这是一个创建于 4873 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 eric_q 2012-08-03 00:11:51 +08:00 已证实 |
 | 2 yangruixuan 2012-08-03 01:08:27 +08:00 良心银行 |
 | 3 MartianZ 2012-08-03 01:42:36 +08:00 不支持U盾什么的么?大额付费有解决方案么。 |
 | 4 NemoAlex 2012-08-03 08:39:20 +08:00 始终不明白"安全控件"这种东西有什么意义 标准 HTML 提交密码会死么 用个网银还要装垃圾软件 谁发明的这玩意 |
 | 5 loniper 2012-08-03 08:42:54 +08:00 不关心,手机支付妥妥的,蛮好 |
 | 8 iwnux 2012-08-03 09:43:21 +08:00 这个……专业版的可以用么 |
| 11 NemoAlex 2012-08-03 10:10:11 +08:00 |
 | 12 pandazxx 2012-08-03 10:15:01 +08:00 @BOYPT 是的,理论上可以结合一些网页外的手段如手机动态密码/安全令牌等增加安全性,如果仅仅用网页手段验证的话,还真是得有安全控件。但是应该有其他更通用的插件体系做到多浏览器兼容,之前gdd有位牛人介绍过,我没有详细了解。 |
| 14 pandazxx 2012-08-03 10:25:04 +08:00 @NemoAlex 当然,你说的自己搞个轮子,安全不到哪里去,我也赞同,首先这些技术不见得比国外牛逼,另外其实国外金融安全另外一个很重要的保障是司法刑征的高效保障,我们这边全部都实名制,但是真正发生恶意转账以后,警察也无能为力。这样的危险无论用什么技术手段,都做不到国外的安全的。 |
 | 15 ratazzi OP 如果是 rootkit 级别的 key logger 应该不是一个浏览器控件能够保证安全的,感觉主要还是对于安全意识不高的人群,另外心理作用也是一部分吧 |
 | 16 bmwmengwei 2012-08-03 13:43:35 +08:00 建行也算部分支持 |
| 17 NemoAlex 2012-08-03 14:04:33 +08:00 @bmwmengwei 建行的好多了,登录网银根本不需要任何“控件”,帐号密码一输就好了 |
 | 18 skywinger 2012-08-03 17:27:46 +08:00 没有Ukey,我都觉得不放心,看看国内的那些坏渣滓,种木马,养肉鸡的。 没有硬件级别的安全防护,都不让人放心。 |
 | 21 techzhou 2012-08-03 17:33:16 +08:00 碉堡了 不错 |
| 24 NemoAlex 2012-08-03 17:48:01 +08:00 其实这些银行推出什么样的“安全”措施没有错,错在强制使用非标准的东西 如果哪家银行能提供一个“我不是傻逼”的选项,不需要任何额外的程序和 USB 的东西,出了安全问题我自己负责,我一定会去用他家的 |
| 25 skywinger 2012-08-03 18:18:39 +08:00 @NemoAlex 不用安全芯片,也就是ukey,谁都无法保证高级别的安全。硬件加解密,才是安全可靠的,我本人就是从事金融终端产品(也就是POS)的系统平台开发工作,所以很了解这点。 |
 | 28 jimrok 2012-08-08 23:29:03 +08:00 用控件就安全吗?不见得吧,每个键盘的按键声音都是有细小差别的,木马完全可以打开麦克风收集按键声,然后同输入的按键比较,然后得到用户的输入,完全不需要注入网页。 国外不用控件用随机密钥肯定是知道控件根本不能保证安全。 |
 | 29 YFZZ PRO |
| 30 skywinger 2012-08-14 15:04:03 +08:00 @xhslyf 可以,前提条件是你需要额外接收短信,绑定手机号码。 其实如果手机NFC能成为我们国内的手机支付规范的话,NFC内部的安全芯片就能够存储银行的数字证书和私钥;这样就更便捷更安全可靠。 |
| 32 skywinger 2012-08-14 16:41:44 +08:00 @yuelang85 其实这个问题,在中国确实是比较无奈,可以强制配合PIN输入(密码输入)来配合安全芯片加解密报文的方式来使用。 |
 | 33 run2 2012-08-14 18:23:51 +08:00 win下activex控件权限很大,所以网银啊 支付宝之类 用这个就是拿来窃取用户信息的。 |
| 35 iwinux 2012-08-14 20:50:36 +08:00 |
| 36 skywinger 2012-08-23 14:48:53 +08:00 @xhslyf,数据在传输过程中没有经过U盾上的安全芯片里的密钥加密后传输,容易被别有目的的人截获,从中获取你的银行卡密码(Pin) |
| 38 YFZZ PRO |
| 39 YFZZ PRO |
| 41 YFZZ PRO @NemoAlex 假如我中毒了,木马侦测网址,检测到我进入某个银行,然后开始记录键盘输入(此银行的密码输入框无控件),那么即使有HTTPS,我的卡号和密码是不是也一样被窃取? 另外,那个窃取短信内容是咋回事?你知道吗? |
| 42 NemoAlex 2012-08-23 22:04:12 +08:00 @xhslyf 是的,客户端或者服务器端有安全漏洞的话,密码一样会被窃取 HTTPS 只是在传输层应用 SSL,保证不会让传输层的第三方获取通讯内容罢了 浏览器的所谓“安全控件”只是小儿科的抵御密码记录罢了 |
| 43 skywinger 2012-08-24 09:02:37 +08:00 @xhslyf 你天真了,只要是RSA的私钥不是存放在安全芯片里面,而是存放在手机上或存储卡上,那么HTTPS也就不安全了,真正金融级别的安全是应该和POS设备一样,主密钥是必须存放在安全芯片上或是密码键盘里的,具有拆机自毁的功能。 |
 | 44 leplay 2012-08-24 16:05:13 +08:00 我 Safari 可用,但是 Chrome 用不了…… 支付宝插件也这样…… |
 | 45 firsthym 2012-08-26 12:08:19 +08:00 @NemoAlex 如果有的时候你会临时在其他电脑上支付,有这个安全控件,至少从心理上来说,你会安心很多。哪天你要是因为密码被盗,工资卡上被划走一大笔钱,你又或许会骂银行连基本的安全机制都不懂了。 |
| 46 NemoAlex 2012-08-26 14:25:13 +08:00 @firsthym 抱歉,你想象中的那种人跟我不在一个层面上 再次重申我的观点: “安全控件”纯属搞笑,对恶意程序来说只不过是增加了一点点开发成本而已 使用“U盾”来保障安全性是有效的,但是这绝对不是唯一的安全解决方案,例如短信安全码就很简单有效,没有平台和软件兼容的困扰 大部分银行把这些事情外包给软件开发能力很差公关能力很强的软硬件开发公司做出来的“U盾”,只有 Windows 可以用,其余几个主流操作系统平台都没有拿出解决方案 问题的关键在于:强迫用户使用“U盾”和“安全控件”,没有提供不使用这些的方案。这让网银在一些环境下根本无法使用,给高端用户带来麻烦 |
 | 47 feiandxs 2012-08-26 14:48:32 +08:00 @NemoAlex 我觉得换我是决策方我也不会积极推进,也会选用目前这样保守迟钝的方案。理由很简单,如果提供了不强制使用各种安全措施的直接易行的方法,不只是你这样的高端用户会选用,更多的毫无安全意识的使用者也会这么用。 最后出了问题,大部分人还是会来找银行麻烦的。不是人人都像你一样愿意自己承担后果。那时候我是银行,我可就吃不了兜着走了。 至于跨平台的解决方案,也有个有意思的现象。但凡是金融类(主要指网银),在跨平台上都动作特别迟缓,也伴随着相关的麻烦的控件啊UKEY之类乱七八糟的要求,普通的互联网产品要做跨平台倒是推进的蛮快的。我觉得也是因为金融产品的特殊性,这方面推进会比较慢,哪怕技术上有相对成熟的方案,也不敢贸然使用,加之这类机构向来的官僚作风,想有点推进更是难上加难。估计这方面甚至还有国家出台的某些规范或者法律要求。 总之麻烦归麻烦,但如果换做我是银行决策方,我恐怕也会保持现状。 |
Select Language