zeuux-universe  - 讨论区

标题:[zeuux-universe] 总结2008年网银对linux的支持情况(又:中国银行将老用户迁到新版网上银行)

2009年01月19日 星期一 15:04

zhangweiwu在realss.com zhangweiwu在realss.com
星期一 一月 19 15:04:59 CST 2009

2009年开始组织由版网上银行用户迁移到新版网银。

对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
是:新版网银一进入就提示:“请使用IE浏览器。”

这体现了中国银行的专业水平,因为有的其它银行的提示是:“您使用的IE版本过
低,请升级到最新版”(我在用Firefox)

网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。

通知如下:

尊敬的企业网上银行客户:

为向您提供更为高效、专业的金融服务,我行于2008年推出了安全、稳定、覆盖海
内外机构网点的新版中国银行网上银行,并已进行了两次大规模的升级,受到了客
户的广泛关注。为了使您更好地享受网上银行带来的便捷服务,我行将于2009年2
月起逐步组织原版本企业网上银行用户向新版网上银行的迁移工作。

新版网上银行是基于全新的设计理念搭建的网上银行服务平台,采用了领先的网络
技术和系统架构,实现了海内外版本的统一,整合了面向个人、企业客户的网上银
行服务,安全机制更为完善。在全面覆盖原有版本主要产品功能的基础上,新版网
上银行企业服务支持账户管理、转账汇款、集团服务、代发业务、第三方存管、期
货出/入金、中银e信等多项服务,同时新版网上银行在业务处理效率、交易的灵活
设置、操作的便利性以及网银页面展示等方面也得到了较大的提升和优化。针对新
版网上银行服务,我行制定并发布了《中国银行股份有限公司电子银行章程》、《中
国银行股份有限公司网上银行服务业务规则》及安全须知,请您及时登录我行门户
网站(www.boc.cn <http://www.boc.cn/>)阅读了解。

-- 
Real Softservice

Huateng Tower, Unit 1788
Jia 302 3rd area of Jinsong, Chao Yang

Tel: +86 (10) 8773 0650 ext 603
Mobile: 159 1111 7382
http://www.realss.com


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:11

Kermit Mei kermit.mei在gmail.com
星期一 一月 19 15:11:42 CST 2009

zhangweiwu在realss.com wrote:
> 2009年开始组织由版网上银行用户迁移到新版网银。
>
> 对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
> 是:新版网银一进入就提示:“请使用IE浏览器。”
>
> 这体现了中国银行的专业水平,因为有的其它银行的提示是:“您使用的IE版本过
> 低,请升级到最新版”(我在用Firefox)
>
> 网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
> 家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。
>   
很不理解,为什么会这样?
撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
协议,而Linux上这些秘密更容易被发现呢?

听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
务可以更底层,从而更安全?

实在搞不懂这个……
> 通知如下:
>
> 尊敬的企业网上银行客户:
>
> 为向您提供更为高效、专业的金融服务,我行于2008年推出了安全、稳定、覆盖海
> 内外机构网点的新版中国银行网上银行,并已进行了两次大规模的升级,受到了客
> 户的广泛关注。为了使您更好地享受网上银行带来的便捷服务,我行将于2009年2
> 月起逐步组织原版本企业网上银行用户向新版网上银行的迁移工作。
>
> 新版网上银行是基于全新的设计理念搭建的网上银行服务平台,采用了领先的网络
> 技术和系统架构,实现了海内外版本的统一,整合了面向个人、企业客户的网上银
> 行服务,安全机制更为完善。在全面覆盖原有版本主要产品功能的基础上,新版网
> 上银行企业服务支持账户管理、转账汇款、集团服务、代发业务、第三方存管、期
> 货出/入金、中银e信等多项服务,同时新版网上银行在业务处理效率、交易的灵活
> 设置、操作的便利性以及网银页面展示等方面也得到了较大的提升和优化。针对新
> 版网上银行服务,我行制定并发布了《中国银行股份有限公司电子银行章程》、《中
> 国银行股份有限公司网上银行服务业务规则》及安全须知,请您及时登录我行门户
> 网站(www.boc.cn <http://www.boc.cn/>)阅读了解。
>
>   


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:17

Sutra Zhou zhoushuqun在gmail.com
星期一 一月 19 15:17:55 CST 2009

2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
> zhangweiwu在realss.com wrote:
>>
>> 2009年开始组织由版网上银行用户迁移到新版网银。
>>
>> 对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
>> 是:新版网银一进入就提示:"请使用IE浏览器。"
>>
>> 这体现了中国银行的专业水平,因为有的其它银行的提示是:"您使用的IE版本过
>> 低,请升级到最新版"(我在用Firefox)
>>
>> 网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
>> 家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。
>>
>
> 很不理解,为什么会这样?
> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
> 协议,而Linux上这些秘密更容易被发现呢?
>
> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
> 务可以更底层,从而更安全?
>
> 实在搞不懂这个……
因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>> 通知如下:
>>
>> 尊敬的企业网上银行客户:
>>
>> 为向您提供更为高效、专业的金融服务,我行于2008年推出了安全、稳定、覆盖海
>> 内外机构网点的新版中国银行网上银行,并已进行了两次大规模的升级,受到了客
>> 户的广泛关注。为了使您更好地享受网上银行带来的便捷服务,我行将于2009年2
>> 月起逐步组织原版本企业网上银行用户向新版网上银行的迁移工作。
>>
>> 新版网上银行是基于全新的设计理念搭建的网上银行服务平台,采用了领先的网络
>> 技术和系统架构,实现了海内外版本的统一,整合了面向个人、企业客户的网上银
>> 行服务,安全机制更为完善。在全面覆盖原有版本主要产品功能的基础上,新版网
>> 上银行企业服务支持账户管理、转账汇款、集团服务、代发业务、第三方存管、期
>> 货出/入金、中银e信等多项服务,同时新版网上银行在业务处理效率、交易的灵活
>> 设置、操作的便利性以及网银页面展示等方面也得到了较大的提升和优化。针对新
>> 版网上银行服务,我行制定并发布了《中国银行股份有限公司电子银行章程》、《中
>> 国银行股份有限公司网上银行服务业务规则》及安全须知,请您及时登录我行门户
>> 网站(www.boc.cn <http://www.boc.cn/>)阅读了解。
-- 
今天要带伞吗?——雨雪天气会通过手机短信[免费](也可以选择其它方式)在指定的时间提醒您出门别忘记带伞。 http://xiayu.info/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:23

Yingbo Qiu qiuyingbo在gmail.com
星期一 一月 19 15:23:31 CST 2009

我觉得一个原因是企业系统开发和互联网开发的技术是不一致的,或者说大概落后一个技术周期....

中国互联网应用,最开始也是什么浏览器都可以玩,java applet有部分应用;然后过渡到 IE-only,绑定IE专有技术;现在才是浏览器百花齐放

网银估计再有个3年,才会考虑到多浏览器兼容滴....

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:42

Kermit Mei kermit.mei在gmail.com
星期一 一月 19 15:42:38 CST 2009

Sutra Zhou wrote:
>
>> 很不理解,为什么会这样?
>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>> 协议,而Linux上这些秘密更容易被发现呢?
>>
>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>> 务可以更底层,从而更安全?
>>
>> 实在搞不懂这个……
>>     
> 因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>   
你这个答案太感性了。他们为什么要歧视我?
企业家考虑问题只会用利弊权衡,他们不会把那么多情绪
带入自己的决策中。 我觉得我们发现问题了,就应该去思
索深层次的原因,并寻求解决的办法,不该把太多的感情
因素带入。 这会搅乱我们的思绪 ;p



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:44

Kermit Mei kermit.mei在gmail.com
星期一 一月 19 15:44:13 CST 2009

Sutra Zhou wrote:
>
>> 很不理解,为什么会这样?
>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>> 协议,而Linux上这些秘密更容易被发现呢?
>>
>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>> 务可以更底层,从而更安全?
>>
>> 实在搞不懂这个……
>>     
> 因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>   
你这个答案太感性了。他们为什么要歧视我?
企业家考虑问题只会用利弊权衡,他们不会把那么多情绪
带入自己的决策中。 我觉得我们发现问题了,就应该去思
索深层次的原因,并寻求解决的办法,不该把太多的感情
因素带入。 这会搅乱我们的思绪 ;p



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:48

Sutra Zhou zhoushuqun在gmail.com
星期一 一月 19 15:48:09 CST 2009

2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
> Sutra Zhou wrote:
>>
>>> 很不理解,为什么会这样?
>>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>>> 协议,而Linux上这些秘密更容易被发现呢?
>>>
>>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>>> 务可以更底层,从而更安全?
>>>
>>> 实在搞不懂这个……
>>>
>>
>> 因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>>
>
> 你这个答案太感性了。他们为什么要歧视我?
> 企业家考虑问题只会用利弊权衡,他们不会把那么多情绪
> 带入自己的决策中。 我觉得我们发现问题了,就应该去思
> 索深层次的原因,并寻求解决的办法,不该把太多的感情
> 因素带入。 这会搅乱我们的思绪 ;p
加入对非Microsoft Internet Explorer平台的支持对他们来说无利可盈,反而亏本。
Microsoft Internet Explorer平台有厂商支持(技术、资金),加入个Firefox有厂商支持么?
-- 
今天要带伞吗?——雨雪天气会通过手机短信[免费](也可以选择其它方式)在指定的时间提醒您出门别忘记带伞。 http://xiayu.info/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:50

Zoom.Quiet zoom.quiet在gmail.com
星期一 一月 19 15:50:23 CST 2009

2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
> Sutra Zhou wrote:
>>
>>> 很不理解,为什么会这样?
>>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>>> 协议,而Linux上这些秘密更容易被发现呢?
>>>
>>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>>> 务可以更底层,从而更安全?
>>>
>>> 实在搞不懂这个……
>>>
>>
>> 因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>>
>
> 你这个答案太感性了。他们为什么要歧视我?
因为你没有钱!
根据银行的统计,其收益来自极少数好用户: 长期存款 50万以上,而且有借贷潜力;
进一步的,根据各种网络商店的统计,使用非IE的中国网民,占总数 2%之内,
那么,银行自然不愿意将力量分散到这种用户身上了,,,

> 企业家考虑问题只会用利弊权衡,他们不会把那么多情绪
> 带入自己的决策中。 我觉得我们发现问题了,就应该去思
> 索深层次的原因,并寻求解决的办法,不该把太多的感情
> 因素带入。 这会搅乱我们的思绪 ;p



-- 
http://zoomquiet.org
'''过程改进乃是催生可促生靠谱的人的组织!'''
向靠谱,反脑残! Kaopulity,小白退散!

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:53

gildororonar在mail-on.us gildororonar在mail-on.us
星期一 一月 19 15:53:52 CST 2009

Sutra Zhou schrieb:
>
> 加入对非Microsoft Internet Explorer平台的支持对他们来说无利可盈,反而亏本。
> Microsoft Internet Explorer平台有厂商支持(技术、资金),加入个Firefox有厂商支持么?
>
>   
听说是用户需求决定厂商的设计,应该是因为用户不需要使用Firefox上网银?

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 15:59

Kermit Mei kermit.mei在gmail.com
星期一 一月 19 15:59:54 CST 2009

Zoom.Quiet wrote:
> 2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
>   
>> Sutra Zhou wrote:
>>     
>>>> 很不理解,为什么会这样?
>>>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>>>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>>>> 协议,而Linux上这些秘密更容易被发现呢?
>>>>
>>>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>>>> 务可以更底层,从而更安全?
>>>>
>>>> 实在搞不懂这个……
>>>>
>>>>         
>>> 因为你被歧视了,歧视你不用Microsoft Internet Explorer。
>>>
>>>       
>> 你这个答案太感性了。他们为什么要歧视我?
>>     
> 因为你没有钱!
> 根据银行的统计,其收益来自极少数好用户: 长期存款 50万以上,而且有借贷潜力;
> 进一步的,根据各种网络商店的统计,使用非IE的中国网民,占总数 2%之内,
> 那么,银行自然不愿意将力量分散到这种用户身上了,,,
>   
如果真是这样,那么银行这种做法从企业角度来讲也无可厚非。
但问题是,开发一个 None-IE-Only 的支持真的要那么大的投入
吗?  还是M$会为银行提供某种优惠性服务?


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月19日 星期一 16:03

zhangweiwu在realss.com zhangweiwu在realss.com
星期一 一月 19 16:03:24 CST 2009

Kermit Mei schrieb:
>  如果真是这样,那么银行这种做法从企业角度来讲也无可厚非。
> 但问题是,开发一个 None-IE-Only 的支持真的要那么大的投入
> 吗?  还是M$会为银行提供某种优惠性服务?
考虑到银行不只是一个盈利机构,而且是一项社会服务,所以不能以盈利机构的标
准对待他们。

地铁公司可否设计残疾人无法使用的入口?对他们而言是没有利益这样做的。但是
因为他们是社会服务,政府需强制他们这样做(如果财力真不行提供支持也要他们
这样做)。

同理,作为社会服务的银行可以在业务上展开竞争,但是均需提供基础性的支持。


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 09:47

Yongwei Wu wuyongwei在gmail.com
星期二 一月 20 09:47:25 CST 2009

2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
> zhangweiwu在realss.com wrote:
>>
>> 2009年开始组织由版网上银行用户迁移到新版网银。
>>
>> 对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
>> 是:新版网银一进入就提示:"请使用IE浏览器。"
>>
>> 这体现了中国银行的专业水平,因为有的其它银行的提示是:"您使用的IE版本过
>> 低,请升级到最新版"(我在用Firefox)
>>
>> 网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
>> 家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。
>>
>
> 很不理解,为什么会这样?
> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
> 协议,而Linux上这些秘密更容易被发现呢?
>
> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
> 务可以更底层,从而更安全?

昨天,为了在新蛋完成一笔交易而不需支付手续费,我很痛苦地在支付宝上通过
了实名认证和数字证书创建,在口中大骂马云之余,也想到了一些使用IE的技术
和市场原因。

刨去阴谋论,支付宝和招行的技术到底给用户带来了什么好处呢?想来想去,唯
一剩余的解释就是安全:

- 实名认证非常繁琐,在麻烦之余,增加了骇客攻击的难度。
- 淘宝和招行的登录控件禁掉了通用的Paste,要求手工输入口令――虽然这不
  等于无法攻击,但至少要求特殊的攻击工具而不是简单的远程控制软件,同样
  提高了安全性――这样的功能确实是在IE里实现较为容易(不过,我们也应该
  记得,支付宝现在也开始支持Linux了,更精确地说,是Linux x86)。
- 在证书下发过程中,我不需要手工存储和导入;我也不能确定,有没用通用的
  做法可以做到这一点――我怀疑没有。

当然,让人郁闷的事,如果你在国外,用国外的银行,就没有这些麻烦事。
HTTPS加信用卡,什么都解决了。是不是意味着,中国的银行比国外的银行更担
心攻击事件?是不是意味着,发达国家的网上诈骗行为要比中国少得多?……

从经济和市场的眼光看,很多问题可以得到合理的解释,虽然仍然使人郁闷。我
只能说理解,但不支持,支付宝和招行这样的做法。至少,支付宝和招行应当提
供其它的选择项,比如只使用标准的协议,但要求个人承担更多的风险,用安全
方面的威胁吓走大部分普通用户。我想这儿的大部分人可以欣然接受。

Bill,从这个角度讲,我现在不太赞成你的《致招商银行的公开信》。你的口气
太过强硬,没有从对方的角度考虑。我现在更希望的是,有人能够影响招行和支
付宝,提供一些不使用这些安全技术的选项。

-- 
Wu Yongwei
URL: http://wyw.dcweb.cn/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 09:55

Sutra Zhou zhoushuqun在gmail.com
星期二 一月 20 09:55:11 CST 2009

2009/1/20 Yongwei Wu <wuyongwei在gmail.com>:
> 2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
>> zhangweiwu在realss.com wrote:
>>>
>>> 2009年开始组织由版网上银行用户迁移到新版网银。
>>>
>>> 对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
>>> 是:新版网银一进入就提示:"请使用IE浏览器。"
>>>
>>> 这体现了中国银行的专业水平,因为有的其它银行的提示是:"您使用的IE版本过
>>> 低,请升级到最新版"(我在用Firefox)
>>>
>>> 网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
>>> 家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。
>>>
>>
>> 很不理解,为什么会这样?
>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>> 协议,而Linux上这些秘密更容易被发现呢?
>>
>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>> 务可以更底层,从而更安全?
>
> 昨天,为了在新蛋完成一笔交易而不需支付手续费,我很痛苦地在支付宝上通过
> 了实名认证和数字证书创建,在口中大骂马云之余,也想到了一些使用IE的技术
> 和市场原因。
>
> 刨去阴谋论,支付宝和招行的技术到底给用户带来了什么好处呢?想来想去,唯
> 一剩余的解释就是安全:
>
> - 实名认证非常繁琐,在麻烦之余,增加了骇客攻击的难度。
> - 淘宝和招行的登录控件禁掉了通用的Paste,要求手工输入口令――虽然这不
>  等于无法攻击,但至少要求特殊的攻击工具而不是简单的远程控制软件,同样
>  提高了安全性――这样的功能确实是在IE里实现较为容易(不过,我们也应该
>  记得,支付宝现在也开始支持Linux了,更精确地说,是Linux x86)。
> - 在证书下发过程中,我不需要手工存储和导入;我也不能确定,有没用通用的
>  做法可以做到这一点――我怀疑没有。
有。html标签keygen是干这个事情的。标准用法。
demo请参见 http://www.myopenid.com/ (Your account -> Authentication
settings -> Add an SSL Client Certificate)
我最近也在尝试为 http://openid.org.cn/ 增加这个功能
>
> 当然,让人郁闷的事,如果你在国外,用国外的银行,就没有这些麻烦事。
> HTTPS加信用卡,什么都解决了。是不是意味着,中国的银行比国外的银行更担
> 心攻击事件?是不是意味着,发达国家的网上诈骗行为要比中国少得多?……
>
> 从经济和市场的眼光看,很多问题可以得到合理的解释,虽然仍然使人郁闷。我
> 只能说理解,但不支持,支付宝和招行这样的做法。至少,支付宝和招行应当提
> 供其它的选择项,比如只使用标准的协议,但要求个人承担更多的风险,用安全
> 方面的威胁吓走大部分普通用户。我想这儿的大部分人可以欣然接受。
>
> Bill,从这个角度讲,我现在不太赞成你的《致招商银行的公开信》。你的口气
> 太过强硬,没有从对方的角度考虑。我现在更希望的是,有人能够影响招行和支
> 付宝,提供一些不使用这些安全技术的选项。
>
> --
> Wu Yongwei
> URL: http://wyw.dcweb.cn/
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
-- 
今天要带伞吗?——雨雪天气会通过手机短信[免费](也可以选择其它方式)在指定的时间提醒您出门别忘记带伞。 http://xiayu.info/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 10:21

Yongwei Wu wuyongwei在gmail.com
星期二 一月 20 10:21:41 CST 2009

2009/1/20 Sutra Zhou <zhoushuqun在gmail.com>:
> 2009/1/20 Yongwei Wu <wuyongwei在gmail.com>:
>> 2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
>>> zhangweiwu在realss.com wrote:
>>>>
>>>> 2009Ä꿪ʼ×éÖ¯ÓÉ°æÍøÉÏÒøÐÐÓû§Ç¨ÒƵ½Ð°æÍøÒø¡£
>>>>
>>>> ¶ÔÓÚ֮ǰ²»ÖªµÀµÄÅóÓÑ£¬ÎÒ˵Ã÷һϣ¬Ð°æÍøÒøºÍ¾É°æÍøÒøÎÒÕâÀï¿´µÄÖ÷ÒªÇø±ð
>>>> ÊÇ£ºÐ°æÍøÒøÒ»½øÈë¾ÍÌáʾ£º"ÇëʹÓÃIEä¯ÀÀÆ÷¡£"
>>>>
>>>> ÕâÌåÏÖÁËÖйúÒøÐеÄרҵˮƽ£¬ÒòΪÓеÄÆäËüÒøÐеÄÌáʾÊÇ£º"ÄúʹÓõÄIE°æ±¾¹ý
>>>> µÍ£¬ÇëÉý¼¶µ½×îаæ"£¨ÎÒÔÚÓÃFirefox£©
>>>>
>>>> ÍøÒø´ÓÖ§³Ö Linux·×·×ǨÏò²»Ö§³ÖLinuxÊÇ2008ÄêµÄÒ»´óÌØÉ«£¬Ô­À´Ö§³ÖLinuxµÄÎå
>>>> ¼ÒÍøÒø£¨¹ã·¢¡¢ÆÖ·¢¡¢Å©Òµ¡¢Öйú¡¢±±¾©£©Öе½ÁË2008ÄêÄ©Ö»ÓàÇ°Á½¼Ò»¹Ö§³ÖLinux¡£
>>>>
>>>
>>> ºÜ²»Àí½â£¬ÎªÊ²Ã´»áÕâÑù£¿
>>> Ʋ¿ªÊг¡£¬ÇëÄÄλÁ˽âÕâ¸öÐÐÒµµÄÅóÓѵ¥´Ó¼¼Êõ½Ç¶È½âÊÍһϣ¬ÊÇ
>>> IE-onlyµÄ¿ª·¢³É±¾µÍÄØ£¬»¹ÊÇ»á¸ü°²È«£¿ »¹ÊÇÒøÐв»Ïëй¶×Ô¼ºµÄ
>>> ЭÒ飬¶øLinuxÉÏÕâЩÃØÃܸüÈÝÒ×±»·¢ÏÖÄØ£¿
>>>
>>> Ìý˵IEÊÇÖ±½ÓÓÃWindowsÄں˵ģ¬»á²»»áÄÇЩÒøÐÐÈÏΪ¶ÔIE¿ª·¢µÄ·þ
>>> Îñ¿ÉÒÔ¸üµ×²ã£¬´Ó¶ø¸ü°²È«£¿
>>
>> ×òÌ죬ΪÁËÔÚе°Íê³ÉÒ»±Ê½»Ò׶ø²»ÐèÖ§¸¶ÊÖÐø·Ñ£¬ÎÒºÜÍ´¿àµØÔÚÖ§¸¶±¦ÉÏͨ¹ý
>> ÁËʵÃûÈÏÖ¤ºÍÊý×ÖÖ¤Êé´´½¨£¬ÔÚ¿ÚÖдóÂîÂíÔÆÖ®Ó࣬ҲÏëµ½ÁËһЩʹÓÃIEµÄ¼¼Êõ
>> ºÍÊг¡Ô­Òò¡£
>>
>> ÅÙÈ¥ÒõıÂÛ£¬Ö§¸¶±¦ºÍÕÐÐеļ¼Êõµ½µ×¸øÓû§´øÀ´ÁËʲôºÃ´¦ÄØ£¿ÏëÀ´ÏëÈ¥£¬Î¨
>> һʣÓàµÄ½âÊ;ÍÊÇ°²È«£º
>>
>> - ʵÃûÈÏÖ¤·Ç³£·±Ëö£¬ÔÚÂé·³Ö®Ó࣬Ôö¼ÓÁ˺§¿Í¹¥»÷µÄÄѶȡ£
>> - ÌÔ±¦ºÍÕÐÐеĵǼ¿Ø¼þ½ûµôÁËͨÓõÄPaste£¬ÒªÇóÊÖ¹¤ÊäÈë¿ÚÁî¨D¨DËäÈ»Õâ²»
>>  µÈÓÚÎÞ·¨¹¥»÷£¬µ«ÖÁÉÙÒªÇóÌØÊâµÄ¹¥»÷¹¤¾ß¶ø²»ÊǼòµ¥µÄÔ¶³Ì¿ØÖÆÈí¼þ£¬Í¬Ñù
>>  Ìá¸ßÁË°²È«ÐÔ¨D¨DÕâÑùµÄ¹¦ÄÜȷʵÊÇÔÚIEÀïʵÏÖ½ÏΪÈÝÒ×£¨²»¹ý£¬ÎÒÃÇÒ²Ó¦¸Ã
>>  ¼ÇµÃ£¬Ö§¸¶±¦ÏÖÔÚÒ²¿ªÊ¼Ö§³ÖLinuxÁË£¬¸ü¾«È·µØ˵£¬ÊÇLinux x86£©¡£
>> - ÔÚÖ¤ÊéÏ·¢¹ý³ÌÖУ¬ÎÒ²»ÐèÒªÊÖ¹¤´æ´¢ºÍµ¼È룻ÎÒÒ²²»ÄÜÈ·¶¨£¬ÓÐûÓÃͨÓõÄ
>>  ×ö·¨¿ÉÒÔ×öµ½ÕâÒ»µã¨D¨DÎÒ»³ÒÉûÓС£
> ÓС£html±êÇ©keygenÊǸÉÕâ¸öÊÂÇéµÄ¡£±ê×¼Ó÷¨¡£
> demoÇë²Î¼û http://www.myopenid.com/ (Your account -> Authentication
> settings -> Add an SSL Client Certificate)
> ÎÒ×î½üÒ²ÔÚ³¢ÊÔΪ http://openid.org.cn/ Ôö¼ÓÕâ¸ö¹¦ÄÜ

лл¡£²»¹ý£¬Òź¶µÄÊÇ£¬ÎҸղŲéÁËһϣ¬Ëƺõkeygen²»ÊÇHTML±ê×¼µÄÒ»²¿·Ö¡£
:-(

Yahoo AnswersÌáµ½£º

 cannot be considered deprecated because it was never part of
any HTML or XHTML standard to begin with. It was created as a Netscape
extension, and it just happens that other browsers have chosen to
support it. Browser makers can choose to include whatever markup it
wants, including making up its own. But if it's not in the w3c
specifications, it's not considered standard.

http://answers.yahoo.com/question/index?qid=20081204130453AAMbHib

Ŀǰû¿´µ½Õâ¸ö±ê¼Çû½øÈë±ê×¼µÄÔ­Òò¡£Ï£Íû²»ÊÇÒòΪ΢ÈíµÄ·´¶Ô¡£;-)

-- 
Wu Yongwei
URL: http://wyw.dcweb.cn/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 10:37

Bill Xu bill在zeuux.org
星期二 一月 20 10:37:14 CST 2009

> 昨天,为了在新蛋完成一笔交易而不需支付手续费,我很痛苦地在支付宝上通过
> 了实名认证和数字证书创建,在口中大骂马云之余,也想到了一些使用IE的技术
> 和市场原因。
>
> 刨去阴谋论,支付宝和招行的技术到底给用户带来了什么好处呢?想来想去,唯
> 一剩余的解释就是安全:
>
> - 实名认证非常繁琐,在麻烦之余,增加了骇客攻击的难度。
> - 淘宝和招行的登录控件禁掉了通用的Paste,要求手工输入口令——虽然这不
>   等于无法攻击,但至少要求特殊的攻击工具而不是简单的远程控制软件,同样
>   提高了安全性——这样的功能确实是在IE里实现较为容易(不过,我们也应该
>   记得,支付宝现在也开始支持Linux了,更精确地说,是Linux x86)。
> - 在证书下发过程中,我不需要手工存储和导入;我也不能确定,有没用通用的
>   做法可以做到这一点——我怀疑没有。
>
> 当然,让人郁闷的事,如果你在国外,用国外的银行,就没有这些麻烦事。
> HTTPS加信用卡,什么都解决了。是不是意味着,中国的银行比国外的银行更担
> 心攻击事件?是不是意味着,发达国家的网上诈骗行为要比中国少得多?……
>
> 从经济和市场的眼光看,很多问题可以得到合理的解释,虽然仍然使人郁闷。我
> 只能说理解,但不支持,支付宝和招行这样的做法。至少,支付宝和招行应当提
> 供其它的选择项,比如只使用标准的协议,但要求个人承担更多的风险,用安全
> 方面的威胁吓走大部分普通用户。我想这儿的大部分人可以欣然接受。
>
> Bill,从这个角度讲,我现在不太赞成你的《致招商银行的公开信》。你的口气
> 太过强硬,没有从对方的角度考虑。
网银的问题不能只从市场的角度看,金融服务是一个国家的基础服务。如果一个国 
家的基础服务要依赖某一家公司的专有技术,那么我们的基础就是脆弱的,为我们 
的未来朦上了阴影。

> 我现在更希望的是,有人能够影响招行和支
> 付宝,提供一些不使用这些安全技术的选项。
>   
这个在“招行行动”过程中,我们也提出过一些解决方案,其中一些不乏是世界级 
的,比如:
http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang

其实在金融领域,已经有非常好的跨平台安全解决方案,可是国内的很多银行就是 
不采用,非要和微软绑在一起,这不是技术问题,不是成本问题;他们眼里就没有 
非MS用户。

在我和William的讨论过程中,得出的结论是现在国际上的大银行现在更重视的反 
洗钱和反欺诈的问题,流氓软件+木马来偷取用户的密码这样的事情早得以解决。 
用的技术也非常成熟,比如HTTPS + 动态口令。都可以非常好地解决问题。大型 
的互联网公司也用同样的办法来解决服务器(口令)安全的问题。

但不能否认就是,中国的情况很特殊,有中国特色,就是大量的非授权(盗版)软 
件的存在,让一切用户认为自己的成本为零。盗版最终害了我们自己。



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 10:40

Bill Xu bill在zeuux.org
星期二 一月 20 10:40:19 CST 2009


zhangweiwu在realss.com 写道:
> Kermit Mei schrieb:
>   
>>  如果真是这样,那么银行这种做法从企业角度来讲也无可厚非。
>> 但问题是,开发一个 None-IE-Only 的支持真的要那么大的投入
>> 吗?  还是M$会为银行提供某种优惠性服务?
>>     
> 考虑到银行不只是一个盈利机构,而且是一项社会服务,所以不能以盈利机构的标
> 准对待他们。
>
> 地铁公司可否设计残疾人无法使用的入口?对他们而言是没有利益这样做的。但是
> 因为他们是社会服务,政府需强制他们这样做(如果财力真不行提供支持也要他们
> 这样做)。
>
> 同理,作为社会服务的银行可以在业务上展开竞争,但是均需提供基础性的支持。
>   
是的。
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090120/7836c1d8/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 12:14

Sutra Zhou zhoushuqun在gmail.com
星期二 一月 20 12:14:07 CST 2009

2009/1/20 Yongwei Wu <wuyongwei在gmail.com>:
> 2009/1/20 Sutra Zhou <zhoushuqun在gmail.com>:
>> 2009/1/20 Yongwei Wu <wuyongwei在gmail.com>:
>>> 2009/1/19 Kermit Mei <kermit.mei在gmail.com>:
>>>> zhangweiwu在realss.com wrote:
>>>>>
>>>>> 2009年开始组织由版网上银行用户迁移到新版网银。
>>>>>
>>>>> 对于之前不知道的朋友,我说明一下,新版网银和旧版网银我这里看的主要区别
>>>>> 是:新版网银一进入就提示:"请使用IE浏览器。"
>>>>>
>>>>> 这体现了中国银行的专业水平,因为有的其它银行的提示是:"您使用的IE版本过
>>>>> 低,请升级到最新版"(我在用Firefox)
>>>>>
>>>>> 网银从支持 Linux纷纷迁向不支持Linux是2008年的一大特色,原来支持Linux的五
>>>>> 家网银(广发、浦发、农业、中国、北京)中到了2008年末只余前两家还支持Linux。
>>>>>
>>>>
>>>> 很不理解,为什么会这样?
>>>> 撇开市场,请哪位了解这个行业的朋友单从技术角度解释一下,是
>>>> IE-only的开发成本低呢,还是会更安全? 还是银行不想泄露自己的
>>>> 协议,而Linux上这些秘密更容易被发现呢?
>>>>
>>>> 听说IE是直接用Windows内核的,会不会那些银行认为对IE开发的服
>>>> 务可以更底层,从而更安全?
>>>
>>> 昨天,为了在新蛋完成一笔交易而不需支付手续费,我很痛苦地在支付宝上通过
>>> 了实名认证和数字证书创建,在口中大骂马云之余,也想到了一些使用IE的技术
>>> 和市场原因。
>>>
>>> 刨去阴谋论,支付宝和招行的技术到底给用户带来了什么好处呢?想来想去,唯
>>> 一剩余的解释就是安全:
>>>
>>> - 实名认证非常繁琐,在麻烦之余,增加了骇客攻击的难度。
>>> - 淘宝和招行的登录控件禁掉了通用的Paste,要求手工输入口令――虽然这不
>>>  等于无法攻击,但至少要求特殊的攻击工具而不是简单的远程控制软件,同样
>>>  提高了安全性――这样的功能确实是在IE里实现较为容易(不过,我们也应该
>>>  记得,支付宝现在也开始支持Linux了,更精确地说,是Linux x86)。
>>> - 在证书下发过程中,我不需要手工存储和导入;我也不能确定,有没用通用的
>>>  做法可以做到这一点――我怀疑没有。
>> 有。html标签keygen是干这个事情的。标准用法。
>> demo请参见 http://www.myopenid.com/ (Your account -> Authentication
>> settings -> Add an SSL Client Certificate)
>> 我最近也在尝试为 http://openid.org.cn/ 增加这个功能
>
> 谢谢。不过,遗憾的是,我刚才查了一下,似乎keygen不是HTML标准的一部分。
> :-(
>
> Yahoo Answers提到:
>
>  cannot be considered deprecated because it was never part of
> any HTML or XHTML standard to begin with. It was created as a Netscape
> extension, and it just happens that other browsers have chosen to
> support it. Browser makers can choose to include whatever markup it
> wants, including making up its own. But if it's not in the w3c
> specifications, it's not considered standard.
>
> http://answers.yahoo.com/question/index?qid=20081204130453AAMbHib
>
> 目前没看到这个标记没进入标准的原因。希望不是因为微软的反对。;-)
>
> --
> Wu Yongwei
> URL: http://wyw.dcweb.cn/
>


微软的IE也能用的,只不过需要一点点Javascript和ActiveX(IE好像没有能力产生密钥对,微软的证书服务就是用的ActiveX,它好像提供了一个asp做的站点),给你看一份技术文档(文档有点老,但是原理一样的):
http://www.snca.com.cn/Upload/2007212164130787.doc
第19页 创建客户端的证书

客户端的证书用于向服务器证明其身份,而创建一个客户端的证书的难度要稍微大一些。这是因为一个客户必须产生一个密钥对,保持其中的私钥,而将公钥发往证书权威机构以处理证书请求。而不同的客户端,如Netscape
Navigator 3.01 Gold和Microsoft Internet Explorer 3.02
使用不同的方法产生客户端证书,在这个部分,我们将分两种情况来进行讨论。一般来说,创建一个客户端证书需要相应的HTML表格和CGI脚本进行处理。如果证书权威机构并不考察申请人的真实身份的话,这几乎是马上可以完成的。但是在实际工作中,我们需要手工地进行一些其它的确认。一般说来,包含以下几个步骤:
第一,使用一个包含提交表格的HTML页面。
第二,输入相应的信息。
第三,提交表格,这将激发以下的动作:
浏览器产生一个密匙对(公匙和私匙);
私匙被保存在浏览器;
公匙以及身份信息被送往服务器;
服务器脚本创建证书并加载到客户端。
在Netscape Navigator中,表格包括额外的FORM标志, 标志,该标志创建一个密匙对,并将使公匙作为表格参数被提交。

而Microsoft Internet Explorer的HTML页面则更加复杂一些,因为这需要用一个JavaScript (或者
Visual Basic)程序应用ActiveX控件以产生一个密钥对,JavaScript和HTML页面一起下载,并在提交表格的时候被调用。程序调用certenr3的Active
X控件的GenReqForm方法,并且从表格数据中传递给它参数,然后由控件产生的数据通过表格的隐藏的域被提交。

-- 
今天要带伞吗?——雨雪天气会通过手机短信[免费](也可以选择其它方式)在指定的时间提醒您出门别忘记带伞。 http://xiayu.info/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 17:20

Yongwei Wu wuyongwei在gmail.com
星期二 一月 20 17:20:59 CST 2009

2009/1/20 Bill Xu <bill在zeuux.org>:
>
>> 昨天,为了在新蛋完成一笔交易而不需支付手续费,我很痛苦地在支付宝上通过
>> 了实名认证和数字证书创建,在口中大骂马云之余,也想到了一些使用IE的技术
>> 和市场原因。
>>
>> 刨去阴谋论,支付宝和招行的技术到底给用户带来了什么好处呢?想来想去,唯
>> 一剩余的解释就是安全:
>>
>> - 实名认证非常繁琐,在麻烦之余,增加了骇客攻击的难度。
>> - 淘宝和招行的登录控件禁掉了通用的Paste,要求手工输入口令――虽然这不
>>  等于无法攻击,但至少要求特殊的攻击工具而不是简单的远程控制软件,同样
>>  提高了安全性――这样的功能确实是在IE里实现较为容易(不过,我们也应该
>>  记得,支付宝现在也开始支持Linux了,更精确地说,是Linux x86)。
>> - 在证书下发过程中,我不需要手工存储和导入;我也不能确定,有没用通用的
>>  做法可以做到这一点――我怀疑没有。
>>
>> 当然,让人郁闷的事,如果你在国外,用国外的银行,就没有这些麻烦事。
>> HTTPS加信用卡,什么都解决了。是不是意味着,中国的银行比国外的银行更担
>> 心攻击事件?是不是意味着,发达国家的网上诈骗行为要比中国少得多?……
>>
>> 从经济和市场的眼光看,很多问题可以得到合理的解释,虽然仍然使人郁闷。我
>> 只能说理解,但不支持,支付宝和招行这样的做法。至少,支付宝和招行应当提
>> 供其它的选择项,比如只使用标准的协议,但要求个人承担更多的风险,用安全
>> 方面的威胁吓走大部分普通用户。我想这儿的大部分人可以欣然接受。
>>
>> Bill,从这个角度讲,我现在不太赞成你的《致招商银行的公开信》。你的口气
>> 太过强硬,没有从对方的角度考虑。
>
> 网银的问题不能只从市场的角度看,金融服务是一个国家的基础服务。如果一
> 个国家的基础服务要依赖某一家公司的专有技术,那么我们的基础就是脆弱
> 的,为我们的未来朦上了阴影。

我说过,我并不支持这种做法。不过,作为商业银行,选择对他们有利的商业方
案也是可以理解的。

>> 我现在更希望的是,有人能够影响招行和支
>> 付宝,提供一些不使用这些安全技术的选项。
>>
>
> 这个在"招行行动"过程中,我们也提出过一些解决方案,其中一些不乏是世
> 界级的,比如:
> http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang

我刚看了。

2.1建议使用Java Applet来替代ActiveX,不可行。目前使用控件的目的应当是
在驱动层做手脚,防止远程控制。Java做不到吧。

2.2建议使用动态令牌,但里面也提到,成本比较高。(比较而言,使用控件加
证书基本上是零成本。)

2.3没有技术细节,很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
的市场资料来看,是个服务器端方案,可以和其它方式结合,但替代不了其它的
安全方案。

2.4讲数字证书,大家已经在用了。

> 其实在金融领域,已经有非常好的跨平台安全解决方案,可是国内的很多银行
> 就是不采用,非要和微软绑在一起,这不是技术问题,不是成本问题;他们眼
> 里就没有非MS用户。

前面提到了,可能是个成本问题。

> 在我和William的讨论过程中,得出的结论是现在国际上的大银行现在更重视
> 的反洗钱和反欺诈的问题,流氓软件+木马来偷取用户的密码这样的事情早
> 得以解决。用的技术也非常成熟,比如HTTPS + 动态口令。都可以非常好地
> 解决问题。大型的互联网公司也用同样的办法来解决服务器(口令)安全的问
> 题。

动态口令成本对用户的成本还是比较高的。

> 但不能否认就是,中国的情况很特殊,有中国特色,就是大量的非授权(盗
> 版)软件的存在,让一切用户认为自己的成本为零。盗版最终害了我们自己。

同意结论。:-)

-- 
Wu Yongwei
URL: http://wyw.dcweb.cn/

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 17:33

Lyman lymanrb在gmail.com
星期二 一月 20 17:33:53 CST 2009

Yongwei Wu 写道:
> 2009/1/20 Bill Xu <bill在zeuux.org>:
>> 网银的问题不能只从市场的角度看,金融服务是一个国家的基础服务。如果一
>> 个国家的基础服务要依赖某一家公司的专有技术,那么我们的基础就是脆弱
>> 的,为我们的未来朦上了阴影。
> 
> 我说过,我并不支持这种做法。不过,作为商业银行,选择对他们有利的商业方
> 案也是可以理解的。
> 
>> 这个在"招行行动"过程中,我们也提出过一些解决方案,其中一些不乏是世
>> 界级的,比如:
>> http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang
> 
> 我刚看了。
> 
> 2.1建议使用Java Applet来替代ActiveX,不可行。目前使用控件的目的应当是
> 在驱动层做手脚,防止远程控制。Java做不到吧。
> 
> 2.2建议使用动态令牌,但里面也提到,成本比较高。(比较而言,使用控件加
> 证书基本上是零成本。)
> 
> 2.3没有技术细节,很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
> 的市场资料来看,是个服务器端方案,可以和其它方式结合,但替代不了其它的
> 安全方案。
> 
> 2.4讲数字证书,大家已经在用了。
> 
>> 其实在金融领域,已经有非常好的跨平台安全解决方案,可是国内的很多银行
>> 就是不采用,非要和微软绑在一起,这不是技术问题,不是成本问题;他们眼
>> 里就没有非MS用户。
> 
> 前面提到了,可能是个成本问题。
> 
>> 在我和William的讨论过程中,得出的结论是现在国际上的大银行现在更重视
>> 的反洗钱和反欺诈的问题,流氓软件+木马来偷取用户的密码这样的事情早
>> 得以解决。用的技术也非常成熟,比如HTTPS + 动态口令。都可以非常好地
>> 解决问题。大型的互联网公司也用同样的办法来解决服务器(口令)安全的问
>> 题。
> 
> 动态口令成本对用户的成本还是比较高的。
我觉得,即使成本需要用户负担,至少也应该留有给用户选择的余地。

> 
>> 但不能否认就是,中国的情况很特殊,有中国特色,就是大量的非授权(盗
>> 版)软件的存在,让一切用户认为自己的成本为零。盗版最终害了我们自己。
> 
> 同意结论。:-)
> 


[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月20日 星期二 20:52

Kermit Mei kermit.mei在gmail.com
星期二 一月 20 20:52:51 CST 2009

Lyman wrote:
> Yongwei Wu 写道:
>> 2009/1/20 Bill Xu <bill在zeuux.org>:
>>> 网银的问题不能只从市场的角度看,金融服务是一个国家的基础服务。如果一
>>> 个国家的基础服务要依赖某一家公司的专有技术,那么我们的基础就是脆弱
>>> 的,为我们的未来朦上了阴影。
>>
>> 我说过,我并不支持这种做法。不过,作为商业银行,选择对他们有利的商业方
>> 案也是可以理解的。
>>
>>> 这个在"招行行动"过程中,我们也提出过一些解决方案,其中一些不乏是世
>>> 界级的,比如:
>>> http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang
>>
>> 我刚看了。
>>
>> 2.1建议使用Java Applet来替代ActiveX,不可行。目前使用控件的目的应当是
>> 在驱动层做手脚,防止远程控制。Java做不到吧。
>>
>> 2.2建议使用动态令牌,但里面也提到,成本比较高。(比较而言,使用控件加
>> 证书基本上是零成本。)
>>
>> 2.3没有技术细节,很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
>> 的市场资料来看,是个服务器端方案,可以和其它方式结合,但替代不了其它的
>> 安全方案。
>>
>> 2.4讲数字证书,大家已经在用了。
>>
>>> 其实在金融领域,已经有非常好的跨平台安全解决方案,可是国内的很多银行
>>> 就是不采用,非要和微软绑在一起,这不是技术问题,不是成本问题;他们眼
>>> 里就没有非MS用户。
>>
>> 前面提到了,可能是个成本问题。
>>
>>> 在我和William的讨论过程中,得出的结论是现在国际上的大银行现在更重视
>>> 的反洗钱和反欺诈的问题,流氓软件+木马来偷取用户的密码这样的事情早
>>> 得以解决。用的技术也非常成熟,比如HTTPS + 动态口令。都可以非常好地
>>> 解决问题。大型的互联网公司也用同样的办法来解决服务器(口令)安全的问
>>> 题。
>>
>> 动态口令成本对用户的成本还是比较高的。
> 我觉得,即使成本需要用户负担,至少也应该留有给用户选择的余地。
说实话,我觉得在软件这方面,98%的用户对于这种“选择的余地”是没有
需求的。 他们本身就是M$用户,因此他们已经觉得用户体验很好了。

要解决这些问题,我们现在能做的也只有像Bill那样呐喊,虽然开始时声音
比较微弱,但是总比这么沉默着好吧。 至少这有助于那些高层听到不同的声
音,让他们在今后的决策中考虑到这些问题。



[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

2009年01月22日 星期四 14:47

Bill Xu bill在zeuux.org
星期四 一月 22 14:47:12 CST 2009

> 我说过,我并不支持这种做法。不过,作为商业银行,选择对他们有利的商业方
> 案也是可以理解的。
>   
是的,从纯商业的角度看,可以理解。但呼吁政府不能从纯商业的角度看待金融行 
业,而且要有实际行动。

>   
>>> 我现在更希望的是,有人能够影响招行和支
>>> 付宝,提供一些不使用这些安全技术的选项。
>>>
>>>       
>> 这个在"招行行动"过程中,我们也提出过一些解决方案,其中一些不乏是世
>> 界级的,比如:
>> http://www.zeuux.com/moin/OnlineBankingTech/WeiXiaoqiang
>>     
>
> 我刚看了。
>
> 2.1建议使用Java Applet来替代ActiveX,不可行。目前使用控件的目的应当是
> 在驱动层做手脚,防止远程控制。Java做不到吧。
>
> 2.2建议使用动态令牌,但里面也提到,成本比较高。(比较而言,使用控件加
> 证书基本上是零成本。)
>
> 2.3没有技术细节,很难讨论。但我怀疑它防不了远程的木马控制。从其网络上
> 的市场资料来看,是个服务器端方案,可以和其它方式结合,但替代不了其它的
> 安全方案。
>
> 2.4讲数字证书,大家已经在用了。
>   
William提出的方案并非空穴来风,是来自Entrust公司的专业方案,虽然是专有软 
件的方案。大家可能不了解Entrust,但大家可能都知道 PKI,是Entrust发明了 
PKI。CFCA也是Entrust建的。不多说了,更多的交给William自己给大家介绍吧, 
呵呵。

>   
>> 其实在金融领域,已经有非常好的跨平台安全解决方案,可是国内的很多银行
>> 就是不采用,非要和微软绑在一起,这不是技术问题,不是成本问题;他们眼
>> 里就没有非MS用户。
>>     
>
> 前面提到了,可能是个成本问题。
>
>   
>> 在我和William的讨论过程中,得出的结论是现在国际上的大银行现在更重视
>> 的反洗钱和反欺诈的问题,流氓软件+木马来偷取用户的密码这样的事情早
>> 得以解决。用的技术也非常成熟,比如HTTPS + 动态口令。都可以非常好地
>> 解决问题。大型的互联网公司也用同样的办法来解决服务器(口令)安全的问
>> 题。
>>     
>
> 动态口令成本对用户的成本还是比较高的。
>   
现在已经有银行开始使用动态口令卡了,比如中国银行已经开始用RSA的卡。说到 
成本,很显然,动态口令卡的成本 < ActiveX的成本,因为ActiveX依赖MS 
Windows,这意味着网银用户必须要购买MS Windows,比口令卡贵多了。

当然,你也可以说在商业银行已经考虑到用户的需求了,并做了大量翔实的调研, 
结论是中国用户都是Windows用户,因此采用ActiveX不存在歧视用户的问题。但专 
家们忽视了,我们大部分都是非授权Windows用户。但愿政府不要像商业公司那样 
去调研和决策。

>   
>> 但不能否认就是,中国的情况很特殊,有中国特色,就是大量的非授权(盗
>> 版)软件的存在,让一切用户认为自己的成本为零。盗版最终害了我们自己。
>>     
>
> 同意结论。:-)
>
>   
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20090122/aa3e2b0d/attachment.html>

[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-universe]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号