【中国银行信用卡】网友提问:
终于以偿心愿被钓鱼了
卡友回复:
楼主不是一般的高手,电脑方面也很精通啊,非常值得学习!
:victory:
卡友回复:
对于观点:“如果发生诉讼,BOC必输无疑。动态密码不是数字证书,不受电子签名法保护,不具有证书交易认证“不可抵赖 ...
对此看法持保留意见
如果甲故意告知自己的动态密码给乙,乙将甲的钱转走,甲对银行说被骗了,银行全责?
卡友回复:
专业
卡友回复:
本帖最后由 VERVE 于 2011-3-2 23:43 编辑
对于观点:各家使用动态口令牌的银行
完全可以考虑取消ActiveX控件
减少使用网银的环节
你说得不对,如果不用ActiveX控件,则黑客完全可以写一个木马或者也是一个ActiveX控件来截取你的输入(假设中木马了),你在输入时就已经发送给对方了,当你确定时,他可以延迟发送(例如30秒)或者先让你出错二次,这样你就会重新刷新,至少重新输入,当然,也会重新发送口令给对方,这几十秒时间他已经进入你的网银,转走资金了。总之ActiveX控件是必需的,只要你有输入,木马就有可乘之机。不要以为动态口令牌安全,说句实在话,真的不如U盾安全的。
使用干净的系统非常重要,建议大家不要用手机银行,如果手机中病毒,按我所说的思路进行偷取信息,根本防无可防。
卡友回复:
lz被专业了
卡友回复:
对于观点:你说得不对,如果不用ActiveX控件,则黑客完全可以写一个木马或者也是一个ActiveX控件来截取你的输入( ...
既然控件这么安全
为什么还有那么多人被盗
ActiveX可以防止密码被复制
不能防止键盘获取
黑客早就不用复制粘贴这一套了
卡友回复:
本帖最后由 VERVE 于 2011-3-4 13:13 编辑
对于观点:既然控件这么安全
为什么还有那么多人被盗
ActiveX可以防止密码被复制
你理解错了,不是要复制粘贴啊,是直接读取你在网页上输入的密码,这个不是通过键盘截取的,而是BHO的方法或取浏览器控件,然后通过IHTMLDocument2的方法得到网页对象,然后通过CComPtr<IHTMLElementCollection>得到网页元素集合,并扫描每个网页元素,得到密码框ID来获取,再进一步,可以直接在你SEND 或 POST时截取指令(防火墙就是这样的,可以先卡住,提示你,你同意再通过,这里的意思相类似),只要延迟几十秒就足够他利用了。而此时真实的密码他已得到了。你要比较了解这方面的技术才行,否则你可能还是不认可我的意见。ActiveX是必需的,他的效用是所有安全中极为重要的一环。安全技术博大精深,绝对不是安装一个360就可以万事无忧的。
卡友回复:
对于观点:你理解错了,不是要复制粘贴啊,是直接读取你在网页上输入的密码,这个不是通过键盘截取的,而是BHO的方 ...
佩服佩服。
同意控件是各安全环节中的一环。各项安全措施之间是互相辅助的关系,不是非此即彼。