|
|
发表于 2007-3-7 14:52:56
|
显示全部楼层
Post by bufferfly
首先,https只能保证传输过程的安全性,不能保证帐号密码的安全性。
为什么一些银行采用事先邮寄给用户若干组动态随机数的方法?其目的不就是防止一旦密码被窃,由于罪犯不能轻易获得打印在纸上的那些随机数,光靠密码仍然不能登陆么?
现在招商招银行只用密码就能登陆,这时候不采用一些防止木马窃听键盘的技术措施,后果不堪设想,想想qq有多少人被盗号!
还有一点你要弄清楚,木马窃听键盘不是破解了IE而是 windows api 提供的钩子技术,可以轻易让第三方程序获得包括键盘按键信息在内的所有操作系统消息。
在招商银行采用新的登陆措施之前(比如给用户邮寄随机数,给用户颁发usb钥匙等),取消activex是不符责任的,这将严重威胁用户的安全。
所以大家应该敦促招商银行采取新的安全登陆措施,而不是在没有采取措施前为了linux用户就取消activex控件。
获取密码需要从客户端获取,这需要木马,确实是钩子技术。
但是钩子技术不是windows独有的,因为准确的说,是中断技术,比如INT9/INT13,这些是CPU中断表支持的中断(印象中PC上是这些中断号,没有专门查)。
也就是说,在同样的条件下,Linux没有这样的问题,windows却存在,和病毒一样。
不是说linux不可能有安全问题,而是基本可以忽略不计。
随机数并不能解决问题,因为现在已经出现录制屏幕的木马了,看看这期的《程序员》也有提到。
USB key是个权益之计,最多能解决OS之上的软件安全问题。接触过IC技术的人都知道,强制读取芯片内容并不困难。
USB key带来另一个问题,就是升级困难。当一个加密方法被破解后,无法做到迅速对大面积的用户提供升级服务。
更不要说由中国那些不负责任的公司来提供各种OS平台的驱动软件及其升级服务了。
如果说取消activex是不负责任,禁止标准操作则根本是歧视行为,更加不负责任。
凭什么windows的问题,需要linux/mac等用户来承担后果呢?
如果是网银被盗窃,其实根本不应该起诉银行(虽然银行并不能完全推卸责任),而应该起诉微软和用户自己。
银行保证自己的服务器没有密码是很容易的,否则就应该起诉管理人员玩忽职守。
传输过程的安全是有保障的,这个有数学证明。
那么,只剩下windows和用户自己有问题了。
可惜的是,windows并没有把安全问题当做用户协议的一部分,更何况多数人用的还是盗版,还到处下载乱七八糟的软件。
好了,该死的就是那些用windows的家伙。一个不安全的东西为什么要用来操作金钱?如果已经在操作金钱,是不是应该小心翼翼?凭什么我们用linux的要用vmware来虚拟一个漏洞百出的windows而不是他们哪怕是虚拟一个安全的linux?为什么我们要因为他们的问题去承担一套windows的费用、或者承担盗版的道义风险?
微软很该死,他玩弄了整个80-90年代的计算机教育,20多年培养出一堆除了dos/windows之外什么都不知道的家伙,现在就是这些家伙在祸国殃民。
祸国殃民不夸张阿,据说神州进轨道前地面控制系统的windows死机──与此同时,大家可以对比一下NASA用的是什么系统。
所幸,军队里面已经开始UNIX化了。科研单位UNIX历史很长了,现在连部队网络的DNS都是AIX+bind,然后还有不同的UNIX做备份,防止单一UNIX种类可能出现问题,我见过的就有Solaris。虽然他们应用水平还不高,但起码没这么让人操心。
公安、武警,用的基本也是小型机,具体就不说了。
再说一个保险公司,我们做他们的系统的时候,他们根本不接受windows的方案。我倒是很高兴,给他们换linux了,皆大欢喜,还省了买win2003的费用。
保险公司尚且如此,何况是银行?金融保险是等量级的,一般银行安全要求应该更高。
非不能也,乃不为也。
银行貌似在保护windows用户的安全,实际上某个国内小公司(我说小公司不夸张啊,不信大家查一下)临时(大家也可以查一下是不是临时)做的一个狗屁activex就能保证安全?笑话!我在这个圈子混了17年,没听说过这样牛屄的公司。
这根本是一个操作系统层面的安全问题,一个应用程序层面的解决方案可能解决么?我说这楼盖在沙滩上,会倒塌的,他说“我在楼顶盖了一层塑料布,没问题了”。大家都是有技术基础的,想想他这个回答靠谱么?
更何况啊,银行现在逼着我们这些本来已经进入安全世界的linux用户在敏感的个人财务操作上使用非常不安全的windows,这是在侵害我们的权益,让我们的钱变得非常不安全。
从现代社会的构成原理来看,即使他真的能够保证那些用windows的人的安全,也没有权利侵害我们的安全,这叫做“多数人的暴政”。想想苏格拉底和布鲁诺怎么死的,就能体会“多数人的暴政”的可怕了。
银行的这些行为,只能表现出银行管理者的无知。郎咸平说他们在金融上无知,我说他们在基本的民主和法制上同样无知。
徐继哲先生的呼吁还是一种正向呼吁,希望银行能改进。我虽然在观望,但是我很悲观。因为这些行为不是行为这么简单,而是折射出人这个主体本身的无知和蒙昧。
而butterfly兄的看法,更代表了广大民众的观点──即使徐先生改变了银行的观点,我也有幸能说服butterfly兄,我们又有谁能够说服广大的民众呢?那绝对不是一朝一夕能改变的,更何况GW依然存在,出版审查仍在继续,而且居然根本没有法律的支持和权力的赋予!这种情况下,整个社会什么时候能够觉醒呢?整个国家什么时候能够发展呢?我们的钱又怎么能够完全安全呢?我们的权益又怎么能够得到保证呢?
linux和开放标准不是一个技术问题,也不是一个时髦的玩意,而是一个哲学问题,一个社会问题。不看清楚这一点,就没法准确的评判一个小小的事情背后的深刻的背景和影响。 |
|
IP卡
狗仔卡
显身卡