不会变重,手机扫下条码就能支付,过后还能进行评价留言,甚至能从余额宝联动扣款,简直不要太方便。最后,政府有意通过支持支付宝这样的工具,来促进金融市场的竞争,从政策面上看,支付宝将会成为政府放进金融领域的一条“鲶鱼”。有道是背靠大树好乘凉,有了政府的支持,传统银行业也没法打黑枪来阴的了。

移动支付是互联网金融体系的最后一块基石,这就是为什么阿里巴巴和腾讯都对它如此的重视。互联网金融最后能否打通移动支付形成闭环,构筑自己的金融体系,我们拭目以待。不管如何,这个新贵与土豪的战争中,长期被传统金融忽视的普通人,将会重新回到舞台上,并从自由与竞争的市场中受益。

我看比特币

以下仅为个人观点。

1. 比特币有价值吗?

有。比特币最大的价值就是通过算法保证了一种在网络上进行可靠、快速交易的交易方式,而不依赖任何中央银行或者某个担保方。

2. 比特币会成为未来的货币吗?

不可能。比特币宣称的不受监管,恰恰是其自身最大的问题。经济持续发展,必须依靠政府的调节和监管,美国过去的历史已经证明,一个完全自由的市场会导致诸多问题,并最终引发经济危机。一个国家如果放任比特币,就等于放弃央行在货币政策上的调控能力,进而减弱对市场的控制力;而失去政府管理的市场,会因为人的贪欲而最终走向经济危机。这是任何一个国家政府都不愿意看到的结局,各个国家的央行最终会出手进行控制。比特币等一票电子货币在完全自由的市场交易下的疯狂局面,已经成为了这个观点的最好注脚。

3. 比特币未来会怎么样?

炒作投机,最终泡沫破裂,比特币一泻千里。也许泡沫之后,比特币会在实际跨国、跨境交易的需求中重新回归它的价值,但那是后话了。

假货泛滥的淘宝和天猫

我从2007年开始使用淘宝,不得不说淘宝拉近了三四线城市和一线城市的距离,并且让网上购物的概念深入每个中国网民的心中。从这个角度说,淘宝是中国电子商务发展的扛旗人和大功臣。然而近几年,中国电子商务业界的发展却走入了一个怪圈,原本生机勃勃的电子商务市场上,劣币驱逐良币的现象愈演愈烈,而作为业界老大哥的淘宝,对这种现象的不仅放任不管甚至包庇掩盖,无疑难辞其咎。

淘宝集市是好中差评的起源,好中差三档的分类虽然非常鲁棒,但是却是一个成功的评价系统——它让消费者可以快速了解到产品的优缺点,并从茫茫多的评论中挖掘出有效的内容。虽然有着某些弊端,但是这个评价体系无疑是非常倾向消费者的。淘宝能够快速发展到现在的规模,支付宝和评价体系绝对是最为重要的两个点。

依稀记得大概在06年的时候,淘宝打算弄一个类似于竞价排名的服务出来,由于卖家纷纷抵制而作罢,并且作出了永远不再推出竞价排名服务的承诺。当然了,说过的话不能反悔,钱却不能不挣。于是淘宝后来搞出一个叫做淘宝商城的东西,也就是今天的天猫。一开始推出的时候,这个淘宝商城的特点就是永远牢牢霸占搜索结果的前两位,无论是什么类型的商品、用什么排序方法,搜索结果的前两位一定是淘宝商城的结果。

所以,商人之所以为商人,逐“”利也。只要能挣钱,马云做个演员又如何?竞价排名不做了,换个名字照样能挣到钱。就像以前的假货,现在改叫做B货、尾单、工厂货;以前的水货,现在叫做港行;以前的翻新机,现在都改叫拆封机。

呵呵。

现在的淘宝,已经是假货的天下。打开淘宝,随便选些关键词,比如吉列、YONEX、阿迪达斯、耐克,反正只要是知名品牌,第一页的结果基本上全是假货,包括天猫,概莫能外。

有时候不得不佩服中国人的造假、售假能力之强,一个个来自小作坊的假货被堂而皇之的贴上了“正品”、“专柜正品”、“假一赔万”、“假一赔命”的标签,再加上一番包装和广告推销,信息完全不对等的消费者如何才能在购买前分辨真假?等到商品到手,发现是假货,要是集市商家一般会选择让消费者退回商品,而消费者如果选择退回商品,就意味着没有办法对假货进行评价,从而导致之后的消费者不能了解到商品的真相;而如果消费者选择不退回商品而差评,一方面自己蒙受损失,另一方面评价往往会被卖家诬为“差评师”,更有少数无良卖家会恶意泄露买家隐私信息作为报复。所以差评师这件事情,我相信会有少数人渣会去做,但是我更觉得是某些无良商家炒作出来的概念,目的就是为了掩人耳目,混淆消费者视听。尤其是在今天,好评率已经不影响搜索结果排序的情况下,卖家对于100%好评的追求已经大幅下降。我记得09年那会儿,淘宝上的100%好评卖家还是有不少的,这两年就基本从没见过了,由此可见,少数差评已经对卖家的利益不构成根本威胁了,而这种情况下,卖家口中的差评师,十有八九都是那些较真、不愿妥协的消费者。至于天猫,根本就没有让你差评的地方,卖家只要随便刷个几十个好评,你的评价就会淹没在茫茫多的评价中,其它买家根本无从看到。

淘宝和天猫的未来将去向何方,也许很难预测。但是在目前电子商务这个行业仍然高速成长的时期,购物品质不会是消费者在选择卖家时的最主要的考量。但是当电子商务行业增长趋缓,整个行业要从增量向提质转变的时候,淘宝将会经历一段阵痛:对假货下手意味着收入的减少,不对假货下手意味着顾客的流失,而淘宝必须在这两者中间做出选择。 在商言商,马云不是慈善家,商人的目的是赚钱。只有当假货问题真正影响到马云的收入时,淘宝才会真正开始重视;正如当微信开始从IM领域侵蚀电子商务的时候,马云才意识到移动平台的威力。