需要防止被木马录入信息,有什么技术,最好是新技术实现呢?
1
chinvo 2018-01-06 10:35:35 +08:00 1
都什么年代了还想着搞“控件”。
现在除了智障微信支付和少数几家银行,谁还用控件去“保护”数据。 HTTPS 保护传输过程就好。 至于终端安全性?那不是网站该管的事。 如果是内部系统,涉密的情况下,可以加数字证书认证,一人发一个智能卡。 |
2
chinvo 2018-01-06 10:37:25 +08:00 via iPhone
再说了,控件根本不能防键盘记录器之类的恶意程序
|
3
whwq2012 OP @chinvo 我想做个毕设,银行的,所以想在登陆加个安全保证,但是按照你的意思的话,是不是只要保证好 https 就够了?最多加个二步验证就够了?
|
5
dot 2018-01-06 11:32:19 +08:00 via Android
@whwq2012 现在大多数是,HTTPS+短信验证。有些加了控件也要短信验证,貌似还有些是初次登录某个设备需要验证。
|
6
honeycomb 2018-01-06 12:02:49 +08:00 via Android
@whwq2012
现在已经有一个统一的 API,叫做 Web payments 空间的目的只是试图用驱动劫持(以独占) 1:和密码器之间的通信,使用密码输入框时独占键盘等。 2:曾经有使用驱动的病毒,让支付页面显示 A,但实际上付款到 B 的做法。网银盾的应对则是加了屏幕,在上面显示具体的付款信息,因为网银盾的加解密过程都在其内部,证书也不能导出,病毒攻破了电脑却对它无能为力。 |
7
webjin1 2018-01-06 12:05:14 +08:00 via Android
建行网银不需要控件。
|
8
Quaintjade 2018-01-06 12:08:34 +08:00 via Android
汇丰银行的企业网银就是 HTTPS+token (动态密码器本身有密码,网银无密码)。
国内网银用网页 https 的一个顾虑是,现在 CA 以及主流浏览器都是境外机构(比如 google, mozilla, 微软),如果哪天因为某些原因伪造了证书可能威胁到中国金融安全,毕竟 Google 之流规模没四大行大。 |
9
pq 2018-01-06 12:11:43 +08:00
https 加上电子口令卡再加上手机短信验证码,我觉得就足够了。
|
10
gamexg 2018-01-06 14:26:44 +08:00
短信验证码,
注意验证码同时提供操作信息,即您将向 XX 转账 xx 元,请确认。 |
11
HandSonic 2018-01-06 14:47:46 +08:00
辣鸡工行 |
12
chinvo 2018-01-06 15:10:50 +08:00
@honeycomb 然而控件并不能劫持并独占键盘输入事件,所以无法达到这种“理想”状态。
目前仍在用控件的,也仅仅是实现一个加密的目的,但是在本身 https 的情况下,并没有什么特别的效果。 @Quaintjade 如果从浏览器劫持的角度考虑,国内的浏览器似乎更危险的样子呢,毕竟不实施 EV,有的时候还会故意显示错误的证书信息。另外目前亚诚信托管的金融 CA 就是为了避免 zf 不可控 CA 签发虚假金融证书。 |
13
Cu635 2018-01-06 15:21:51 +08:00
|
14
Quaintjade 2018-01-06 16:16:10 +08:00
|