由于公司对淘宝网站进行了一定的处理,连带我上ued.taobao.com也无法成功了,暂时还没有试着那个open.taobao.com是否会对公司以后业务有否需要。到时候再说了。
这一篇文章说的是互联网用户常见的心理特征,让我想起了我上家公司的测试人员,后来转产品了,她就是心理学出身的,因此她当时从测试、到产品的转换时,对产品提出的一些理念都非常有意义。
这和本文无关,随便谈谈而已,开始上正菜,作者青云,来自:互联网用户常见心理特征
注:本文是我在淘宝的内网 中发现的一片文章,作者来自于测试团队的霜波同学,她是我淘宝讲师团队的同事,爱好广泛,去年一年都在研究心理学。哈哈,让我甚是佩服。这篇文章写的是互 联网用户的心理学特征,我觉得分析的很到位,感觉这些行为就是每天发生在自己身上一样。我想,这对设计师来说,了解这些用户行为背后的原因是非常重要的。 故转发此文,与大家一同分享。
近半年持续关注了一些用户反馈和客服电话,从一些常见问题中总结出了八点互联网用户常见心理特征,在此共享,希望能共同努力提高用户体验。
1:惯性
用户:“你们的排序按钮为什么没有了?”
客服:“亲,我们把它放在右边了,这样更加的明显哦。”
用户:“你们很闲吗?没事弄这个按钮做什么!”
有一个故事,说的是将奶酪放在了迷宫的第三个格子,然后放一只老鼠进入迷宫,第一次的时候,老鼠先找第一个,再找第二个,最后在第三个格子中找到 了,很高兴。第二次的时候,先找第一个,再找第二个,又再第三次的格子中找到了,很高兴。第三次的时候,老鼠直接去了第三个格子,找到奶酪。第四次,第五 次,奶酪没有动。第六次的时候,奶酪被移入了第一个格子,老鼠看不到奶酪,于是生气,郁闷,焦躁,原地打转,却放弃了继续寻找。
人和老鼠一样,甚至比老鼠更加的具有惯性,更加的善于总结规律,更加的容易感觉生气和不爽。一旦他学会了用一个按钮,第二次一定会去原地按照原来的 方法使用。如果位置或者方法和以前不一样,他会很不习惯,并且认为这是一个非常不爽的改变。所以如果产品经理要改变原有的规律一定要三思再三思,即使你知 道你是在让原来的过程更加的美观,更加方便,更加的绚丽,也请考虑到原有老用户的习惯。在吸引新用户的同时如果让老用户少去学习是产品经理需要综合考虑的 问题。
2:我就是全部
用户:“你们的平台真烂,我商品的显示全部错了。”
客服:“亲,别人的都是好的。是不是你设置错了?”
用户:“别人和我有什么关系,我的商品显示出来就是错的!”
看上去蛮不讲理,但是每个人都是自己世界的国王,他对他自己全部的负责,所以当我们很轻易的说少数人的时候,也应该去体会这少数人的全部世界,他和 我们关心自己的kpi,关心自己的晋升一样关心着自己的小店铺,对我们来说的沧海一粟,对他们来说也许是他们最珍惜的珍珠。承认彼此的平等,也正是这些微 不足道给出反馈的用户帮助淘宝一而再再而三用户体验的改进,他们是我们最优秀的不取工资还不断帮我们提交bug的用户测试工程师,对于如此无私的行为,我 们是应该感谢了?还是感谢呢?还是感谢呢?
3:第一印象很重要
用户:“你们应该提供一个**的功能。”
客服:“亲,我们有了。在**的链接上可以链接进去。”
用户:“我之前用过,一点都不好用。”
客服:“我们改进了,你再试试。”
用户(一段时间之后):“我就说过不好用,你看看,还有***都不是我想要的。”
第一印象一旦形成,接下来所有的关注力都是为了证明自己的第一印象是正确的。所以,不要责怪你的用户不够宽容,不够拥抱变化,不能理解你持续的努 力,是你在之前没有竭尽全力去给他一个好的体验,一个满意的结果。所有单身的同学注意了,别随便糟蹋自己的形象,很可能在某一个你没有准备好的时刻,你的 Mr right就出现了,然后你需要很长很长得时间去重塑你的新形象。
4:相信熟人
用户:“我朋友说你们的这件商品很好,我也要一件。”
这是买一件东西最肯定的理由,经常在人多的地方听到一堆的女生在说这样的对话:“你的衣服很漂亮,在哪儿买的?”“在淘宝。”“快把链接发给我。” 每次听到这样的言语都忍住不的微笑,因为成为这家有意义公司的一员而骄傲。感谢这些八卦的女生们,她们用言语证明了淘宝的价值,她们是淘宝最佳的代言人。
5:简单
用户:“能不能不要让我回答这么多问题,填这么多信息。我只是想买一件衣服。”
刚开始的时候我们曾经想做成最简单的产品,随着时间的发展,随着需求的深入,随着问题的展开,我们经常看到的是一个复杂不堪的产品。然后用户望而却 步:“知道吗,我对你每一步的迈出和深入都需要勇气和热情。但是在得到真相之前,我不确定的我的这种付出是否值得。”所以,别让潜力用户在漫漫长途中放 弃。是我们的重重关卡将他们拒之门外。
6:文字图片结合
用户:“能不能在文字上直接给张图片?看着直观漂亮。”
用户:“能不能在图片旁边写上文字,否则不知道是在卖什么,干什么。”
人的头脑分左脑右脑,右脑喜欢图片、直接感觉;左脑喜欢文字,思考。有人喜欢右脑思维,有人喜欢左脑思维,作为产品的设计者,不用纠结,不用分类,让用户的2块头脑都得到充分的享受和利用吧。图片文字合理完美的结合是对不同用户最好的尊重。
7:金钱安全
用户:“我把钱放在你们这儿安全吗?你确定吗?”
用户:“你确定我的退款能成功吗?我把货退还给他了,钱能拿回来吗?”
金钱永远是让人担心的东西,金钱的安全一定是用户的第一考虑,如果我们不能给他们金钱的安全感,我们就无法留住用户,比金钱更加重要的应该是用户的信任和信心,所以在金钱的安全和保障上付出任何的努力应该都值得。
8:搜索准确
用户:“你们的搜索真差,我找不到我想要得商品。”
客服:“能告诉我你想找什么吗?”
用户:“我就想要自己喜欢的东西。”
客服:“。。。”冷汗直冒中
也许我不知道自己想要什么,但是你们应该知道我想要什么。这是很多用户的心理,我也是。永远不要指责用户的无理取闹,就像不要指责女生的善变。如果 你足够把她放在心上,你应该会知道她喜欢什么,想要什么,会买什么。她的每一次浏览,每次点击,每次购买都在告诉你她喜欢什么,想要什么,这些都是她给你 的机会,不要浪费。
9:保护私隐
用户:“你们太过分了,你们把充气娃娃让我爸爸接收了,然后,然后。。。他还当场打开了。”
每个人都有自己的私隐和不想让人知道的信息,不可以想当然的将这些信息透露出去,信任的建立很困难,需要很长的时间,信任的失去也许只是一瞬间,一 个不小心的安全漏洞,一个不合适的需求,一次不小心的透露,我们就可能摧毁我们和用户之前长时间建立的信任关系。珍惜用户包括珍惜他提供给你的一切信息。
我常想,作为产品我们应该把用户放第一,作为员工我们应该把公司放第一,作为主管我们应该把员工放第一,可是这么多第一,谁是真正的第一?问问自己的良心吧,你能坦然面对你所有的客户、员工、团队成员问心无愧,能堂堂正正说出自己所做所为所思所想,应该就是真正的成功了。
-----------------
目前的产品还没有涉及到隐私、金钱等重要的,但是用户的感观还是会有接触,所以了解一下总是好的。再加上,这两天密码狂泄,隐私,真的会被提上日程吧?
不说啥了,直接上原文:
两篇文章的地址分别为:http://rdc.taobao.com/blog/qa/?p=857
http://rdc.taobao.com/blog/qa/?p=882
什么是xss漏洞
XSS又叫CSS英文缩写为Cross Site Script
中文意思为跨站脚本攻击
具体内容指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,
嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的.
xss的漏洞危害
- 获取用户cookie
- 修改页面信息
- 浏览器劫持
- 与其他漏洞结合(如:csrf漏洞)
- 其他
xss漏洞实例演示
xss漏洞是如何产生的
以下Velocity模板VM中常见的代码
- <span>$!productName</span>
- <script>var from = ‘$!rundata.Parameters.getString(’from’)';</script>
对于第一种类型的代码我们可以输入变量为
<iframe src=http://hacker.com></iframe>
第一种类型的代码将变为
<span><iframe src=http://hacker.com></iframe></span>
对于第二种类型的代码我们可以输入变量为
‘;hackerFunction(document.cookie);’
第二种类型的代码将变为
<script>var from = ”;hackerFunction(document.cookie);”; </script>
以上两种类型的代码都轻易的被植入了恶意的脚本,也就是说产生了传说中的xss漏洞。
xss漏洞如何预防
1. 对于非富文本针对入参进行转义
可通过escapeHtml和JavaScript进行转义。
转义过后上面的代码将会变成
<span><iframe src&equalshttp&colon&sol&solhacker&periodcom><&soliframe></span>
转义后用户输入的恶意脚本代码就不会被执行从而达到了预防和修复的目的。
2. 对于富文本入参进行过滤
略。
总结
本篇简要介绍了什么是xss漏洞,xss漏洞在代码中是如何产生的,简单介绍了如何去预防和修复xss漏洞。
黑盒手动测试
对于非富文本在输入框中输入特殊字符 <”tiehua ‘> 提交
在提交后的页面查看源代码根据关键字tiehua查找源代码中的tiehua前后的<”>’是否已经被转义成
<">&apos 如果未被转义说明这个输入框存在xss漏洞的嫌疑(提交bug)。
对于富文本输入框输入<img onerror=”alert(123)” src=http://xxx.com>提交页面
如果页面有出现排版问题或者js错误说明这个输入框存在xss漏洞的嫌疑(提交bug)。
链接带参数的如:
http://mall.taobao.com/?ad_id=&am_id=&cm_id=&pm_id=
该链接包含了4个参数,对于这种的测试方法和输入框测试方法一样只不过把参数当成你的输入框进行
提交。如:
http://mall.taobao.com/?ad_id=<”tiehua’>&am_id=&cm_id=&pm_id=
另:可能大家会说光这点不足以说服开发修改bug,很可惜本文旨在说明如何找到xss漏洞并不是说明
如何利用xss漏洞,感兴趣的看情况线下交流呵呵。
黑盒工具测试
推荐工具
- Paros(免费)
- Acunetix.Web.Vulnerability.Scanner (商业工具)
白盒代码扫描测试
在上一篇中我们讲到了xss漏洞产生的代码原因和解决方法如:
<span>$!productName</span>
此类的非富文本代码我们可以强制要求规范为:
<span> $!stringEscapeUtil.escapeHtml ($!productName)</span>
对于富文本的我们可以强制要求代码规范为通过过滤层过滤。
根据以上的两条规则,我们可以从白盒代码上去进行静态扫描代码是否按照规范编写来预防和筛选xss漏洞。
D2前端技术论坛(Designer & Developer Frontend Technology Forum),简称 D2 ,为国内前端开发者提供一个交流的机会,一起分享技术的乐趣,探讨行业的发展,以技术会友。它是中国所有前端开发者的节日。D2 将努力营造一种轻松自由的交流氛围,没有任何商业色彩,以纯粹的技术交流为根本,共同推动国内前端技术的发展,发掘前端技术可以创造的更大价值。
授课人介绍:
今天在D2上海大会上呆了一天,作为一名web开发人员,对于前端技术总还是需要研究和追新的,虽然他们上的课中有一部分我已经了解或者永远不会用到。但并不代表我不能从中学习知识。
一大早和mpeg就往建工锦江大酒店赶,到了之后才发现,和上次ThinkSite(欣才)举办的一个小型沙龙是在同一个地方,由于我的号码已经是100多了,去的时候也是很紧张的,怕是他们开始了不让俺进。
进去时,正是adobe的马鉴在介绍flash10的一些新特性,感觉flash可做的事情真多呀。好恐怖呀。印象最深的是一块画布在被采用各种 技术进行渲染,性能实在恐怖(不过他是用mac的,我不知道windows下,是否还有同样的性能)
接下来就是土豆网的大麦?介绍了flash的协作开发,可惜由于adobe的朋友讲的太优秀了,相比较而言,他讲的实在就有点。。。。
吃过饭后进行抽奖,象俺这么英俊潇洒的人一向遭人妒忌的,所以,奖项就离我远去了。
接着是alibaba的一位帅哥讲了敏捷开发,节奏把握的很好,确实很有水平。在他讲完之后,接着是微软的王超奇介绍IE8的一些新特性。说实话,他讲的内容没有什么特别的,毕竟这些都是可以看news list看得到的,但是演讲之前的那段广告视频却非常不错,没见过,也吸引了很多眼球 。淘 宝UED和土豆小麦在最后讲了一些内容,都是在赶时间了。。。
本次的亮点:1、叽歪互动 2、书
或许搞技术的都不太擅长直接语言交流,这个叽歪互动则让更多的人进行了参与,在以前的一些会议中,看起来是不可想像的,但如今却成了一种新的交流方式(依稀记得好象是某个年会上开始有叽歪参与,然后就一发不可收拾了,叽歪也随之出名)
书是第二个亮点,可惜我一本都没有拿到,好象是那本:悟透javascript还有adobe air开发(看到有人在送这本书给其他人时,那人感慨了一句:啊,是译本呀,唉我还以为是原版呢。)看来国内对于译本的质量都不太看好呀。
感受还是很深的,一直在搞后端的WEB开发,不料前端已经走的这么快了。再次感慨一下(听说,会上的资料会提供下载,不知道何时能够有的下载)
在淘宝上想淘一个U1000的手机看看的,结果看到某报价:
点开后,发现上面写着:
按照该商家所写的链接,去看了一下该网址,哇塞,手机都好便宜啊,还有400电话呢,而且右上角还有:
哟,还有留言板?打开看看:
看来,真的是象淘宝上写的,商家是苏州的。。。
哇,周先生好辛苦啊,苏州南京经常跑
有两个买到货的哦。只是发现这两个人的IP都是联通的,而且都是福建泉州的
终于有人提出了疑问,看看是怎么回复的?哈哈
一般来说这种网站大概是在02、03年居多,想不过时隔5、6年,又复出了。
以前的电话都是089-8xxx-xxxx这样的,现在OK了,400电话,电信是否可以认作是协同XX呢?随便感慨感慨