【招商银行信用卡】网友提问:
刚刚装了最新的专业版 5.1.3.6
这个新版本终于不会强行开启 Windows XP 自带的防火墙了(如果已经安装了别的防火墙的话)。但在招行的网站下载专业版安装程序的时候,发现几个下载点的文件大小竟然不一样,比如深圳下载点的文件大小是 4.77 MB,而北京 263 和南京下载点是 4.67 MB,可能是有的下载点没有及时更新吧 :L还有,专业版安装程序竟然没有数字签名,也太不严谨了,国外稍微正规一点的软件的安装程序都有数字签名,或者列出 MD5 值的,比如 Adobe Reader, Nero 等等,何况是个人银行软件 :L
卡友回复:
更新真快 其实加上数字签名大多数人也不会看的
卡友回复:
只要安全,管它有没有什么数字签名呢:p
卡友回复:
只要从银行网站下,没有数字签名也没事
卡友回复:
MD5只是让你看看下载的文件完整不完整,跟安全没关系。
恶意的软件他们自己生成一个MD5给你看好了,你对比也一样的。
卡友回复:
对于观点:MD5只是让你看看下载的文件完整不完整,跟安全没关系。
恶意的软件他们自己生成一个MD5给你看好了,你对比也一样的。
949494
卡友回复:
终于不开启防火墙了,好,升级。
卡友回复:
客户端乍没有自动升级啊.!~
卡友回复:
对于观点:客户端乍没有自动升级啊.!~
不知道,我的也没有自动升级。
卡友回复:
我得也没有自动升级,以往有新版本时都是自动升级的
卡友回复:
怎样下才能下到最新的5.1.3.6?
卡友回复:
对于观点:这个新版本终于不会强行开启 Windows XP 自带的防火墙了(如果已经安装了别的防火墙的话)。
但在招行的网站下载专业版安装程序的时候,发现几个下载点的文件大小竟然不一样,比如深圳下载点的文件大小是 4.77 ...
远程桌面的问题解决没有啊,我经常要用远程桌面的
卡友回复:
对于观点:只要从银行网站下,没有数字签名也没事
看是银行网站也不能保证绝对安全,有可能网站被黑或者你的会话在网关上被劫持!黑客可以把文件替换为后门程序,这样你的数字证书,密码,安全问题,个人信息就有可能全部丢失了,接下来的风险你应该可以估计得到吧?
给软件包加上数字签名比到处加验证码意义更大!
卡友回复:
对于观点:MD5只是让你看看下载的文件完整不完整,跟安全没关系。
恶意的软件他们自己生成一个MD5给你看好了,你对比也一样的。
MD5同样也能验证文件的唯一性!黑客可以伪造一个大小以墨一样的文件,但是它不能伪造相同的MD5!
卡友回复:
对于观点:只要安全,管它有没有什么数字签名呢:p
当你的证书,个人信息,安全资料,密码等等被盗了就不安全了,如果软件包的来源都不能受信任,那所有的都是后话了
卡友回复:
对于观点:更新真快 其实加上数字签名大多数人也不会看的
安装程序可以自行验证数字签名的,如果不正确就拒绝安装,比如IE的发行版就是这样的。但是这样会不会黑客也伪造数字签名我就不清楚了
卡友回复:
楼上的老大似乎不太懂数字签名是怎么回事。所谓的数字签名就是一个校检码。如果黑客能进入银行的网站替换下载程序,都任何的签名都是没有用的。因为这时和你通信的服务端都不安全了,你的客户端再安全又有什么用呢。
既然安装程序都已经被人换过了,要数字签名有什么用
数字签名的用处是在,一个程序被广泛转载,提供多个下载点时,在不同下载点下载的东西,有时确实不能保证完全安全,这时就可以用数字签名来和银行网站上的进行校检。
另外招行现在的校验码也没有啥用。已经用https通信了,这个校验码绝对多余
卡友回复:
对于观点:楼上的老大似乎不太懂数字签名是怎么回事。所谓的数字签名就是一个校检码。如果黑客能进入银行的网站替换下载程序,都任何的签名都是没有用的。因为这时和你通信的服务端都不安全了,你的客户端再安全又有什么用呢 ...
似乎是您对数字签名不大了解吧,请看下面的解释:
首先,数字签名信息无法伪造!
其次,被签名了的软件包一点做修改,原来的数字签名信息就失效了!
最后,证书持有者可以重新对软件包进行签名!
最最后,数字签名信息可以通过客户端工具进行校验确认!
基于以上原理,数字签名可以保证软件包来自证书持有者的发行者,或者说至少为用户提供了一种确实软件包合法来源的机制,如果软件包没有数字签名,用户则根本不可能确认软件包的来源。
如果用户懂得在安装软件的时候,先检查数字签名信息,是不是首先可以保证软件包的不被人做手脚?
MD5机制也和数字签名类似,只不过软件包创建后MD5就是固定的了,倘若软件包有改动MD5值就会发生变化,不利于软件的升级,因为软件包MD5值不停的改变,用户必须先获取最新的切合法的MD5值才能验证软件包,不像数字签名可以在软件包创建后,另行添加签名信息,因为证书可以固定不变!
如果您还有疑问欢迎继续讨论
卡友回复:
如果服务端不安全,客户端再安全又有什么用呢/
如果我可以弄一个假的软件放在银行的服务器上,那肯定也可以弄一个假的签名放在上面,对不对
卡友回复:
对于观点:如果服务端不安全,客户端再安全又有什么用呢/
如果我可以弄一个假的软件放在银行的服务器上,那肯定也可以弄一个假的签名放在上面,对不对
至少我可以通过查看证书信息来识别数字签名的真伪~