2015年03月09日 星期一 17:48
国内的大部分网银支持的加密协议最高都差不多是TLS1.0_RSA_WITH_AES128_CBC_SHA.
SSL/TLS在14年漏洞频曝,SSL3被主流浏览器屏蔽。
现在主流商业网站一般支持使用TLS1.2协议 DHE ECDHE 正向完全加密,银行类网站的https传输安全等级根本不能比。
可通过https://www.ssllabs.com测试一个https网站的协议安全情况。
2015年03月09日 星期一 18:04
我认为这件事很有意义,不过这是一个很专业的事情,最好是让专业的人用专业的平台来做。Open Banks是个业余组织,并不是说水平业余,但是时间投入上肯定是业余的。我建议到乌云漏洞平台提交和检索漏洞,乌云平台上的安全专家更加集中,也有厂商专门跟进安全问题,漏洞发布之后更容易引起重视:http://www.wooyun.org/
如果有必要,可以考虑在 Open Banks 做个外链,链接到乌云平台上的网银相关关键词检索结果页。
2015年03月10日 星期二 09:06
乌云关注的是未知漏洞的实际运用,和标准https协议几乎没有什么交集。更希望讨论的是一个https标准化的问题,这是可量化对比的。比如https://addons.mozilla.org/zh-CN/firefox/addon/calomel-ssl-validation/ firefox插件,直接对握手协议强度进行评价。
Zeuux © 2024
京ICP备05028076号