V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
whwq2012
V2EX  ›  信息安全

怎么实现类似网上银行登陆的控件

  •  
  •   whwq2012 · 2018-01-06 10:10:00 +08:00 · 3217 次点击
    这是一个创建于 2273 天前的主题,其中的信息可能已经有所发展或是发生改变。

    需要防止被木马录入信息,有什么技术,最好是新技术实现呢?

    14 条回复    2018-01-06 16:16:10 +08:00
    chinvo
        1
    chinvo  
       2018-01-06 10:35:35 +08:00   ❤️ 1
    都什么年代了还想着搞“控件”。

    现在除了智障微信支付和少数几家银行,谁还用控件去“保护”数据。

    HTTPS 保护传输过程就好。

    至于终端安全性?那不是网站该管的事。

    如果是内部系统,涉密的情况下,可以加数字证书认证,一人发一个智能卡。
    chinvo
        2
    chinvo  
       2018-01-06 10:37:25 +08:00 via iPhone
    再说了,控件根本不能防键盘记录器之类的恶意程序
    whwq2012
        3
    whwq2012  
    OP
       2018-01-06 10:45:07 +08:00
    @chinvo 我想做个毕设,银行的,所以想在登陆加个安全保证,但是按照你的意思的话,是不是只要保证好 https 就够了?最多加个二步验证就够了?
    chinvo
        4
    chinvo  
       2018-01-06 10:45:32 +08:00
    @whwq2012 是这样没错
    dot
        5
    dot  
       2018-01-06 11:32:19 +08:00 via Android
    @whwq2012 现在大多数是,HTTPS+短信验证。有些加了控件也要短信验证,貌似还有些是初次登录某个设备需要验证。
    honeycomb
        6
    honeycomb  
       2018-01-06 12:02:49 +08:00 via Android
    @whwq2012
    现在已经有一个统一的 API,叫做 Web payments

    空间的目的只是试图用驱动劫持(以独占)
    1:和密码器之间的通信,使用密码输入框时独占键盘等。
    2:曾经有使用驱动的病毒,让支付页面显示 A,但实际上付款到 B 的做法。网银盾的应对则是加了屏幕,在上面显示具体的付款信息,因为网银盾的加解密过程都在其内部,证书也不能导出,病毒攻破了电脑却对它无能为力。
    webjin1
        7
    webjin1  
       2018-01-06 12:05:14 +08:00 via Android
    建行网银不需要控件。
    Quaintjade
        8
    Quaintjade  
       2018-01-06 12:08:34 +08:00 via Android
    汇丰银行的企业网银就是 HTTPS+token (动态密码器本身有密码,网银无密码)。
    国内网银用网页 https 的一个顾虑是,现在 CA 以及主流浏览器都是境外机构(比如 google, mozilla, 微软),如果哪天因为某些原因伪造了证书可能威胁到中国金融安全,毕竟 Google 之流规模没四大行大。
    pq
        9
    pq  
       2018-01-06 12:11:43 +08:00
    https 加上电子口令卡再加上手机短信验证码,我觉得就足够了。
    gamexg
        10
    gamexg  
       2018-01-06 14:26:44 +08:00
    短信验证码,
    注意验证码同时提供操作信息,即您将向 XX 转账 xx 元,请确认。
    HandSonic
        11
    HandSonic  
       2018-01-06 14:47:46 +08:00

    辣鸡工行
    chinvo
        12
    chinvo  
       2018-01-06 15:10:50 +08:00
    @honeycomb 然而控件并不能劫持并独占键盘输入事件,所以无法达到这种“理想”状态。

    目前仍在用控件的,也仅仅是实现一个加密的目的,但是在本身 https 的情况下,并没有什么特别的效果。


    @Quaintjade 如果从浏览器劫持的角度考虑,国内的浏览器似乎更危险的样子呢,毕竟不实施 EV,有的时候还会故意显示错误的证书信息。另外目前亚诚信托管的金融 CA 就是为了避免 zf 不可控 CA 签发虚假金融证书。
    Cu635
        13
    Cu635  
       2018-01-06 15:21:51 +08:00
    @Quaintjade
    “如果哪天因为某些原因伪造了证书可能威胁到中国金融安全”
    事实证明伪造证书的正式国内的机构。
    而国内终于有不伪造证书的 CA 了,却又是管理水平过低,安全意识没有的。
    Quaintjade
        14
    Quaintjade  
       2018-01-06 16:16:10 +08:00
    @chinvo @Cu635
    国内银行 /央行等部门的根本思路大概是金融安全必须掌控在我国自己手中。然而虽然抓在了自己手中,却因为能力水平问题,导致体验和实际安全性都成疑。
    CFCA 和亚洲诚信战略合作,似乎只是亚洲诚信负责运营云计算 /主机行业的业务。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   3324 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 13:29 · PVG 21:29 · LAX 06:29 · JFK 09:29
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.