Linux + Firefox 登陆网上银行 (五一长假巨献)

LinuxServer

原帖由 maluyao 于 2006-5-10 15:26 发表
至少我提出了思路，实际上对于我自己来说。工行和招行还是能用的。但由于手段复杂，没法推荐给"群众"。
如果那位弟兄的加密解密比较强。能分析出ActiveX的算法。问题也就解决了。
但本人目前的情况是 ...

只要利用AJAX技术，完全可以不用ACTIVEX。
通过多次的交互式验证。
并且用户完全可以不用键盘输入。
只要用鼠标点示网页就可以了。
在这种情况下HOOK还有什么用呢？
所有的信息都是服务器提供的。并且随机变化的。
也就是只有26个英文字母加上10个数字。
只要银行的人够用心，连破解也是不太可能了。
并且不会流下任何痕迹。

49169724

呵呵，写的很好！值得学习！

contion

原帖由 liubingqian 于 2006-5-9 08:50 发表
我以前就在招商银行的网站上发过牢骚了，他们的回答总是“您的意见我们会考虑的”。

如果只是W3C标准的HTML和ECMAScript那也就算了(例如建行的烂网银)，工行、招行的最大问题在于采用Win32系统钩子技术的反按键木马的ActiveX密码控件，为非IE用户修改网页的兼容性、开发用于实现类似功能的mozilla插件是需要成本的，而国内网银用户使用非IE内核的浏览器很少，所以现阶段银行是不会考虑的。

maluyao

好久没听说过ECMAScript这个数语了。

contion

原帖由 LinuxServer 于 2006-5-11 03:02 发表
只要用鼠标点示网页就可以了。
在这种情况下HOOK还有什么用呢？
所有的信息都是服务器提供的。并且随机变化的。
也就是只有26个英文字母加上10个数字。
只要银行的人够用心，连破解也是不太可能了。
并且不会流下任何痕迹。

开玩笑，如果有抓屏木马或者后门软件呢？
从技术上讲，软键盘的安全性比“安全密码控件”差。
到目前为止，所谓的“网上银行被入侵”基本上都是发生在客户端，即用户输入的用户名/密码在尚未传输之前就被按键木马、抓屏木马截获了。Win32系统钩子的安全密码控件虽然不一定安全，但是截至目前，尚未有能够从这种控件获取键盘消息的技术报道。

shenlangya

顶了，虽然不知道讲什么

oldv

不错，人民群众的力量是无穷的。

foryouonly

那证书该怎么办,linux下能用windows下的那个证书么?

maluyao

Firefox 也可以导入证书。
几乎所有的浏览器都可以，包括文字界面的。

qsblj

马老牛呀。现在还在北京吗？
这些破银行，就不能照顾咱们吗？
去威胁他们吧。

在马老的这个帖子，贴点实际生活有用的吧。

1：农行的网上银行，转帐是不需要手续费的。（不论是否异地，或者跨行）

2：浦发的东方卡，在全国的ATM上提款也是不需要任何手续费的。 （不论是否异地，或者跨行）

希望马老，还记得我这个学生。呵呵。