360buy-login

-----相对于“热情好客”的中关村和“鱼龙混杂”的淘宝网来说,京东商城是多数宅男购买3C产品的首选。京东的购物体验一直很不错,不过最近登陆页的变化却是让人越来越搞不明白。

一、弄巧成拙的验证码


-----1.数字+字母组合,没有大小写区分提示!
验证码和马赛克一样,都是阻碍人类走向文明的绊脚石,“数字+字母”组合且不给出是否区分大小写提示的验证码很有反人类罪的潜力!
-----2.B2C购物网站是否需要验证码?
验证码的主要功能是防止机器人注册或发言等,京东商城作为一个基于大众用户的B2C网站,流畅的购物体验至为重要。同时,目前京东商城这类B2C网站似乎没有spammer的生存空间,那么这个登陆验证码除了给用户制造登陆障碍外还有什么更深层次的作用?如果为了减少垃圾单的话,验证码应该出现在下单而绝不是登陆!
-----3.验证码不是保护账户信息的有效途径。
也许京东设置登陆验证码的意图在于保护账户安全,防止暴力破解,但综合用户体验和信息安全以及购物流程,这真不是一个好的解决方案,得不偿失。

二、诸多隐患的自动登录


-----京东商城的自动登录是最近上线的功能,没有到时候很期待,有的时候又让人多担忧。
-----1.账户隐私泄露的可能性大大增加。
购物信息算是比较私人化的信息,况且京东现在新增了不少很有”性趣“的东西,估计没人喜欢自己的购买记录被他人看到,除了天涯的那位
-----2.自动登录+货到付款存在恶意利用的漏洞。
京东是支持货到付款的,并且货到付款的单子和其他先行支付的单子一样,不需要任何电话、邮件确认,你有没有想起电影《没完没了》里葛优"宴请”傅彪的情节?这种情况完全是有可能的。因此,京东这类涉及到财务的购物网站不应该有自动登陆的功能,cookie该在关闭页面后失效。相应的,货到付款的单子,最好还是增加一个客户确认的环节。

-----现在来看,京东商城登陆口的验证码和自动登录放在一起十分可笑:验证码意在保护账户安全,自动登录却起着截然相反的作用。而比较易讯、新蛋和淘宝的登陆页,比较认可的做法是:无验证码+无自动登录(cookie关闭浏览器失效)+自动记录用户名可选。这应该是安全和便捷间最好的取舍,至于恶意猜测或暴力破解本身没有支付能力账户的密码,又有几个蛋疼的人去做呢?