怎么实现类似网上银行登陆的控件

2018-01-06 10:10:00 +08:00
 whwq2012

需要防止被木马录入信息,有什么技术,最好是新技术实现呢?

3368 次点击
所在节点    信息安全
14 条回复
chinvo
2018-01-06 10:35:35 +08:00
都什么年代了还想着搞“控件”。

现在除了智障微信支付和少数几家银行,谁还用控件去“保护”数据。

HTTPS 保护传输过程就好。

至于终端安全性?那不是网站该管的事。

如果是内部系统,涉密的情况下,可以加数字证书认证,一人发一个智能卡。
chinvo
2018-01-06 10:37:25 +08:00
再说了,控件根本不能防键盘记录器之类的恶意程序
whwq2012
2018-01-06 10:45:07 +08:00
@chinvo 我想做个毕设,银行的,所以想在登陆加个安全保证,但是按照你的意思的话,是不是只要保证好 https 就够了?最多加个二步验证就够了?
chinvo
2018-01-06 10:45:32 +08:00
@whwq2012 是这样没错
dot
2018-01-06 11:32:19 +08:00
@whwq2012 现在大多数是,HTTPS+短信验证。有些加了控件也要短信验证,貌似还有些是初次登录某个设备需要验证。
honeycomb
2018-01-06 12:02:49 +08:00
@whwq2012
现在已经有一个统一的 API,叫做 Web payments

空间的目的只是试图用驱动劫持(以独占)
1:和密码器之间的通信,使用密码输入框时独占键盘等。
2:曾经有使用驱动的病毒,让支付页面显示 A,但实际上付款到 B 的做法。网银盾的应对则是加了屏幕,在上面显示具体的付款信息,因为网银盾的加解密过程都在其内部,证书也不能导出,病毒攻破了电脑却对它无能为力。
webjin1
2018-01-06 12:05:14 +08:00
建行网银不需要控件。
Quaintjade
2018-01-06 12:08:34 +08:00
汇丰银行的企业网银就是 HTTPS+token (动态密码器本身有密码,网银无密码)。
国内网银用网页 https 的一个顾虑是,现在 CA 以及主流浏览器都是境外机构(比如 google, mozilla, 微软),如果哪天因为某些原因伪造了证书可能威胁到中国金融安全,毕竟 Google 之流规模没四大行大。
pq
2018-01-06 12:11:43 +08:00
https 加上电子口令卡再加上手机短信验证码,我觉得就足够了。
gamexg
2018-01-06 14:26:44 +08:00
短信验证码,
注意验证码同时提供操作信息,即您将向 XX 转账 xx 元,请确认。
HandSonic
2018-01-06 14:47:46 +08:00

辣鸡工行
chinvo
2018-01-06 15:10:50 +08:00
@honeycomb 然而控件并不能劫持并独占键盘输入事件,所以无法达到这种“理想”状态。

目前仍在用控件的,也仅仅是实现一个加密的目的,但是在本身 https 的情况下,并没有什么特别的效果。


@Quaintjade 如果从浏览器劫持的角度考虑,国内的浏览器似乎更危险的样子呢,毕竟不实施 EV,有的时候还会故意显示错误的证书信息。另外目前亚诚信托管的金融 CA 就是为了避免 zf 不可控 CA 签发虚假金融证书。
Cu635
2018-01-06 15:21:51 +08:00
@Quaintjade
“如果哪天因为某些原因伪造了证书可能威胁到中国金融安全”
事实证明伪造证书的正式国内的机构。
而国内终于有不伪造证书的 CA 了,却又是管理水平过低,安全意识没有的。
Quaintjade
2018-01-06 16:16:10 +08:00
@chinvo @Cu635
国内银行 /央行等部门的根本思路大概是金融安全必须掌控在我国自己手中。然而虽然抓在了自己手中,却因为能力水平问题,导致体验和实际安全性都成疑。
CFCA 和亚洲诚信战略合作,似乎只是亚洲诚信负责运营云计算 /主机行业的业务。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/420522

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX