ICBC 的网银 SSL 评级 F 吼不吼哇

2016-12-10 23:27:56 +08:00
 Hardrain
https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn

This server is vulnerable to the POODLE TLS attack. Patching required. Grade set to F.
This server uses RC4 with modern protocols. Grade capped to C.
The server does not support Forward Secrecy with the reference browsers.
3781 次点击
所在节点    SSL
22 条回复
Clarke
2016-12-11 00:10:24 +08:00
那种网站都没人维护的。
Hardrain
2016-12-11 00:12:02 +08:00
@Clarke 那是工行的网银……
这么重要都不维护?
Clarke
2016-12-11 00:18:12 +08:00
@Hardrain ,换句话说就是维护的人都不管 SSL 评级的,他们觉得只要上 SSL 就够了。
vibbow
2016-12-11 00:19:04 +08:00
目测是需要兼容 IE6 导致的...
Phariel
2016-12-11 00:19:46 +08:00
上到 A+对他们来说也没什么意义。
wun
2016-12-11 02:47:03 +08:00
This server is vulnerable to the POODLE TLS attack. Patching required. Grade set to F.
irainsoft
2016-12-11 04:40:58 +08:00
领导不说搞下面是不会搞的

应该告诉领导网址前面加个企业名称绿锁会很好看|・ω・`)
lhbc
2016-12-11 06:36:28 +08:00
@vibbow 兼容 IE6 可以做到评价 B
15015613
2016-12-11 09:48:43 +08:00
ICBC
爱存不存
seashell
2016-12-11 11:11:11 +08:00
本来我想说吼啊,但是仔细一想还是什么都不说最吼。
xfspace
2016-12-11 12:29:31 +08:00
你才知道?
ETiV
2016-12-11 12:34:04 +08:00
检测银行网站安全性?还公开发表?对方银行知晓了吗?让你这么做了吗?

小心锒铛入狱
Quaintjade
2016-12-11 13:09:57 +08:00
银行之类有另一套封闭的安全体系(比如网银盾、网银软件 /插件、 CFCA 证书、 SM2 之类),然后只对那套体系做安全审计。
至于通用的 PKI 体系如何他们并不关心,对他们的意义无非就是个绿锁而已。

你可以看看各大银行的网银软件下载地址,大多都是赤裸裸的 http 。
HowardMei
2016-12-11 14:37:59 +08:00
@Quaintjade 得过且过跟不上时代而已,新加坡 DBS 银行评级就为 A
https://www.ssllabs.com/ssltest/analyze.html?d=internet-banking.dbs.com.sg
nvidiaAMD980X
2016-12-11 15:26:21 +08:00
@Quaintjade 提到 CFCA 这种扯淡的 CA 颁发机构,我就觉得恶心…………
nvidiaAMD980X
2016-12-11 15:27:35 +08:00
@ETiV 洋大人的判断, ICBC 敢干涉?
Quaintjade
2016-12-11 15:39:09 +08:00
@HowardMei
没什么可比性。

很多外资银行的网银本身就基于 https ,当然会好好部署 ssl 的安全性。我知道像汇丰银行网银根本就不用装插件,就是 https 网页+离线 token 验证码。

内资银行整套安全体系不依赖 https ,自然不关心 ssl 的安全性。
HowardMei
2016-12-11 16:18:33 +08:00
@Quaintjade 在线银行客户端能绕开 https 体系?不能吧!跟银行本身的安全体系没关系啊。
bsidb
2016-12-11 16:19:16 +08:00
@Quaintjade 当年如果用迅雷下载建行的网银客户端,会被导入到某个其他软件,也是可以!
Quaintjade
2016-12-11 16:59:54 +08:00
@HowardMei
貌似国内所有银行的在线网银都是要安装插件的,也就是说安全体系由该插件实现,与浏览器本身没什么关系。
至于客户端,它连接的并不是你浏览器访问的那个网站页面,走的是其他通道。心情好的话加密算法都不用 RSA 或 ECC ,而是 SM2 。

@bsidb
国内银行网银的安全逻辑是: (1)你在自己的电脑正确使用了真正的网银软件则能够确保安全性 (2)你用了假冒的网银软件则用不了网银(有网银盾或手机短信二重验证)。
至于你从银行官网下载了假的网银软件导致系统中毒,银行不会承担责任。这是艹蛋之处。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/326745

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX