互联网安全真正的守卫神

假keso在真王翌的blog 上贴满了署名keso的留言，这事件把大家的注意力转到原本就不堪一击的匿名留言的问题上了。blogger的成功，根基就是大胆的平衡了安全和成本：原本trackback, 不注册的留言，乃至任何人都可以完整的拷贝整个站点内容的全文rss，就是新一轮blog软件独特之处，实验证明，虽然spam问题日渐突出，整体上看，应用效果不错。关于spam，我认为：

1. 提高spam的成本和降低spam的效果才是釜底抽薪。

垃圾电子邮件数量最多，乃是成本低（一个软件，一小时发个十几万不成问题），而效果好（其中链接直接促进网站流量）。手机效果数量其次，乃成本较低（一台机器，不到1毛一条），效果较好（尤其对于声讯电话，包月服务等）。骚扰电话数量再次，乃成本较高（要以专人扯着嗓子一个一个大过去），效果较差（除了被骂以外其它效果甚微）。

一日，一朋友，大叫：“我收到垃圾邮件了”。众人都笑他大惊小怪和没有见识。他补充说，“从英国寄过来的，好大一个包裹呢”。所有人都惊呼稀奇。电子垃圾邮件和平信的垃圾邮件数量悬殊的原因，可见一斑。

我曾放心的把手机号码放在我的网站上两年之久，从未收到过一次骚扰电话，倒是非常多有趣的采访和重要的朋友由此产生。在客齐集上，大家在问，如果把电话号码公开会不会有危险？真的想打电话骚扰的人，何需像邮件爬虫那样辛苦的爬，从任意号码开始，按连号一个一个试，不就有了所有的号吗了吗？何需到这里来找号码。真正对骚扰者重要的，不是号码本身，而是这个号码的主人的年龄段，关注点等信息和手机号码的匹配。做这件事情的成本就大得多了。

垃圾留言分两种。搜索引擎优化目的的居多，谓之“损人利己”。比起用复杂的给留言人制造麻烦的验证码（captcha技术），注册等，以打击垃圾留言制造者为目的，达到了更多人不愿意留言的效果，可谓扬汤止沸。
google提倡的nofollow标签，才是釜底抽薪的办法。让其不利己，损人的就少些。对于另外一种，就是恶意冒充，所谓“损人不利己，白开心”，就算是用了验证码等技术，也不能避免。见了，删了；再见了，再删而已。好在白开心的人多没有持久地毅力和你开心下去。

2．互联网安全的守护神是人而不是程序。

整正的安全不是让坏人不能作某些事情，而是让坏人留下痕迹。举个例子，抢银行太简单，一把斧子也就干了；大街上的玻璃橱窗砸一个，随手一块石头就行。如果我们不建立警察的监督机制，而制造出火箭都打出穿的橱窗玻璃，乃是舍本逐末。现实世界的安全机制就是这样：做恶容易逃脱难。

关于客齐集的信息安全，大家都在为我捏一把汗。我的想法是，客齐集的梦想就是真实的互联网。kijiji原本的意思就是“村庄”，村子里，在小村子里，大家互相认识，互通有无。虚假的东西，在虚拟的互联网里随处可见，而在一个泸沽湖边上40几户人家的叫落水的小乡村里就不那么明目张胆了。虚假的信息，我们首先会通过技术的手段甄别，但更重要的是，通过线下的方式，把坏人抓出来。

如果有人投诉客齐集上某消息不属实，甚至是诈骗，我会第一个拨110，第一个卷起袖子，协助用真实世界方式来处理，并将此事公布于众，让大家知道，在客齐集上发假消息容易，但是不被抓到难。如果没有这种震慑，这种教育，还是以前的那种，线下诈骗“一点技术含量都没有”（天下无贼中黎叔言）让人瞧不起，而线上发布虚假信息就因为“虚拟的”而好似不是诈骗一样，甚至还以为是“高人”，那我再强的技术，除了给绝大多数的好用户不断的增加麻烦以外，也只是成为“高人”练习诈骗技巧的靶子。