刚入安全团队不久,也可能正是因为不久,所以才会停下来思考这个问题:是否有必要??银行做这些安全控件,目的都是防止键盘窃听。但是,为了做到这一点,就需要为各个浏览器量身定做,也就造成了对于各平台各浏览器支持不全的遗憾。但是我在想:
不知道做过安全的,或者做过调查的,有多少人的密码失窃,是因为键盘被窃听呢?
 | 1 yeyeye Mar 11, 2016 近些年都很少关注 不过以前盗号都是键盘记录的 图形密码键盘就安全了?记录你点击的范围,顺便截图,完全可以自动化识别嘛!(除非你的图形键盘做得跟验证码一样变态,就没办法自动识别啦,但是也可以记录下来人工识别啊) 除非你能做出一个防止截图的图形键盘,那还是可以考虑的,慢着!网页端又如何有权限去建造一个这样的图形键盘呢?结果又回到老话题, ActiveX,NPAPI,PPAPI …… 而且图形键盘还有另一个问题,就是别人在你身旁的时候,你输入密码很容易被记下来(除非对方自觉转头……),因为现在的密码都不准长密码了! 除了防止键盘记录,还有一个是加密算法,防止被窃听真实密码和算法(如果只是 web 端,总是有办法为伪造的,就算 SSL ,还可以注入 CA 证书不是么……除非指定证书链……[那就只能用外挂的方式注入浏览器了]) 现在的网银类支付类都是 HTTPS 的,劫持是不可能的,那不就只能走键盘记录,浏览器插件把你的密码转发出去或类似的方法。 所以安全控件其实是不错的(比如我用招商的,连各类远程桌面软件都没办法输入,一下子安全感倍增) |
 | 2 powergx Mar 11, 2016 有权限记录你的键盘,没法给你加一个 ca ? |
 | 3 RqPS6rhmP3Nyn3Tm Mar 11, 2016 前几天买 ConoHa ,招商的 Verified by Visa 网关用的还是 IE Only 的控件,支付还得开个虚拟机。 招行的自有的支付网关还是不错的,不知道为什么 VbV 这么烂。 |
 | 4 mgcnrx11 Mar 11, 2016 联想到的:为什么防止键盘窃听不直接做在浏览器内,作为默认开启功能,针对所有 input 类型是 password 的输入框开启? |
 | 5 run2 Mar 11, 201 前端时间刚看了个,银联的, https://merchant.unionpay.com OS X 下的 控件,发现了在表单里有个 hidden 的 input 他们所谓的安全控件就是提交时把控件的内容复制到 hidden 的那个 input 里... W.T.FFFFFF! |
 | 8 est Mar 11, 2016 没有必要。但是领导觉得有必要。你坳得过领导吗? “小李啊,隔壁银行都支持什么 active 叉,我们也要支持。” |
 | 12 caoyue Mar 11, 2016 没必要,但是客户有(看起来)安全的心理需要…… |
 | 13 iyaozhen Mar 11, 2016 记得看过一篇文章,一部分原因是需要做双向验证。网站的 HTTPS 化只能解决用户识别网站正确性的需求,无法解决服务端验证客户端身份的需求。 好像知乎上还有一个问题,“为什么招商银行的掌上生活 APP 比别的银行都做的好?” 有当事人 PM 回答过,答案里面就由一些安全问题和用户便捷性的博弈。 |
| 15 yeyeye Mar 11, 2016 @tony1016 难道你可以动态换位置 我就不能识别嘛 我已经说得很清楚了 换位置也是可以识别出来的啊 找图找色技术也是很成熟的技术啊 找个坐标不要太容易了! |
| 17 yeyeye Mar 11, 2016 @tony1016 安全是相对的 但是多做一些措施 会更加安全 就比如说有一群人觉得杀毒软件没必要 然后你会发现过段时间就有人来 V2EX 问 怎样消毒(杀毒) 这还是裸奔后知道中毒了 不知道的中毒一万年都不知道 |
 | 18 julor Mar 11, 2016 via Android 干嘛要密码?以前中行有个 60 秒随机密码。我觉得这挺好的!支付时候用短信等确认!最重要的是尽快对接手机支付! |
 | 20 lshero Mar 11, 2016 U 盾需要驱动和插件的尤其是中国特色的交互 U 盾,液晶屏上显示交易信息,防止浏览器前端交易信息被篡改,需要用户按一下授权,防止远程控制之类的场景 |
 | 21 ericls Mar 12, 2016 有法律保护 不怕 |
| 22 ericls Mar 12, 2016 核心问题是你的私有合法财产是受法律保护的 就像生命一样 我从来不担心我的衣服不防砍 又不是原始社会 谁抢到算谁的 |
 | 25 xiya Apr 26, 2016 建行就没有用控件。。 |
Select Language