维护了一年的 www.linuxbanks.cn 网站，我今日又更新了大量网银相关信息，发
现从07年到08年，最主要的变化是网银纷纷向安全控件技术看齐。

例子：

   1. 光大银行原来使用javascritp软键盘，虽然因为javascript错误不能在
      Firefox上运行（可能是非标准 javascript调用），但是至少没有使用安全
      控件，今年已经变成使用安全控件；
   2. 北京银行以前限1000元版本的服务，以前直接让用户输入密码，现在变成使
      用安全控件；
   3. 中国农业银行原来使用软键盘的网银服务被取消，现在变成使用安全控件。

总之，07年时候安全技术五花八门，有软键盘的（农行），有使用标准SSL证书的
（北京银行），现在的情况是除了广东发展银行（使用Java Applet）和浦发银行
（使用标准SSL证书，加javascript软键盘，加手机动态密码）之外，所有我的
www.linuxbanks.cn 上记录的银行已经全面使用安全控件和U盾，并且使用U盾的银
行业务今年没有增加，使用安全控件的增加了。

哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
和邮政）

-- 
Real Softservice

Huateng Tower, Unit 1788
Jia 302 3rd area of Jinsong, Chao Yang

Tel: +86 (10) 8773 0650 ext 603
Mobile: 159 1111 7382
http://www.realss.com

2008/9/7  <zhangweiwu在realss.com>:
> 维护了一年的 www.linuxbanks.cn 网站，我今日又更新了大量网银相关信息，发
> 现从07年到08年，最主要的变化是网银纷纷向安全控件技术看齐。
>
> 例子：
>
>   1. 光大银行原来使用javascritp软键盘，虽然因为javascript错误不能在
>      Firefox上运行（可能是非标准 javascript调用），但是至少没有使用安全
>      控件，今年已经变成使用安全控件；
>   2. 北京银行以前限1000元版本的服务，以前直接让用户输入密码，现在变成使
>      用安全控件；
>   3. 中国农业银行原来使用软键盘的网银服务被取消，现在变成使用安全控件。
>
> 总之，07年时候安全技术五花八门，有软键盘的（农行），有使用标准SSL证书的
> （北京银行），现在的情况是除了广东发展银行（使用Java Applet）和浦发银行
> （使用标准SSL证书，加javascript软键盘，加手机动态密码）之外，所有我的
> www.linuxbanks.cn 上记录的银行已经全面使用安全控件和U盾，并且使用U盾的银
> 行业务今年没有增加，使用安全控件的增加了。
>
> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发

俺对安全技术不太了解，但是对大公司的运营有体验，
这些银行转向"安全按件"并不是出于安全考虑,而是 HR 的考虑,
由于银行工作稳定,求稳就变成了企业文化,
与其依赖几个高手使用 靠谱 的广谱安全支持,
不如付钱让M$ 来作,因为:
0. 产生了资金流动,可以从中牟利;
1. 技术部的都是关系户进来的小屁孩,只在学校里听说过 ActiveX 其它的根本不知道,,,
2. 可以同世界最大的软件企业拉上关系,也增光,不是?,,,

> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
> 和邮政）



-- 

http://zoomquiet.org'''
过程改进乃是催生可促生靠谱的人的组织!
PE keeps evolving organizations which promoting people be good!'''

有已上陆的国际银行的信息么？

在 2008-9-7，下午4:10， zhangweiwu在realss.com 写道：

> 维护了一年的 www.linuxbanks.cn 网站， 
> 我今日又更新了大量网银相关信息，发
> 现从07年到08年，最主要的变化是网银纷纷向安全控件技术看齐。
>
> 例子：
>
>   1. 光大银行原来使用javascritp软键盘，虽然因为javascript错误不能在
>      Firefox上运行（可能是非标准 javascript调用），但是至少没有使用安 
> 全
>      控件，今年已经变成使用安全控件；
>   2. 北京银行以前限1000元版本的服务， 
> 以前直接让用户输入密码，现在变成使
>      用安全控件；
>   3. 中国农业银行原来使用软键盘的网银 
> 服务被取消，现在变成使用安全控件。
>
> 总之，07年时候安全技术五花八门，有软键 
> 盘的（农行），有使用标准SSL证书的
> （北京银行），现在的情况是除了广东发展银行（使用Java  
> Applet）和浦发银行
> （使用标准SSL证书，加javascript软键盘，加手机动态密码）之外，所有我的
> www.linuxbanks.cn 上记录的银行已经全面 
> 使用安全控件和U盾，并且使用U盾的银
> 行业务今年没有增加，使用安全控件的增加了。
>
> 哪位对安全技术有所了解的，解释一下这个 
> 现象说明了什么？是否按此发展，广发
> 和浦发不久也将换为安全控件？去年有三个 
> 银行换为安全控件，如果保持此速度发
> 展，可以肯定明年没有网银会支持自由软件 
> 了。（因为今年只余三家：广发、浦发
> 和邮政）
>
> -- 
> Real Softservice
>
> Huateng Tower, Unit 1788
> Jia 302 3rd area of Jinsong, Chao Yang
>
> Tel: +86 (10) 8773 0650 ext 603
> Mobile: 159 1111 7382
> http://www.realss.com
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080907/ab67419a/attachment-0001.html>

zhangweiwu at realss.com wrote:
> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
> 和邮政
绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用的， 
而此是Windows下病毒、蠕虫、木马横行的最大原因。

在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑用 
户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面具，并 
且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4件事：0， 
屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的戴上；3，并 
在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，任何一环出错 
都会导致不安全。

另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
我想到的一些：
0，权威CA发放的SSL证书，且是全程SSL。
1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密码 
输入，而他们的措施往往是2点吧：
    A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企 
图绕过其他监听程序对输入的监控。
    B，检查系统进程中是否有他们认为的“非法进程”，如果有，那么就采取一些 
他们自认为的“理性措施”。
   
    对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进行了 
某种程度的劫持，那么此法应该也无效。

大家还有什么更好的点子？

-- 
夏清然
Xia Qingran
E-mail: qingran at zeuux.org
Gtalk: qingran.xia at gmail.com
MSN: supermanxqr at msn.com

On Mon, 08 Sep 2008 01:47:20 +0800
Xia Qingran <qingran在zeuux.org> wrote:

> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用的， 
> 而此是Windows下病毒、蠕虫、木马横行的最大原因。
> 
> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑用 
> 户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面具，并 
> 且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4件事：0， 
> 屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的戴上；3，并 
> 在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，任何一环出错 
> 都会导致不安全。
> 
> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
> 我想到的一些：
> 0，权威CA发放的SSL证书，且是全程SSL。
> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密码 
> 输入，而他们的措施往往是2点吧：
>     A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企 
> 图绕过其他监听程序对输入的监控。
>     B，检查系统进程中是否有他们认为的“非法进程”，如果有，那么就采取一些 
> 他们自认为的“理性措施”。
>    
>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进行了 
> 某种程度的劫持，那么此法应该也无效。
> 
> 大家还有什么更好的点子？
> 
> -- 
> 夏清然
> Xia Qingran
> E-mail: qingran在zeuux.org
> Gtalk: qingran.xia在gmail.com
> MSN: supermanxqr在msn.com

软键盘本身使用的机制成为了进攻的入口。我也用 Windows，不过看来属于那百分之一:)

-- 
Ray Stinger, nickname lichray
The best way to predict the future is to invent it.
--------------------------------------------------
let focus = 'computing' in here:
http://let-in.blogspot.com
(let (me Program!)):
http://lichray.blogspot.com

Xia Qingran wrote:
> zhangweiwu at realss.com wrote:
>> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
>> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
>> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
>> 和邮政
> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>
> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑
> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
> 具，并且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4
> 件事：0，屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的
> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，
> 任何一环出错 都会导致不安全。
>
> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
> 我想到的一些：
> 0，权威CA发放的SSL证书，且是全程SSL。
> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密
> 码 输入，而他们的措施往往是2点吧：
>    A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企
> 图绕过其他监听程序对输入的监控。
>    B，检查系统进程中是否有他们认为的“非法进程”，如果有，那么就采取一些
> 他们自认为的“理性措施”。
>      对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
> 行了 某种程度的劫持，那么此法应该也无效。
>

我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
主机）。可能还有其它很多没列出来的。

他们的网上银行有一个共同的特点：
一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
没有安全警告；
二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
全措施都没有。
三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
把卡拿出来看一下就能找到这个信息，然后做正确选择。

有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？

我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于“国际
反华势力”，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
的。）

当然第一点都想不明白，二三自然也不明白，望高人指点一下。

2008/9/8  <zhangweiwu在realss.com>:
> Xia Qingran wrote:
>> zhangweiwu在realss.com wrote:
>>> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
>>> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
>>> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
>>> 和邮政
>> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>>
>> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑
>> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>> 具，并且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4
>> 件事：0，屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的
>> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，
>> 任何一环出错 都会导致不安全。
>>
>> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>> 我想到的一些：
>> 0，权威CA发放的SSL证书，且是全程SSL。
>> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密
>> 码 输入，而他们的措施往往是2点吧：
>>    A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企
>> 图绕过其他监听程序对输入的监控。
>>    B，检查系统进程中是否有他们认为的"非法进程"，如果有，那么就采取一些
>> 他们自认为的"理性措施"。
>>      对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>> 行了 某种程度的劫持，那么此法应该也无效。
>>
>
> 我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
> diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
> 件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
> 主机）。可能还有其它很多没列出来的。
>
> 他们的网上银行有一个共同的特点：
> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
> 没有安全警告；
> 二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
> 全措施都没有。
> 三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>
> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>
> 我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
> 之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
> 务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
> 人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
> 德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于"国际
> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
> 忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
> 的。）
>
> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
这是法律系统不同引发的文化差异?
外国都是海洋法律,尊重先例,契约化,
CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,

中国是大陆法律,法外有别情,血缘化,
公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
散户方面的信誉根本可以无视的,,,

所以那,事儿无关技术,只是人情比技术大N多倍而已,,,


-- 

http://zoomquiet.org'''
过程改进乃是催生可促生靠谱的人的组织!
PE keeps evolving organizations which promoting people be good!'''

这是一个屁股决定头脑的事情。
没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要 
讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。

像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改 
革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。

在 2008-9-8，上午9:54， Zoom.Quiet 写道：

> 2008/9/8  <zhangweiwu在realss.com>:
>> Xia Qingran wrote:
>>> zhangweiwu在realss.com wrote:
>>>> 哪位对安全技术有所了解的，解释一下 
>>>> 这个现象说明了什么？是否按此发展，广发
>>>> 和浦发不久也将换为安全控件？去年有 
>>>> 三个银行换为安全控件，如果保持此速度发
>>>> 展，可以肯定明年没有网银会支持自由 
>>>> 软件了。（因为今年只余三家：广发、浦发
>>>> 和邮政
>>> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>>> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>>>
>>> 在Windows Vista之前安装ActiveX必须以 
>>> Administrator身份，这就等于在诱惑
>>> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>>> 具，并且有人告诉你，进毒气室并戴上放 
>>> 毒面具就会抵御毒气，那么你就要做4
>>> 件事：0，屏住呼吸进入毒气室；1，正确 
>>> 找到哪个固定的放毒面具；2，正确的
>>> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于 
>>> 这种安全控件来说，
>>> 任何一环出错 都会导致不安全。
>>>
>>> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>>> 我想到的一些：
>>> 0，权威CA发放的SSL证书，且是全程SSL。
>>> 1，现在大多数安全控件存在的原因都是 
>>> 为了防止客户端上的其他程序来窥探密
>>> 码 输入，而他们的措施往往是2点吧：
>>>   A，通过专门的驱动程序以更底层的方 
>>> 式从键盘那里得到键盘的输入内容，企
>>> 图绕过其他监听程序对输入的监控。
>>>   B，检查系统进程中是否有他们认为的"非法进程"，如果 
>>> 有，那么就采取一些
>>> 他们自认为的"理性措施"。
>>>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>>> 行了 某种程度的劫持，那么此法应该也无效。
>>>
>>
>> 我用过以下西方网上商店：skype（国际 
>> 版）、domainworld.cn（域名服务商）、
>> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
>> diamondcard.us（voip服 
>> 务）、Amazon（从国外购书）；还有一些小的网上电子元
>> 件商店（给难找的机器买配件）、worria（采购独立主 
>> 机）、bytemark（采购虚拟
>> 主机）。可能还有其它很多没列出来的。
>>
>> 他们的网上银行有一个共同的特点：
>> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所 
>> 以浏览器默认接受而
>> 没有安全警告；
>> 二：让用户自己输入卡号和验证码，没有 
>> 控件、没有软键盘。总之除了SSL什么安
>> 全措施都没有。
>> 三：从来不问我是什么银行并让我选择银 
>> 行，只是问我是VISA还是MasterCard，我
>> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>>
>> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>>
>> 我是自己没想明白的。比如：我想不明白 
>> 为什么他们敢用权威CA发行的证书，读了
>> 之前的网友说明，说金融的东西很重要， 
>> 不能信任外国CA，不然银行这样的重要业
>> 务掌握在外国人手里，我们受欺负都没有 
>> 办法；听起来挺有道理的，但是后来发现
>> 人家英国的网店用美国的CA，德国的网店 
>> 也用美国的CA，心里想怎么人家英国人、
>> 德国人不怕重要业务受外国人制肘？难道 
>> 是因为英国、德国、美国都是属于"国际
>> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
>> 忾，所以我们要共同防着他们？（那干嘛 
>> 不防着微软好了，这个微软才是比较危险
>> 的。）
>>
>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
> 这是法律系统不同引发的文化差异?
> 外国都是海洋法律,尊重先例,契约化,
> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一 
> 次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
> 所以,一般第三方的机构比任何一个公司的 
> 某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>
> 中国是大陆法律,法外有别情,血缘化,
> 公司实体不信任一切外部认证,自个儿的孩 
> 子自个儿痛,绝对不能倒污水将孩子也倒了!
> 所以,任何事儿,都可以大事化小,小事化了, 
> 所以,安全问题从来不是中国银行关注的问 
> 题,职工/家属/关系户/政府支持,,,才是它们的生命线,
> 散户方面的信誉根本可以无视的,,,
>
> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>
>
> -- 
>
> http://zoomquiet.org'''
> 过程改进乃是催生可促生靠谱的人的组织!
> PE keeps evolving organizations which promoting people be good!'''
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080908/73a19832/attachment-0001.html>

对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。


Best Regards
Harry Li



2008/9/8 Sutra Zhou <zhoushuqun at gmail.com>:
> 这是一个屁股决定头脑的事情。
> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>
> 2008/9/8  <zhangweiwu at realss.com>:
>
> Xia Qingran wrote:
>
> zhangweiwu at realss.com wrote:
>
> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
>
> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
>
> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
>
> 和邮政
>
> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>
> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>
> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑
>
> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>
> 具，并且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4
>
> 件事：0，屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的
>
> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，
>
> 任何一环出错 都会导致不安全。
>
> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>
> 我想到的一些：
>
> 0，权威CA发放的SSL证书，且是全程SSL。
>
> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密
>
> 码 输入，而他们的措施往往是2点吧：
>
>   A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企
>
> 图绕过其他监听程序对输入的监控。
>
>   B，检查系统进程中是否有他们认为的"非法进程"，如果有，那么就采取一些
>
> 他们自认为的"理性措施"。
>
>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>
> 行了 某种程度的劫持，那么此法应该也无效。
>
>
> 我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
>
> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
>
> diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
>
> 件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
>
> 主机）。可能还有其它很多没列出来的。
>
> 他们的网上银行有一个共同的特点：
>
> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
>
> 没有安全警告；
>
> 二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
>
> 全措施都没有。
>
> 三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
>
> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>
> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>
> 我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
>
> 之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
>
> 务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
>
> 人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
>
> 德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于"国际
>
> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
>
> 忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
>
> 的。）
>
> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>
> 这是法律系统不同引发的文化差异?
> 外国都是海洋法律,尊重先例,契约化,
> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>
> 中国是大陆法律,法外有别情,血缘化,
> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
> 散户方面的信誉根本可以无视的,,,
>
> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>
>
> --
>
> http://zoomquiet.org'''
> 过程改进乃是催生可促生靠谱的人的组织!
> PE keeps evolving organizations which promoting people be good!'''
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
>

2008/9/8 Harry Li <harryl.byread在gmail.com>:
> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>
但是,我们的宣传和讨论是有积极历史意义的:
0. 留下历史证据,说明中国人不都是傻的
1. 留下历史资料,给有心的技术人员给出指引
2. 留下历史痕迹,记录哲思的思考,,,



> 2008/9/8 Sutra Zhou <zhoushuqun在gmail.com>:
>> 这是一个屁股决定头脑的事情。
>> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>
>> 2008/9/8  <zhangweiwu在realss.com>:
..
>>
>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>
>> 这是法律系统不同引发的文化差异?
>> 外国都是海洋法律,尊重先例,契约化,
>> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
>> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>
>> 中国是大陆法律,法外有别情,血缘化,
>> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
>> 散户方面的信誉根本可以无视的,,,
>>
>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,



-- 

http://zoomquiet.org'''
过程改进乃是催生可促生靠谱的人的组织!
PE keeps evolving organizations which promoting people be good!'''

俺也说两句。大家都记得当年邮局服务多差吧，有了民营快递公司以后不好多了么?一样的，引进竞争对洪秀全的家族企业服务提升有促进是没错的。网银CA恶心我好久了，他们的CA我真不感信任，鬼知道会怎么样。我们也都是"散户",对我们服务差在国内的逻辑是理所当然的。俺没出国过，但去过香港，感觉服务和大陆绝对不是一档次的。
我当年办工行网银的时候特意问过能不能用Linux，他们的答复是电脑能上网就行，然后我就用Linux上去，发现ActiveX,打客服，说"单基开始打开IE...."被我骂了一顿。
另外，这是不是银行和微软勾结搞垄断呢?可以研究下，有闲工夫的同学试试起诉银行歧视用户?

On 09/07/2008, Harry Li <harryl.byread at gmail.com> wrote:
> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>
>
> Best Regards
> Harry Li
>
>
>
> 2008/9/8 Sutra Zhou <zhoushuqun at gmail.com>:
>> 这是一个屁股决定头脑的事情。
>> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>
>> 2008/9/8  <zhangweiwu at realss.com>:
>>
>> Xia Qingran wrote:
>>
>> zhangweiwu at realss.com wrote:
>>
>> 哪位对安全技术有所了解的，解释一下这个现象说明了什么？是否按此发展，广发
>>
>> 和浦发不久也将换为安全控件？去年有三个银行换为安全控件，如果保持此速度发
>>
>> 展，可以肯定明年没有网银会支持自由软件了。（因为今年只余三家：广发、浦发
>>
>> 和邮政
>>
>> 绝大多数人，我敢说绝对超过99%，使用Windows都是以此超级用户身份来使用
>>
>> 的， 而此是Windows下病毒、蠕虫、木马横行的最大原因。
>>
>> 在Windows Vista之前安装ActiveX必须以Administrator身份，这就等于在诱惑
>>
>> 用户使用Administrator。那么这就相当于在一个毒气室中固定了一个防毒面
>>
>> 具，并且有人告诉你，进毒气室并戴上放毒面具就会抵御毒气，那么你就要做4
>>
>> 件事：0，屏住呼吸进入毒气室；1，正确找到哪个固定的放毒面具；2，正确的
>>
>> 戴上；3，并在里面呆着。任何一环出错就挂了...同样对于这种安全控件来说，
>>
>> 任何一环出错 都会导致不安全。
>>
>> 另外，该讨论一下，假如由我们来设计这个网银的安全系统，该如何做？
>>
>> 我想到的一些：
>>
>> 0，权威CA发放的SSL证书，且是全程SSL。
>>
>> 1，现在大多数安全控件存在的原因都是为了防止客户端上的其他程序来窥探密
>>
>> 码 输入，而他们的措施往往是2点吧：
>>
>>   A，通过专门的驱动程序以更底层的方式从键盘那里得到键盘的输入内容，企
>>
>> 图绕过其他监听程序对输入的监控。
>>
>>   B，检查系统进程中是否有他们认为的"非法进程"，如果有，那么就采取一些
>>
>> 他们自认为的"理性措施"。
>>
>>     对于这点，浦发的软键盘可能是一个解决方法。但是假如木马对浏览器进
>>
>> 行了 某种程度的劫持，那么此法应该也无效。
>>
>>
>> 我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
>>
>> thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
>>
>> diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
>>
>> 件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
>>
>> 主机）。可能还有其它很多没列出来的。
>>
>> 他们的网上银行有一个共同的特点：
>>
>> 一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
>>
>> 没有安全警告；
>>
>> 二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
>>
>> 全措施都没有。
>>
>> 三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
>>
>> 把卡拿出来看一下就能找到这个信息，然后做正确选择。
>>
>> 有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？
>>
>> 我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
>>
>> 之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
>>
>> 务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
>>
>> 人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
>>
>> 德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于"国际
>>
>> 反华势力"，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
>>
>> 忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
>>
>> 的。）
>>
>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>
>> 这是法律系统不同引发的文化差异?
>> 外国都是海洋法律,尊重先例,契约化,
>> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
>> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>
>> 中国是大陆法律,法外有别情,血缘化,
>> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
>> 散户方面的信誉根本可以无视的,,,
>>
>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>>
>>
>> --
>>
>> http://zoomquiet.org'''
>> 过程改进乃是催生可促生靠谱的人的组织!
>> PE keeps evolving organizations which promoting people be good!'''
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe at zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
>> _______________________________________________
>> zeuux-universe mailing list
>> zeuux-universe at zeuux.org
>> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>>
>> ZEUUX Project - Free Software, Free Society!
>> http://www.zeuux.org
>>
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org

-- 
Sent from Gmail for mobile | mobile.google.com

Notes:
1. Feel free to EMail me and I'll feel free to ignore you
2. Use English or STANDARD Chinese (Traditional preferred, but
Simplified is also acceptable), or I'll certainly ignore you.
3. Use plain text, because I've gotta no rich-text processing system.
4. CheungTiFan at gmail.com is the ONLY email account I'll check everyday.

2008/9/8 Alex Zhang <cheungtifan在gmail.com>:
> 俺也说两句。大家都记得当年邮局服务多差吧，有了民营快递公司以后不好多了么?一样的，引进竞争对洪秀全的家族企业服务提升有促进是没错的。网银CA恶心我好久了，他们的CA我真不感信任，鬼知道会怎么样。我们也都是"散户",对我们服务差在国内的逻辑是理所当然的。俺没出国过，但去过香港，感觉服务和大陆绝对不是一档次的。

提醒一下,香港从来不是 Chinese 的哪,
有那个国家的人民去自个儿国家的地方要办理签证的!?!?
HK 明显不属于国内哪,不论从文化/法律/经济/军事,,,方面看,都是被大E帝国成功奴化的又一飞地而已;

在中国几千年国体统治思想看来,但凡是国家命脉的 银行/农业/重工/能源/通信/媒体,都必须是国家掌握的,引入竞争也是体制内的,
左右互博,绝对不能徦以友邦的!
这点,俺也是认同的,
只是,左右互博,没有用 空明拳经, 而是自慰术了,,,,

> 我当年办工行网银的时候特意问过能不能用Linux，他们的答复是电脑能上网就行，然后我就用Linux上去，发现ActiveX,打客服，说"单基开始打开IE...."被我骂了一顿。
> 另外，这是不是银行和微软勾结搞垄断呢?可以研究下，有闲工夫的同学试试起诉银行歧视用户?
这方面 哲思已经准备了两年多了:
http://www.zeuux.org/campaign/cmb-campaign.cn.html
甚至于 BillXu 都被请去嗢过茶的,,,


>
> On 09/07/2008, Harry Li <harryl.byread在gmail.com> wrote:
>> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>>
>>
>> Best Regards
>> Harry Li
>>
>>
>>
>> 2008/9/8 Sutra Zhou <zhoushuqun在gmail.com>:
>>> 这是一个屁股决定头脑的事情。
>>> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>>> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>>
...
>>>
>>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>>
>>> 这是法律系统不同引发的文化差异?
>>> 外国都是海洋法律,尊重先例,契约化,
>>> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
>>> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>>
>>> 中国是大陆法律,法外有别情,血缘化,
>>> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
>>> 散户方面的信誉根本可以无视的,,,
>>>
>>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>>>



-- 

http://zoomquiet.org'''
过程改进乃是催生可促生靠谱的人的组织!
PE keeps evolving organizations which promoting people be good!'''

喝茶的怕是不止Bill一人吧。我在某社交网站只因更新状态都被叫去过。去HK要签证，甚是荒堂。

On 09/07/2008, Zoom. Quiet <zoom.quiet at gmail.com> wrote:
> 2008/9/8 Alex Zhang <cheungtifan at gmail.com>:
>> 俺也说两句。大家都记得当年邮局服务多差吧，有了民营快递公司以后不好多了么?一样的，引进竞争对洪秀全的家族企业服务提升有促进是没错的。网银CA恶心我好久了，他们的CA我真不感信任，鬼知道会怎么样。我们也都是"散户",对我们服务差在国内的逻辑是理所当然的。俺没出国过，但去过香港，感觉服务和大陆绝对不是一档次的。
>
> 提醒一下,香港从来不是 Chinese 的哪,
> 有那个国家的人民去自个儿国家的地方要办理签证的!?!?
> HK 明显不属于国内哪,不论从文化/法律/经济/军事,,,方面看,都是被大E帝国成功奴化的又一飞地而已;
>
> 在中国几千年国体统治思想看来,但凡是国家命脉的 银行/农业/重工/能源/通信/媒体,都必须是国家掌握的,引入竞争也是体制内的,
> 左右互博,绝对不能徦以友邦的!
> 这点,俺也是认同的,
> 只是,左右互博,没有用 空明拳经, 而是自慰术了,,,,
>
>> 我当年办工行网银的时候特意问过能不能用Linux，他们的答复是电脑能上网就行，然后我就用Linux上去，发现ActiveX,打客服，说"单基开始打开IE...."被我骂了一顿。
>> 另外，这是不是银行和微软勾结搞垄断呢?可以研究下，有闲工夫的同学试试起诉银行歧视用户?
> 这方面 哲思已经准备了两年多了:
> http://www.zeuux.org/campaign/cmb-campaign.cn.html
> 甚至于 BillXu 都被请去嗢过茶的,,,
>
>
>>
>> On 09/07/2008, Harry Li <harryl.byread at gmail.com> wrote:
>>> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现在引入的商业银行竞争机制（招商、浦发、民生、广发等）还是比那几大国有单独玩儿要好不少，所以以此趋势类推，竞争和自由贸易是对消费者和商家，也就是整个社会，都有利的好事。我们现在完全没有到了要控制自由贸易和竞争的地步，我们现在是缺少这些。所以，其实这个在很大程度上来讲，并不是技术问题。当然这是技术讨论区，我们能够讨论的也就是技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>>>
>>>
>>> Best Regards
>>> Harry Li
>>>
>>>
>>>
>>> 2008/9/8 Sutra Zhou <zhoushuqun at gmail.com>:
>>>> 这是一个屁股决定头脑的事情。
>>>> 没得商量，只有让国际银行大量进入中国才有改变的余地，大家没有必要讨论，除非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>>>> 像中国宽带等通讯也同样，只有让国际服务商加入竞争才会有体制上的改革，这不是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>>>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>>>
> ...
>>>>
>>>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>>>
>>>> 这是法律系统不同引发的文化差异?
>>>> 外国都是海洋法律,尊重先例,契约化,
>>>> CA之类的专业SSL证书维护机构,如果敢于为某企业网开后门一次,将造成整个体系的信誉丧失,将没有任何公司再使用其服务;
>>>> 所以,一般第三方的机构比任何一个公司的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>>>
>>>> 中国是大陆法律,法外有别情,血缘化,
>>>> 公司实体不信任一切外部认证,自个儿的孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>>>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题从来不是中国银行关注的问题,职工/家属/关系户/政府支持,,,才是它们的生命线,
>>>> 散户方面的信誉根本可以无视的,,,
>>>>
>>>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>>>>
>
>
>
> --
>
> http://zoomquiet.org'''
> 过程改进乃是催生可促生靠谱的人的组织!
> PE keeps evolving organizations which promoting people be good!'''
>

-- 
Sent from Gmail for mobile | mobile.google.com

Notes:
1. Feel free to EMail me and I'll feel free to ignore you
2. Use English or STANDARD Chinese (Traditional preferred, but
Simplified is also acceptable), or I'll certainly ignore you.
3. Use plain text, because I've gotta no rich-text processing system.
4. CheungTiFan at gmail.com is the ONLY email account I'll check everyday.

有Windows编程能力的可以试着从研究的角度 
公开破解并曝光那些银行的所谓安全控件。

在 2008-9-8，上午11:22， Zoom.Quiet 写道：

> 2008/9/8 Harry Li <harryl.byread在gmail.com>:
>> 对sutra的观点表示一下赞同。不过如果回过头来看的话，现 
>> 在引入的商业银行竞争机制（招商、浦 
>> 发、民生、广发等）还是比那几大国有单 
>> 独玩儿要好不少，所以以此趋势类推，竞 
>> 争和自由贸易是对消费者和商家，也就是 
>> 整个社会，都有利的好事。我们现在完全 
>> 没有到了要控制自由贸易和竞争的地步， 
>> 我们现在是缺少这些。所以，其实这个在 
>> 很大程度上来讲，并不是技术问题。当然 
>> 这是技术讨论区，我们能够讨论的也就是 
>> 技术相关的东西了，但请明白，技术在这个问题上起不了决定性作用。
>>
> 但是,我们的宣传和讨论是有积极历史意义的:
> 0. 留下历史证据,说明中国人不都是傻的
> 1. 留下历史资料,给有心的技术人员给出指引
> 2. 留下历史痕迹,记录哲思的思考,,,
>
>
>
>> 2008/9/8 Sutra Zhou <zhoushuqun在gmail.com>:
>>> 这是一个屁股决定头脑的事情。
>>> 没得商量，只有让国际银行大量进入中国 
>>> 才有改变的余地，大家没有必要讨论，除 
>>> 非你能搞定银行的人的屁股，试图搞定他们的脑袋是没有希望的。
>>> 像中国宽带等通讯也同样，只有让国际服 
>>> 务商加入竞争才会有体制上的改革，这不 
>>> 是技术问题，这是体制问题，体制问题也就是垄断（一X专政）的问题。
>>> 在 2008-9-8，上午9:54， Zoom.Quiet 写道：
>>>
>>> 2008/9/8  <zhangweiwu在realss.com>:
> ..
>>>
>>> 当然第一点都想不明白，二三自然也不明白，望高人指点一下。
>>>
>>> 这是法律系统不同引发的文化差异?
>>> 外国都是海洋法律,尊重先例,契约化,
>>> CA之类的专业SSL证书维护机构,如果敢于 
>>> 为某企业网开后门一次,将造成整个体系 
>>> 的信誉丧失,将没有任何公司再使用其服务;
>>> 所以,一般第三方的机构比任何一个公司 
>>> 的某部门对自个儿的服务更加看重~这是他的生命根本,,,,
>>>
>>> 中国是大陆法律,法外有别情,血缘化,
>>> 公司实体不信任一切外部认证,自个儿的 
>>> 孩子自个儿痛,绝对不能倒污水将孩子也倒了!
>>> 所以,任何事儿,都可以大事化小,小事化了,所以,安全问题 
>>> 从来不是中国银行关注的问题,职工/家属/关系户/政府支 
>>> 持,,,才是它们的生命线,
>>> 散户方面的信誉根本可以无视的,,,
>>>
>>> 所以那,事儿无关技术,只是人情比技术大N多倍而已,,,
>
>
>
> -- 
>
> http://zoomquiet.org'''
> 过程改进乃是催生可促生靠谱的人的组织!
> PE keeps evolving organizations which promoting people be good!'''

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080908/37d4d845/attachment-0001.html>

2008/9/8 Sutra Zhou <zhoushuqun在gmail.com>:
> 有Windows编程能力的可以试着从研究的角度公开破解并曝光那些银行的所谓安全控件。

我以前也想过, 这是一个相当有效的方法。不过曝光以后不管是不是研究, 我们离喝茶也就不远了。
不过要是安全控件用了安全连接, 那也没辙 :)

William,

现在一些朋友在哲思的邮件列表里讨论网银的技术问题，主要涉及到安全和易用性 
等。相关的归档在：
http://www.zeuux.org/pipermail/zeuux-universe/2008-September/001918.html

可否也从金融安全等角度分享一下经验？和大家一起交流。


大家好，

给各位介绍个朋友，William Wei，Entrust中国公司技术总监。Entrust以发明PKI 
等享誉信息安全等领域，在我们国内的重点项目包括建设了CFCA等。在反欺诈，反 
洗钱等金融安全领域有深入研究。在《致招商银行的公开信》行动中，也给予了大力 
的支持。我们可以一起讨论一下这方面的技术问题。互相学习，互相促进。

徐继哲


Wilhelm Shen 写道:
> 2008/9/8 Sutra Zhou <zhoushuqun在gmail.com>:
>   
>> 有Windows编程能力的可以试着从研究的角度公开破解并曝光那些银行的所谓安全控件。
>>     
>
> 我以前也想过, 这是一个相当有效的方法。不过曝光以后不管是不是研究, 我们离喝茶也就不远了。
> 不过要是安全控件用了安全连接, 那也没辙 :)
> _______________________________________________
> zeuux-universe mailing list
> zeuux-universe在zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-universe
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080909/4d78a193/attachment.html>

2008/9/9 Bill Xu <bill在zeuux.org>:
> William,
>
> 现在一些朋友在哲思的邮件列表里讨论网银的技术问题，主要涉及到安全和易用性等。相关的归档在：
> http://www.zeuux.org/pipermail/zeuux-universe/2008-September/001918.html
>
> 可否也从金融安全等角度分享一下经验？和大家一起交流。
>
>
> 大家好，
>
> 给各位介绍个朋友，William
> Wei，Entrust中国公司技术总监。Entrust以发明PKI等享誉信息安全等领域，在我们国内的重点项目包括建设了CFCA等。在反欺诈，反洗
> 钱等金融安全领域有深入研究。在《致招商银行的公开信》行动中，也给予了大力的支持。我们可以一起讨论一下这方面的技术问题。互相学习，互相促进。
>
> 徐继哲
>
好哪!!专家来了!有出路了!




-- 

http://zoomquiet.org'''
过程改进乃是催生可促生靠谱的人的组织!
PE keeps evolving organizations which promoting people be good!'''

大家好，
 
很高兴认识各位朋友！也非常感谢Bill 提供这样一个宝贵的机会能够进行互相学习和交流。
 
谢谢！
 
William Wei,
Entrust China.
 

________________________________

From: Bill Xu [mailto:bill在zeuux.org] 
Sent: Tuesday, September 09, 2008 6:34 PM
To: Wilhelm Shen
Cc: zeuux-universe在zeuux.org; William Wei
Subject: Re: [zeuux-universe] 安全控件技术是网银的大趋势？


William,

现在一些朋友在哲思的邮件列表里讨论网银的技术问题，主要涉及到安全和易用性等。相关的归档在：
http://www.zeuux.org/pipermail/zeuux-universe/2008-September/001918.html

可否也从金融安全等角度分享一下经验？和大家一起交流。


大家好，

给各位介绍个朋友，William Wei，Entrust中国公司技术总监。Entrust以发明PKI等享誉信息安全等领域，在我们国内的重点项目包括建设了CFCA等。在反欺诈，反洗钱等金融安全领域有深入研究。在《致招商银行的公开信》行动中，也给予了大力的支持。我们可以一起讨论一下这方面的技术问题。互相学习，互相促进。

徐继哲


Wilhelm Shen 写道: 

	2008/9/8 Sutra Zhou <zhoushuqun在gmail.com> zhoushuqun在gmail.com> :
	  

		有Windows编程能力的可以试着从研究的角度公开破解并曝光那些银行的所谓安全控件。
		    

	
	我以前也想过, 这是一个相当有效的方法。不过曝光以后不管是不是研究, 我们离喝茶也就不远了。
	不过要是安全控件用了安全连接, 那也没辙 :)
	_______________________________________________
	zeuux-universe mailing list
	zeuux-universe在zeuux.org
	http://www.zeuux.org/mailman/listinfo/zeuux-universe
	
	ZEUUX Project - Free Software, Free Society!
	http://www.zeuux.org

-------------- 下一部分 --------------
一个HTML附件被移除...
URL: <http://www.zeuux.org/pipermail/zeuux-universe/attachments/20080909/93fcb99b/attachment-0001.html>

William Wei wrote:
> 大家好，
> 很高兴认识各位朋友！也非常感谢Bill 提供这样一个宝贵的机会能够进行互相
> 学习和交流。
> 谢谢！
> William Wei,
> Entrust China.
zhangweiwu之前提过关于SSL CA证书的问题，原文见：
http://www.zeuux.org/pipermail/zeuux-universe/2008-September/001926.html

现摘录如下，能帮忙解释一下这个么？

"""

我用过以下西方网上商店：skype（国际版）、domainworld.cn（域名服务商）、
thinkgeek（爱好者商品店）、 sourceforge（可以购买一些研发服务）、
diamondcard.us（voip服务）、Amazon（从国外购书）；还有一些小的网上电子元
件商店（给难找的机器买配件）、worria（采购独立主机）、bytemark（采购虚拟
主机）。可能还有其它很多没列出来的。

他们的网上银行有一个共同的特点：
一：使用权威CA发放的SSL证书（不是银行自己发行的），所以浏览器默认接受而
没有安全警告；
二：让用户自己输入卡号和验证码，没有控件、没有软键盘。总之除了SSL什么安
全措施都没有。
三：从来不问我是什么银行并让我选择银行，只是问我是VISA还是MasterCard，我
把卡拿出来看一下就能找到这个信息，然后做正确选择。

有没有哪位安全知识的用户告诉我们这种中外安全技术的差别是从何而来的？

我是自己没想明白的。比如：我想不明白为什么他们敢用权威CA发行的证书，读了
之前的网友说明，说金融的东西很重要，不能信任外国CA，不然银行这样的重要业
务掌握在外国人手里，我们受欺负都没有办法；听起来挺有道理的，但是后来发现
人家英国的网店用美国的CA，德国的网店也用美国的CA，心里想怎么人家英国人、
德国人不怕重要业务受外国人制肘？难道是因为英国、德国、美国都是属于“国际
反华势力”，彼此之间是没有信任问题的，只有到我们中国人这里，他们同仇敌
忾，所以我们要共同防着他们？（那干嘛不防着微软好了，这个微软才是比较危险
的。）

当然第一点都想不明白，二三自然也不明白，望高人指点一下。

"""

-- 
夏清然
Xia Qingran
E-mail: qingran at zeuux.org
Gtalk: qingran.xia at gmail.com
MSN: supermanxqr at msn.com