网上银行“安全登录控件”分析
國內的一些銀行的網上銀行系統為了用戶信息的安全,在登錄頁面上使用了名為“安全登錄控件”的東西,取代了傳統的 HTML 的輸入控件(Input),下面就對用戶量較大的招商銀行和工商銀行的登錄界面及“安全登錄控件”做一下對比。
1、招商銀行
招商銀行的網上銀行系統做的比較早,用戶也很大,深受大部分用戶歡迎,其在安全控制手段上也一直比較嚴格。
在進入正題之前,先來一點題外話:招商銀行的有些安全控制辦法很值得我們學習,例如專業版證書,據我猜想,可能是在標準的 X.509 證書上又做了一些安全保護,即對標準的證書又進行加密(加密方式不是公開的),這樣在計算機中保存/備份的證書是不能通過 Windows 提供的程序去打開的,只有在專業版軟件中輸入正確的密碼后才能導入,這樣即遵循了標準,保證了擴展性,又在安全措施上大大加強了。
招商銀行的大眾版不象專業版那樣版本更新很快(可見招商銀行的專業版用戶量很大,而大眾版并不是其發展的重點),大眾版自誕生之日起,界面一直比較簡單樸素,但基本功能都具備。通過對大眾版登錄界面的的分析,得到了一下信息:
1) 在登錄界面上有數字驗證碼來防止暴力攻擊
2) 安全登錄控件中包含兩個控件:帳戶和密碼輸入控件
3) 用戶輸入登錄信息后,提交時 Javascript 從安全登錄控件中取出的帳戶和密碼是經過加密的,即在 SSL 加密的基礎上,又做了自定義的加密,完全做到了端到端的保密通訊(這一點可以通過 ieHTTPHeaders 查看出來)
4) 在登錄 Form 中還有一個 ClienNo 和 SerialNo 等字段,這些值被設置為安全登錄控件的 Option,估計是做為加密所用 Key 的一部分
5) 登錄 Form 的提交地址是一個 DLL(ISAPI?),Web Server?IIS 5.0 (招商銀行的主頁似乎運用了 Content Management Server ,從其頁面源碼中可以看出來)
6) 安全登錄控件的 CAB 包(CMBEdit.CAB),大小有 117 KB,包含控件 CMBEdit.DLL ,應該是使用 VC 編寫的,版本 1.1,經過 VeriSign 代碼簽名
7)最關鍵的是,不管是?MVM?的基于 .NET 的鍵盤 Hook 程序,還是另外一個基于 VB 的鍵盤 Hook 程序,都無法捕捉用戶在安全登錄控件里輸入的鍵值,這也許是最重要的一點
8) 由于在頁面中使用 ActiveX ,可能給一些用戶帶來登錄問題(如安全設置不同或安裝 XP?SP2 都可能阻止 ActiveX 的安裝),招商銀行的頁面上明確給出了解決登錄的鏈接文檔。
總之,招商銀行的網上銀行登錄界面在安全上的確做的不錯。
2、中國工商銀行
工商銀行網上銀行近兩年發展很快,成了其不可或缺的一個重要渠道,且被國外一些媒體評為中國最佳網上銀行。
1) 工商銀行的個人網上銀行系統登錄界面中沒有使用驗證碼來防止暴力攻擊,這種成本非常低,但安全性回報很高的做法竟然都不用(扣1分)
2) 登錄界面中,只有密碼域使用了安全控件,難道帳號信息就不重要(扣1分)
3) 在 ieHTTPHeaders 捕捉到的登錄 Form 提交的信息中,帳號和密碼是未加密的明文,且沒有任何其它的信息來防止安全攻擊(扣3分)
4) 有意思的是,在登錄界面的 HTTP Response 信息中,不但有 IIS 5.0 的信息,還有 WebSphere Application? Server 4.0 的信息,看來其 Web Server 是 IIS,而 Application Server 又是 WebSphere ,這一對組合 ...
5) 登錄安全控件的 CAB 包(AxSafeControls.CAB) 大小約為 174 K,經過 VeriSign 代碼簽名,里面有三個 DLL :InputControl.dll 似乎就是界面控件,msvcp60.dll 應該是Microsoft? C++ Runtime Library,SubmitControl.dll 應該是與提交有關的控件,在 SubmitControl.dll 中發現有 addPair 方法,應該與加密有關,在頁面提交的 Javascript 中,也確實發現是SubmitControl 發揮了作用,但為什么就是明文的呢? (扣2分)
6) 在登錄頁面的源碼中,發現了一段被注釋的 Javascript 代碼,仔細一看,原來是以前登錄界面未使用安全登錄控件時,使用 Html Input 控件時的處理代碼,界面改了之后,處理代碼沒有刪除,只被注釋,這些源代碼中暴露系統的一些信息,很不專業,也很危險,因為通過分析就可以發現,其界面更改前后的服務器端代碼沒有任何變化(扣2分)
7) 最關鍵的是,雖然?VB 的鍵盤 Hook 程序不能 Hook 密碼域中輸入的值,但是基于.NET 的鍵盤 Hook 程序竟然完全可以捕捉到用戶輸入的任何鍵值,這難道就是大家前幾天討論的捕捉的作用域問題?這樣的話,安全控件幾乎就成了擺設(扣10分)
8) 沒有在登錄頁面中給出如何解決登錄問題的鏈接文檔,可能使得很多用戶由于 ActiveX 不能正確安裝而不能正確登錄系統
經過對登錄界面的一些初步比較,就能發現兩者在安全性上的差別,也說明了安全是要靠實實在在的技術手段去保證的。
以上信息基于公開的、可獲取的現狀提供,不提供其它明示與保證。
2004年10月31日 22:26
?
評論
?
?
?
剛剛看了北京電視臺的《第七日》,有位女士的工行卡被轉走,還剩三分錢,因為她使用的密碼是"666666",估計是使用暴力攻擊的原因,因為沒有使用驗證碼而導致。?
而且感覺工行的服務很差,不過沒有辦法,我現在工資、貸款都是使用工行的。看了這個電話,真的很怕:(?
?
?re: 網上銀行“安全登錄控件”分析?2004-10-31 23:34
?
非常好的分析?
不知道能否轉載呢??
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 3:45
?
贊?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 8:50
?
不知道工行通過什么幕后操作得到"中國最佳網上銀行"的,郁悶.?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 9:12
?
額最喜歡招行 太方便了?
不過如果是不常動的大額的還是用工行?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 9:21
?
很早就聽說工商銀行存在一個什么漏洞(抱歉,公開場合不能說),也沒敢去嘗試(至少沒人會公開的去嘗試),因為非授權的入侵檢測是非法的(沒有法律武器,預計出現的問題就大了)。。目前從安全的角度說,招商銀行的確是做得非常好的。。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 9:34
?
蓋的好,太精辟了,讓偶大開眼界.?
明天趕緊把工行的卡注銷掉.?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 11:22
?
寫的好,幸虧我一直用招行的: )?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 12:23
?
我也用招行的.?
有些場合用中行是迫不得已.?
?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 12:40
?
TO Smallfrogs :歡迎轉載?
有時間還想做一些進一步的分析。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 13:15
?
分析深入!?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 14:54
?
Nice!?
但是我在招行的卡忘了密碼了...?
一直在用中行的卡?
moslem再接再厲...?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 17:49
?
我網上一直用CMB的,其他的用中行。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 19:10
?
有些企業并不是沒有技術能力,而是和他的責任人有關.?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 19:27
?
老凱(laokai).是啊。確實有漏洞。不過那是1,2年前的事了。現在應該沒了吧。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-1 22:51
?
我對網絡支付一直沒有信心。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 8:59
?
我覺得工行自出了個人客戶的硬件證書后安全了很多,最起碼要比招行的安全,如果有證書的話,只要證書在自己手里,密碼再簡單,哪怕就想第七日哪個女的,密碼全是6,猜出來也是白搭,根本沒用,頂多了是到我的網上銀行里查查我的資金狀況,對我的資金根本購不成威脅。又沒法支付。現在工商銀行應該很快對網上銀行更新,如果是證書客戶,應該是只要你有證書,就連登陸都需要證書,而且不需要輸入很長的卡號,可以自己定義相關的用戶名,這樣更安全,我一直用工行的,很安全,像第七日那個女的,純熟無幾之談!丟了都活該~?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 9:21
?
TO 工行支持者:?
本文討論的是大眾版,即不需要證書就可以訪問系統的。至于你說的 “至多是到我的網上銀行里查查我的資金狀況,對我的資金根本購不成威脅” 很可笑,人家都能隨時隨地的查詢你的資金狀況了,還構成不威脅??
?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 9:28
?
To 工行支持者!?
呵呵,非常可笑的言論.這兒討論的畢竟是和人民生活相關的Money,出現漏洞可是非常嚴重的!?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 10:06
?
通知工行了才發的這個帖吧??
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 11:15
?
to SmartGuy :?
因為我們公司沒有工行的入侵檢測協議,所以我不好說有沒有,說有和沒有都是違法的。。而我最后一次聽說工行相關安全問題的詳細信息也是在今年的下半年。。(我可沒說我測試過他的存在)?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 11:30
?
另外補充說明一下。。我所聽說的漏洞還沒有一個可以直接的攻擊到銀行的核心數據,都是些小的漏洞。。可能可以被利用來作一些用戶欺騙而以。。。而且是不是存在也沒有考究過。。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 13:28
?
和技術無關,和服務態度有關。?
我一直用招行的電話銀行來交手機費,從來沒有去過移動營業廳。一直用招行的信用卡去商場賣東西,沒有用過現金。一直用招行的專業版轉賬,存定期等。它的服務質量我還是很滿意的。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 14:21
?
工行確實有問題,還有那個附屬的論壇,前一段時間看過有人在帖子里種木馬。?
?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 14:27
?
招行天生就是商業銀行沒有那些國有商業銀行的架子,服務是它的根本,所以服務是第一這沒得說,而且由于其眼光獨到,在N年前就預測到將來網上銀行的趨勢,所以現在無論網購什么的,都是招行最好,專業版升級比較快,而且安全措施做的也不錯。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 20:20
?
我是搞金融的,幾乎擁有所有國內銀行有的網上銀行,對各家的網上銀行了如執掌,大家說的沒錯,可以與招行較量的沒有幾個,我幾乎用了將近3年的網上銀行了,對工行網上銀行,招行網上銀行非常了解,工行自打01年推出網上銀行經歷了很多的版本升級2.0~2.5~3.0.....直到現在的網上銀行新一代,日加完善,特別是證書業(注名:并不是樓上某些老哥說的什么大眾版不大眾版,那是當地分行的特色業務,要搞清楚!!)可以說任何一家銀行的都無可匹敵。雖然證書會收取一些工本費用,但是你要是要安全,還怕花錢~我以前用招行的網上銀行,錢也不意而飛了~至盡也沒找回來~我也很氣憤,各家的銀行沒有沒漏洞的,別被假象所迷惑,自己都琢磨琢磨~在這爭論有意思么~呵呵~無奈~?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-2 21:22
?
TO:反駁?
建議以后先把漢字敲對了 ...?
“各家的網上銀行了如指掌” 這話也太大了一點,本人接觸過很多多年專門網銀軟件開發的人員,也沒人敢如此吹捧自己。?
“大眾版”其實就是個稱謂,只有招行如此稱呼,工行的網上銀行不用證書也可以訪問一部分功能的,上文就是比較這部分功能,跟分行的特色業務有什么關系??
如果要比證書版的網銀,那完全可以另開個專題了。?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-3 10:11
?
沒有證書的客戶就不屬于工行保密的范圍了嗎??
如果是這樣,那工行的服務實在是有問題!不過最大的問題,我想是態度問題,對待事物、對待客戶的態度!?
我想moslem大哥寫出此分析也是出于好意。既然敲了警鐘,就應該虛心的接受、處理此問題,而不是再用其它的什么特色業務來攻擊對方。?
態度問題、服務問題!?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-3 11:42
?
底層的鍵盤鉤子抓不到用戶的鍵盤輸入么??
要用Win32的鍵盤鉤子。。。。?
不要用.net和VB的,用Dll做全局鉤子,偶不信抓不到用戶鍵盤輸入?
-。-?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-3 12:38
?
作者繼續加油?
把招行也找點問題出來,heihei?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-3 23:33
?
做個設備驅動程序吧,保證能抓到鍵盤輸入?
:-P?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-4 23:25
?
我想,對于一個銀行,安全是至關重要的!我想工行不會想不到吧,在表面上看,可能它沒有招行安全,但在提交之后的處理,不能說它處理得不好!沒有驗證碼,也可以防暴力攻擊啊!但無論如何,總有好有壞的,這里說得招行就是沒缺點,工行就全是缺點!?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-5 17:09
?
rivershan兄,用DLL鉤子全局鉤子未必能截取鍵盤輸入的,呵呵,tianxia兄說用驅動上RING0,那樣應該沒問題.但如果對方也進0環的話...?
?
?re: 網上銀行“安全登錄控件”分析?2004-11-6 0:24
?
從技術上來說,應該是可以 Hook 的鍵盤信息的,只是這個安全控件會不會產生一些干擾信息,或者控件會檢測到被 Hook ??
這里雖然說了工行的一些缺點,但它們兩個畢竟是國內個人網上銀行做的最好的兩間,其它比工行差的銀行也不少。?
?
?re: 網上銀行“安全登錄控件”分析?2004-12-5 15:34
?
hao ya 擁有屬于自己的一顆紅色石頭,因為它很美!也因為它的獨特,世上沒有完美的愛情,更沒有完美的人,所以我不求找到一個完美的人來疼我來愛我,可是我希望他是一個愛我、疼我的人!失去了他的日子我像斷了線的風箏在那里飄來飄去,我找不到我的落腳點,我只能飄啊飄!聽從風的安排!?
有了一對翅膀,可是仍追不上你!?
?
?re: 網上銀行“安全登錄控件”分析?2004-12-19 12:49
?
呵呵,你如果在安全公司做過網上銀行的安全評估就知道有多不安全了,只要知道網上銀行的IP就可以入侵進入,從來沒有評估不出這種問題的時候!?
?
?re: 網上銀行“安全登錄控件”分析?2004-12-28 10:58
?
--感覺招行也不安全--?
工行就不談了!你即使有招行的移動數字證書(USB),但你也可以不用數字證書登陸你的大眾版,這意味著一旦有木馬惡意程序能夠記錄你的鍵盤輸入,就很有可能獲得你的付款密碼。這樣即使沒有你手中的數字證書,別人也能入侵你的招行帳戶。?
我感覺在WINDOWS中獲得鍵盤輸入還是有可能的(很久沒編WINDOWS程序了)。?
請大家評判!另外最主要的是要讓相關的銀行知道他們的漏洞!?
?
?re: 網上銀行“安全登錄控件”分析?2004-12-28 11:16
?
--還都有缺陷--?
招行?
- 大眾版的密碼只有六位數字而沒有字母?
- 即使有數字證書,也可以不需要它而登陸大眾版(網銀密碼病毒可以大顯神威了)?
- 只能使用易受攻擊的IE瀏覽器來登陸和操作?
工行?
- 登陸網上銀行時不需要數字證書,并且可轉帳(5000元以下)?
- 登陸時沒有防暴力攻擊的數字驗證碼?
- 定期存折不能自己注冊(或注銷)到網上銀行?
- 數字證書有年費(12元)?
- 只能使用易受攻擊的IE瀏覽器來登陸和操作?
?
?
?re: 網上銀行“安全登錄控件”分析?2004-12-28 11:21
?
補充一句: 工行的數字證書只能用于保護對外轉帳,對于保護其它的功能比如股票買賣、網上支付基本沒用(不用數字證書也能做).?
?
?re: 網上銀行“安全登錄控件”分析?2005-2-17 21:44
?
從2000到2003年,據說有人做過3次不同階段的招行的網上銀行安全性評估,結果都是不樂觀的. 在這里就不具體說了.?
?
?re: 網上銀行“安全登錄控件”分析?2005-2-18 20:20
?
誰能告訴我怎么注銷工行的個人網上銀行?謝謝~我的信箱是 cwyhx@hotmail.com 謝謝啊~?
?
?招行的繼續分析?2005-3-23 17:23
?
這兩天我也在分析這個招行的網上銀行,目的只有一個?
我這里大部分時間只能在linux上用firefox或mozilla,所以希望能夠?
繞過activeX,訪問我的信用卡和大眾版的個人銀行。?
我的幾點新發現和猜想:?
1.加密算法貌似使用了openssl,不知道是不是已經違背了openssl的license.?
2.id和密碼的加密結果應該是64bytes, 然后用base64的機制在補齊到66bytes后變為88bytes.?
3.實際編碼使用的keys不是base64標準的keys,所以會出現__結尾的樣子。?
其他的我以后再說,現在還沒有成果,志同道合者一起努力!?
?
?re: 網上銀行“安全登錄控件”分析?2005-5-7 14:15
?
誰能告訴我在網上怎樣注銷工行的個人網上銀行服務啊!!!?我的電郵是weisk@126.com 謝謝先了!!?
?
?re: 網上銀行“安全登錄控件”分析?2005-6-2 23:11
?
工行的網上銀行的越來越不錯了,不信的話,請上WWW.95588.COM.CN多了解一下工行的網上銀行,?
各位不要把N年前的工行網上銀行拿來在這里比較,這樣好像對工行不太公平。?
?
?re: 網上銀行“安全登錄控件”分析?2005-6-9 3:23
?
樓主的文章雖然對工行很不公平,有失偏頗,不過確實指出了一些毛病,我用了三年的招行一卡通了,今年畢業又要去工行上班,所以兩邊都支持^_^,畢竟這是國內做的最好的兩個網上銀行了,樓上說的也對,現在工行的發展可比招行快多了,招行不努力不行了。?
?
?re: 網上銀行“安全登錄控件”分析?2005-7-16 14:49
?
樓主說道"本文討論的是大眾版,即不需要證書就可以訪問系統的",個人感覺好象沒有搞清楚證書什么概念,大眾版是招行一種分類方式,而工行好象不是這么分的,好象不是按照證書分類的。。?
?
?re: 網上銀行“安全登錄控件”分析?2005-8-19 20:28
?
有人搞定linux下面用招商銀行網上銀行了么?聯系kaman@163.com?
?
?re: 網上銀行“安全登錄控件”分析?2005-9-16 17:53
?
我在工行網上銀網購買點數,想不到不但沒有得到自已的點數,就連工行網上銀行的主都打不開了!哎!!?
?
?re: 網上銀行“安全登錄控件”分析?2005-9-16 18:02
?
我也想注銷工行的個人網上銀行,可偶不知道怎辦搞,請大俠指點!! bob117@tom.com?
?
?re: 網上銀行“安全登錄控件”分析?2005-10-4 11:06
?
我也想知道怎么去注銷工行的網上個人銀行,請個位大狹不吝賜教,我的郵箱是:dsvf2005@sina.com上樓的朋友要是知道了也公司我一聲啊,先謝了。?
?
?re: 網上銀行“安全登錄控件”分析?2005-10-6 13:43
?
"商銀行的大眾版不象專業版那樣版本更新很快(商銀行的大眾版不象專業版那樣版本更新很快(可見招商銀行的專業版用戶量很大,而大眾版并不是其發展的重點),?
安全性與方便性,往往是成反比的 招行的大眾版沒有專業版的安全性高,并不是象你所說的"(可見招商銀行的專業版用戶量很大,而大眾版并不是其發展的重點)" ,而是考慮到給小額資金的客戶操作的方便性?
?
?re: 網上銀行“安全登錄控件”分析?2005-10-8 8:22
?
工行的服務差在我們這里是出了名的,但是前天我的電腦中木馬密碼被盜,去工行注銷網銀工行的服務人員說我什么水平密碼都能讓黑客盜了,還說不會注銷,暈了,工行有這樣的服務不知道還怎么有那樣多的客戶?
?
?re: 網上銀行“安全登錄控件”分析?2005-11-15 18:26
?
中行,建行,工行,交行我都試過,作為一個普通的消費者,我覺得招商銀行的網上銀行是目前國內最成熟的,當然里面的服務也有不盡人意的地方,這可能與國有銀行之間的交流有關。許多網上交易,自助繳費,股票,債券以及理財業務,我都是通過招行專業版完成的。有時,甚至是將工行和中行以及建行的錢取出來放到招行來從事這些業務。之所以開了四個銀行,中行:發工資;工行:優惠提供國際卡業務,當時有事出國,臨時辦理就懶得去銷戶;建行:最初公司發工資的協議銀行,要求有龍卡。現在,雖然保有中行信用卡(過期了),工行銀信用卡(國際卡和國內卡-過期了,不想補辦),建行卡銷戶(看營業員的臉色都綠了),還有招行一卡通,雖然是借記卡,但覺得比信用卡好用,至少去香港時沒覺得工行國際卡比它好用。現在唯一的工行信用卡是以防萬一,以及去其他國家可以暫時透支。招行的信用卡比較慢,申請還很嚴格。?
?
?re: 網上銀行“安全登錄控件”分析?2005-11-15 18:33
?
交通銀行也有其便利之處,但還是比較小。目前的特色業務也開始喪失。中行,建行,工行,交行四大銀行的網銀非常相似,至少普通消費者看不來又多大區別。?
我是96年申請招行一卡通,當時網上銀行用的是一網通,后來更新后就不再用了。?
總的來說,比較起其他國家的銀行的網銀來說,直接方便而且使用感覺放心的,我覺得首推招行。聽說他們的后臺服務器用的是什么IBM的AS400,不開放,不是開放的Unix系統,不知是否如此??
?
?
?re: 網上銀行“安全登錄控件”分析?2005-12-28 9:06
?
可有人用過農行的??
?
?re: 網上銀行“安全登錄控件”分析?2006-1-15 12:32
?
招行的是用Delphi寫的,不是VC++!!?
?
?re: 網上銀行“安全登錄控件”分析?2006-1-26 10:52
?
對于各家銀行服務器端使用什么平臺這個好像俺們這些小百姓還是了解不了的吧?不過有一點在如今這個信息爆炸時代要是還使用開放的大眾的平臺作為銀行的核心服務器使用是不是顯示這些個銀行太弱智了嗎??
?
?re: 網上銀行“安全登錄控件”分析?2006-1-26 10:57
?
說一句心里話,不管哪家銀行使用哪種的所謂安全性能好的網銀,關鍵在于用戶自身的使用方式以及文化水平。。再好的安全,你放在大眾場合如網吧或者整臺肉機上面全是黑客程序,你的網銀交易會安全嗎?這里我推崇硬件加密!USBKEY...隨身攜帶,想偷都偷不走。。。。呵呵?
?
?re: 網上銀行“安全登錄控件”分析?2006-1-28 5:38
?
不過是相對的安全性罷了。?
至于SSL/TLS,我想,已經足夠。應該用不著考慮美國的出口政策了。如果我們用戶都有點UNIX的思想,把問題簡單化,也用不著那么擔心了。其實安全性主要依賴于用戶的防范意識。服務商就是再做努力,假如用戶和別人聊天的時候泄漏出去,他們也沒辦法……?
可以用TLS封裝HTTP,同時需要客戶證書并使用本地CA證書驗證之;再在加密的TLS會話中附帶HTTP Basic認證,也差不多了。就是泄漏密碼,也是本地瀏覽器(客戶端)的UI的問題。話說回來,現在眾多大陸網上銀行的所謂登陸控件放到非微軟的平臺/瀏覽器上面根本就用不起來,何況現在越來越多的用戶正在轉向UNIX或者類UNIX(難不成一定要強迫一臺Linux X11終端換裝Windows?)。如果用TLS或者SSL,則一定要避免SSLv2 version rollback或者其他的降級攻擊。(這個也需要在客戶端上做文章。)總之,客戶的防范意識才是最重要的。?
?
?re: 網上銀行“安全登錄控件”分析?2006-2-15 13:50
?
各位哥哥姐姐.請問誰知道該如何注銷工行的網上銀行啊?謝謝啦.能幫忙發個郵件到teacatyang@sohu.com嗎?太感謝了.?
?
?re: 網上銀行“安全登錄控件”分析?2006-3-9 14:16
?
注銷工行的網上銀行到工行的網點去說一下就可以了.?
?
?re: 網上銀行“安全登錄控件”分析?2006-5-10 19:27
?
可是我不能安裝這個控件。不知道哪位可以幫幫偶。我的系統是Windows XP SP2的,而且我用 了自動更新的,不存在版本過低吧。?
?
?re: 網上銀行“安全登錄控件”分析?2006-5-10 19:28
?
接上,而且IE是6.0最新版的。?
?
?re: 網上銀行“安全登錄控件”分析?2006-5-16 18:50
?
樓主的文章寫得極其好,感謝?
網上銀行是挺方便,可是不怕一萬就怕萬一,如果真出了問題,像我這種只有一張卡的人豈不是立馬就傾家蕩產啦,真實非常可怕,非常可怕。?
可是,回頭一想,銀行也不是吃素的,這種事情肯定會盡全力去做好的,而且經過了充分的論證和實驗,所以也不必太擔心。比如招行吧,他的網上銀行企業版就說動了像摩托羅拉這樣的大客戶,看來在安全上還是有保證的。?
?
?re: 網上銀行“安全登錄控件”分析?2006-5-23 23:52
?
樓主努力再接再勵啊,文章發表得早,內容過時了?
?
?re: 網上銀行“安全登錄控件”分析?2006-5-27 6:18
?
剛注冊了工行的網上銀行證書,進到里面發現工行黃金業務是不用證書驗證的,我真擔心。?
?
?re: 網上銀行“安全登錄控件”分析?2006-7-4 17:22
?
暈,我正在做工行的API接口,沒想到搜出這么一篇文章來,狂汗……?
?
?re: 網上銀行“安全登錄控件”分析?2006-8-17 15:48
?
cmb is the best?
?
?re: 網上銀行“安全登錄控件”分析?2006-8-23 13:47
?
我發明了一個專利技術,可以保障網上銀行到用戶登錄安全。這個發明一半是軟件一半是硬件。但實現到辦法很簡單,需要到硬件隨處可以買到。?
即使被木馬盯上,知道了賬號和密碼也無法登錄。而真正的用戶卻可以在三秒內輕松登錄。用戶不需要花錢,不需要購買U盾和口令卡。但方法有點象口令卡,但比口令卡方便很多。?
對銀行來說,只要增加一點點設備就可以了,是個廉價又安全到選擇。?
已經申請了專利,可惜不知道怎么推廣好呢。?
?
?re: 網上銀行“安全登錄控件”分析?2006-8-23 20:48
?
問題是木馬知道了賬號及密碼后,沒有USBKEY沒關系,制一張卡到ATM取款就行了?
?
?工商銀行真是中國銀行界的大流氓!!?2006-8-25 19:18
?
我是江蘇省常熟,?
8月23日蘇州工商銀行電話本人,說我帳戶有可疑交易.進入后臺1看,居然被盜搶了9000元,?
注意是9000元,不是5000元!!發生在同1天8月22日凌晨4分開始?
至盡銀行,未有解釋?
更稱,銀行沒有責任賠付!!!!?
工商銀行真是中國銀行界的大流氓!!?
今天看了?
如此眾多的受害者,為什么沒有部門來制裁銀行?
這種霸道壟斷的銀行,關了也罷!!!!!!!!!!!!?
?
?誰能解釋?難道不是銀行系統的安全瑕疵和漏洞??2006-8-25 19:24
?
本人工行靈通卡,被盜搶9000元?
發生在2006年8月22日,銀行說是凌晨4分開始?
按理同1天,限額是5000元,?
為什么發生了9筆,每筆1000元,盜搶了9000,?
這5000外的4000,為什么發生在同1天,?
我感覺不排除,工行內部人搞的鬼?
另外凌晨轉帳,只能在同行轉帳,跨行交易在非工作時間是無法完成的, 就是說,被轉移到了工行自己的卡上?
這查詢,真的很難么??
如果1個月內沒有結果,告之于法庭?
工行的態度,還極端極端的惡劣!!?
?
?re: 網上銀行“安全登錄控件”分析?2006-10-1 9:05
?
從接觸招行的第一天起就開始喜歡上她了。雖然有些地方還有些瑕疵。?
?
?
?re: 網上銀行“安全登錄控件”分析?2006-10-11 0:51
?
現在在專業版本中可以把大眾版功關掉的?
?
?re: 網上銀行“安全登錄控件”分析?2006-10-13 16:58
?
USBKEY證書同樣不安全,如果能夠替換鍵盤及鼠標驅動,模擬用戶操作,不需要其他就可以把你的錢拿走。?
?
?re: 網上銀行“安全登錄控件”分析?2006-10-16 10:47
?
to:揚子?
網上銀行的登陸密碼和ATM機的密碼是不同的密碼。?
to:安全人士?
我的發明是雙重身份認證,第二重認證可以完全和鍵盤鼠標隔壁的登陸方式,不用怕Hook勾取密碼,也不怕黑客登陸你的計算機模擬操作。?
想知道我的發明是怎么樣的嗎?請登陸www.richoo.com?
也歡迎網銀安全技術的朋友和我聯系,我可以告訴你技術細節與我探討。?
?
?re: 網上銀行“安全登錄控件”分析?2006-10-17 17:53
?
怎么注銷網上帳戶啊.工商銀行的.?
?
?re: 網上銀行“安全登錄控件”分析?2006-11-2 23:25
?
每月做好系統補丁,安好殺毒/木馬專殺/間諜專殺軟件~~~開啟Windows自帶防火墻~~~安裝可靠的防黑客/木馬攻擊的防火墻~~~每次使用網銀之前病毒/木馬/間諜統統掃殺一遍~~我看誰還能拿到我的銀行卡賬號/密碼~~~?
?
#?re: 網上銀行“安全登錄控件”分析?2004-10-31 23:01?開心就好
總結
以上是生活随笔為你收集整理的网上银行“安全登录控件”分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: excel减法函数_发现EXCEL隐藏功
- 下一篇: CFCA下载和安装