ICBC 的网银 SSL 评级 F 吼不吼哇

那种网站都没人维护的。

@Clarke 那是工行的网银……
这么重要都不维护?

@Hardrain ，换句话说就是维护的人都不管 SSL 评级的，他们觉得只要上 SSL 就够了。

目测是需要兼容 IE6 导致的...

上到 A+对他们来说也没什么意义。

This server is vulnerable to the POODLE TLS attack. Patching required. Grade set to F.

领导不说搞下面是不会搞的

应该告诉领导网址前面加个企业名称绿锁会很好看|ω｀)

@vibbow 兼容 IE6 可以做到评价 B

ICBC
爱存不存

本来我想说吼啊，但是仔细一想还是什么都不说最吼。

你才知道？

检测银行网站安全性？还公开发表？对方银行知晓了吗？让你这么做了吗？

小心锒铛入狱

银行之类有另一套封闭的安全体系（比如网银盾、网银软件 /插件、 CFCA 证书、 SM2 之类），然后只对那套体系做安全审计。
至于通用的 PKI 体系如何他们并不关心，对他们的意义无非就是个绿锁而已。

你可以看看各大银行的网银软件下载地址，大多都是赤裸裸的 http 。

@Quaintjade 得过且过跟不上时代而已，新加坡 DBS 银行评级就为 A
https://www.ssllabs.com/ssltest/analyze.html?d=internet-banking.dbs.com.sg

@Quaintjade 提到 CFCA 这种扯淡的 CA 颁发机构，我就觉得恶心…………

@ETiV 洋大人的判断， ICBC 敢干涉?

@HowardMei
没什么可比性。

很多外资银行的网银本身就基于 https ，当然会好好部署 ssl 的安全性。我知道像汇丰银行网银根本就不用装插件，就是 https 网页+离线 token 验证码。

内资银行整套安全体系不依赖 https ，自然不关心 ssl 的安全性。

@Quaintjade 在线银行客户端能绕开 https 体系？不能吧！跟银行本身的安全体系没关系啊。

@Quaintjade 当年如果用迅雷下载建行的网银客户端，会被导入到某个其他软件，也是可以！

@HowardMei
貌似国内所有银行的在线网银都是要安装插件的，也就是说安全体系由该插件实现，与浏览器本身没什么关系。
至于客户端，它连接的并不是你浏览器访问的那个网站页面，走的是其他通道。心情好的话加密算法都不用 RSA 或 ECC ，而是 SM2 。

@bsidb
国内银行网银的安全逻辑是： (1)你在自己的电脑正确使用了真正的网银软件则能够确保安全性 (2)你用了假冒的网银软件则用不了网银（有网银盾或手机短信二重验证）。
至于你从银行官网下载了假的网银软件导致系统中毒，银行不会承担责任。这是艹蛋之处。

一直觉得，反正国内的网银都要装控件，为什么不做成 Standalone app 呢，像招行那样

@BXIA 招行的 Standalone app 有 MAC 版、 linux 版、 BSD 版吗？