最大的差异来自:Paypal/Google CheckOut 以信用卡用户为主,国内支付网站用户以借记卡为主(所以必须有和银行通信的环节,而国内各家银行采用的方案几乎都是亲微软体系的...) 。借记卡没办法撤销,信用卡还有事后核实,对用户来说非常有利,所以国外用户承担的风险其实并不大,而国内就不是这样了,用户的风险偏大。
安全控件的确有用,但没有用以侵犯用户隐私或是其它什么的,而是用来做智能(姑且这么说吧)行为分析,来帮助用户进行主动的防御。的确对大部分用户有价值(不只是FUD),但对一部分用户的体验造成了很大干扰。
安全控件的选择,开始所用的技术体系的确犯下了错误,而且,这个方向不可扭转,将错就错。
另外,竞争对手如果用了类似的方法,用以鼓吹其安全性,你也不得不跟进;
国内国外的安全情况其实都很糟糕,国外犯罪手法以信用卡盗卡/欺诈为主,国内则是木马盗取网银密码...
技术上,安全控件对增强安全性并没有很多好处。
- HTTPS可以保证敏感信息在传输过程中不被监听,因此安全控件在传输过程中起到的加密作用就可有可无。
- 另一块风险在于键盘监听。但即使安装了安全控件,也无法保证客户端的键盘输入一定不会被监听。保护客户端的安全方面,还是360之类的更拿手。
所以相比安全控件带来的极大不便,它带来安全性的提升甚至可以忽略。但是安全控件在风控方面有很大作用。安全控件可以读到机器网卡mac地址、机器名等信息,这些对风控和证据保留是极大臂助。
抛开技术不谈,其实安全控件的流行不能怪支付宝。当初商业银行都推安全控件,导致安全控件几乎是“必须品”。我05年开始用支付宝(支付宝04年底才推出,我算是很早的用户了),那时根本没有安全控件、数字证书。突然有一天用上了安全控件,于是Firefox就没法用支付宝了,那时我还郁闷了很久。
再说到政策,大家也知道如今非金融机构做支付业务需要申请牌照了。央行科技司的检测标准里面,如果没有安全控件和数字证书,会被当作一个“问题”来记录。其实那制定标准的老爷们,和大多数初级用户一样,只需要“看起来很安全”。
117
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
