報名產品管理課程送履歷健診活動最後一天喔！

前兩天去了西北大學舊金山校區看教室，因為九月要在商學院和傳播學院教產品管理課程啦！其實我已經先整理成中文課程，希望台灣朋友們也能聽。

比較特別的是我沒有要吊書袋、打高空，主要是想把真實發生的日常關鍵、臉書IG產品經理的訓練分享給大家。

我自己很喜歡啦！我在矽谷工作十年的產品經理朋友也說很棒喔，希望能幫到你！😃👋

課程報名👉🏻 https://shop.darencademy.com/product/view/id/108
報名完課程這邊交履歷👉🏻 https://forms.gle/HrXdMA4Xm5MDcGGh7

軟體公司是近幾年世界的重點成長產業，而產品經理扮演軟體公司核心的領導角色，不僅能夠決定產品的未來，更需要提供所有團隊策略和執行的方向，同時，也是近幾年在很多頂尖軟體公司，比數據科學家薪水更高、需求更多的工作。舉例來說，根據美國薪水比較網站levels.fyi，矽谷Google和Facebook臉書的產品經理，根據職等不同，年薪起跳是660萬台幣，最高有2100萬台幣，更別說是產品總監的工作。

1-6堂課我會談產品策略，也就是說，到底大方向上，要做什麼樣的產品？在矽谷，區分產品經理和產品總監就靠產品策略，菜鳥產品經理通常可以把功能做好，但沒辦法擬定很棒的產品策略，但產品策略錯了，有再多功能也沒用！我會一步步跟你說怎麼做研究，知道用戶想要什麼，還有怎麼知道公司的強項是什麼，以及打得過和打不過競爭對手的地方在哪裡，我也會分析美國第二大零售集團Target、Facebook和eBay的案例。其中，Target就是靠著好的產品策略，拿到人稱「數位界奧斯卡獎」的Webby年度最佳電商App等十一個大獎，而且每天多賺一百萬美金。

7-12堂課，我會帶你進入產品目標、假說和藍圖，我會說說怎麼擬定藍圖，如何規劃未來幾個月、或是幾年要做的產品功能？規劃好了以後怎麼執行？每天怎麼跟設計師和工程師合作？其中我會稍微點到一些現在很夯的概念和工具，像是OKR，產品規劃上的最小可行性產品MVP和驗證假說，以及現代軟體開發常用的架構：敏捷開發及Scrum。 我也會用美國衣服出租平台Rent The Runway和eBay墨西哥App的案例，讓大家清楚知道，這些事有做跟沒做的差別。

13-20堂課，我會詳細說明，做一個網站和App到底有哪些角色，每個人要負責做什麼事情，當然，主要我會跟大家說產品經理責任是什麼。除了要知道團隊中每個角色的職責外，你也必須學習，矽谷目前最主流的軟體開發方法 - 敏捷開發，我會用大概5堂課，好好跟你說敏捷的核心精神，進行敏捷開發的前中後，各自要做哪些準備，過程中有什麼要注意的。

21-24堂我會講產品數據分析和優化，像是怎麼評估產品做得好不好？怎麼做A/B測試啊？還有怎麼跟工程師、產品設計師、資料科學家合作。我也會跟大家分享Facebook的案例。

25-30堂我會回答一些大家對產品經理的疑惑，像是：哪種公司有產品經理？需要的技能是什麼？產品經理職涯發展長什麼樣？如果想當產品經理，履歷該怎麼寫？如果你想進入頂尖的科技公司，面試該怎麼準備，其中我會解答許多臉書產品面試的考古題。

我是真的很喜歡課程，課程見囉！

課程報名👉🏻 https://shop.darencademy.com/product/view/id/108
報名完課程這邊交履歷👉🏻 https://forms.gle/HrXdMA4Xm5MDcGGh7

大人學

📜 [專欄新文章] Private key security and protection / 私錀的安全與保護 — Tim Hsu
✍️ 洪偉捷
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

Private key security and protection / 私錀的安全與保護 — Tim Hsu

Crosslink Taipei 在10/19、10/20 台北矽谷會議中心舉辦的 區塊鏈conf。 這是Crosslink Taipei 下午的演講，主講者是擔任CYBAVO CTO的徐千洋(Tim Hsu)先生，同時也是幣托、OTCBTC的資安顧問。

2018年一月被發現的硬體漏洞meldown跟spectr，我們的硬體為了要讓執行速度更快，processor會預先執行某些指令，也因此駭客可以透過這種方式，間接檢測出我們記憶體的內容，把敏感資訊都dump出來。雖然後這之後各CPU廠商都有推出針對這個bug的軟體update，但是在這之後硬體安全的問題逐漸浮出來面，也使世人意識到硬體資安的問題。而今天我們要談的部分不僅有軟體安全，也有硬體安全跟使用者資安觀念的問題。

淺談交易所與錢包

在從交易所提幣的時候，首先Server會先將這筆交易紀錄到交易所自己的資料庫內，之後再取得交易所金庫的private key去金庫取錢，再打到使用者的錢包內。在這個過程中，如果駭客可以竄改Server或資料庫的交易金額，原本要打給使用者1 BTC，變成10BTC，或是直接取得金庫的private key，對交易所都是一大噩夢

圖(一) 從交易所提幣的流程

攻擊手法

1. 交易所的網路架構

案例一: 交易所因為怕被偷交易資料與客戶資料，所以都把這些資訊先加密後再存到資料庫，但是這些資料仍然會被偷(交易所遭到電話詐騙)，往後將這些資料加了三層密，仍無法防範資料被偷的情形，原因出在圖(二)的交易所網路架構。

圖(二) 交易所的網路架構(OA與資料庫間沒防火牆)

因為OA 與資料庫之間的網路沒有防火牆保護，所以駭客不用正面攻擊有防火牆的部分，而是攻擊OA的部分，再藉由OA連線到資料庫。一封藏有病毒的email求職信寄到HR的電腦，都有可能造成交易所資料外流。

解決方式: 就是在OA與資料庫間架個防火牆，如圖(三)所示。例如: 只有Engineer、RD 可以連線到資料庫，QA則只能連到測試環境，HR、CEO不需要、也不能連線到資料庫，依職責對連線範圍做縮限，則駭客可以攻擊的目標變少，我們也比較好做應對。講者重要的一句話: 「千萬不要輕忽駭客攻擊OA的能力」

圖(三) 好的交易所的網路架構

2. DNS Attack

透過汙染AWS 的DNS Server 將交易所網頁導向駭客的網頁，來騙取使用者個資。雖然在導向駭客頁面時，很容易發現駭客的網頁沒有使用安全憑證，或是安全憑證不是SSL核發，但使用者仍可能因資安觀念低落，而堅持連線到不安全的網站。

3. Online Paper Wallet

很多人因為覺得私鑰放電腦覺得不安全，又沒錢買硬體錢包，所以透過線上私鑰轉換器將私鑰轉換成QR code，然而再轉換時勢必要輸入自己的私鑰，容易使私鑰遭竊。

圖(四) 私鑰轉換詐騙網頁

4. 使用者對私鑰保護的意識很低

例如: 不了解私鑰的註記詞或其他相關資訊保密的重要性，而無意間通過社交軟體洩漏了這些重要資訊(硬體錢包開箱文 XD)。

5. 硬體錢包的漏洞

TREZOR 錢包是業內公認的研發最早最警慎最安全的加密儲存器，但是今年仍被發現硬體相關的漏洞。只要駭客輸入特定24碼pin碼，就可以通過硬體的側通道分析，輕易提取出未加密的私鑰，而且這個必須重新設計硬體架構才能夠防止這樣的攻擊。所以即便硬體錢包掉了，仍有被攻擊的疑慮，最好的解決辦法就是硬體錢包外再設定一個long Password，這樣就可以避免掉硬體錢包時帳戶虛擬貨幣遭竊

圖(五) 硬體錢包漏洞

題外話 — Iphone Jailbreak問題

今年在twitter，有人公布了最新攻擊iphone的方式，而問題出在手機晶片。Iphone開機時第一個執行的程序是 bootrom，而bootrom的程式碼則是位於記憶體唯獨區域，所以無法竄改。駭客可以利用bootrom上的bug來攻擊手機，而這些有問題的晶片出現在Iphone 6 ~ Iphone X。其實這攻擊方式充滿限制，不僅要取得欲攻擊的手機，而且這種攻擊方式每次重開機就會刷新。不過這也衍伸出新的問題，以後的iOS作業系統都更容易遭到入侵，因為我們可以在舊的手機上裝新的iOS系統，然後透過bootrom的漏洞來了解新的iOS系統的運作方式，因此這個問題應該被更加重視。

圖(六) axi0mX針對此bug的文章

保護方式

透過secure sharing將私鑰拆成User、Company、Vendor，分散私鑰存放風險

圖(七) 拆散私鑰，分散存放的風險

保護思維

未來除了在演算法的鑽研，也應該多多關注整個 區塊鏈產業的資安問題，從身分認證、系統安全、IT架構，都應該要從安全的角度來設計。

圖(八) 講者參考的設計架構

以上方的圖片為例，很多軟體架構在設計時都忽略了作業系統這一塊，而講者分享了他在設計時針對Server或資料庫的 OS做的處理，如下圖

圖(九) OS層級的安全防護

我們的app、網站、服務都跑在Sandbox層上，Sandbox可以限制由內到外的網路封包收送，同時在Sandbox之上還有Host-IDS(Host-based Intruction Detection System)會記錄及過濾程式在Sandbox跑的所有指令，而且有任何非法存取記憶體或網路封包的行為都會都過Host-IDS被記錄到Threat Intelligence，並且通知使用者。 我覺得這樣的好處是，使用者不僅可以在第一時間知道自己的帳號遭到駭客攻擊，也因為一切的動作都被Host-IDS過濾以及被記錄到Threat Intelligence，工程師也可以更快找到安全漏洞。

結語

近年來因網路的應用，資安越來越重要，除了軟體方面外，硬體方面也要兼顧安全，而使用者的觀念宣導更重要，否則不管我們的系統做的再怎麼嚴密，只要使用者意外連到駭客網站或是洩漏自己的私鑰，一切都是白談。演講中有一句話我覺得很值得借鏡，就是「我們一定要假設我們的系統會被駭客破解，而我們要做的就是盡可能減少被入侵後的損失」，上面提到的Host-IDS就是這樣的觀念，我們無法防止駭客進到Sandbox，但是可以記錄駭客的進到Sandbox後所有行為，這樣的架構才能在第一時間修正系統漏洞。

參考資料

Trezor錢包漏洞: https://bcsec.org/index/detail/id/585/tag/2

Iphone 漏洞: https://www.pcmarket.com.hk/2019/09/30/iphone-bootrom%E8%B6%8A%E7%8D%84%E5%B7%A5%E5%85%B7%E5%85%AC%E9%96%8B-4s%E8%87%B3x%E5%85%A8%E9%81%AD%E6%AE%83%E5%B9%B8%E5%8D%B1%E9%9A%AA%E6%80%A7%E4%BD%8E/

spectre&meldown介紹: https://www.youtube.com/watch?v=bs0xswK0eZk

Private key security and protection / 私錀的安全與保護 — Tim Hsu was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

這次邀請到的特別來賓是型男設計師 Nick。 Nick 現在在 Google 總部擔任 UX Designer Manager，這次的直播會聚焦在如何成為頂尖的 UX 設計師上。

本次訪談內容皆為個人意見立場，不代表 Google 或任何公司的立場。

直播影片的大綱內容:

Nick 大學是師大的工業科技教育學系，主要偏重寫程式、學習網路、資料庫架構相關的學科。 因為他從小學開始就對美術相關的比賽很有興趣，大學畢業後想持續的往設計方面發展， 於是進入交大的應用藝術研究所就讀。


他研究所方向偏向視覺傳達、心理學，學習如何把 coding 、或是邏輯相關的知識應用在藝術、設計方面。 研究所畢業後先工作， 工作幾年後申請美國學校， 來到 CMU 卡內基美隆大學唸 HCI (Human Computer Interaction)。 HCI 是 3 個領域的結合， Computer Science + Design + Psychology (電腦科學 + 設計 + 心理學)，也都剛好是 Nick 接觸過的領域。


Nick 在大學就讀的過程中， 有和另外兩位朋友一起創業， 那時適逢 2000 年，他們想把許多服務及一些內容辦到網路上， Nick 負責把網站做設計、並架起網站、運行。 大學因為有拿到教師資格，所以畢業後去高中教了一年的生活科技課。


隨後 Nick 決定還是回到設計， 先做了網頁 Desinger ， 再到 HTC 做 User Usability Engineer ， 再來開始做手機的 UI， UI 做久了開始會思考產品要如何設計可以更符合使用者的需求，從介面的安排位置、顏色、到和使用者的互動等等， 就開始進入 UX（User Experience) 領域 。


探討 UX 前先來確定 UX 使用者經驗的定義是什麼？ UI 是被包含在 UX 裡， UI 比較偏向視覺的元素， 而 UX 是整個產品生命週期的體驗。 ex: 車子的按鈕、儀表板可以比喻成 UI ， 而打開車門、開車、停車的整個體驗是 UX。


比如說去迪士尼玩，從買票到在遊樂園裡玩的所有經驗、排隊買演場會的票、坐在客廳沙發上挑一部電影來看。 如何把經驗從好的變的更好， 就是 UX Designer 的工作。


UX 在科技業包含了幾個部分：
1. 互動設計 Interaction
2. 視覺設計 Visual （與設計的流行趨勢影響密切）
3. 轉場 Motion
4. 使用者研究 Research
5. 工程 Engineering


UX Designer 廣義來說包含以上這五種工作類別，目前比較大的業界需求偏向 1 & 2，如果能同時兼備多樣專長 (Hybrid Designer) 在就業市場上會更有競爭力。 美國的科技產業， 產品和終端消費者比較直接相關，讓設計師比較被視為一個專業。 UX Designer 依照公司規模的狀態， 小公司 3～5人， 第一個 designer 職責可能就是包山包海，連 UX Researcher 的工作也要做， 拿到結果再來自己測試。


什麼是好的 UX Designer?
視覺設計要不錯， 有基本的美感及程度、並且有邏輯思考的能力，這樣就會是很有競爭力的設計師。


UX designer 過往在矽谷還是會希望有寫程式的能力，5～7 年前的一些公司設計師面試還是會考程式， 但到目前， 專業被更尊重及細分， 就比較沒有被考程式了。 當然，找工作的時候， 如何讓自己比別人突出， 如果你是設計師，有程式的經驗，還是會很有競爭力及賣點。


設計的本質： 1. 對事務的好奇心、2. Iteration 迭代 的容忍度、接受度、及執行力，3. 合作、溝通的能力。


提升能力的方式： Nick 相信做中學，產品一個階段之後， 把專案相關人員聚集起來， 討論 Start、Stop 、Continue 。 什麼事情是不該繼續做的？ 什麼事需要持續做的？ 什麼事情需要開始去做的？


Designer 的工具： 從之前 Photoshop、 Illustrator， 近幾年因為設計潮流變的扁平， 所以 Sketch 因為可以勝任大部分工作， 也變得更流行。 當然， 因為團隊協作的部分， Figma 讓設計師在合作上有像 Google Doc 有一份網上的檔案讓大家協同合作，也是常用的工具。


Designer 面臨的工作挑戰：
如何用研究方法，把主觀的設計，用客觀的方法、數據來解釋、說服團隊。 所以設計師和 UX 研究員的合作緊密，用值化、量化研究來找出好的設計。


UX designer 在整個產品週期都參與， 每個階段都有不同的目標及任務。 產品比喻成的 3 隻腳的椅子的話， 分別是 Designer 、 Engineer、 PM， 少了一個產品都沒辦法順利運行。


UX 常常會被說要有同理心，其實每個產品的角色應該都要有同理心。


質化 vs. 量化研究： 質化是要找問題的本質，比如說 5～8 人的研究就可以找出 85% 以上的錯誤或是設計不好的地方。 量化就是要多的樣本數、找到公正、大數據、可信賴結果的研究。 UX 要知道在什麼樣的情況，用什麼樣的研究方法來證明、並讓案子往前推進。


最後是一些提問及資源分享：
有什麼好的線上資源可以學習？
dribbble (https://dribbble.com/)
behance (https://www.behance.net/)
UX Design Weekly (uxdesignweekly.com)


經典的 UX design 準則， 不僅僅是 designer 適用、工程師及 PM 內化這些準則後也可以發現產品做出來可以避免許多不好使用者經驗的問題:
10 Usability Heuristics for User Interface Design by Jakob Nielsen in 1994
https://www.nngroup.com/articles/ten-usability-heuristics/


推薦閱讀的 2 本書:
Nick 的啟蒙書 Don’t make me think (https://amzn.to/2Zq9Xti) 中文版翻譯為“ 如何設計好網站”

The Design of Everyday Things (https://amzn.to/2zmRNhA)，用了許多生活化的例子。Affordance 在使用者經驗領域佔有相當的一席之地，例如：旋鈕、橫桿、直桿、握把的門，大致上會讓使用者理解該用轉的、推的、還是拉的。


找工作的建議:
提升自我的競爭力，先釐清自我的興趣、想要做的方向，因為每個 UX 細分領域看重的技能都不太一樣。 許多人都願意分享，可以找到願意分享的前輩，得到一些建議。


職場上爬升的建議:
首先， title 是公司衡量是你是否有值得那個等級、影響力的結果，所以要著重於你對與展品的影響力是什麼。再來是要有耐心，培養自我能力、提升競爭力，最後就會自然而然走到你該得到的位子。 最後， Nick 覺得 designer 最要有的能力是溝通能力。 好的設計能力可以變成好的設計師。 強的設計師就是厲害在溝通方面。 Design 在 Nick 心中就是解讀 (如何分析問題)、解決（如何解決問題）、解釋（如何解釋你設計出來的東西）， 最後解釋就是溝通。 所以對於設計有興趣的朋友，溝通是個很值得培養的能力。


溝通能力加強的方式:
上課培養。如果簡報 (presentation) 角度著墨，從聽眾聽完後，你想要讓他們知道哪 3 件事情反向思考，來幫助架構簡報，3 是個很重要的數字，讓這 3 個有相關、又各自著墨重點， 就可以涵蓋很大一部分思想理念。


最後分享一下UX 設計師大概的面試流程:
如果你有 portfolio，很多時候會被找到， 這是一個門票， 讓你可以開始面試，接下來可能會有 take home exerecise ， 讓你做一個開放性的問題， 被公司審核通過的話會邀請到 onsite interview 。 onsite 需要介紹你自己的作品， take home exerecise 的作品。 如果設計師可以充分利用白板來解釋思考過程、思考邏輯、及最後的提案是什麼，會是一個非常大的加分。 面試官其實很在乎你面試過程中展現的思考能力 （其實和軟體工程師的面試的精髓也是一樣的）。


第一段影片在：
https://www.facebook.com/PivotSoftwareEngineer/videos/492317728266537/