[zeuux-universe] 安全控件技术是网银的大趋势？

[Sutra Zhou]

这是一个屁股决定头脑的事情。
没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要 
讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。

像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改 
革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。

在 2008-9-8，上午9:54， Zoom.Quiet 写道：

> 2008/9/8  <zhangweiwu在realss.com>:
>> Xia Qingran wrote:
>>> zhangweiwu在realss.com wrote:
>>>> 哪位对安全技术有所了解的，解释一下 
>>>> 这个现象说明了什么？是否按此发展，广发
>>>> 和浦发不久也将换为安全控件？去年有 
>>>> 三个银行换为安全控件，如果保持此速度发
>>>> 展，可以肯定明年没有网银会支持自由 
>>>> 软件了。（因为今年只余三家：广发、浦发
>>>> 和邮政
>>> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>>> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>>>
>>> 在Windows Vista之前安装ActiveX必须以 
>>> Administrator身份，这就等于在诱惑
>>> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>>> 具，并且有人告诉你，进毒气室并戴上放 
>>> 毒面具就会抵御毒气，那么你就要做4
>>> 件事：0，屏住呼吸进入毒气室；1，正确 
>>> 找到哪个固定的放毒面具；2，正确的
>>> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于 
>>> 这种安全控件来说，
>>> 任何一环出错 都会导致不安全。
>>>
>>> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>>> 我想到的一些：
>>> 0，权威CA发放的SSL证书，且是全程SSL。
>>> 1，现在大多数安全控件存在的原因都是 
>>> 为了防止客户端上的其他程序来窥探密
>>> 码 输入，而他们的措施往往是2点吧：
>>>   A，通过专门的驱动程序以更底层的方 
>>> 式从键盘那里得到键盘的输入内容，企
>>> 图绕过其他监听程序对输入的监控。
>>>   B，检查系统进程中是否有他们认为的"非法进程"，如果 
>>> 有，那么就采取一些
>>> 他们自认为的"理性措施"。
>>>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>>> 行了 某种程度的劫持，那么此法应该也无效。
>>>
>>
>> 我用过以下西方网上商店：skype（国际 
>> 版）、domainworld.cn（域名服务商）、
>> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
>> diamondcard.us（voip服 
>> 务）、Amazon（从国外购书）；还有一些小的网上电子元
>> 件商店（给难找的机器买配件）、worria（采购独立主 
>> 机）、bytemark（采购虚拟
>> 主机）。可能还有其它很多没列出来的。
>>
>> 他们的网上银行有一个共同的特点：
>> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所 
>> 以浏览器默认接受而
>> 没有安全警告；
>> 二：让用户自己输入卡号和验证码，没有 
>> 控件、没有软键盘。总之除了SSL什么安
>> 全措施都没有。
>> 三：从来不问我是什么银行并让我选择银 
>> 行，只是问我是VISA还是MasterCard，我
>> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>>
>> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>>
>> 我是自己没想明白的。比如：我想不明白 
>> 为什么他们敢用权威CA发行的证书，读了
>> 之前的网友说明，说金融的东西很重要， 
>> 不能信任外国CA，不然银行这样的重要业
>> 务掌握在外国人手里，我们受欺负都没有 
>> 办法；听起来挺有道理的，但是后来发现
>> 人家英国的网店用美国的CA，德国的网店 
>> 也用美国的CA，心里想怎么人家英国人、
>> 德国人不怕重要业务受外国人制肘？难道 
>> 是因为英国、德国、美国都是属于"国际
>> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
>> 忾，所以我们要共同防着他们？（那干嘛 
>> 不防着微软好了，这个微软才是比较危险
>> 的。）
>>
>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
> 这是法律系统不同引发的文化差异?
> 外国都是海洋法律,尊重先例,契约化,
> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一 
> 次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
> 所以,一般第三方的机构比任何一个公司的 
> 某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>
> 中国是大陆法律,法外有别情,血缘化,
> 公司实体不信任一切外部认证,自个儿的孩 
> 子自个儿痛,绝对不能倒污水将孩子也倒了!
> 所以,任何事儿,都可以大事化小,小事化了, 
> 所以,安全问题从来不是中国银行关注的问 
> 题,职工/家属/关系户/政府支持,,,才是它们的生命线,
> 散户方面的信誉根本可以无视的,,,
>
> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>
>
> -- 
>
> http://zoomquiet.org'''
> 过程改进乃是催生可促生靠谱的人的组织!
> PE keeps evolving organizations which promoting people be good!'''
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080908/73a19832/attachment-0001.html>