[zeuux-universe] 安全控件技术是网银的大趋势？

星期一九月 8 10:43:22 CST 2008

俺也说两句。大家都记得当年邮局服务多差吧，有了民营快递公司以后不好多了么?一样的，引进竞争对洪秀全的家族企业服务提升有促进是没错的。网银CA恶心我好久了，他们的CA我真不感信任，鬼知道会怎么样。我们也都是"散户",对我们服务差在国内的逻辑是理所当然的。俺没出国过，但去过香港，感觉服务和大陆绝对不是一档次的。
我当年办工行网银的时候特意问过能不能用Linux，他们的答复是电脑能上网就行，然后我就用Linux上去，发现ActiveX,打客服，说"单基开始打开IE...."被我骂了一顿。
另外，这是不是银行和微软勾结搞垄断呢?可以研究下，有闲工夫的同学试试起诉银行歧视用户?

On 09/07/2008, Harry Li <harryl.byread at gmail.com> wrote:
> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>
>
> Best Regards
> Harry Li
>
>
>
> 2008/9/8 Sutra Zhou <zhoushuqun at gmail.com>:
>> 这是一个屁股决定头脑的事情。
>> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>
>> 2008/9/8  <zhangweiwu at realss.com>:
>>
>> Xia Qingran wrote:
>>
>> zhangweiwu at realss.com wrote:
>>
>> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
>>
>> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
>>
>> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
>>
>> 和邮政
>>
>> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>>
>> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>>
>> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑
>>
>> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>>
>> 具，并且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4
>>
>> 件事：0，屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的
>>
>> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，
>>
>> 任何一环出错 都会导致不安全。
>>
>> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>>
>> 我想到的一些：
>>
>> 0，权威CA发放的SSL证书，且是全程SSL。
>>
>> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密
>>
>> 码 输入，而他们的措施往往是2点吧：
>>
>>   A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企
>>
>> 图绕过其他监听程序对输入的监控。
>>
>>   B，检查系统进程中是否有他们认为的"非法进程"，如果有，那么就采取一些
>>
>> 他们自认为的"理性措施"。
>>
>>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>>
>> 行了 某种程度的劫持，那么此法应该也无效。
>>
>>
>> 我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
>>
>> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
>>
>> diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
>>
>> 件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
>>
>> 主机）。可能还有其它很多没列出来的。
>>
>> 他们的网上银行有一个共同的特点：
>>
>> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
>>
>> 没有安全警告；
>>
>> 二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
>>
>> 全措施都没有。
>>
>> 三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
>>
>> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>>
>> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>>
>> 我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
>>
>> 之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
>>
>> 务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
>>
>> 人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
>>
>> 德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于"国际
>>
>> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
>>
>> 忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
>>
>> 的。）
>>
>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>
>> 这是法律系统不同引发的文化差异?
>> 外国都是海洋法律,尊重先例,契约化,
>> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
>> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>
>> 中国是大陆法律,法外有别情,血缘化,
>> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
>> 散户方面的信誉根本可以无视的,,,
>>
>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>>
>>
>> --
>>
>> http://zoomquiet.org'''
>> 过程改进乃是催生可促生靠谱的人的组织!
>> PE keeps evolving organizations which promoting people be good!'''
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe at zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe at zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

-- 
Sent from Gmail for mobile | mobile.google.com

Notes:
1. Feel free to EMail me and I'll feel free to ignore you
2. Use English or STANDARD Chinese (Traditional preferred, but
Simplified is also acceptable), or I'll certainly ignore you.
3. Use plain text, because I've gotta no rich-text processing system.
4. CheungTiFan at gmail.com is the ONLY email account I'll check everyday.