保安的故事
作者:白鸦 来源:白鸦blog 发布时间:2009-12-28 13:02:00
两个多月来唯一一次有时间哄么么睡觉,我先给他讲了遍《从前有座山》,还是不睡。又给他讲了这个“保安的故事”:
小A是名很敬业的保安,负责保护客户放在保险库里的钱。
保险库的门上有一把防盗锁,客户有钥匙,应该说很安全。
不久,小A发现一些聪明的偷盗者可以打开防盗锁。于是,小A在保险库的门上又加了一把锁,他心里踏实了。客户每次取钱的时候,需要分别打开两把锁,客户觉得小A做的很好,很有安全感。
不久,小A又发现一些更聪明的偷盗者可以同时打开两把锁。于是,小A就又加了一把锁,他心里更踏实了。但,客户每次取钱变得麻烦起来,不过至少钱没丢客户还是满意的。
不久,小A再次发现一些顶尖的偷盗者可以同时打开三把锁。于是,小A就又加了一把锁,而且锁的开法和以前的还不一样,这次他心里又踏实了。
。。。
很快,保险库的门上挂了几十把锁。而且每把锁的开法都不一样,什么锁用什么钥匙打开也没有记号。小A终于可以彻底踏实了。因为,连客户都打不开自己的保险库了。
最终,客户换了一个保险库。和保安。
——————————————————————————————————————–
两年前,我在饭局上问某杀毒界的大佬:杀毒产品的安全和易用性,往往有很大冲突。你得不停的弹出窗口问我“是否允许访问”,才能更好的保证电脑的安全。但,不停的问其实是一种易用性很不好的表现。
他这样回答我:杀毒产品最基础的东西是“电脑安全”,这没错。很多人认为:为了安全可以牺牲一切东西,即使是给用户带来麻烦。但我们忽略了另外一个问题“其实用户也不知道是不是该允许”。而且,刚开始他还会去考虑(虽然考虑的也可能不对),但慢慢的他自己都懒得去考虑“是不是该允许”,随口就回答了你,而且他并不会觉得你这是“安全”,而是“烦人”!
最后,你会发现把问题抛给了用户,往往并不能得到正确的答案,只是自己心里上觉得“少了一种责任”。
在一开始的时候,我们确实没办法用系统来判断问题,不得不去问用户“是否允许”,因为我们真的不知道“该不该允许”。而我们必须得去保证用户电脑的安全。
但,随着我们经验越来越多,装机量越来越大,我们知道了“什么是安全的,什么不是安全的”,可以说我们的病毒库更新比用户要快要早,这个时候我问他还不如问我自己,至少我可以做到一万个数据和行为一样的用户,我只需要问一个人。
所以,安全和易用性的问题,看起来是个大问题。但只要我们有意识去强调“让系统做更多的事情”,这就不会再成为一个问题。
一年半前,在另外一个饭桌上,我问了另一位杀毒界大佬同样的问题,他的回答几乎一样:这个问题,随着我们的经验和系统能力提升,就不再是问题。只要我们能意识到不再去把问题抛给使用者。
我想,也许安全和易用性的问题可以分两方面来看:
1、易用性只是用户体验过程中的一个中间环节,而安全是基础环节。 安全是最基础的用户体验,没有安全就不要去谈什么用户体验。
抛开安全谈易用性,易用性是做到极致了,安全没了;抛开易用性去谈安全,安全是做到极致了,易用性没了。安全和易用性必须一起来考虑,这是一个无法回避的问题。
2、安全问题还是应该交给系统完成,而不是甩给用户。即使当我们还不能完全做到系统完成的时候,把一些选择甩给了用户,至少也得让用户感受到“这不是负担,而是一种无微不至的服务”。
至于如何让系统来完成,只要去做,总会有改观的。先得改变的还是这个意识。
猜你喜欢
- 404页面对于站长来说应该并不陌生,其作用无碍乎二点:提高用户体验和增强对搜索引擎的友好性。去年在跟几个朋友在聊天的时候,跟我说404页面不
- if exists (select * from dbo.sysobjects where id = object_id(N'[db
- 相关代码:JavaScript写的日期时间控件,很好用 13个超酷的js显示时间效果 <html><head><
- 正则表达式(Regular Expression)为字符串模式匹配提供了一种高效、方便的方法。几乎所有高级语言都提供了对正则表达式的支持,或
- 研究好多天了,也试过好多办法了,总结出目前发现最好的方法:先说一下基本的东西:<%@ codepage=65001%>
- 这是一套适用于JavaScript程序的编码规范。它基于Sun的Java程序编码规范。但进行了大幅度的修改, 因为JavaScript不是J
- 提叻一个代码段,要人帮助解释一下。代码如下:declare type t_indexby is ta
- 直接调用系统的颜色显示在网页上本来是件很好玩滴事,但是,也有个缺点,就是可用的色太少 比如Bindows在它的启动画面一点点应用。=。= 上
- hmac主要应用在身份验证中,它的使用方法是这样的:1. 客户端发出登录请求(假设是浏览器的GET请求)2. 服务器返回一个随机值,并在会话
- phpMyAdmin可以管理整个MySQL服务器(需要超级用户),也可以管理单个数据库。为了实现后一种,你将需要合理设置MySQL用户,他只
- 今天有朋友问我关于用JAVASCRIPT来进行页面各表单之间的数据传递的问题,我以前也写过,不过从来没有注意,今天总结了一下,希望能够给大家
- 如何显示最后十名来访者?代码和说明见下:<%Application.LockIF NOT isArray(&nbs
- 如果出现 automation服务器不能创建对象 解决方法:1、如果是Scripting.FileSystemObje
- 关于“登录”和“注册”的问题已经被很多设计师和交互设计上写过无数遍了,今天我在登录纳米盘网站时受到打击了所以写下此文。事情是这样的:当初租用
- 使用 WinHttpRequest 伪造 HTTP 头信息,伪造 Referer 等信息。由于微软封锁了 XmlHttp 对象,所以无法伪造
- JavaScript图片水平翻转后垂直翻反转的特效一:<!--把下列代码加到body区域内--><SCRIPT langu
- em 和 strong 的区别,可以从三个层次上来谈。首先看 HTML 4.01 中的说明:EM: Indicates emphasis.S
- 今天来讲一下一些实现html中表格隔行换色的方法,即每隔一个行表格的背景色就不同,有静态html/css实现的,也有asp动态实现的。这个功
- ASP长文章分页代码实例,也许你会问一篇文章为什么还要进行分页呢?因为文章有短有长,当你的文章很长的时候,如果就一个页面都显示出来的话,读者
- 我用 ip=Request.ServerVariables ("