这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
说实在的,银行有必要搞基于 ActiveX 或者 NPAPI 的安全密码控件吗?
tony1016 · 2016-03-11 10:19:05 +08:00 · 4863 次点击这是一个创建于 3179 天前的主题,其中的信息可能已经有所发展或是发生改变。
刚入安全团队不久,也可能正是因为不久,所以才会停下来思考这个问题:是否有必要??银行做这些安全控件,目的都是防止键盘窃听。但是,为了做到这一点,就需要为各个浏览器量身定做,也就造成了对于各平台各浏览器支持不全的遗憾。但是我在想:
- 1.图形密码键盘,实际上已经可以解决键盘窃听了,且其通用性极好,虽然看似比控件安全程度低,但是真的低多少呢?
- 2.Google , Paypal 等厂商,难道就不怕键盘窃听吗?
- 3.现在的银行,也基本都有二次验证了(短信密码),也可以增强安全性啊?
不知道做过安全的,或者做过调查的,有多少人的密码失窃,是因为键盘被窃听呢?
 |
1
yeyeye 2016-03-11 11:02:49 +08:00
近些年都很少关注 不过以前盗号都是键盘记录的 图形密码键盘就安全了?记录你点击的范围,顺便截图,完全可以自动化识别嘛!(除非你的图形键盘做得跟验证码一样变态,就没办法自动识别啦,但是也可以记录下来人工识别啊)
除非你能做出一个防止截图的图形键盘,那还是可以考虑的,慢着!网页端又如何有权限去建造一个这样的图形键盘呢?结果又回到老话题, ActiveX,NPAPI,PPAPI …… 而且图形键盘还有另一个问题,就是别人在你身旁的时候,你输入密码很容易被记下来(除非对方自觉转头……),因为现在的密码都不准长密码了! 除了防止键盘记录,还有一个是加密算法,防止被窃听真实密码和算法(如果只是 web 端,总是有办法为伪造的,就算 SSL ,还可以注入 CA 证书不是么……除非指定证书链……[那就只能用外挂的方式注入浏览器了]) 现在的网银类支付类都是 HTTPS 的,劫持是不可能的,那不就只能走键盘记录,浏览器插件把你的密码转发出去或类似的方法。 所以安全控件其实是不错的(比如我用招商的,连各类远程桌面软件都没办法输入,一下子安全感倍增) |
 |
2
powergx 2016-03-11 11:19:25 +08:00
有权限记录你的键盘,没法给你加一个 ca ?
|
 |
3
RqPS6rhmP3Nyn3Tm 2016-03-11 11:20:33 +08:00
前几天买 ConoHa ,招商的 Verified by Visa 网关用的还是 IE Only 的控件,支付还得开个虚拟机。
招行的自有的支付网关还是不错的,不知道为什么 VbV 这么烂。 |
 |
4
mgcnrx11 2016-03-11 11:28:56 +08:00
联想到的:为什么防止键盘窃听不直接做在浏览器内,作为默认开启功能,针对所有 input 类型是 password 的输入框开启?
|
 |
5
sobigfish 2016-03-11 11:49:03 +08:00
前端时间刚看了个,银联的, https://merchant.unionpay.com
OS X 下的 控件,发现了在表单里有个 hidden 的 input 他们所谓的安全控件就是提交时把控件的内容复制到 hidden 的那个 input 里... W.T.FFFFFF! |
 |
8
est 2016-03-11 12:00:36 +08:00
没有必要。但是领导觉得有必要。你坳得过领导吗?
“小李啊,隔壁银行都支持什么 active 叉,我们也要支持。” |
 |
12
caoyue 2016-03-11 12:10:08 +08:00
没必要,但是客户有(看起来)安全的心理需要……
|
 |
13
iyaozhen 2016-03-11 13:13:45 +08:00
记得看过一篇文章,一部分原因是需要做双向验证。网站的 HTTPS 化只能解决用户识别网站正确性的需求,无法解决服务端验证客户端身份的需求。
好像知乎上还有一个问题,“为什么招商银行的掌上生活 APP 比别的银行都做的好?” 有当事人 PM 回答过,答案里面就由一些安全问题和用户便捷性的博弈。 |
 |
14
shiji 2016-03-11 13:18:57 +08:00 via Android
@iyaozhen 纯粹的双向验证只要在本地安装一个证书就可以了。 升级一点就把证书放在 U 盾里,这些都不需要插件支持
|
|
15
yeyeye 2016-03-11 13:37:02 +08:00
@tony1016 难道你可以动态换位置 我就不能识别嘛 我已经说得很清楚了 换位置也是可以识别出来的啊 找图找色技术也是很成熟的技术啊 找个坐标不要太容易了!
|
 |
16
tony1016 OP @yeyeye 我同意你的说法,安全本身就是个相对的概念。只是某个黑客是否有必要这么做,对于一般人,钓鱼可能比这个来的容易
|
|
17
yeyeye 2016-03-11 14:51:50 +08:00
@tony1016 安全是相对的 但是多做一些措施 会更加安全 就比如说有一群人觉得杀毒软件没必要 然后你会发现过段时间就有人来 V2EX 问 怎样消毒(杀毒) 这还是裸奔后知道中毒了 不知道的中毒一万年都不知道
|
 |
18
julor 2016-03-11 14:57:21 +08:00 via Android
干嘛要密码?以前中行有个 60 秒随机密码。我觉得这挺好的!支付时候用短信等确认!最重要的是尽快对接手机支付!
|
 |
20
lshero 2016-03-11 15:58:49 +08:00
U 盾需要驱动和插件的尤其是中国特色的交互 U 盾,液晶屏上显示交易信息,防止浏览器前端交易信息被篡改,需要用户按一下授权,防止远程控制之类的场景
|
 |
21
ericls 2016-03-12 02:48:38 +08:00
有法律保护 不怕
|
|
22
ericls 2016-03-12 02:50:52 +08:00
核心问题是你的私有合法财产是受法律保护的
就像生命一样 我从来不担心我的衣服不防砍 又不是原始社会 谁抢到算谁的 |
 |
25
xiya 2016-04-26 11:20:16 +08:00
建行就没有用控件。。
|
 |
26
lzturbo 2016-05-24 13:20:23 +08:00
@yeyeye 银行用 ActiveX 是最傻的行为。。。能有木马整天在那里截屏和监听鼠标和键盘事件, 100 个 ActiveX 都没有。
|
Select Language