ActiveX 安全控件 = 不安全
版权声明: 允许非商业性转载,但转载时必须标明原作者 fcicq、原始链接 http://www.fcicq.net/wp/?p=526 及本声明。
直入话题.
木马盗号程序做了什么?
无非:
通过 hook/其它方式 监听键盘上的输入/读取密码框内的内容,
然后通过某种方式传回服务器.
安全控件做了什么?
1 模拟密码框(防止读取密码框)
2 模拟(屏幕)键盘(防止监听键盘输入)
3 扫描后台程序
可惜…安装控件的是用户.
用户的行为是无法预料的.
你要安全?
ok,先交出管理员账户,你才能装上ActiveX.
使用管理员账户上网就是一种严重的隐患,
更别说装什么看起来安全的控件.
最重视安全的用户不使用管理员账户.
不重视安全的一般用户,
(当然,还有被限制的用户,
如果某一天需要装控件的话,总会得到权限)
1 认为用管理员用户上网很方便,没有什么限制
(用起来也很方便)
2 工具条是”好用”的
(搜索方便,网址站满足大多数初级用户浏览需求)
3 可惜,工具条是安全(当然,也包括隐私)的隐患
(这已经是众所周知了,
工具条里面插上什么东西,谁都不知道)
这样,没有安全意识的一般用户,
有了管理员权限(实际上多数本来就有),
装上了这样那样的控件.
(事实上装软件,也需要管理员权限.
这时候工具条等趁虚而入)
这种安全控件,大门锁了,没关窗户.
钓鱼欺骗能防吗?
如果木马用DNS劫持并指向自己的服务器,
伪装的极象的话…
一个疏忽,安全就荡然无存.
何况一个庞大的系统.
提高安全意识,而不是寄托于一个自身可能还有漏洞的控件
才是解决安全问题的正路吧.
ps:
本文不火星.应时应景而已.
个人认为(工行)密码卡对初学者来说是个不错的东西.
友情提示: 请注意文章的时效性与准确性, 作者不对文章的有效性负责.
Tags:
Permalink Bookmark on del.icio.us
Last Modified: August 15, 2007 at 9:33 am
charlee said,
August 15, 2007 @ 17:04
个人认为还是招行的电子银行做的最好。
我用过的电子银行不多,也就工行、建行和招行三个而已。
招行的无可挑剔我就不说什么了。
工行的安全性做得比较好,开户须申请,转账须申请,支付须申请,
另有密码卡和U盾做安全后盾,看起来够安全了,虽然事事都要跑柜台,
不过毕竟是关系到钱的大事,麻烦点就麻烦点吧。
可惜每次我去开户时,柜台里的大妈们都会跟我说:
”你得把这个在线支付和转账功能选上才能开户。“
”我不想要支付和转账,否则卡丢了怎么办?“
”那你不要支付不要转账你开电子银行干嘛?“
”我就想没事上网查查还有多少钱啊。“
”那你也得把这两个勾上,否则系统没法开户的。“
看来老大妈还没明白电子银行能干什么呀,唉。
”您就帮帮忙给我开了吧,我在别的银行开过的,不用勾那两个也行。”
要是换个别人(比如我妈)去开户会怎样呢?
建行的电子银行还算做得比较好的,基于网页,可以在线开户(但转账需要去柜台),
不用ActiveX,有软键盘,内部使用Ajax,总体来说方便性和安全性比较平衡。
但是那天我想买基金,于是在线申请了电子银行,进去后发现基金那块儿赫然写着
——”通过网上银行购买基金必须在证券交易时间内申请,闭市后无法购买……“
想想算了吧,还是去楼下银行排队算了……