Web应用程序安全与风险
Web应用程序安全与风险
随着Web3.0、社交网络、微博、移动APP、微信小程序等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,网站内的信息可以直接和其他网站相关信息进行交互和传输,能通过第三方信息平台同时对多家网站的信息进行整合使用。用户在互联网上能拥有自己的数据,并能在不同网站上使用,用浏览器即可以实现复杂的系统程序才具有的功能。
web1.0----网站是别人的网站------我只是看看--------陌路人
web2.0----网站是朋友的网站------有人和我聊聊------客人
web3.0----网站是你我的网站------吃喝买卖随己------主人
Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。这也使得越来越多的用户关注应用层的安全问题,对Web应用安全的关注度也逐渐升温。
本章主要介绍Web应用程序的发展历程及它们提供的诸多优点,并且列举我们亲身体验过的在目前Web应用程序中存在的漏洞,这些漏洞表明绝大多数应用程序远远不够安全。本章还将描述Web应用程序面临的核心安全问题(即用户可提交任意输入的问题),以及造成安全问题的各种因素。最后讨论Web应用程序安全方面的最新发展趋势,并预测未来的发展方向。
1.1 Web应用程序的发展历程
静态内容阶段
在这个最初的阶段,使用 Web 的主要是一些研究机构。Web 由大量的静态 HTML 文档组成,其中大多是一些学术论文。Web 服务器可以被看作是支持超文本的共享文件服务器。
CGI 程序阶段
在这个阶段,Web 服务器增加了一些编程 API。通过这些 API 编写的应用程序,可以向客户端提供一些动态变化的内容。Web 服务器与应用程序之间的通信,通过 CGI(Common Gateway Interface)协议完成,应用程序被称作 CGI 程序。
脚本语言阶段
在这个阶段,服务器端出现了 ASP、PHP、JSP、ColdFusion 等支持 session 的脚本语言技术,浏览器端出现了 Java Applet、JavaScript 等技术。使用这些技术,可以提供更加丰富的动态内容。
瘦客户端应用阶段
在这个阶段,在服务器端出现了独立于 Web 服务器的应用服务器。同时出现了 Web MVC 开发模式,各种 Web MVC 开发框架逐渐流行,并且占据了统治地位。基于这些框架开发的 Web 应用,通常都是瘦客户端应用,因为它们是在服务器端生成全部的动态内容。
RIA 应用阶段
在这个阶段,出现了多种 RIA(Rich Internet Application)技术,大幅改善了 Web 应用的用户体验。应用最为广泛的 RIA 技术是 DHTML+Ajax。Ajax 技术支持在不刷新页面的情况下动态更新页面中的局部内容。同时诞生了大量的 Web 前端 DHTML 开发库,例如 Prototype、Dojo、ExtJS、jQuery/jQuery UI 等等,很多开发库都支持单页面应用(Single Page Application)的开发。其他的 RIA 技术还有 Adobe 公司的 Flex、微软公司的 Silverlight、Sun 公司的 JavaFX(现在为 Oracle 公司所有)等等。
移动 Web 应用阶段
在这个阶段,出现了大量面向移动设备的 Web 应用开发技术。除了 Android、iOS、Windows Phone 等操作系统平台原生的开发技术之外,基于 HTML5 的开发技术也变得非常流行。
从上述 Web 开发技术的发展过程看,Web 从最初其设计者所构思的主要支持静态文档的阶段,逐渐变得越来越动态化。Web 应用的交互模式,变得越来越复杂:从静态文档发展到以内容为主的门户网站、电子商务网站、搜索引擎、社交网站,再到以娱乐为主的大型多人在线游戏、手机游戏。
1.1.1 Web应用程序的常见功能
创建Web应用程序的目的是执行可以在线完成的任何有用功能。近些年出现的一些Web应用程序的主要功能有:
购物
社交网络
银行服务
Web搜索
拍卖
博彩
博客
Web邮件
交互信息
小程序
如今,使用计算机浏览器访问的应用程序的功能越来越多地与使用智能手机或平板电脑访问的移动应用程序的功能重叠。大多数移动应用程序都通过浏览器或定制客户端与服务器进行通信,这些浏览器或客户端大多使用基于HTTP的API。应用程序功能和数据通常在应用程序用于不同用户平台的各种接口之间共享。
除公共因特网外.组织内部已广泛采用Web应用程序来支持关键业务功能。许多这类应用程序可以访问各种高度敏感的数据和功能。
用户可以使用HR应用程序访问工资信息、提供并接收绩效反馈,以及管理人员招聘和纪律处分程序。
连接关键体系架构(如Web和邮件服务器)的管理接口、用户工作站及虚拟机管理。
用于共享文档、管理工作流程和项目、跟踪问题的协作软件。这些功能通常涉及重要的安全和监管问题,而且组织结构大多完全依赖于它们的Web应用程序内置的控件来实现这些功能。
企业资源规划(ERP)软件等业务应用程序,这类应用程序以前使用专用厚客户端应用程序访问,现在则可以通过Web浏览器进行访问。
电子邮件之类的软件服务,这类服务最初需要独立的电子邮件客户端,现在可以通过Web接口(如Outlook Web Access)访问。
传统的桌面办公应用程序(如文字处理程序和电子表格)已通过Google AppsflMicrosoft Office Live等服务转换为Web应用程序。
为降低成本,组织逐渐将各种任务外包给外部服务提供商来完成,因此,在上述所有示例中,我们所认为的“内部”应用程序正日益由外部机构托管。在这些所谓的‘,云”解决方案中,业务关键功能和数据向数目更庞大的潜在攻击者开放,而组织却越来越多地依赖于不受其控制的安全防御。
大多数计算机用户所需要的客户端软件仅仅是一个Web应用程序,这样的时代即将来临。到那时.用户使用一组共享的协议和技术即可执行各种功能.但随之也会出现各种常见的安全漏洞。
1.1.2 Web应用程序的优点
Web应用程序越来越流行的原因显而易见。若干技术因素已经与主要的商业动机相结合,从而引发了因特网使用方式上的重大变革。
HTTP是用于访问万维网的核心通信协议,它是轻量级的,无须连接。这一点提供了对通信错误的容错性。应用HTTP,许多传统客户端一服务器应用程序中的服务器无须再向每一个用户开放网络连接。HTTP还可通过代理和其他协议传输.允许在任何网络配置下进行安全通信。
每个Web用户都在其计算机和其他移动设备上安装了浏览器。Web应用程序为浏览器动态部署用户界面.不必像以前的Web应用程序那样需要分配并管理独立的客户端软件。界面变化只需在服务器上执行一次,就可立即生效。
如今的浏览器功能非常强大,可构建内容丰富并且令人满意的用户界面。Web界面使用标准导航和输入控件,可保证用户即时熟悉这些功能,而不需要学习如何使用各种应用程序。应用程序可通过客户端脚本功能将部分处理交由客户端完成,必要时,可使用客户端组件任意扩展浏览器的功能。
用于开发Web应用程序的核心技术和语言相对简单。即使是初学者,也可使用现有的各种平台和开发工具,开发出强大的应用程序,还有大量开源代码和其他资源可供整合到定制的应用程序中。
1.2 Web应用程序安全
与任何新兴技术一样,Web应用程序也会带来一系列新的安全方面的漏洞。这些常见的缺陷也在“与时俱进”,一些开发人员在开发现有应用程序时未曾考虑到的攻击方式都相继出现了。由于安全意识的加强,一些问题已经得到解决。新技术的开发也会引人新的漏洞。Web浏览器软件的改进基本上消除了某些缺陷。
针对Web应用程序的最严重攻击,是那些能够披露敏感数据或获取对运行应用程序的后端系统的无限访问权限的攻击。这类倍受瞩目的攻击经常发生,但对许多组织而言,任何导致系统中断的攻击都属于重大事件。通过实施应用程序级拒绝服务攻击,可以达到与针对基础架构的传统资源耗竭攻击相同的目的。但是,实施这些攻击通常需要更精细的操作,并主要针对特定的目标。例如,可以利用这些攻击破坏特定用户或服务,从而在金融贸易、赌博、在线招投标和订票等领域赢得竞争优势。
在整个发展过程中,不时有报道知名Web应用程序被攻破的消息。情况似乎并未好转,也没有迹象表明这些安全问题已经得到解决。可以说,如今的Web应用程序安全领域是攻击者与计算机资源和数据防御者之间最重要的战场,在可预见的将来这种情况可能仍将持续。
1.2.1 本站点是安全的
人们普遍认识到,对Web应用程序而言,安全确实是个“问题”。查询一个典型的应用程序的FAQ页面,其中的内容会向你保证该应用程序确实是安全的。
大多数Web应用程序都声称其安全可靠,因为它们使用SSL,例如:本站点绝对安全。它使用128位安全套接层(Secure Socket Layer, SSL)技术设计,可防止未授权用户查看您的任何信息。您可以放心使用本站点,我们绝时保障您的数据安全。
Web应用程序常常要求用户核实站点证书,并想方设法让用户相信其所采用的先进加密协议无懈可击,从而说服用户放心地向其提供个人信息。
此外,各种组织还声称他们遵循支付卡行业(PCI)标准,以消除用户对安全问题的担优。
例如:我们极其注重安全,每天扫描Web站点,以确保始终遵循PCI标准,并免受黑客攻击。下面的标志上显示了最近扫描日期,请放心访问该Web站。
实际上,大多数Web应用程序并不安全,虽然SSL已得到广泛使用,且会定期进行PCI扫描。最近几年,我们测试过数百个Web应用程序。图1-3说明了在2014年和2018年间测试的应用程序受一些常见类型的漏洞影响的比例。下面简要说明这些漏洞。
不完善的身份验证措施(62%)。这类漏洞包括应用程序登录机制中的各种缺陷。可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
不完善的访问控制措施(71%)。这一问题涉及的情况包括:应用程序无法为数据和功能提供全面保护,攻击者可以查看其他用户保存在服务器中的敏感信息,或者执行特权操作。
SQL注入(32%)。攻击者可通过这一漏洞提交专门设计的输入,干扰应用程序与后端数据库的交互活动。攻击者能够从应用程序中提取任何数据、破坏其逻辑结构,或者在数据库服务器上执行命令。
跨站点脚本(94%)。攻击者可利用该漏洞攻击应用程序的其他用户、访问其信息、代表他们执行未授权操作,或者向其发动其他攻击。
信息泄露(78%)。这一问题包括应用程序泄露敏感信息,攻击者利用这些敏感信息通过有缺陷的错误处理或其他行为攻击应用程序。
跨站点请求伪造(92%)。利用这种漏洞,攻击者可以诱使用户在无意中使用自己的用户权限对应用程序执行操作。恶意Web站点可以利用该漏洞,通过受害用户与应用程序进行交互,执行用户并不打算执行的操作。
SSL是一种出色的技术,可为用户浏览器和Web服务器间传输的数据提供机密性与完整性保护功能。它有助于防止信息泄露,并可保证用户处理的Web服务器的安全性。但SSL并不能抵御直接针对某个应用程序的服务器或客户端组件的攻击,而许多成功的攻击都恰恰属于这种类型。特别需要指出的是,SSL并不能阻止上述任何漏洞或许多其他使应用程序受到威胁的漏洞。无论是否使用SSL,大多数Web应用程序仍然存在安全漏洞。
1.2.2 核心安全问题:用户可提交任意输入
与多数分布式应用程序一样,为确保安全,Web应用程序必须解决一个根本的问题。由于应用程序无法控制客户端.用户几乎可向服务器端应用程序提交任意输人。应用程序必须假设所有输人的信息都是恶意的输人,并必须采取措施确保攻击者无法使用专门设计的输人破坏应用程序,干扰其逻辑结构与行为,并最终达到非法访问其数据和功能的目的。
这个核心问题表现在许多方面。
用户可干预客户端与服务器间传送的所有数据,包括请求参数、cookie和HTTP信息头。可轻易避开客户端执行的任何安全控件,如输人确认验证。
用户可按任何顺序发送请求,并可在应用程序要求之外的不同阶段不止一次提交或根本不提交参数。用户的操作可能与开发人员对用户和应用程序交互方式做出的任何假设完全不同。
用户并不限于仅使用一种Web浏览器访问应用程序。大量各种各样的工具可以协助攻击Web应用程序,这些工具既可整合在浏览器中,也可独立于浏览器运作。这些工具能够提出普通浏览器无法提交的请求.并能够迅速生成大量的请求,查找和利用安全问题达到自已的目的。绝大多数针对Web应用程序的攻击都涉及向服务器提交输入,旨在引起一些应用程序设计者无法预料或不希望出现的事件。以下举例说明为实现这种目的而提交的专门设计的输入。
更改以隐藏的HTML表单字段提交的产品价格,以更低廉的价格欺诈性地购买该产品。
修改在HTTP cookie中传送的会话令牌,劫持另一个验证用户的会话。
利用应用程序处理过程中的逻辑错误删除某些正常提交的参数。
改变由后端数据库处理的某个输入,从而注入一个恶意数据库查询以访问敏感数据。
勿庸置疑.SSL无法阻止攻击者向服务器提交专门设计的输入。应用程序使用SSL仅仅表示网络上的其他用户无法查看或修改攻击者传送的数据。因为攻击者控制着SSL通道的终端,能够通过这条通道向服务器传送任何内容。如果前面提到的任何攻击成功实现,那么不论其在FAQ中声称其如何安全.该应用程序都很容易受到攻击。
1.2.3 关键问题因素
任何情况下,如果一个应用程序必须接受并处理可能为恶意的未经验证的数据.就会产生Web应用程序面临的核心安全问题。但是,对Web应用程序而言,几种因素的结合使问题更加严重,这也解释了当今因特网上许多Web应用程序无法很好地解决这一问题的原因。
- 不成熟的安全意识
近年来,人们对Web应用程序安全问题的认识有所增强,但与网络和操作系统这些发展更加完善的领域相比,人们对Web应用程序安全问题的意识还远不够成熟。虽然大多数IT安全人员掌握了相当多的网络安全与主机强化基础知识,但他们对与Web应用程序安全有关的许多核心概念仍然不甚了解,甚至存有误解。当前,在其工作中,Web应用程序开发人员往往需要整合数十、甚至数百个第三方数据包,导致他们无法集中精力研究基础技术。即使是经验丰富的Web应用程序开发人员,也经常会对所用的编程框架的安全性做出错误假设,或遇到一些对他们而言完全陌生的基本缺陷类型。 - 独立开发
大多数Web应用程序都由企业自己的员工或合作公司独立开发。即使应用程序采用第三方组件,通常也是使用新代码将第三方组件进行自定义或拼凑在一起。在这种情况下,每个应用程序都各不相同,并且可能包含其独有的缺陷。这种情形与组织购买业内一流产品并按照行业标准指南安装的典型基础架构部署形成鲜明对照。 - 欺骗性的简化
使用今天的Web应用程序和开发工具,一个程序员新手也可能在短期内从头开始创建一个强大的应用程序。但是,在编写功能性代码与编写安全代码之间存在巨大的差异。许多Web应用程序由善意的个人创建,他们只是缺乏发现安全问题的知识与经验。
近年来出现了一种显著趋势,即使用提供现成代码组件的应用程序框架来处理各种常见的功能,这些功能包括身份验证、页面模板、公告牌以及与常用后端墓础架构组件的集成,等等。 Liferay和Appfuse就属于这种类型的框架。使用这些产品可以快速方便地创建可运行的应用程序,而无须了解这些应用程序的运行机制或它们包含的潜在风险。这也意味着许多公司会使用相同的框架。因此,即使仅仅出现一个漏洞,该漏洞也将会影响许多无关的应用程序。 - 迅速发展的威胁形势
Web应用程序攻击与防御研究发展相对不成熟,是一个正蓬勃发展的领域,其中新概念与威胁出现的速度比传统的技术要快得多。在客户端方面尤其如此,针对特定攻击的公认防御机制往往会在一些研究中失去作用,这些研究最终成就了新的攻击技巧。在项目开始之初就完全了解了当前威胁的开发团队.很可能到应用程序开发完成并部署后会面临许多未知的威胁。 - 资源与时间限制
由于独立、一次性开发的影响,许多Web应用程序开发项目会受到严格的时间与资源限制。通常,设计或开发团队不可能雇用专职的安全专家.而且由于项目进程的拖延,往往要等到项目周期的最后阶段才由专家进行安全测试。为了兼顾各种要素,按期开发出稳定而实用的应用程序的要求往往使开发团队忽视不明显的安全问题。小型组织一般不愿多花时日俐占一个新的应用程序。快速渗透测试通常只能发现明显的安全漏洞,而往往会遗漏比较细微、需要时间和耐心来发现的漏洞。 - 技术上强其所难
Web应用程序使用的许多核心技术出现于万维网早期阶段,那时的状况与目前十分不同。从那以后,其功能已远远超越最初的设想,例如,在许多基于AJAX的应用程序中使用JavaScript进行数据传输。随着对Web应用程序功能要求的变化,用于实现这种功能的技术已远远落后于其发展要求,而开发人员还是沿用原有的技术来满足新的需求。因此,这种做法造成的安全漏洞与无法预料的负面影响也就不足为奇了。 - 对功能的需求不断增强
在设计应用程序时,开发人员主要考虑是的功能和可用性。曾经静态的用户资源现在包含社交网络功能,允许用户上传照片,对页面进行“维基”风格的编辑。以前,应用程序设计人员可以仅仅通过用户名和密码来创建登录功能,而现今的站点则包含密码恢复、用户名恢复、密码提示,以及在将来访问时记住用户名和密码的选项。无疑,这类站点声称其能够提供各种安全功能,但实际上,这些功能不过是增大了该站点的受攻击面而已。
1.2.4 新的安全边界
在Web应用程序出现之前,主要在网络边界上抵御外部攻击。保护这个边界需要对其提供的服务进行强化、打补丁,并在用户访问之间设置防火墙。
Web应用程序改变了这一切。用户要访问应用程序,边界防火墙必须允许其通过HTTP/HTTPS连接内部服务器;应用程序要实现其功能,必须允许其连接服务器以支持后端系统,如数据库、大型主机以及金融与后勤系统。这些系统通常处于组织运营的核心部分,并由几层网络级防御保护。
如果Web应用程序存在漏洞,那么公共因特网上的攻击者只需从Web浏览器提交专门设计的数据就可攻破组织的核心后端系统。这些数据会像传送至Web应用程序的正常、良性数据流一样.穿透组织的所有网络防御。
Web应用程序的广泛应用使得典型组织的安全边界发生了变化。部分安全边界仍旧关注防火墙与防御主机.但大部分安全边界更加关注组织所使用的Web应用程序。Web应用程序接收用户输人的方式多种多样,将这些数据传送至敏感后端系统的方式也多种多样,这些都是一系列攻击的潜在关口,因此必须在应用程序内部执行防御措施,以阻挡这些攻击。即使某个Web应用程序中的某一行代码存在缺陷,也会使组织的内部系统易于遭受攻击。此外,随着“聚合”应用程序、第三方小部件及其他跨域集成技术的出现,服务器端安全边界常常会跨越组织本身的边界。而且,各种组织还盲目地信任外部应用程序和服务。前述有关该新的安全边界内漏洞发生几率的统计数据值得每一个组织思考。
Web应用程序安全边界发生变化的另一原因。在于用户本身在访问一个易受攻击的应用程序时面临的威胁。恶意攻击者可能会利用一个良性但易受攻击的Web应用程序攻击任何访问它的用户。如果用户位于企业内部网络,攻击者可能会控制用户的浏览器,并从用户的可信位置向本地网络发动攻击。如果攻击者心存恶意,他不需要用户的任何合作,就可以代表用户执行任何行为。随着浏览器扩展技术的兴起,各种插件不断增多,客户端受攻击面的范围也明显变大。
网络管理员清楚如何防止其用户访问恶意的Web站点,终端用户也逐渐意识到这种威胁。但是,鉴于Web应用程序漏洞的本质,与一个全然恶意的Web站点相比,易受攻击的应用程序至少给用户及其组织带来了一种威胁。因此,新的安全边界要求所有应用程序的所有者承担保护其用户的责任,使他们免受通过应用程序传送的攻击。
此外,人们普遍采用电子邮件作为一种补充验证机制,安全边界在一定程度上向客户端转移。当前,大景应用程序都包含“忘记密码”功能,攻击者可以利用该功能向任何注册地址发送账户恢复电子邮件,而无须任何其他用户特定的信息。因此,如果攻击者攻破了用户的Web邮件账户,就可以轻松扩大攻击范围,并攻破受害用户注册的大多数Web应用程序账户。
1.2.5 Web应用程序安全的未来
虽然经过约10几年的广泛应用,但目前因特网上的Web应用程序仍然充满漏洞。在了解Web应用程序面临的安全威胁以及如何有效应对这些威胁方面.整个行业仍未形成成熟的意识。目前几乎没有迹象表明上述问题能够在不远的将来得到解决。
也就是说,Web应用程序的安全形势并非静止不变。尽管SQL注人等熟悉的传统漏洞还在不断出现,但已不是主要问题。而且,现有的漏洞也变得更难以发现和利用。几年前只需使用浏览器就能够轻易探测与利用的小漏洞.现在需要花费大量精力开发先进技术来发现。
Web应用程序安全的另一个突出趋势为:攻击目标已由传统的服务器端应用程序转向用户应用程序。后一类攻击仍然需要利用应用程序本身的缺陷,但这类攻击一般要求与其他用户进行某种形式的交互,以达到破坏用户与易受攻击的应用程序之间交易的目的。其他软件安全领域也同样存在这种趋势。随着安全威胁意识的增强,服务器端存在的缺陷首先应为人们所理解并得到解决,从而可以在进一步的研究过程中将注意力集中在客户端。那些针对其他用户的攻击是发展最快的攻击类型,也是当前许多研究的焦点所在。
技术领域的各种最新趋势在一定程度上改变了Web应用程序的安全状态。一些极具误导性的
热门词汇使这些趋势深人人心,下面是一些最热门的词汇。
Web3.0:这一术语指更大范围地采用实现用户生成内容和信息共享的功能,以及采用各种广泛支持这一功能的技术,包括异步HTTP请求和跨域集成。
云计算:这一术语指更多地通过外部服务提供商来实施技术栈的各个部分.包括应用程序软件、应用程序平台、Web服务器软件、数据库和硬件。它也指在托管环境中大量采用虚拟化技术。
移动互联网:指移动应用软件、无线接入设备和合法移动终端等
物联网:网关节点设备、读卡器、路由节点等
工业控制系统:一般应用于生产基地和公共设施,如:石油管网、电网和核电站核心软硬件等
大数据:一般情况下,使用了Hadoop、Spark、Storm、Flink等这些分布式的实时或者离线计算框架,建立计算集群,并在上面运行各种计算任务,这就是通常理解上的大数据平台。主要应用于人工智能、数据科学和物联网,
1.4 Web各种版本之间区别
web的等级标准是什么?
首先我们要知道网络是干什么的? 网络是为广大人民服务的。这样我们可以认为:按照网络为大家提供的服务内容不同、范围大小、深浅度、网民的感受等来划分web的等级。
老百姓(包含网民)需要什么?
精神需求+物质需求
web1.0的功能
满足网民少部分精神需求----新闻阅读、资料下载等。
缺点:仅能阅读,不能参与。没有归属感。
web2.0的功能(增加了BBS\博客等互动功能)
满足网民更多精神需求,双向互动----阅读新闻、制造新闻等。有了归属感-----网络上面有个属于自己的家(个人空间)和存在虚拟关系的成员(网友、读者)
缺点:由于网民基本都是虚拟身份(未经官方认证),所以成员之间只能停留在精神层面的交流(不影响物质财产得失)。
web3.0功能—风险更小的精神生活+更广泛的EC(电子商务)
可以进行便于法律监督的精神交流(例:真实资料的网恋,直至合法婚姻等)。可以介入产业活动,逐步帮助个人、集体、社会创造更多的物质。重点:网民不但要求有归属感,而且要做主人。
主人当然要有真实的身份,还要有配套的游戏规则----通过网络就可以认证真实身份。只有具备这些条件,才有可能秩序地从事产业活动。
理想中的Web3.0是打破超级机器的控制,实现一种真正民主平等的状态,网络公民被赋予更高的信息控制权,不仅是Web2.0时代的互动、分享和参与,还将会获得拥有和自主的权力。
Web3.0离我们有多远?Web2.0又要过时了么?
Web3.0目前来说还是抽象的,但新鲜事物总是被人们所关注。还处于概念期的Web3.0,被认为在2016年才能获得成熟应用,目前鲜有网站将自己贴上Web3.0的标签,即使贴着Web3.0的标签,也是徒有其表.
但可以肯定的是,Web3.0依然打着“信息聚合”的旗帜,将信息进一步解构拆分,为实现更精细化的交互提供底层技术实现。一个更具智能的互联网,搜索或许并不重要,因为用户将彻底把思考交给计算机。
理想中的新时代
Web2.0的精髓在于“去中心化”思想和六度分隔理论,而Web3.0的理想是让个人与组织机构之间建立一种互为中心的转换机制,也就是说一个人在一定程度上可以转化为机构,而机构在一定环境条件下也可以转化为个人,通过这种微缩拟人的形式进行商业行为,拉近与用户之间的距离。
一直以来,Web2.0被选渲染成草根时代,实际上网络的真正权力被高度集中,网络文明被少数派主导着,这些少数派已经成长为一个个超级机器,像MSN、Google和Yahoo等掌握了网络的控制权,掌握了网络的文明发展进程,看起来更像是一个帝国时代。
理想中的Web3.0是打破超级机器的控制,实现一种真正民主平等的状态,网络公民被赋予更高的信息控制权,不仅是Web2.0时代的互动、分享和参与,还可能会获得拥有和自主的权力。网络看似成为一个真正的社会,通过使用者的共同参与、共同分享、共同拥有和共同治理。
Web3.0的时代,使用者通过任何一台电脑都可以架设属于个人的社区网络,以进行更为便捷的社区活动和信息分享。而那些超级机器们则可能转变为一种互助合作形式的分散式平台,使用者将拥有无限的空间,以及更为先进的搜索技术和知识管理系统。
NuWeb(Net User’s Web)正在逐步成为Web3.0的一个理想的计划项目,这是一个以使用者为中心的分散式网络信息分享平台,作为一个正在开展中的网络开源项目,包括三个系统部分:NuWeb PP,个人入口网站系统;NeWeb CP,区域入口网站系统;NuWeb CC,信息空间的整体入口网站系统。
在未来,这项计划有望实现用户在互联网上的信息数据可以的跨网站使用;网站之间的信息可以交互,通过第三方信息平台,可同时与多家网站的信息进行整合使用;通过第三方信息平台,使Web信息可以实现与现实同步,在信息同步、聚合、迁移的基础上,进行集中校验和分类存储,并对原始信息进行提炼加工。
web3.0知易行难
Web3.0要解决互联网读与写模式之上的语意问题,让全球用户在这个平台上解决沟通障碍,我只有1000块钱,希望带着自己的女朋友去西藏玩三个月,这样的语意表述方式,有可能从互联网中获得答案。Web3.0的智能化设计可为用户分析输出适合的信息。
Web3.0在技术实现上存在很多难以逾越的困难,首先是要让用户跨越不同的应用平台,并共享不同社区的信息资料,以通过简单的入口获取其中需要的信息。而这种信息的共享需要通过TAG(标签)的方式进行相互链接,现有的TAG只能做到对站内的关键词进行关联。
其次是搜索的智能化,对无用信息进行有效过滤,以达到更加快速地搜索有效信息解决用户问题的目的,用户甚至可以将对关键词的组合判断和对问题的思考过程全部交给搜索引擎,用户要做的只是将想要的东西列出,并与个人信息连接在一起,搜索引擎就能自动将数据信息提供给用户。
让计算机完全处理和分析,这种智能化方式,并非通过人工进行编辑加工,再对数据库进行整理,而是需要基于新一代的搜索技术和统计技术才能实现这样一种类似语意网的形式。半个世纪以来,无数科学家都在尝试这样一个问题,就是在网络信息的基础上建立起一个目录更少但导航更为有效的智能层,这个智能层能够代替人去进行思考,但至今尚未给出有效解决方案。
语意网
语意网是指将全部的信息、资源、知识分散各地,以内容的形式连接成网,而不是以现在的HTML代码作有限的连结。那个时候出版系统的效益,将是知识的供应、而非信息的提供。
符合中国国情的web3.0基础条件分析
1、国家相关机构对个人合法身份的确认。
第三代身份证为这一条件打下了良好的基础,公安机关联网的计算机,可以接收网站发来的个人身份确认信息,网民可以便捷地到辖区派出所刷卡确认身份。这个条件仅仅是诚信的基础。
2、在非网络时代,中国人更多的信任主要通过关系网中的熟人介绍,在交往中,依赖面对面的交流,凭个人的感觉,逐步取得信任,进一步开始产业活动。
中国的一句俗话:人是一面相。听到的远不如自己亲眼看到的。
3、网络时代怎样满足中国人的这个习惯呢?
A、网络的语音视频功能----看到听到。
B、成员相对固定的视频会议系统+文字交流区----QQ群、圈子、E话通、页面网电等----建立口碑传播渠道。
C、完善同学、战友、亲戚、同事的网络组织。由于成员结构复杂且分布广泛,所以通过这个组织比较容易找到共同熟人或者值得信赖的中间人(大多是有身份的人)----网上网下人脉结合。
D、任何人可以主动或者被动的考察、接受考察。----提高效率,是网络的意义所在。
4、借鉴国外个人诚信管理制度,在部分网民中推广会员诚信等级确认制度。目前,国内部分网站已经作了起来。
5、有了这样的基础,产业活动才具有普遍意义—一亿以上的实实在在的老百姓,通过网络进行商业、工业、服务业等的部分环节工作。
三、无论Web3.0最终内容是什么,但一定是在形式上,通过网络深化对大众的服务,更加低成本高效率地满足更多的人对精神的追求以及创造更多的财富。
四、说给勤奋中的站长和看好中国的VC们。
中国在互联网方面和发达国家的距离相对较小,而且越来越小,但方向一定要符合中国国情,才能少出现泡沫,不出现泡沫。
我们欣喜地看到几家网站,抓住了趋势,得到了VC的支持,风头正劲。
同时,笔者还高兴的在中国的郑州、徐州接触了几个网络团队,他们不为一时的网络泡沫所动,潜心研究,俯首基础建设,座上有鸿儒(世界顶级技术专家、VC代表),往来尽白丁(不善动笔当不了写手的草根)。
必要的时候,我会为他们献上一笔。
勤奋终有所获,方向正确,风险更小!
补充:
web1.0----网站是别人的网站------我只是看看--------陌路人
web2.0----网站是朋友的网站------有人和我聊聊------客人
web3.0----网站是你我的网站------吃喝买卖随己------主人