谷歌chrome、Firefox相继都废除了npapi插件技术,微软edge也不再支持ActiveX控件技术。但是国内各大银行的插件都是基于npapi或ActiveX技术来保证用户输入的信息不被非法获取,但上述两大技术已经过时,开始被各大浏览器抛弃,网银的安全问题该何去何从?
首先可以明确的是,通过插件保证安全已经是一个陈旧的想法了。对网银来说,相较于千方百计地加固客户端交换全,其安全性更应该通过安全的业务流程来保证。大多数的网银认证插件实际就是一个用于反监控的文本框,更高级的也仅仅是加了用于交易签名的硬件证书。
反监控文本框,其最大的作用便是在浏览器里反跨域,原理是直接收取系统原生键盘事件,绕开浏览器接受用户的输入,这样跨域攻击的脚本便无法监控用户输入的内容,尝试读取控件输入内容时,其内容也已经被加密,无法得到原文。然而,现在的浏览器本身便有着非常严格的跨域隔离措施,在没有如后门、JS注入等内鬼的情况下,从服务器端就能够有效封堵住跨域攻击,并不需要插件。相反,当服务器端或是浏览器本身便已经不安全,文本框插件的作用也随之消失。
硬件数字证书是可以在交易的使用去向加密狗请求数字签名,能够非常有效地避免各种监控与冒用。但硬件数字证书的缺点也非常明显,它需要直接调动硬件,这就导致了额外的开发和成本。此外,调用硬件也会带来一定的操作系统兼容性问题,如果硬件损坏了用户就必须前往柜台,对用户也十分不友好。另外,在手机高度普及的情况下,硬件证书也没有存在的必要。动态扫码、验证码等技术能够做到同等的安全性,通用性、便利性、用户操作可行性都高出很多。手机端个更何况还有生物认证,如指纹、人脸识别等,即便手机被盗也难以冒用。并且手机端能够在线实现账户锁定、更新资料,功能性远大于硬件数字证书。
适当的策略加上现有的技术,就能够实现对以往普遍、流行的产品实现颠覆和跨越,这也是为什么各行各业都需要不断学习的原因。事物在不断的更新,知识也需要更新,否则就会被淘汰掉。这里是知了堂,如果想更新自己的IT技术的话,可以来看看,如果拿不定主意也可以移步我们官网,上面有很多免费在线课程资源。
4537
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
