由于360杀毒中BD引擎调用程序出现Bug，导致部分用户系统时间被更改为2011年6月1日，主要影响360杀毒3.0以下版本并开启BD引擎的用户。

今早发现程序Bug后，360杀毒产品团队全力进行了紧急处理，目前已经发布修复程序：开启“自动升级”的用户，系统时间将自动恢复正常；如果您需要立即修复，点击360杀毒界面上的“检查更新”按钮，即可解决系统时间错误的问题。

1号店：可以赔钱，但须保密

90万用户信息泄露

华夏时报记者 张汉澍 上海报道

电商新贵1号店正在遭受史上最严重的用户信息泄露压力。

5月份的最后几天，一条“售卖1号店90万会员信息资料”的消息在业内不胫而走。“买卖1号店会员信息的那个人曾和我接触过，对方称所卖的数据真实可靠，都是从1号店网站的后台搞出来的。”熟知此事的速途网副总经理王鹏辉对《华夏时报》记者说。

用户信息泄密后，1号店大量会员用户通过不同途径反应，自己在1号店账户余额内的资金统统不翼而飞了。账户资金被盗是否与90万会员数据外泄有关？目前，1号店没有给出任何答案。

1号店董事长于刚曾向本报记者表达过快速扩张的愿景：“2011年1号店的总营收是27.2亿元，今年达到60亿元只是时间问题，这两年肯定会突破100亿元。”对于急于扩张的1号店而言，此次数据泄露事件将会如何发酵，是否会影响其扩张计划，一切都有待观察。

买了东西丢了钱

“这是我第一次尝试在1号店购物，但也有可能是最后一次。”5月30日晚，1号店注册用户蒋季向本报记者诉说了她的遭遇。

蒋季告诉记者，不久前单位给员工每人发了两张1号店的礼品卡作为福利，两张卡中共有700元，5月19日她在1号店下单买了一百多元的东西，账户余额还有500多元。

“5月28日，1号店客服突然给我发了条短信，告诉我账户出现异常状况，怀疑有他人在我的账户里下单，就此通告并修改发给了我新的密码。但当我登录1号店账户时却发现，账户里的余额早已被人盗用一空，而盗用者的下单日期竟是5月25日，也就是说1号店足足推迟了3天才作出反应。”蒋季愤愤地说。

蒋季说，盗用者用她的钱购买东西后寄往了四川省的一个地方。她就此线索向1号店客服进行了投诉。1号店方面称，曾发现过她的账户有异常情况，当时也发出了订单拦截指令，但不知道什么缘故，指令最终并没有生效。

“后来才发现，不光是我一个人，我的同事几乎清一色都被盗取了账户余额。1号店给我们的反馈是，他们已经报警，这个事情要协商处理，让我们另等通知，但却没有给出任何确切的时间，这不像是解决问题的姿态。”蒋季对1号店的处理方式颇感不满。

蒋季和同事的遭遇并非个案，记者在采访中发现，近期集中反映账户资金被盗的投诉比比皆是，在微博上发言投诉1号店的不下数百人，在百度(微博)上查找“1号店资金被盗”竟跳出240万个相关结果。

不过，直到5月25日，1号店客服中心才向外界发布了《防诈骗安全提示》的公告，公告中称，如用户发现个人信息被泄露，请立即向1号店举报。

目前，1号店公关部人士向记者介绍，公司除向警方报案外，还展开了内部自查，不过该人士并不愿意就自查的进展做进一步披露。

可以赔，但别嚷

3个月前，记者曾问过于刚一个问题：“1号店最看重的是什么？”于刚当时的回答是：“用户体验。”于刚认为，规模化其实是用户体验的副产品，一旦用户体验做好了，规模增长是水到渠成的事。

然而，数据外泄的不期而至让用户正遭受损失，用户怀疑，1号店的核心价值观是否落到了实处？

目前，1号店已经向部分被盗用户抛出了一份解决方案：即同意赔付失窃余额，但用户必须签署《关于领取1号店垫付款项的确认函》。

本报记者获悉了该份函件，1号店方面在其中写道：“近期，因本人(指用户)在1号店网站上的注册账户被盗，造成账户余额损失……虽然本人账户被盗是由第三方不法侵害所致，但从客户满意度出发，1号店提出可先行垫付上述账户余额损失金额，本人对此表示感谢，并充分认同和接受1号店提出的垫付款项……本人对上述事宜予以严格保密，未经1号店书面同意，不会向任何第三方披露或提供任何相关信息，如违反上述约定项，本人将归还1号店所有垫付款项，并同意支付等同数量的违约金。”

这一函件正遭到用户广泛地质疑。王鹏辉对此函件批评道：“要求用户签协议才能赔款，这完全是霸王条款。其实就是你把钱存在他们那里，他们没有保管好被偷走了，为了不损害他们的名声，还要求用户承认不是1号店的责任才赔钱。但1号店本来就有责任和义务保管好，丢了就该无条件赔钱。”

记者就此协议赔偿的事项向1号店发出采访要求，但截至记者发稿前并未得到任何相关回复。

信息保护流于形式

经历此劫后，1号店的信息安全、账户安全漏洞已完全暴露出来。

1号店用户文林告诉记者，1号店曾要求其将账号与手机绑定，假如账户内有超过50元的资金动向，1号店便会向其发送手机信息和动态密码进行确认，以保障安全。

“此后我通过账户购买了有近200元的商品，但手机从未收到过1号店承诺的动态密码。”文林表示。对此，1号店一位客服人员告诉记者，1号店目前已经取消了这一服务，并将标准修改至500元以上才会对用户进行安全提醒，而修改的理由竟是令人匪夷所思的“为了方便客户”。

1号店如何维护500元以下账户资金的使用安全？该客服人员的建议居然是，可以通过频繁修改密码让外界无法掌握。

记者了解到，目前1号店对于账户资金的安全措施仅停留在单层密码保护的状态，一些电商所用的诸如U盾卫士、动态密码计算和登入密保卡，1号店目前均未使用。

而1号店90万会员数据的外泄原因目前也仍是个谜。对此，1号店在接受采访中始终讳莫如深。

中国电子商务研究中心分析师冯林向本报记者表示，许多电商网站对会员信息资料使用的都是明文而非加密的保存方式，在这种情形下，电商企业内部会有很大的信息外泄隐患。

一位曾负责过电商运营安全的行业人士表示，他曾对市面上泄露的电商数据样本做过分析，结果显示，85%的外泄都是由电商内部人士自己泄露出来的，仅15%是外部黑客通过电商网站的一些技术设计缺陷抓取获得的。

“绝大多数电商其实对会员数据信息安全的问题并不敏感，特别是快速发展中的电商，它们的IT部门平日里忙得不可开交，根本没有多余的精力放在提高信息安全性上。电商技术部门的绝大多数开发人员都拥有访问后台会员数据的权限，一些业务部门也可以得到这些访问权限，这就意味着会员信息数据有许多被外泄的可能性。导致这些问题的原因在于网站系统架构设计不合理，在项目初期，技术部没有考虑将数据访问层和业务层进行分离。”上述人士分析称。

“许多电商缺少必要的内部规范，不是说公司里什么人都可以看用户信息，即便是工作需要，也应该设置多层授权，在接触数据库时必须要同时有两人以上在场，便于相互监督，企业还应该安装摄像头，以避免监守自盗事件发生的几率。”冯林说。

本文作者：@放翁

下班前一路和震子走，一路还在吐槽，事情到真的非常小，但心里却真的替很多跟着我们这批“老骨头”做事的新人担心，所以想说一点自己的真心话：做个coder其实很简单。

实在人说实在话，衡量一个负责业务系统代码质量最容易量化的就是：

1. 新增，删除，修改一个功能和业务要动多少部分的代码？多少代码是重复或者类似的修改？
2. 排查问题的时候是否可以用排除法“卸载”模块，按需测试？

隔离，重用，主从逻辑区分。（前两者不多说，最后一个很容易被忽视，例如做一个合法的公民从来不会告诉你应该做什么，而会告诉你不要做什么，而违反上面第一条的很多时候不是代码不复用，而是主从反置，最后使得主流程的修改不断的在分支流程上去做判断）

额，至此为止，我可以很负责的说，你所学的大部分模式就是用来干这个的，而你只要奔着这个目标去做事，不仅能够学会那些书上的模式，而且还能够按需裁剪，因为雨天撑伞是尝试，风向不同伞要倾斜是技巧。

接着你就开始因为做业务不断的接触各种内容：文件，IO，Load，压缩算法，tcp，http，缓存，db，数据流，一致性…，好像很杂，是的因为我们 在做业务，我们在积累我们宝贵的“经验”，往往这个时候是两种程序员分叉的开始，都是做业务，有些关注完成任务，有些关注细节，这些细节就是我所说的上面 那些那些杂物。

接着，那些关注细节的人得到了更多的空间和机会，接触到更多的问题，面对效率，可用性，一致性等问题在设计上开始摆脱最初学到的隔离，重用，而开始学会权 衡（业务的取舍，所谓的优雅和长久的取舍），开始学会用他经历过的“杂学”来改变程序设计无法改变的问题，最后经历过了一系列痛苦的反复，最后留下了更多 的所谓的“感觉”。
而当经历过这一切的时候，再去拓展更多的领域，领会不同语言和场景的差异和特征。这时候会发现这样的人学新东西非常快，原因两点：1.任何程序的载体就是 前面说的“杂学”（最后归一无非就是二进制流及一些协议，算法和硬件）。2.语言的融合和借鉴早已深入各种语言内部 （java，python，js，objective－c，c＃等等），因为语言就是用来利用“资源”表达思维的方式。

好了，其实我想说，做个程序员很简单，而每一个带兄弟的人要为兄弟成长负责不是在晋升的时候拉票，不是在饭桌上灌酒，应该是告诉他们我们走过的路。

今天ICANN结束了对顶级域名的申请窗口，他们将在未来两周里陆续公布申请新增的域名列表，但Google今天自己就先行透露了自己申请的域名，包括：

• 他们自己的域名，比如.Google
• 跟他们核心业务有关的域名，比如.Docs
• 可改进用户体验的域名，比如.YouTube，可方便用户直接登录某个YouTube频道或是某类视频
• 有趣而有潜在创造力的域名，比如.LOL

现在ICANN希望每年能征集到300到1000个新的顶级域名，每申请一个域名需要支付185,000美元的费用。

如果.LOL这种搞笑域名都被批准的话，我认为还应该增加.233域名。