[OT] 安卓手机上支付宝的安全问题

[Plain_Text]

　　这里可能有支付宝的技术人员吧？

　　如果要在 12306 买火车票并且用支付宝付款，那么在电脑上很容易操作。
支付时会跳出新网页，从浏览器的地址栏里可以清楚地看到 alipay.com 的域名，
心里踏实。在手机上当然也可以用手机浏览器操作，但很不方便。如果用 12306 的
安卓客户端，那么支付时并不会打开网页，而是直接输入支付宝的帐号和密码。
怎么保证 12306 不伪造一个支付宝的登录界面，趁机截留帐号和密码？当然 12306
是铁路大型机构，应该不会干那样的事情。不过如果某个小商户声称它的手机客户端
支持支付宝，而且也像 12306 那样在它的手机客户端里嵌入支付宝的登录界面，
怎么保证不钓鱼？

[Armnotstrong]

所以现在一般都是要调用支付宝的app完成的吧?即使没有安装支付宝客户端,跳出的网页也是需要调用支付宝的apk完成的,如果第三方拦截了请求应该是不能够正常登录成功的.

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

========================================
best regards & a nice day
Zhao Ximing

[Plain_Text]

2015-06-24(Wednesday) 10:07:36 +0800, Armnotstrong <zhaox...@gmail.com>:

> 所以现在一般都是要调用支付宝的app完成的吧?即使没有安装支付宝客户端,跳出的网页也是需要调用支付宝的apk完成的,如果第三方拦截了请求应该是不能够正常登录成功的.



　　前几天我还刚刚用过，并不需要支付宝的 APP. 其实要防止钓鱼，并不一定
非得将付款信息传到“支付宝钱包”。像 PC 系统上一样，给出一个超链接，在网页
里登录支付宝就很安全了。因为网页里登录支付宝可以看到域名。

[Zhang Cheng]

2015-06-24 10:26 GMT+08:00 Plain_Text <resa...@gmail.com>:

2015-06-24(Wednesday) 10:07:36 +0800, Armnotstrong <zhaox...@gmail.com>:

> 所以现在一般都是要调用支付宝的app完成的吧?即使没有安装支付宝客户端,跳出的网页也是需要调用支付宝的apk完成的,如果第三方拦截了请求应该是不能够正常登录成功的.

即使是打开“支付宝应用”完成支付，也未必安全，看看这个：http://drops.wooyun.org/papers/5309 

 

　　前几天我还刚刚用过，并不需要支付宝的 APP. 其实要防止钓鱼，并不一定
非得将付款信息传到“支付宝钱包”。像 PC 系统上一样，给出一个超链接，在网页
里登录支付宝就很安全了。因为网页里登录支付宝可以看到域名。

​我个人现在其实很不喜欢在网页上支付，平时即使在网页上购物走到支付这一页，我也会用手机支付宝扫码支付。我比较倾向于相信手机App比电脑更安全，因为电脑的操作系统太开放了，浏览器那么多插件难保没有恶意的，手机上如果我能确认打开的是正牌的支付宝软件，而且手机不root、不越狱，平时也保持比较健康的使用习惯，那么中招的概率应该是小于电脑的。

我最近没有在手机12306上买过票​，不知道它是如何调用支付宝的，不过我能理解你描述的方式。这种情况确实很讨厌（不仅支付，还有一些应用集成第三方登录的，也是自己用webview套第三方的网页，而不是调用第三方的应用），我是尽量避免，能不用就不用了。

--

Cheng,

Best Regards

[Shell Xu]

原则上说，要进行安全的支付，首先就必须有“可信的设备”。

什么叫做“可信的设备”？

1. 其硬件和系统的设计，制造，生产流程透明可审计。

2. 专机专用，不在机器上执行非可信来源的程序。

从上面两条，其实就可以秒杀所有手机了。你可以搞一个干净的手机安装支付宝，但是这个手机不能是苹果不能是小米，上面还不得安装淘宝竞争对手的程序。

尼玛现在有几台手机不装qq的？

回原题。

在任何第三方应用里面弹个窗口出来，完了让你输入支付宝用户名密码。你居然还输了。这叫213。

常规是在支付宝app里面登录过，然后由第三方弹出应用来支付。

当然，如后面某位朋友所说，这也并非绝对安全。但是如果要弹出个网页来支付你才觉得安全。。。

你知道为啥在普通浏览器上，你看到域名，上面是https的时候表示安全么？

因为网站天然没有能力向你的系统内注入信任ca根证书。

但是app不是啊。你只要给足权限了，app能给你拦下网络通讯来MITM（android上不需要root），还能往系统里扔一本根证书（我不确定，但是android可以手工安装根证书的）。

当然，这个手法有很多迹象。好比你的网络正在被monitor，好比你的系统里多了一本跟证书，好比你当前的支付宝ssl证书签署有哪里不对。

你觉得会在第三方应用弹出窗口里输入支付宝密码的人，会在意这些细节么。。。

再说，这些问题你应该和12306说。好比你去银行投诉街上有保险公司需要你提供卡号和密码一样，身份认证系统的发布和管理方，并不对第三方如何使用这些认证机制负责。他们最多负有监管责任。所谓监管责任，就是。。。

。。。在犄角旮旯里弹个窗说用户们，请不要相信这种事情，要和钓鱼者勇敢的做斗争。。。斗争。。。

完了。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

彼節者有間，而刀刃者無厚；以無厚入有間，恢恢乎其於游刃必有餘地矣。
blog: http://shell909090.org/blog/

twitter: @shell909090
about.me: http://about.me/shell909090

[Plain_Text]

　　如果终端设备有木马，那么支付宝无力应对，这个我同意。但是，将支付宝的
登录界面嵌入第三方应用，支付宝公司肯定有责任。支付宝或许可以从技术上禁止
这种行为。如果是技术上不可行，也可以在支付宝的官网告诫用户：千万不能在
第三方应用的内部输入支付宝的登录信息。这样，第三方应用就不敢嵌入支付宝的
登录界面，以免吓跑用户。

　　在终端没有木马的情况下，在支付宝的官方应用（即“支付宝钱包”）或者
浏览器的支付宝网页里登录，基本上是没有问题的。但是，如果允许第三方应用
嵌入支付宝的登录界面，用户被钓鱼的可能性真的不小。

[Shell Xu]

你上文说过，“并没有安装支付宝客户端”。那么被嵌入的登录界面哪里来？

1. 网页内嵌。

    作为被内嵌的网页，其实没有太大权力判断自己在一个什么样的浏览器中运行。保证浏览器安全必须是客户的责任。

2. 12306的应用模拟的。

    支付宝对此无能为力，总不能去告12306抄袭吧。

3. 某宝被12*0*强*导致**。

    我同情他们。不过这种情况下除非你**12*0*不然某宝也没有**可以**。

其实纵观上面，某宝对于这种情况，能做的只有一个：

。。。在犄角旮旯里弹个窗说用户们，请不要相信这种事情，要和钓鱼者勇敢的做斗争。。。斗争。。。

完了。

BTW:

真是说啥中啥。刚刚吐槽完腾讯没到24小时，就开始疯传腾讯手机QQ新功能。。。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Zhang Cheng]

2015-06-25 7:47 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　如果终端设备有木马，那么支付宝无力应对，这个我同意。但是，将支付宝的
登录界面嵌入第三方应用，支付宝公司肯定有责任。支付宝或许可以从技术上禁止
这种行为。如果是技术上不可行，也可以在支付宝的官网告诫用户：千万不能在
第三方应用的内部输入支付宝的登录信息。这样，第三方应用就不敢嵌入支付宝的
登录界面，以免吓跑用户。

​“允许第三方应用嵌入”，这是个“feature”，而不是“bug”。因为对于支付宝来说，

它无法可靠的判断它的网页是被什么浏览器访问（电脑、手机或是App内嵌、甚至

只是一个没有人交互的程序）。

 

　　在终端没有木马的情况下，在支付宝的官方应用（即“支付宝钱包”）或者
浏览器的支付宝网页里登录，基本上是没有问题的。但是，如果允许第三方应用
嵌入支付宝的登录界面，用户被钓鱼的可能性真的不小。

​“木马”这个东西如何界定？

举例来说，有些公司会在所有员工的设备上安装一个根证书，以方便管理。其衍生出

的能力是，公司可以MITM监听所有员工的所有通信，要劫持你支付宝的信息太简单了。

​

再比如说，应用是可以很简单的在系统里安装一个根证书的，Android我不了解，iOS只

需要用户确认一下就可以了。比如V*NDefen***（为了避免广告嫌疑，隐去几个字母），

因为其VPN连接时需要验证证书，所以安装时会提示用户在系统里安装一个VPN Profile，

而这个Profile里面带了一个根证书。绝大多数用户这时候都不会拒绝，也不会想到安装

这个根证书之后会有什么后果。

因此，浏览器是我觉得最不可信的东西。

* 电脑的浏览器，我相信谁都会装一些插件，保不准哪个插件是坏人。电脑的操作系统

  本身很开放，因此染毒的概率更大。

* 手机的浏览器，各种信息都不方便查看，比如即使是https，你也很难检查https的证书

  是否真的。

因此，我会尽可能避免在一切浏览器里进行支付操作。我尽可能在手机App里完成支付，

这样的风险是最小的（手机不root、越狱，感染木马的风险比电脑要小，App只从官方

渠道下载，被篡改、挂钩子的风险很小）。

在保持日常使用习惯健康的情况下，我觉得可能只有手机App是风险最小的了。

--

Cheng,

Best Regards

[Shell Xu]

我则是相反。使用手机作为“便利的工具”，但是不保证安全。电脑浏览器如何保证安全？

答案是多虚拟机。上中国网站开一个虚拟机，里面是xp+ff。上涉密网站开个虚拟机，里面是xp+ie。上涉及钱的网站开个虚拟机，里面是xp+chrome+ff+ie。上涉及你们懂的网站开个虚拟机，里面是特制的linux+ff。。。

这就是为啥我四年前就上了8G内存的缘故。。。要不是最近内存太贵，我想上32G。。。

当然，还有个缘故是我平日都在用chrome。。。

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Zhenbo Li]

在 2015年6月25日 上午10:38，Zhang Cheng <steph...@gmail.com> 写道：
>
>> 　　如果终端设备有木马，那么支付宝无力应对，这个我同意。但是，将支付宝的
>> 登录界面嵌入第三方应用，支付宝公司肯定有责任。支付宝或许可以从技术上禁止
>> 这种行为。如果是技术上不可行，也可以在支付宝的官网告诫用户：千万不能在
>> 第三方应用的内部输入支付宝的登录信息。这样，第三方应用就不敢嵌入支付宝的
>> 登录界面，以免吓跑用户。
>
>
> “允许第三方应用嵌入”，这是个“feature”，而不是“bug”。因为对于支付宝来说，
> 它无法可靠的判断它的网页是被什么浏览器访问（电脑、手机或是App内嵌、甚至
> 只是一个没有人交互的程序）。

问题是，第三方 app 可以做出一个完全一样的弹窗，钓鱼获取你的支付宝帐号密码

我的建议是，支付宝可以像网银一样，让用户自定义欢迎信息 （如 ♂♂）
然后，每次付款的时候就显示
尊敬的 ♂♂ 您好，请确认支付 12.5 元


另外，用 iOS 的指纹支付是否更安全一些？

--
Have a nice day!
Zhenbo Li

[Shell Xu]

这招挡的住爬虫么？

指纹支付？你的手指还想不想要了？

指纹支付确实更“安全”——相对于由于嫌麻烦导致的各种问题，例如短密码，有关联的信息做密码等等。

但是对于有意在生活中进行恶意攻击的人来说，其实没任何难度——找个美女请你喝一杯，有很大概率就能搞到。

由于支付安全本身就依赖于iphone的硬件，所以苹果的软硬件系统不出漏洞，攻击者本身就没有远程搞定的可能（这里不讨论更深入的东西，例如支付宝漏洞怎么办）——当然，如果出了漏洞，指纹多半也靠不住了。

对于恶意窃密者而言，指纹本身没有太大难度。指纹的核心意义在于避免一些“过于相信苹果硬件的人”，例如苹果手机上不设定任何密码，或者来个123456。然后这种人的手机丢了。

这种情况下，指纹能够在不加重负担的情况下，增强安全性。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Zhang Cheng]

2015-06-25 11:06 GMT+08:00 Zhenbo Li <liti...@gmail.com>:

问题是，第三方 app 可以做出一个完全一样的弹窗，钓鱼获取你的支付宝帐号密码

我的建议是，支付宝可以像网银一样，让用户自定义欢迎信息 （如 ♂♂）
然后，每次付款的时候就显示
尊敬的 ♂♂ 您好，请确认支付 12.5 元


另外，用 iOS 的指纹支付是否更安全一些？

​我觉得“自定义欢迎信息”没什么用啊，黑客MITM窃取你的信息，不一定要做个假网站的。

而且，似乎许多人（也许是大多数人）都不知道自定义欢迎信息的作用。反正我最初用网银时，让我设置自定义欢迎信息，我就不知道是干啥用的，也没有给我解释这是安全相关的措施，支付的时候也没有意识要去刻意检查网站显示的欢迎信息对不对（实际上如果有黑客做了个钓鱼网站，直接不显示欢迎信息，大多数人也不会觉察出异样。）

--

Cheng,

Best Regards

[Shell Xu]

对MITM来说，自定义欢迎信息是没用的。

因为MITM的时候，可以在四层上做工作，将SSL流还原为透明的tcp流。对用户来说，你访问的就是真的网站，显示的是真的欢迎信息。

但是攻击者可以在透明的tcp流里，插入和发起转账动作等。

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Zhenbo Li]

在 2015年6月25日 上午11:16，Shell Xu <shell...@gmail.com> 写道：
>
> 指纹支付？你的手指还想不想要了？
> 指纹支付确实更“安全”——相对于由于嫌麻烦导致的各种问题，例如短密码，有关联的信息做密码等等。
> 但是对于有意在生活中进行恶意攻击的人来说，其实没任何难度——找个美女请你喝一杯，有很大概率就能搞到。
> 由于支付安全本身就依赖于iphone的硬件，所以苹果的软硬件系统不出漏洞，攻击者本身就没有远程搞定的可能（这里不讨论更深入的东西，例如支付宝漏洞怎么办）——当然，如果出了漏洞，指纹多半也靠不住了。
> 对于恶意窃密者而言，指纹本身没有太大难度。指纹的核心意义在于避免一些“过于相信苹果硬件的人”，例如苹果手机上不设定任何密码，或者来个123456。然后这种人的手机丢了。
> 这种情况下，指纹能够在不加重负担的情况下，增强安全性。

“指纹能够在不加重负担的情况下，增强安全性。“ 我觉得这一点是关键。要是支付宝强制用户使用20位密码，大小写数字和特殊字符混合，还有谁会用？

在 2015年6月25日 上午11:37，Shell Xu <shell...@gmail.com> 写道：
> 对MITM来说，自定义欢迎信息是没用的。
> 因为MITM的时候，可以在四层上做工作，将SSL流还原为透明的tcp流。对用户来说，你访问的就是真的网站，显示的是真的欢迎信息。
> 但是攻击者可以在透明的tcp流里，插入和发起转账动作等。

如果真的已经被中间人攻击了，那还有什么防御办法吗？
但要是没有自定义欢迎信息的话，随便写一个恶意app，只要有联网权限就能开始钓鱼了

[Plain_Text]

2015-06-25(Thursday) 10:24:42 +0800, Shell Xu <shell...@gmail.com>:

> 你上文说过，“并没有安装支付宝客户端”。那么被嵌入的登录界面哪里来？
>
> 1. 网页内嵌。
> 作为被内嵌的网页，其实没有太大权力判断自己在一个什么样的浏览器中运行。保证浏览器安全必须是客户的责任。
> 2. 12306的应用模拟的。
> 支付宝对此无能为力，总不能去告12306抄袭吧。
> 3. 某宝被12*0*强*导致**。
> 我同情他们。不过这种情况下除非你**12*0*不然某宝也没有**可以**。

　　前面我说过了：“如果是技术上不可行，也可以在支付宝的官网告诫用户：
千万不能在第三方应用的内部输入支付宝的登录信息。这样，第三方应用就不敢
嵌入支付宝的登录界面，以免吓跑用户。”

　　如果用户都抵制第三方应用内嵌支付宝，那么第三方应用就不怕用户流失吗？
它还敢内嵌支付宝的登录界面吗？另外，一个商户要支持支付宝，肯定要跟支付宝
公司签约。支付宝公司完全可以明文要求：你不能将我的登录界面嵌入到你的应用
里去，你要么将信息传递到“支付宝钱包”，要么用浏览器跳出网页。像这种技术上
不能防范的事情可以用非技术方式来实现。

[Shell Xu]

123**: 爱买买，不买滚。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Shell Xu]

如果真写了个恶意app，有足够权限，你定义不定义自定义欢迎信息都没用了。。。

对于中间人攻击来说，最难的地方就在于让你相信他签署的证书。所以正解是去看证书对不对，而不是围着各种事后信息打转。

你想，自定义欢迎信息在哪出？登录前，还是登录后？

登录前的话，任何人用你的用户名都可以得到，所以没鸟用。

登录后的话，你倒是发现问题了。在你打给银行的功夫里，钱没了。。。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Plain_Text]

2015-06-25(Thursday) 10:38:06 +0800, Zhang Cheng <steph...@gmail.com>:

> ​“木马”这个东西如何界定？
>
> 举例来说，有些公司会在所有员工的设备上安装一个根证书，以方便管理。其衍生出
> 的能力是，公司可以MITM监听所有员工的所有通信，要劫持你支付宝的信息太简单了。
> ​
> 再比如说，应用是可以很简单的在系统里安装一个根证书的，Android我不了解，iOS只
> 需要用户确认一下就可以了。比如V*NDefen***（为了避免广告嫌疑，隐去几个字母），
> 因为其VPN连接时需要验证证书，所以安装时会提示用户在系统里安装一个VPN Profile，
> 而这个Profile里面带了一个根证书。绝大多数用户这时候都不会拒绝，也不会想到安装
> 这个根证书之后会有什么后果。
>
> 因此，浏览器是我觉得最不可信的东西。
> * 电脑的浏览器，我相信谁都会装一些插件，保不准哪个插件是坏人。电脑的操作系统
> 本身很开放，因此染毒的概率更大。
> * 手机的浏览器，各种信息都不方便查看，比如即使是https，你也很难检查https的证书
> 是否真的。
> 因此，我会尽可能避免在一切浏览器里进行支付操作。我尽可能在手机App里完成支付，
> 这样的风险是最小的（手机不root、越狱，感染木马的风险比电脑要小，App只从官方
> 渠道下载，被篡改、挂钩子的风险很小）。
>
> 在保持日常使用习惯健康的情况下，我觉得可能只有手机App是风险最小的了。

　　手机浏览器也是一个 APP. 如果用户没有良好的习惯，使用了恶意的浏览器，
那么像“支付宝钱包”那样的 APP 也可能被恶意修改（比如不是在支付宝官网下载，
而是在某个小网站下载的）。说到底，手机浏览器里登录支付宝跟用“支付宝钱包”，
安全上差不多。但如果第三方内嵌登录，我再仔细也无法分辨那个登录界面是来自
支付宝官方，还是钓鱼。或者说：如果不是内嵌登录，我只需要保证手机系统的
安全，以及浏览器或者“支付宝钱包”这个 APP 的可信。但内嵌登录，我还要保证
第三方应用可信。对于 12306 那样的大机构，我基本放心。如果是一个小商户呢？

[Shell Xu]

恰恰相反，没有比12306更不让人放心的了。

丫的都能要求你安装自签名证书，还有什么做不出来的？

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Plain_Text]

2015-06-25(Thursday) 11:06:29 +0800, Zhenbo Li <liti...@gmail.com>:

> 我的建议是，支付宝可以像网银一样，让用户自定义欢迎信息 （如 ♂♂）
> 然后，每次付款的时候就显示
> 尊敬的 ♂♂ 您好，请确认支付 12.5 元

　　“自定义欢迎信息”只能帮助用户被劫持到山寨网站时立刻警觉起来，但是
那时候密码已经被窃取了。只能立刻做事后的补救，而且不一定来得及。另外，
钓鱼未必要劫持用户到山寨网站。只需要做一个山寨登录界面窃取帐号和密码，
然后再将帐号和密码去登录官网。这样神不知鬼不觉，用户也能看到正常的
“自定义欢迎信息”，却被悄悄地窃取了密码。

[Zhang Cheng]

2015-06-25 11:50 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　前面我说过了：“如果是技术上不可行，也可以在支付宝的官网告诫用户：
千万不能在第三方应用的内部输入支付宝的登录信息。这样，第三方应用就不敢
嵌入支付宝的登录界面，以免吓跑用户。”

　　如果用户都抵制第三方应用内嵌支付宝，那么第三方应用就不怕用户流失吗？
它还敢内嵌支付宝的登录界面吗？另外，一个商户要支持支付宝，肯定要跟支付宝
公司签约。支付宝公司完全可以明文要求：你不能将我的登录界面嵌入到你的应用
里去，你要么将信息传递到“支付宝钱包”，要么用浏览器跳出网页。像这种技术上
不能防范的事情可以用非技术方式来实现。

​在应用里内嵌网页，应该是走的网站接入而不是移动App接入的流程。除非支付宝关闭

网站接入，否则不可能杜绝这种情况，有网站接入，就意味着可以在浏览器里打开支付

宝，但支付宝方面无法*可靠*判断自己是被在桌面浏览器打开的，还是移动端浏览器，

或者是某个第三方应用内置的webview，甚至只是一个没有人类交互的程序。

当然，你可以说这不是技术问题，支付宝当然可以声明要求第三方应用不得这么做。

可是，反过来想，如果支付宝真的这样做了，就真的对用户负责了吗？一个手机里的浏

览器可能很多，各种鸟浏览器都有，第三方应用让系统调用一个浏览器来打开支付宝，

谁知道会是哪个浏览器打开的？谁能保证这个浏览器会比这个第三方应用更靠谱？从这

个角度说，对于支付宝来说，应用内嵌浏览器，比调用外部浏览器更“可控”一些，因为

一旦发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的服务，并暂时冻结

在这个应用里支付过的用户的帐号来止损。而如果是系统里某个浏览器干了坏事，那支

付宝真就无能为力了。支付宝是不是还应该对用户发布一个“可信任浏览器列表”？进而

再发布一个“可信任应用商城列表”？

​

--

Cheng,

Best Regards

[Zhang Cheng]

2015-06-25 11:54 GMT+08:00 Shell Xu <shell...@gmail.com>:

你想，自定义欢迎信息在哪出？登录前，还是登录后？

登录前的话，任何人用你的用户名都可以得到，所以没鸟用。

登录后的话，你倒是发现问题了。在你打给银行的功夫里，钱没了。。。

​即使不是MITM，而是一个普通的钓鱼站，它就不显示欢迎信息，又有多少人会觉察？

说实话，我就一直没搞清楚（银行没有给我足够多的教育），哪些情况下应该要显示

欢迎信息。如果你显示了，我知道去核对跟我填的是否相同，如果你没显示，我根本

不会觉察出异常。特别是现在越来越少的机会会用到网银了，就更加不熟悉网银的流

程了，中间少一个步骤根本不知道。​

--

Cheng,

Best Regards

[Shell Xu]

是的。结论一样，就是这个东西压根没用。。。

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Plain_Text]

2015-06-25(Thursday) 12:23:20 +0800, Zhang Cheng <steph...@gmail.com>:

> 当然，你可以说这不是技术问题，支付宝当然可以声明要求第三方应用不得这么做。
> 可是，反过来想，如果支付宝真的这样做了，就真的对用户负责了吗？一个手机里的浏
> 览器可能很多，各种鸟浏览器都有，第三方应用让系统调用一个浏览器来打开支付宝，
> 谁知道会是哪个浏览器打开的？谁能保证这个浏览器会比这个第三方应用更靠谱？从这
> 个角度说，对于支付宝来说，应用内嵌浏览器，比调用外部浏览器更“可控”一些，因为
> 一旦发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的服务，并暂时冻结
> 在这个应用里支付过的用户的帐号来止损。而如果是系统里某个浏览器干了坏事，那支
> 付宝真就无能为力了。支付宝是不是还应该对用户发布一个“可信任浏览器列表”？进而
> 再发布一个“可信任应用商城列表”？

　　你说：“谁能保证这个浏览器会比这个第三方应用更靠谱？”到知名浏览器的
官网下载，基本上都靠谱。可第三方应用，有大有小。像 12306 那样的大型机构，
媒体紧盯着。而且一旦发生钓鱼，受害者将数以万记. 12306 的开发人员确实不太
敢做那样的事情，因为极有可能会坐牢。如果说 12306 比浏览器靠谱，我还勉强
认同。但一个小商户的 APP, 拿什么来说服我它比浏览器更靠谱？本来谨慎的我只
需要保障系统以及核心 APP （比如“支付宝钱包”，浏览器等等）的靠谱就行了，
现在却要保障大大小小的一堆第三方应用也靠谱。哪个难度更大？

　　你说：“一旦发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的
服务，并暂时冻结在这个应用里支付过的用户的帐号来止损。”支付宝怎么知道
哪个应用钓了鱼？钓鱼只需要模仿一个登录界面，将帐号密码趁机截留一份，然后
在后台发送到支付宝，并不妨碍用户的登录。支付宝和用户都无法察觉。

[Zhang Cheng]

2015-06-25 13:02 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　你说：“谁能保证这个浏览器会比这个第三方应用更靠谱？”到知名浏览器的
官网下载，基本上都靠谱。可第三方应用，有大有小。像 12306 那样的大型机构，
媒体紧盯着。而且一旦发生钓鱼，受害者将数以万记. 12306 的开发人员确实不太
敢做那样的事情，因为极有可能会坐牢。如果说 12306 比浏览器靠谱，我还勉强
认同。但一个小商户的 APP, 拿什么来说服我它比浏览器更靠谱？本来谨慎的我只
需要保障系统以及核心 APP （比如“支付宝钱包”，浏览器等等）的靠谱就行了，
现在却要保障大大小小的一堆第三方应用也靠谱。哪个难度更大？

　　你说：“一旦发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的
服务，并暂时冻结在这个应用里支付过的用户的帐号来止损。”支付宝怎么知道
哪个应用钓了鱼？钓鱼只需要模仿一个登录界面，将帐号密码趁机截留一份，然后
在后台发送到支付宝，并不妨碍用户的登录。支付宝和用户都无法察觉。

​“知名浏览器”是一个具有主观性的判断，如果支付宝发布一个建议“建议大家只使用知名

浏览器，并仅从官网下载”，那么作为用户，我就要问了，xx浏览器是不是知名浏览器？

xx商店里写着是官方发布，靠谱吗？如果你是支付宝，你准备怎样应对这些问题？

另一方面，对于大多数人来说，“去官网下载”是几乎不可行的事情，大多数的人没有

从各类主流商店以外自行安装软件的能力。（有能力的人，其实对安全本身也有一定

程度的意识）

我说的“支付宝发现xx做坏事”，是指被动发现，而不是主动发现。被动发现就是有用户

举报了。后面的结论都是在这个前提之下。如果我是支付宝，我会尽可能将第三方应用

内置的浏览器组件跟系统的浏览器一视同仁，都看做是不可靠的浏览器，而我要做的是

尽可能在不可靠的浏览器上减小风险。

你提出的建议，更多的是单纯的基于信任，你更信任你使用的浏览器的厂商，而不是

某个第三方应用。你信任的理由可以是各种各样的，比如某应用的用户多犯罪成本更高，

所以你更相信它、某应用的公司口碑好，所以你更相信它。除了信任之外，另一方面也

是因为你有一定的技术，使得自己可以选择自己信任的工具（比如许多用户并不会安装

浏览器，一般系统自带了什么就用什么，有时候不小心装了个第三方的，也就接着用了）。

而在支付宝的角度，它不能因为“信任”而更推荐某种做法，何况“信任”是一件非常主观的事。

我前面的意思是，第三方应用至少跟支付宝有签约，而浏览器没有，因此对于支付宝来说，

第三方应用更可控（不是更安全）一些，例如支付宝更容易调查取证，发现问题时甚至可以

采取法律手段（当然我们这里不要展开去吐槽法律手段的效率和效果）。浏览器对于支付宝

来说是完全不可控的，真出问题了，支付宝能做的也就只有弹个小窗告诉用户不要再使用

某个浏览器了。

回到最原始的问题，你的顾虑我懂，其实我跟你是一样的，我不能接受第三方应用内嵌

网页让我输入支付宝的帐号密码。以前有一段时间，某评App使用支付宝登录时，也是

内嵌网页让我输帐号，我直接就放弃使用了。我也希望支付宝能想办法杜绝这种情况。

如果我们有共识，认为支付宝钱包相比起其他方式来说都更可靠一些的话，那么我觉得

支付宝应该这样做：

* 逐步淘汰网站支付接入，或者网站接入时，仅支持用移动设备扫码支付，不支持密码支付。

* 移动端，督促各应用尽快升级到使用移动端接入的方式，而不是网站接入的方式来支付。

而“鼓励用户使用浏览器而不是第三方应用内置浏览器”的做法，仅仅是将第三方应用作恶的

风险改变成为浏览器作恶的风险，但风险并没有转移，仍然在用户身上，风险也并没有减小。

​

--

Cheng,

Best Regards

[Jackie Mao]

不仅是支付宝,那些应用内的弹窗要输如密码的总是怀疑来路不正............

国内做事情又经常不要底裤,

防不胜防啊

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[Plain_Text]

2015-06-25(Thursday) 13:39:15 +0800, Zhang Cheng <steph...@gmail.com>:

> 我说的“支付宝发现xx做坏事”，是指被动发现，而不是主动发现。被动发现就是有用户
> 举报了。后面的结论都是在这个前提之下。

　　用户举报什么？举报内嵌登录吗？既然现在内嵌登录大行其道，说明支付宝
公司默许。举报钓鱼？用户怎么可能知道钓了鱼？除了第三方应用的开发者，最终
用户以及支付宝公司根本无法知道是否钓过鱼。


　　任何智能手机出厂时都自带了浏览器，普通用户不会去替换它。如果一个用户
懂得替换浏览器，那么他应该对自己的安全负责。如果他不懂装懂地用一个来路
不明的浏览器替换了自带的浏览器，那么他同样也可能用一个来路不明的“支付宝
钱包”替换掉支付宝的官方应用。浏览器这个 APP 跟“支付宝钱包”这个 APP 在
安全风险上应该是相似的，就像手机跟电脑的风险也是相似的。不懂装懂的用户
可以将电脑弄得很不安全，也可以将手机弄得很不安全。

　　在浏览器上用 HTML5 才是未来的方向，不可能反过来轻视 Web. 就算现在，
安卓系统的开放性导致生态环境极其杂乱。各厂商对系统进行过许多深度定制，
安装应用可能失败，或者虽然能安装但运行不正常。除了安卓，还有 Windows
Phone, Firefox OS, 塞班，黑莓等冷僻系统。应用软件厂商不可能对各种系统都
兼顾到，而 Web 却是最大公约数，因为浏览器是必备的基础应用软件。


　　内嵌登录的风险根本不会因为跟支付宝签过约而消除，因为内嵌钓鱼无法监控。
就好比一个人站在你旁边发誓：“你输密码吧，我不会偷看的……”你放心吗？因为
无法认定他是否默默记住了你的密码。有效的措施就是不允许他站在你身边。除非
那个人内心有鬼，他会知趣地满足你的要求。同样地，只要支付宝公司提出禁止
内嵌登录的要求，第三方应用会满足。甚至会主动避嫌，积极配合。

　　我觉得这根本不是技术问题，而是支付宝公司还没有遇到用户信息被大面积
钓鱼的痛苦。不过等遇到的时候，声誉肯定已经严重受损了。

[Doyle]

"如果他不懂装懂地用一个来路
不明的浏览器替换了自带的浏览器"

根本不需要用户懂任何东西android 上的一些app 市场就能在你下载某个游戏的时候帮你换好一个浏览器

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

[Plain_Text]

2015-06-26(Friday) 09:45:44 +0800, Doyle <doyl...@gmail.com>:

> 根本不需要用户懂任何东西android 上的一些app 市场就能在你下载某个游戏的时候帮你换好一个浏览器



　　既然会替换浏览器，也完全可能替换“支付宝钱包”。去一些不正规的应用
市场下载软件，这就是一种“不懂装懂”的行为。完全不懂的人只会用手机自带的
软件，真正懂的人会到可靠的地方去下载。而“不懂装懂”的人会安装一些来路
不正的软件。

[Doyle]

对于"不懂装懂"的解释保留意见...基于此,表示没什么可说的了...

[Zhang Cheng]

我再重申一次，也是最后一次：

我没有说“第三方应用内嵌加载支付宝”安全，也没有说“第三方应用内嵌加载支付宝比使用浏览器更安全”，如果你仍然理解不了，那么只能抱歉了，我的语文老师只把我教成这样了。

我在强调的是，使用浏览器并不比第三方应用内嵌更安全。从支付宝的角度，不可能建议用户“使用浏览器，不要使用第三方内嵌”，原因有这几点：

* 许多用户（也许是大多数）并不知道“浏览器”是什么（只知道是一个用来上网的东西），或者并没有区分浏览器的能力（你可能看到一个浏览器知道，哦，这个是Chrome，google做的，那个是UC，阿里巴巴旗下的，但是许多人，尤其是你的父母辈是没有区分能力的）

* 许多用户（也许是大多数）并不能控制自己系统里装了什么浏览器（android移动端的环境现在跟桌面差不多，许多桌面用户在完全不知情的情况下就被装了360，移动端也是一样，常常会不知情的情况下被装了一个浏览器），当系统里有多个浏览器时，他们也没有能力控制自己使用哪一个。

此外，如果支付宝推荐“请用户尽量使用系统浏览器”，那么他就必须要提供一份“可信浏览器的名单”（也许是主动提供，也许是被动提供，所谓被动提供就是，大量用户去问他们，A可不可信、B可不可信，综合他们的答复，必然会有一份可信名单），那么这份名单如何维护？如何处理由于这份名单带来的商业纠纷（例如要不要把360浏览器列入其中？如果列了，许多程序员特别是你不满怎么办？如果不列，360不满怎么办）？同时，支付宝一旦列出这个名单，相当于一个官方认证，一旦某个浏览器做了坏事（这里做坏事不一定是钓鱼支付宝，可能是任何其他与支付不相关的坏事），那么支付宝就要承担责任了（不提供这样的名单，支付宝还可以免责）。

如果你仍然坚持你的方案是可行的，那么请你指出你方案的可行性。记住，不要站在你作为一个技术人员的角度去分析，也不要带入你个人的主观信仰（例如 你认为浏览器比第三方应用更可信，这只是你个人这么认为而已，对我来说，我认为任何浏览器都不比第三方应用更可信，包括开源浏览器）。

2015-06-26 9:24 GMT+08:00 Plain_Text <resa...@gmail.com>:

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

Cheng,

Best Regards

[Plain_Text]

　　“使用浏览器并不比第三方应用内嵌更安全”？至少浏览器有地址栏，可以
清楚地看到网址。另外，浏览器没有跟支付宝签约，所以支付宝没有义务对浏览器
的安全负责。但第三方应用跟支付宝有合同，如果发生了钓鱼，支付宝肯定有间接
的责任。因为支付宝有权力禁止它内嵌登录，也有义务告知用户不要在第三方内嵌
登录里输入帐号和密码。

　　你虽然承认内嵌不安全，却说用户可以举报。我无法理解用户能举报什么？
你现在也没告诉我，用户如何去发现自己是否被钓鱼。

　　“如果你仍然坚持你的方案是可行的，那么请你指出你方案的可行性。”
我前面说了：支付宝公司可以明文要求第三方不能内嵌登录。至于用户的浏览器
不安全，支付宝不可能有责任。

[Shell Xu]

爱咋着咋着吧。反正你们这里BB到死，支付宝也是六个字：

爱用用，不用滚。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

[Plain_Text]

2015-06-26(Friday) 12:23:59 +0800, Shell Xu <shell...@gmail.com>:

> 爱咋着咋着吧。反正你们这里BB到死，支付宝也是六个字：
> 爱用用，不用滚。

　　理性探讨问题，没必要带着这种情绪吧？我相信，参与讨论的人都不是跟
支付宝以及第三方应用有恩，或者有仇，呵呵。

[Zhang Cheng]

2015-06-26 12:05 GMT+08:00 Plain_Text <resa...@gmail.com>:

​我真不知道该替你的语文老师着急还是替我的语文老师着急。算了，不攻击语文老师了，他们是无辜的。​

我哪里说过“用户举报第三方内嵌了”，我说的是，如果用户发现或者怀疑第三方通过内嵌来钓鱼，可以举报，此时支付宝可以进行调查，在这个前提下，调查第三方应用显然比调查支付宝更可控。而且，从用户的角度来说，支付宝跟第三方应用签约，支付宝要为第三方应用钓鱼负责，这是将风险从用户身上转移到支付宝，难道不是对用户的好事么？

“浏览器比第三方安全”，这仍然只是你个人的想法而已。你看到浏览器域名对了，有个绿锁你就觉得安全了，你就心安了，我不那么觉得。你不可能改变我的这个想法，除非我用完全自己写的浏览器，并且我对自己写的浏览器的运行实例都做实时监控，确认没有可疑代码入侵。

你的方法就是，支付宝发表这样一段话：

第三方应用禁止网页内嵌我的支付啊，因为你们干了坏事我要负责的啊。用户们，你们都用浏览器吧，但是你们被浏览器钓鱼了，我不负责的哦！

这下，你高兴了吧？

--------

你既然对安全要求这么高，你也不信任12306，那么你完全可以在付款时打开你自己信任的浏览器，在浏览器里登录12306完成付款啊。为了安全，这点付出总是值得的吧？楼上还有人专门建多个虚拟机来做不同的事情呢。如果你觉得这种付出都不值得，那么你的安全意识也就这样了。

支付宝要做的是（对用户好的事）：

* 尽可能提高安全性（是真的从理论上安全，而不是让某些人感觉安全）

* 在同样风险的条件下，尽可能将风险揽在自己身上

你的方案并没有提高理论上的安全性，只是让你以及一些跟你一样的人觉得更安全，但将风险全部推向了用户。如果支付宝真这样做了，我立刻就不用支付宝了。

你不要拿着你自己的技术能力去觉得其他用户也是一样，除了IT技术从业人员，有多少人会看域名？况且，你那么有技术有能耐，你自己肯定可以找到其他更安全的方法，你替别人操什么心？

--

Cheng,

Best Regards

[Plain_Text]

　　“如果用户发现或者怀疑第三方通过内嵌来钓鱼，可以举报” 怎么发现？
怎么对钓鱼进行取证？这种神不知鬼不觉的事情，根本拿不到证据。内嵌提供了
钓鱼的机会，是否真的钓鱼就要看应用商的良心了，根本无法取证。既然没有证据，
怎样举报？支付宝又怎样调查？支付宝要为第三方应用钓鱼负责，应该事前防范：
禁止嵌入。

　　“你既然对安全要求这么高，你也不信任12306，那么你完全可以在付款时
打开你自己信任的浏览器，在浏览器里登录12306完成付款啊。为了安全，这点付出
总是值得的吧？” 这不是为了反对而反对吗？我用 12306 来举例，并不表示我
非常厌恶它. 12306 可以用网页来完成，但有些应用可能根本就没有网页版。
如果照你这种为了反对而反对的思路，也可以说：“嫌在线支付不安全，就不要用
呀？就线下用现金付款呀。” 这是讨论问题的姿态吗？

　　“除了IT技术从业人员，有多少人会看域名？” 所有的反钓鱼教育里都会告诉
用户，一定要检查域名是否官方网站。当然你可以说：“很多人看不懂，不知道
怎么看。” 但至少有一部分谨慎的人（未必就是技术人员）会看域名，至少比
完全看不到域名的内嵌登录好一些。

　　“你那么有技术有能耐，你自己肯定可以找到其他更安全的方法，你替别人
操什么心？” 你这种话还是为了反对而反对，带着嘲讽和情绪。我就忽略了。

　　如果你能告诉我支付宝怎么去控制第三方应用内嵌登录不钓鱼，我就很想知道。

[Zhang Cheng]

​鉴于我的语文水平就这样了，没有办法做到让你不会曲解我的语言，所以我不会继续在这个话题里回复你了。​

 

　　如果你能告诉我支付宝怎么去控制第三方应用内嵌登录不钓鱼，我就很想知道。

​如果你能找到一种方法彻底杜绝浏览器钓鱼，请立刻告诉所有所有浏览器厂商、操作系统厂商，让全世界人受益，谢谢！​

--

Cheng,

Best Regards

[Plain_Text]

2015-06-26(Friday) 14:06:33 +0800, Zhang Cheng <steph...@gmail.com>:

> ​鉴于我的语文水平就这样了，没有办法做到让你不会曲解我的语言，所以我不会继续在这个话题里回复你了。​

>
> ​如果你能找到一种方法彻底杜绝浏览器钓鱼，请立刻告诉所有所有浏览器厂商、操作系统厂商，让全世界人受益，谢谢！​

　　你说我曲解你，我真看不出来。当然有可能我的理解能力确实非常有限，
但至少我不是故意曲解。

　　尽管你在嘲讽，我还是心平气和地说一下。没有任何绝对意义上的安全，只要
使用正规浏览器，系统不安装乱七八糟的东西，认真检查域名，那么网页上的钓鱼
基本就可以避免。当然这不是我发明的理论，而是所有反钓鱼的宣传都这么说。

[Shell Xu]

我实话实说。上次找内部员工投诉支付宝的一个网页链接错误问题，改了不知道多久。你觉得你这么大的需求修改，还不是自己的问题，他们有功夫理你？

国内大厂商基本都是这态度，腾讯算好一点。12306最牛，一年站被压死一次，非但不倒闭，而且全国人民帮着出主意改架构，丫还是一个都不鸟你们。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Armnotstrong]

歪个楼,

我感觉12306那个事儿根本就无解,蛋糕做的不够大,你就是再分出花样来也没法弄.问题根本就不是屌丝码农能够解决的.

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

========================================
best regards & a nice day
Zhao Ximing

[Shell Xu]

确实不是码农的事。

但是无论是谁，不鸟你就是不鸟你。

普通企业的逻辑是，如果网络销售这块能赚钱，那就做好，做到赚钱。如果不赚钱，就关掉。

12306的逻辑是，我们不能不做网络销售，但是根本不介意赚不赚钱。反正无论是政府机构，事业单位，还是企业。国家都不可能让铁路倒闭的。。。

[Zhang Cheng]

2015-06-27 15:07 GMT+08:00 Shell Xu <shell...@gmail.com>:

确实不是码农的事。

但是无论是谁，不鸟你就是不鸟你。

普通企业的逻辑是，如果网络销售这块能赚钱，那就做好，做到赚钱。如果不赚钱，就关掉。

12306的逻辑是，我们不能不做网络销售，但是根本不介意赚不赚钱。反正无论是政府机构，事业单位，还是企业。国家都不可能让铁路倒闭的。。。

​12306.cn只是铁道部的一个“后勤支撑”部门，而不是一个对用户的产品，赚钱不是它的目的，就是帮铁道部卖票的。它才不管用户什么意见什么想法，只听铁道部的。

--

Cheng,

Best Regards

[Shell Xu]

正是如此。

而支付宝，暂时来看也没有什么“易用性上的压力”。因为目前为止，支付宝的业务还算是无可替代的。人们不会因为“你的字体不好看”或者“你的界面排布不科学”之类的原因离开。大多数离开的原因只能是“不安全”，“和银行转账时间过长”，“利率太低”，“没什么地方能用这个支付的”。而后者基本没有程序员和PM什么事，他们更像是大老板之间讨论的结果。

所以，不能用支付宝付12306是值得关注的，而12306干了什么蠢事才不是支付宝关注的重点。重点是支付宝在里面没有法律和道义上的责任。

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

[Plain_Text]

　　一直没看到支付宝的技术人员出来讨论。我相信这里肯定有支付宝的人，而且
也应该看到了这个主题。他们不说话，可能对自家的官僚企业文化心知肚明。

　　据我了解，公安部门接到支付宝被盗的报案并不少，支付宝没有宣传中的安全。
只是阿里巴巴的公关做得好，报道出来的很少。不过如果任其发展下去，总会遇到
公关也压不住的时候。

[Shell Xu]

支付宝没有宣传中的安全，这应该不是一个结论，而是前提。你需要的话，我可以找出一堆例子。

但是同理，银行卡被盗（被复制）+密码泄露也是一个常见案件。甚至很多时候，有些老头老太太突然就被开了网银，完了钱转眼没了。查下来，是卡被复制+假身份证+弱密码之类的玩意。

我们是怎么界定责任的呢？银行卡（密）被盗引起的财产问题由使用者自理。

我不想帮支付宝推卸责任，实际上我觉得那就是个流氓。但是从道理上，他确实是一家支付中介机构，应当和银行等同而视，不能因为银行体量大就特殊对待。如果什么东西大就可信，那么你最应该相信的应该是政府。

实际上我觉得卡（密）被盗引起的问题由使用者买单，这个很不合理。作为使用者我怎么可能跑去改善银行系统的安全性呢？（包括只允许设定6位数字密码的规定）宣传银行系统不合理，进而逼迫银行？有可能么？有的话，这个宣传成本又由谁来买单呢？

如果法律规定银行需要承担其系统不够严密的责任（而且能够确实实施的话），我觉得情况就会好很多。但是我们的法律不是这么规定的。

我相信这里应该有中国人，应该也看到了这个问题。他们不说话

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Plain_Text]

　　量大的东西相对可信，不是因为他们的道德水平会自然地提高，而是作案的
成本会提高。如果某家银行在一个月内有一千万个帐号被盗，看谁有本事能将这种
负面消息压下去？正因为此，面对量大的东西，从业人员会相对谨慎。

[Shell Xu]

你不知道12306的自签署证书么？成本在哪里？说白还是一句——

——爱用用，不用滚。

你的逻辑有个明显的漏洞——如果这个事对他是个事的话。你知道很多公司已经大到这种问题对他们不是个问题了。

同类的事例数不胜数。盲目的相信大而全的主体，并怠堕的产生依赖感和安全感。这是很多麻瓜的天生缺陷。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Rivsen]

歪个楼，麻瓜一词用的妙～

Shell Xu <shell...@gmail.com>于2015年6月29日周一 下午3:16写道：

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

Send from my Nexus 5.

[Chaos Eternal]

继续歪个楼，比如司法部门取代立法部门立了个法。然后一群麻瓜都说好。

> 您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[liyaoshi]

你们在聊啥

[Plain_Text]

　　我说了盲目相信吗？你的冷嘲热讽我就没必要配合了。你说我的逻辑有明显的
漏洞，怎么不回应一下“如果某家银行在一个月内有一千万个帐号被盗，看谁有
本事能将这种负面消息压下去？”这句话。

[Shell Xu]

很简单，根本不可能。

如果发生这种事情，一个是犯罪嫌疑人（不管是不是他干的）瞬间被抓出来。一个是银行关门重组，例如三鹿。

你说这种天打雷劈总计十个倒霉鬼的事情，换你你怕？

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[pytho...@yeah.net]

原来shlug上大家都关注用户能不能举报，该不该举报，举报后阿里管不管啊？

觉得开始讨论技术讨论得挺好的，怎么开始因为政治问题吵起来了。

果然有人的地方就有江湖。

---

pytho...@yeah.net

 

发件人： Shell Xu

发送时间： 2015-06-26 12:23

收件人： shlug

主题： Re: [shlug] [OT] 安卓手机上支付宝的安全问题

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[William Qi]

个人觉得，如果他想抓你的账号和密码，无论支付宝怎么做，都不可能保证app自己不做代理去抓.. 除非支付宝强制商户使用支付宝的SDK进行支付. 或者这个不算漏洞的漏洞无法避免.

Thanks, William

-----Original Message-----
From: sh...@googlegroups.com [mailto:sh...@googlegroups.com] On Behalf Of Plain_Text
Sent: 2015年6月24日 8:02
To: sh...@googlegroups.com
Subject: [shlug] [OT] 安卓手机上支付宝的安全问题


　　这里可能有支付宝的技术人员吧？

　　如果要在 12306 买火车票并且用支付宝付款，那么在电脑上很容易操作。
支付时会跳出新网页，从浏览器的地址栏里可以清楚地看到 alipay.com 的域名，
心里踏实。在手机上当然也可以用手机浏览器操作，但很不方便。如果用 12306 的
安卓客户端，那么支付时并不会打开网页，而是直接输入支付宝的帐号和密码。
怎么保证 12306 不伪造一个支付宝的登录界面，趁机截留帐号和密码？当然 12306
是铁路大型机构，应该不会干那样的事情。不过如果某个小商户声称它的手机客户端
支持支付宝，而且也像 12306 那样在它的手机客户端里嵌入支付宝的登录界面，
怎么保证不钓鱼？

[Shell Xu]

因为从动力上说，阿里根本不会管。

不用推论了，这不是一个猜测。就算是阿里自己的安全问题，阿里也不一定每个都会回应，除非这个问题很严重。

一般性问题，易用性问题，我也提了一些了。

后来内部员工告诉我，别折腾了。我还有一堆意见提在内网上呢。。。

[Plain_Text]

2015-06-30(Tuesday) 10:41:46 +0800, Shell Xu <shell...@gmail.com>:

> 很简单，根本不可能。
> 如果发生这种事情，一个是犯罪嫌疑人（不管是不是他干的）瞬间被抓出来。一个是银行关门重组，例如三鹿。
> 你说这种天打雷劈总计十个倒霉鬼的事情，换你你怕？

　　不觉得你说话前后矛盾吗？前面我强调“量大的东西相对可信是因为他们的
作案成本高，不敢作案”，而你否认。你认为量大的东西更不安全，认同安全的人
都是麻瓜。可你现在又承认作案会被抓，所以不敢作案。那你的逻辑在哪里？
量大的东西究竟不安全在哪一方面？

[Plain_Text]

2015-06-24(Wednesday) 09:22:34 +0800, William Qi <hualu.w...@gmail.com>:

> 个人觉得，如果他想抓你的账号和密码，无论支付宝怎么做，都不可能保证app自己不做代理去抓.. 除非支付宝强制商户使用支付宝的SDK进行支付. 或者这个不算漏洞的漏洞无法避免.

　　内嵌登录就会出现这种问题。但只要不内嵌登录，比如打开网页来登录，或者
将支付信息传递到支付宝的官方应用“支付宝钱包”就可以大大降低被钓鱼的可能。

[Shell Xu]

我没说不敢作案啊。我是说不怕啊。

因为被抓概率太低。

你想，走在街上都会被车撞呢，你会害怕所以不走路么？

同理，碰到的概率太低了，就直接忽略了。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Shell Xu]

我也说了。在安装应用的前提下，这两个途径根本不安全。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Shell Xu]

我觉得有点鸡同鸭讲吧。我最后一句应该明确的用的是反问句。如果我想表达“他们确实害怕”的意思，最后用问号干嘛呢。。。

我还是和看得懂反问句的人接着聊吧。。。

2015-06-30 11:39 GMT+08:00 Plain_Text <resa...@gmail.com>:

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Zhang Cheng]

我早就因为自己语文能力太差，没法说出让他明白的语言而放弃了。。。

将安全建立在“对其他人的信任”上，将安全感等同于安全，觉得越有安全感就越安全。一个安全体系可以由“相信你不敢作案”推导出“你更安全”。这个安全体系太可怕了。

安全这个领域本来就是建立在“不信任”之上的，研究的是怎样在不信任你的情况下降低在与你交互中受到损失的概率。

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

Cheng,

Best Regards

[Shell Xu]

我也认同这个观点。

不信任是天然的。安全是研究如何去相信别人的学科，而不是研究如何不相信别人的学科。

好的机制设计，会让你不必要的信任降低到最小极限。由于这些对象的记录很好。而且只要信任这么一点对象，就可以获得很大便利。因而我更倾向于去相信他们。例如ca的根（当然，有些根也是不可信的。我额外的untrust了很多ca根）。

而糟糕的机制设计，会要求你无条件的信任他。这种信任，往往还要求凌驾于其他原则之上，乃是“不可质疑的”。

[Plain_Text]

　　越抹就越黑。“被抓概率太低”跟“如果发生这种事情，一个是犯罪嫌疑人
（不管是不是他干的）瞬间被抓出来”难道不是自相矛盾吗？

[Plain_Text]

　　既然你张成不放弃用“语文太差”之类的话来对我嘲讽，那我就只好继续陪你
说说。我说的“相对可信”，是量大的东西相对量小的东西。在同等情况下，前者
的作案成本高，所以相对安全。但根本的安全就是不应该有“内嵌登录”这种事情。
从头到尾我都在表达一个意思。而你呢？无法自圆其说。前面说支付宝可以让用户
举报第三方应用的钓鱼行为，我问你如何对钓鱼进行取证，你却回答不出来。

[Shell Xu]

说，接着说。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[AnnCMY]

哎呦， 这种问题 大家聊聊就是，不必叫某宝的同学摆明身份来说吧。那可得有不要饭碗的决心，或是钢铁侠的小马甲，才可能啊！

[AnnCMY]

要求输密码的时候， 都是要你输完整密码么？
如果只是随机要求输 比方 第三，第五，第某位密码 并且是从下拉框选择 而不是键盘输入， 是不是更安全一点？
我不是技术人员，只是使用上发现几个用的银行信用社啥的都是这么个要随机密码输入，最近连单位里都要这么搞才能入内网。但象paypal啥的却都是要输完整密码。
技术上来说，这个要随机密码应该很容易实现吧？安全性上能提高多少呢？

[Shell Xu]

你说的是CSDN吧。。。

要能够输入密码的第N位，通常都是需要保存了完整的原始密码的。。。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

[Jackie Mao]

如果是MD5的怎么比较第N位

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[孑影]

阿里有用OAuth 不 ？
#风起看云涌，叶落品人生#

[Zhang Cheng]

2015-06-30 12:41 GMT+08:00 Plain_Text <resa...@gmail.com>:

​如果你语文真的很好的话，那么你为什么没有理解出这些意思？

* “更可信”跟“更安全”没有任何关系。“更可信”的东西未必“更安全”。

* “量大”未必“更可信”​。如果量大就更可信的话，某度的量大吧，你信么？某60的量大吧，你信么？

* “信任”是非常主观的事情，“信任”是基于一个人根据自己的人生经验而对事物做出的判断，每个人的经验不同，判断也不同。也许你更信任“量大”的东西，但是我并不信任。

* 从支付宝的角度，如果你希望支付宝对公众宣传“浏览器比内嵌更安全”，那么你能否帮助支付宝从技术上解释，为什么浏览器比第三方更安全？注意，是技术上解释，不要再拿“量大的东西更可信”这种结论来敷衍，更不要说“更可信就更安全”。

至于你一直纠结的“举报第三方钓鱼”的问题，在你没有看懂我原话所在的整段的内容前，我拒绝回答。我认为要么是你的语文差，要么是你故意断章取义钓我的鱼，我不吃这一套，谢谢！

此外，我前面的邮件里也对你提出了许多问题，你全都忽视或者断章取义的反问，却反过来说我回避你的问题，对于这样的辩论技巧，我将直接无视。

--

Cheng,

Best Regards

[孑影]

阿里有用OAuth 不 ？
--用了。

OAuth 做厂商与厂商的互信，这样会不会安全些。
#风起看云涌，叶落品人生#

[Plain_Text]

　　讨论任何问题都要联系上下文，这个帖子讨论的安全就是资金上的安全，
跟金钱有关的安全。诸如 12306 的证书问题，跟主题无关。因为 12306 的帐号
被盗，或者奇虎 360 盗取用户隐私信息，都是跟资金无关的信息。那些用户量大
的互联网公司可以盗取到用户的手机号码和家庭住址等隐私，可绝大多数用户并不
在乎，所以他们在盗取隐私的时候并无多大的压力。另外法律上对盗取隐私的规定
也很模糊，最多只有民事上的罚款。而资金被盗肯定是刑事案件，大面积的资金
被盗是非常严重的案件。犯罪成本高，自然相对安全。

　　我跟你的分歧就在于：我认为用浏览器登录比内嵌登录更可控，而你认为相反。
我的思路是：第三方应用通过浏览器钓鱼，就要在网址上做手脚。可能许多人不会
去看域名，但像我这种谨慎的人一定会仔细检查域名。这样我就可以抓到钓鱼的
证据，第三方应用就不敢做这种容易被抓到证据的事情。而内嵌登录不可控在于：
用户和支付宝这两方都无法对内嵌钓鱼进行取证，所以无法惩罚它。


　　而你认为：内嵌登录是相对可控的，因为支付宝可以发现第三方应用干了坏事。
我提出质疑：怎么发现？你又立刻打圆场说：通过用户举报。举报要有证据，我
问你如何取证，你却说不出来。如果你还是认为我曲解了你，我将你的原话搬过来，
如下。
----------------------------------------------------------------------
对于支付宝来说，应用内嵌浏览器，比调用外部浏览器更“可控”一些，因为一旦
发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的服务，并暂时冻结
在这个应用里支付过的用户的帐号来止损。
...

我说的“支付宝发现xx做坏事”，是指被动发现，而不是主动发现。被动发现就是
有用户举报了。
----------------------------------------------------------------------


　　当然可能我的理解能力有限，但绝对不是故意曲解你。另外你说我忽略了你
提出的问题，请列举出来。谢谢！

[Plain_Text]

　　另外回答一下你这次提出的问题。

----------------------------------------------------------------------

从支付宝的角度，如果你希望支付宝对公众宣传“浏览器比内嵌更安全”，那么你能否帮助支付宝从技术上解释，为什么浏览器比第三方更安全？注意，是技术上解释，不要再拿“量大的东西更可信”这种结论来敷衍，更不要说“更可信就更安全”。

----------------------------------------------------------------------


　　首先，浏览器的安全并不需要支付宝负责，就好比系统底层的内核是否安全也
不是支付宝事情。如果硬要从技术上来解释，那么存在开源的浏览器供技术人员
进行代码审查，而跟支付宝签约的所有第三方应用都是闭源的，难以对其进行审查。

[Zhang Cheng]

2015-07-01 8:15 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　首先，浏览器的安全并不需要支付宝负责，就好比系统底层的内核是否安全也
不是支付宝事情。如果硬要从技术上来解释，那么存在开源的浏览器供技术人员
进行代码审查，而跟支付宝签约的所有第三方应用都是闭源的，难以对其进行审查。

​很简单的逻辑，如果支付宝要求大家用浏览器而不是内嵌，并且说是为了安全。那么，支付宝就必须要证明浏览器比内嵌安全。请你证明吧。证明时请注意这两点：

＊ 请不要再以“因为量大所以更安全”，跟钱有关的场景下，这个结论依然不成立。各种私募基金跑路的可不少，论量，哪个不够枪毙的，抓到的又有几个？犯罪成本高从来不会降低犯罪率，只有犯罪性价比降低了，才有可能降低犯罪率。某个银行行长要偷钱还不容易，真要发生了“几千万账号资金被盗”的事情，大不了银行倒闭，找个替死鬼，行长跑路出国，要被抓到很容易么？“量大所以更安全”，只是你个人的一厢情愿而已，食品安全同样重要吧，三鹿出事前的量算大的吧，你看看他们做的事害死了多少人？出事之后受害者得到什么补偿了么？他们又有几个人受到惩罚了？天天想着“量大所以更安全”，简直是naive。

＊ 浏览器未必就量大。任何一个android厂商出长自带的浏览器几乎都自己定制过，可以说市面上的浏览器至少几十、上百种。某为自带的浏览器安全么？某族自带的浏览器安全么？某米自带的浏览器安全么？

如果你不能证明浏览器一定比内嵌安全，你凭什么要求用户用浏览器而不是内嵌？你真的很在乎地址栏显示的那点东西，你可以让内嵌的也放一条地址栏。从程序的角度说，内嵌的浏览器跟第三方浏览器没有任何区别，地址栏也都是浏览器厂商自己控制的。第三方内嵌，不过就是这个第三方自己做了一个浏览器给你用而已。

PS，我昨天发现某号店的App，使用支付宝登陆时，仍然是内嵌网页登陆的。请问某号店安全吗？市面上所有浏览器都比某号店更安全么？

PS2，现在的犯罪性价比真的越来越高了，你看看最近小米路由器篡改用户网页的事，在互联网隐私、互联网安全界都算是大事了。结果呢？人家一句“只是开发版本中的功能，不会推给用户”，呵呵，连替死鬼都不用找了。

--

Cheng,

Best Regards

[Zhang Cheng]

2015-07-01 8:10 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　而你认为：内嵌登录是相对可控的，因为支付宝可以发现第三方应用干了坏事。
我提出质疑：怎么发现？你又立刻打圆场说：通过用户举报。举报要有证据，我
问你如何取证，你却说不出来。如果你还是认为我曲解了你，我将你的原话搬过来，
如下。
----------------------------------------------------------------------
对于支付宝来说，应用内嵌浏览器，比调用外部浏览器更“可控”一些，因为一旦
发现某个应用干坏事了，支付宝发现之后至少能立刻终止对其的服务，并暂时冻结
在这个应用里支付过的用户的帐号来止损。
...

我说的“支付宝发现xx做坏事”，是指被动发现，而不是主动发现。被动发现就是
有用户举报了。
----------------------------------------------------------------------

我说的是在“被发现之后”的前提下，如何发现我并不关注。因为同样的问题我也可以问你啊，浏览器厂商干坏事偷了你的账号，你能发现么？如何发现？​

--

Cheng,

Best Regards

[Plain_Text]

　　首先，昨天你说我回避了你提出的问题。到现在依然没有告诉我，具体回避了
哪些。如果有，可以明确说出来。另外，这次你又在量大的问题上纠缠了很久。
你明明知道，“用户量大”是相对“用户量小”，是相对的，不是绝对的。更重要的
是，这个问题跟帖子主题无关。如果你确实想辩论量大或者量小的安全问题，可以
另外找一个地方跟你辩论。

　　支付宝没有义务去证明浏览器比内嵌安全，因为浏览器是基础设施，是手机
出厂就带有的。安全程度如何是手机厂商的事情，或者是用户自己的事情（针对
爱折腾手机、爱刷机的用户）。从支付宝公司的角度说，内嵌登录所导致的风险
自己不能免责，而浏览器所导致的风险是可以免责的。从用户角度说，用户可以
选择自己信任的浏览器。比如购买预装了某种自己认同的浏览器的手机，或者手工
安装自己认同的浏览器。无论是支付宝公司还是最终用户，用浏览器都可以更轻松。
而内嵌登录，就对用户没有自由可言；支付宝公司也要承担连带的风险，因为
支付宝跟第三方应用签了约。

[Plain_Text]

2015-07-01(Wednesday) 10:15:38 +0800, Zhang Cheng <steph...@gmail.com>:

> 我说的是在“被发现之后”的前提下，如何发现我并不关注。因为同样的问题我也可以问你啊，浏览器厂商干坏事偷了你的账号，你能发现么？如何发现？​

　　“如何发现我并不关注”，因为你根本发现不了！用不可能实现的事情来充当
论据？至于你问到的“浏览器厂商干坏事偷了你的账号，你能发现么？如何发现？”
我的确发现不了，但我有对浏览器的选择权，我可以选择口碑好的浏览器。但对于
内嵌登录，许多情况下没有选择权. 12306 可以用网页来访问，而有些第三方应用
就根本没有网页接口。或者虽然有，但对用户不友好，比如购物价格要高得多等等。

　　再举个例子来说明，现在政府机关也喜欢用微博和微信来发布信息。在我看来，
微博可以接受，但微信不可接受。因为微博可以用自由地选择我喜欢的浏览器来
访问，而微信就必须安装腾讯的客户端软件。前者我有自由，后者我没有自由。

　　你说我曲解了你，却说不出具体情况。你说用户可以举报，却明知根本无法
取证。你还试图转移话题，去讨论量大量小的问题。如果我跟着你走，最后可能
转移到政治话题上去了。刚开始的时候，你在友好地讨论问题，到现在就完全是
“为了反对而反对”。

[Zhang Cheng]

2015-07-01 10:46 GMT+08:00 Plain_Text <resa...@gmail.com>:

支付宝没有义务去证明浏览器比内嵌安全

​就凭你这句话，如果支付宝真这么做了，我立刻就不用支付宝了，完全不需要辩驳。把安全的责任全都推给用户。

我确实有选择浏览器的自由，但是，对不起，我不知道如何选择浏览器！我系统里有好几个浏览器，我完全不知道哪个更安全。

其他的不用多说了，建议你去补习一下语文。​

​如果你要对支付宝提建议，你可以在这里提：https://egg.alipay.com/egg/index.htm，祝你好运。

（仅供参考：我曾经在这里提了一条关于安全方面的建议，被采纳了​。因此这里确实可以提安全方面的建议，剩下的，只有祝你好运了。）

--

Cheng,

Best Regards

[Zhang Cheng]

2015-07-01 10:46 GMT+08:00 Plain_Text <resa...@gmail.com>:

支付宝没有义务去证明浏览器比内嵌安全

​我做了一款App需要使用支付宝支付，考虑到用户手机里的浏览器环境很恶劣，为了保障用户支付的安全，因此我也开发了一个安全浏览器，内置在自己的应用中，当用户支付时，使用我这个浏览器。突然，今天支付宝说，不允许内嵌了，因为内嵌的不安全，摔！我的安全浏览器哪里不安全了啊！​支付宝，你涉嫌与其他浏览器厂商通气垄断，恶意搅乱浏览器市场，我要告你！

​对了，我记得某60在PC上有“安全浏览器”​产品，号称可以保障在线支付的安全。我内嵌在应用里的浏览器为什么就不安全？啥，你要地址栏？好啊，我给你显示一个地址栏就行了。

PS，有地址栏就安全了？浏览器要偷你账号，根本不需要对地址栏动手好伐！地址栏里显示支付宝的页面，还有个小绿锁，你就确定你的网页里没有iframe？你就确定网页里所有的js都是从支付宝服务器加载的？摔，浏览器要干坏事都不用这么麻烦，直接读你输入到文本框中的账号密码就行了，神不知鬼不觉。

--

Cheng,

Best Regards

[Jackie Mao]

如果是小绿锁那应该没有其他网域的iframe,有非证书覆盖下的资源会有叹号或黄色三角提醒(firefox-chrome)

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

[Zhang Cheng]

2015-07-01 11:29 GMT+08:00 Jackie Mao <ica...@gmail.com>:

如果是小绿锁那应该没有其他网域的iframe,有非证书覆盖下的资源会有叹号或黄色三角提醒(firefox-chrome)

​绿锁还不是浏览器自己显示的？历史上被爆出来浏览器不正常显示绿锁的案例也不少，浏览器要做个手脚太容易了，只要使用的手法巧妙，被发现之后就说是bug，并非刻意所为。

话说，chrome还有绿锁、黄锁、红锁等各种锁，safari就一个灰锁，它有或者没有我根本注意不到。​

--

Cheng,

Best Regards

[Chaos Eternal]

嗯，接下来是不是应该科普一下比如功利主义，经验主义
以及关于利维坦？

基本上来说，对于这样一个怪物，凡人的选择很有限：要么呐喊，要么沉默。
结果呐喊的人吵醒了一屋子装睡的人，都在抱怨：反正都是死，为啥非要清醒着感受死的恐怖?

[Plain_Text]

2015-07-01(Wednesday) 11:05:14 +0800, Zhang Cheng <steph...@gmail.com>:

> ​就凭你这句话，如果支付宝真这么做了，我立刻就不用支付宝了，完全不需要辩驳。把安全的责任全都推给用户。
>
> 我确实有选择浏览器的自由，但是，对不起，我不知道如何选择浏览器！我系统里有好几个浏览器，我完全不知道哪个更安全。

　　你认为用浏览器就是将责任推给用户，那么内嵌登录就没有将责任推给用户？
不但有，而且更加严重。虽然内嵌被钓鱼事后可能得到支付宝的补偿，但提前是
受害者多，让政府权力部门介入。如果受害者很少，政府不会重视，不积极破案。
用户无法取证被钓鱼，政府又不管事，支付宝怎么可能在没有证据的前提下对用户
补偿？

　　浏览器登录至少可以让部分谨慎的用户降低被钓鱼的风险，而内嵌登录让所有
用户都面对巨大的风险，因为没有选择权。其实说到底是你在强调你对浏览器有
强烈的负面印象，存在乱七八糟的浏览器就说所有浏览器的风险都很高。而在我
看来，内嵌登录才是真正的高风险，因为在技术上完全不可控。

　　至于你说的“我不知道如何选择浏览器”，如果用户不懂得选择好的浏览器，
他就不会去安装多个，会使用默认的浏览器。

[Chaos Eternal]

12306的帐号被盗，可以用你的身份信息买很多票，然后黄牛有的是手段把票洗出来。

至于某60偷隐私，你的整个电脑都不可信了，你还能在上面进行交易？这会跟资金无关？况且，以某60做事的水平，这些隐私数据说不定已经被人拿走放到黑市上卖了，还敢说跟资金无关？

至于你说仔细看域名，如果有个应用在后台重定向了你的流量，改了dns以及根证书，分分钟你的钱就没了，还安全？

----

既然是谈安全，我们可不可以站在一个谈安全的上下文来说，而不是模糊概念，说什么大家都信任了就是安全的，也不要说什么因为抓到的代价很高所以就没有人干。
至于语文问题，可以参考
RFC 3552
这是一个不错的起点。

2015-07-01 8:10 GMT+08:00 Plain_Text <resa...@gmail.com>:
>

[Plain_Text]

2015-07-01(Wednesday) 11:17:54 +0800, Zhang Cheng <steph...@gmail.com>:


> 支付宝，你涉嫌与其他浏览器厂商通气垄断，恶意搅乱浏览器市场，我要告你！

　　支付宝并不要求用户必须使用某浏览器，何来“通气垄断”？如果第三方强行
用内嵌浏览器，才更符合垄断吧？



> PS，有地址栏就安全了？

　　我没这么说过，请你不要编造我的观点。如果浏览器本身不可信，那么地址栏
当然保证不了安全。



　　回到正题，我想了解怎样从技术上防止内嵌登录的钓鱼行为？如果支付宝公司
有高超的技术可以在服务器端察觉第三方应用的钓鱼行为，或者用户可以察觉，
那么就说明内嵌登录是可控的，然而你说了那么多，却一直没拿证据出来，如何
可控？最早你说支付宝可以发现某个应用干坏事，拿不出具体措施；后来又打圆场
说“通过用户举报”，却给不了取证的方法。至少用浏览器可以让那些谨慎的用户
对风险进行控制，而内嵌登录对任何用户都是高风险。

　　麻烦你不要转移话题，用什么“补习语文”来掩饰自己观点的无力。

[Plain_Text]

2015-07-01(Wednesday) 12:05:20 +0800, Chaos Eternal <chaose...@shlug.org>:

> 12306的帐号被盗，可以用你的身份信息买很多票，然后黄牛有的是手段把票洗出来。
>
> 至于某60偷隐私，你的整个电脑都不可信了，你还能在上面进行交易？这会跟资金无关？况且，以某60做事的水平，这些隐私数据说不定已经被人拿走放到黑市上卖了，还敢说跟资金无关？
>
> 至于你说仔细看域名，如果有个应用在后台重定向了你的流量，改了dns以及根证书，分分钟你的钱就没了，还安全？
>

> 既然是谈安全，我们可不可以站在一个谈安全的上下文来说，而不是模糊概念，说什么大家都信任了就是安全的，也不要说什么因为抓到的代价很高所以就没有人干。

　　“12306的帐号被盗”跟“支付宝帐号被盗”是两回事，前者不会让资金受损，
而后者会。“某60偷隐私”的胆量跟“偷支付宝里的钱”的胆量根本不一样，后者是
刑事案件。

　　我说的“仔细看域名”是建立在系统本身安全的基础上。如果你的浏览器本身
不安全，支付宝没有责任。

　　“说什么大家都信任了就是安全”是你的观点，而不是我的观点。如果你认为
我说过，请你给出证据。请不要随意编造我的观点。

[Zhang Cheng]

2015-07-01 12:01 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　你认为用浏览器就是将责任推给用户，那么内嵌登录就没有将责任推给用户？
不但有，而且更加严重。虽然内嵌被钓鱼事后可能得到支付宝的补偿，但提前是
受害者多，让政府权力部门介入。如果受害者很少，政府不会重视，不积极破案。
用户无法取证被钓鱼，政府又不管事，支付宝怎么可能在没有证据的前提下对用户
补偿？

　　浏览器登录至少可以让部分谨慎的用户降低被钓鱼的风险，而内嵌登录让所有
用户都面对巨大的风险，因为没有选择权。其实说到底是你在强调你对浏览器有
强烈的负面印象，存在乱七八糟的浏览器就说所有浏览器的风险都很高。而在我
看来，内嵌登录才是真正的高风险，因为在技术上完全不可控。

　　至于你说的“我不知道如何选择浏览器”，如果用户不懂得选择好的浏览器，
他就不会去安装多个，会使用默认的浏览器。

​我从没有强调我对浏览器有负面印象，我只是一直在说，浏览器不比内嵌安全，一点都不更安全，内嵌也不比浏览器更安全，一点都不更安全。​如果你不认可这个结论，那咱没的聊了。如果你认可，那么在这个结论下，支付宝凭什么可以单方面禁止内嵌而不禁止浏览器？事实上我在很早的一封邮件里就说了如下一段，只是被你无视了而已：

如果我们有共识，认为支付宝钱包相比起其他方式来说都更可靠一些的话，那么我觉得
支付宝应该这样做：
* 逐步淘汰网站支付接入，或者网站接入时，仅支持用移动设备扫码支付，不支持密码支付。
* 移动端，督促各应用尽快升级到使用移动端接入的方式，而不是网站接入的方式来支付。

​使用默认浏览器就安全么？请你告诉我，

* 小米自带的浏览器**你觉得**安全么？

* 华为的自带的浏览器**你觉得**安全吗？

* for manufacturer in all-android-manufacturers:

   manufacturerer自带的浏览器**你觉得**安全吗？

注意，我强调**你觉得**，因为从安全的角度，我不会信任任何厂商，我也不会无证据的去猜测任何厂商。

​请问我怎么选择？我还就是信任某个App内嵌的浏览器呢，为什么不让我选择它？​

请问，内嵌的浏览器跟独立的浏览器有什么本质区别？都是某个厂商出厂的用于浏览网页的工具而已。

不知道你觉得安全的浏览器都有哪些，恐怕有chrome吧？好吧，告诉你，在安全方面，我非常不信任手机上的chrome，还有国内装机量很大的UC，这些浏览器都带有所有的“节省流量”的功能，会将流量通过一个支持压缩的代理传输，这个“代理”甚至会修改网页内容（比如号称会修改网页内容以适配手机）。这些浏览器哪个比应用内嵌的浏览器安全了？从技术上说，他们的安全性更差，因为使用没有代理的浏览器，我的数据只会存在于我的设备、我的ISP、对端服务器上，而有代理之后，我的数据还会出现在代理服务器上，更多的曝光点，更差的安全性。

为了防止你的语文再次误读，我最后再次声明，我没有表达独立浏览器比内嵌浏览器更危险的意思，我只是在论证独立浏览器不比内嵌的更安全而已。安全也不是建立在信任之上的，你信任一款产品，你觉得这款产品安全，不代表这款产品对所有人来说都安全。

另外，也不要只从你的角度出发，从你的角度，你有选择浏览器的能力所以你更安全，但是从其他人的角度出发，有选择往往意味着更危险。

--

Cheng,

Best Regards

[Zhang Cheng]

2015-07-01 12:06 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　回到正题，我想了解怎样从技术上防止内嵌登录的钓鱼行为？如果支付宝公司
有高超的技术可以在服务器端察觉第三方应用的钓鱼行为，或者用户可以察觉，
那么就说明内嵌登录是可控的，然而你说了那么多，却一直没拿证据出来，如何
可控？最早你说支付宝可以发现某个应用干坏事，拿不出具体措施；后来又打圆场
说“通过用户举报”，却给不了取证的方法。至少用浏览器可以让那些谨慎的用户
对风险进行控制，而内嵌登录对任何用户都是高风险。

　　麻烦你不要转移话题，用什么“补习语文”来掩饰自己观点的无力。

​来吧，狠狠的给你补习一下语文吧！原段落的意思是：

某年某月某日，某黑客在某报披露，xx浏览器窃取用户支付宝帐号，并大量盗窃用户财产。支付宝表示，我无能为力，是你们用户自己作死。警方花了N天采集证据，在采集到足够证据之后，查封相关浏览器厂商、冻结相关厂商的帐号，而在警方采取冻结措施之前，该厂商仍然可以继续盗窃用户资产。支付宝无法作为。

某年某月某日，某黑客在某报披露，xxApp窃取用户支付宝帐号，并大量盗窃用户财产。支付宝立即封禁了该商户在其上的帐号，并通过日志找到所有在该App内支付过的支付宝帐号，予以暂时冻结，并通知帐号拥有者重新通过安全验证才可解冻帐号。支付宝及时的采取了止损行为，避免了用户的财产受到进一步的损失。​（备注，支付宝与警方不同，警方不能无证据冻结帐号，而支付宝可以以保护为由冻结用户帐号，而且只需要用户能够通过安全验证，可以立刻解封。支付宝也可以采取软冻结，例如对于可能已经泄露密码的帐号再次尝试消费时，要求其完成更多的安全验证措施。总之，支付宝可以做很多的事情。）

--

Cheng,

Best Regards

[Doyle]

"第三方应用通过浏览器钓鱼，就要在网址上做手脚。"
.......太小看如今的钓鱼手段了啊...

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

[Plain_Text]

2015-07-01(Wednesday) 12:21:51 +0800, Zhang Cheng <steph...@gmail.com>:

> 事实上我在很早的一封邮件里就说了如下一段，只是被你无视了而已：
>
> 如果我们有共识，认为支付宝钱包相比起其他方式来说都更可靠一些的话，那么我觉得
> > 支付宝应该这样做：
> > * 逐步淘汰网站支付接入，或者网站接入时，仅支持用移动设备扫码支付，不支持密码支付。
> > * 移动端，督促各应用尽快升级到使用移动端接入的方式，而不是网站接入的方式来支付。

　　我没有无视，而是说“支付宝不可能关闭 Web 接口”。因为浏览器才是最大
公约数，许多冷僻系统可能会安装不了支付宝的应用。

> ​使用默认浏览器就安全么？请你告诉我，
> * 小米自带的浏览器**你觉得**安全么？
> * 华为的自带的浏览器**你觉得**安全吗？
> * for manufacturer in all-android-manufacturers:
> manufacturerer自带的浏览器**你觉得**安全吗？

　　至于使用默认浏览器是否安全，看具体情况。如果是用户量大的手机，默认
浏览器至少比冷僻的第三方应用内嵌登录安全。（再强调一下，除非特别指明，
这里的安全是资金方面的安全，跟什么用户隐私的安全无关。） 原因我在前面
说过，用户量大，就意味着犯罪成本高，相对安全。如果用一个小作坊生产的
不知名的手机，浏览器的风险高就不奇怪了。但至少用户量大的主流手机是比较
安全的。

　　前面我说过，用浏览器只需要用户去保障一个 APP 的安全，而内嵌登录需要
保障一堆第三方 APP 的安全。两者的风险，哪个更难控制？另外，用浏览器可以
让部分用户更安全，而内嵌登录会让所有用户的安全都得不到保障？哪个的风险
更高？

[Plain_Text]

　　确实可以通过日志来暂时冻结、止损，不过前提是有黑客披露。但三方应用
都是闭源的，完全可以做到很难反编译；通信也是加密的，很难抓包分析。除非
开发者因为内部矛盾将机密泄露了，否则很难发现钓鱼行为。

[Plain_Text]

2015-07-01(Wednesday) 13:13:44 +0800, Doyle <doyl...@gmail.com>:

> "第三方应用通过浏览器钓鱼，就要在网址上做手脚。"
> .......太小看如今的钓鱼手段了啊...



　　在系统和浏览器都相对安全的情况下，除了伪造域名外，请问还有什么方法？

[Zhang Cheng]

2015-07-01 13:21 GMT+08:00 Plain_Text <resa...@gmail.com>:

　　至于使用默认浏览器是否安全，看具体情况。如果是用户量大的手机，默认
浏览器至少比冷僻的第三方应用内嵌登录安全。（再强调一下，除非特别指明，
这里的安全是资金方面的安全，跟什么用户隐私的安全无关。） 原因我在前面
说过，用户量大，就意味着犯罪成本高，相对安全。如果用一个小作坊生产的
不知名的手机，浏览器的风险高就不奇怪了。但至少用户量大的主流手机是比较
安全的。

​我前面的一大段论证 “犯罪成本高从来不会降低犯罪率，只有犯罪性价比降低了，才有可能降低犯罪率” 都被你无视了是吧？​

另外，用浏览器可以
让部分用户更安全，而内嵌登录会让所有用户的安全都得不到保障？哪个的风险
更高？

​用浏览器只不过是让你“觉得安全”了，而不是让你“真的安全”了。​至少让我用浏览器，我并没有觉得就更安全了，也没有任何技术方面的证据告诉我浏览器更安全，如果有，欢迎你给我科普一下，付钱我也愿意听。

但三方应用
都是闭源的，完全可以做到很难反编译；通信也是加密的，很难抓包分析。除非
开发者因为内部矛盾将机密泄露了，否则很难发现钓鱼行为。

​就你这样的语文水平，还是别出来丢人了。真的如前面某人说的，鸡同鸭讲。

你徒有一个很强烈的安全意识，却没有正确的安全观，真为你感到可惜。​

--

Cheng,

Best Regards

[ghosTM55]

别吵了

--

-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了Google网上论坛上的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问https://groups.google.com/d/optout。

--

Thomas
Shanghai Linux User Group

GitCafe - Share a cup of open source

http://ghosTunix.org
Twitter: @ghosTM55

[Plain_Text]

2015-07-01(Wednesday) 14:04:54 +0800, Zhang Cheng <steph...@gmail.com>:

> ​我前面的一大段论证 “犯罪成本高从来不会降低犯罪率，只有犯罪性价比降低了，才有可能降低犯罪率” 都被你无视了是吧？​

　　我无视？那是因为你在不断宣扬“量大的东西也不安全”，却刻意忽视“量小
的东西更不安全”。不断地举例来说量大的东西也有犯罪，刻意忽略量小的东西
犯罪率更高（当然是在同等的情况下）。就好比我说“两百斤重的人比三百斤重的
人更瘦”，你却不断强调某个两百斤重的人走路气喘吁吁，却刻意回避三百斤重的
人往往更严重。以此来加强你的观点，并要求我认同。

​
> ​用浏览器只不过是让你“觉得安全”了，而不是让你“真的安全”了。​至少让我用浏览器，我并没有觉得就更安全了，也没有任何技术方面的证据告诉我浏览器更安全，如果有，欢迎你给我科普一下，付钱我也愿意听。

　　既然你用这种嘲讽的语气，我也可以这么说。
----------------------------------------------------------------------
　　用内嵌登录只不过是让你“觉得安全”了，而不是让你“真的安全”了。​至少
让我用内嵌登录，我并没有觉得就更安全了，也没有任何技术方面的证据告诉我
内嵌登录更安全，如果有，欢迎你给我科普一下，付钱我也愿意听。
----------------------------------------------------------------------


　　我在前面说了许多浏览器更安全的理由，比如有选择权，可以选择开源浏览器
等等。你如果不认同，可以针对我的论点进行驳斥。驳斥不了就通过嘲讽来掩饰
自己观点的无力？




> ​就你这样的语文水平，还是别出来丢人了。真的如前面某人说的，鸡同鸭讲。


　　“但三方应用都是闭源的，完全可以做到很难反编译；通信也是加密的，
很难抓包分析。除非开发者因为内部矛盾将机密泄露了，否则很难发现钓鱼行为。”

　　我的这句话有语文上的问题吗？如果你说我的技术水平不好，不懂得黑客的
厉害，我很乐意了解。你最早说支付宝可以发现第三方应用做坏事，我问你怎么
发现，你回答不了。又说让用户来举报，你也说不出该如何找证据。现在又说由
黑客来披露，我很好奇：黑客很容易发现三方应用的钓鱼行为吗？你不能从技术上
告诉我黑客有这种水平，却只会嘲讽。





> 你徒有一个很强烈的安全意识，却没有正确的安全观，真为你感到可惜。​


　　你徒有很高的技术水平（你技术高，我绝对承认），却没有基本的修养。只会
骂街，我真为你感到可惜。​


　　我不喜欢嘲讽别人，因为这种行为表面上有文化，实际上却跟泼妇无异。我的
技术水平非常有限，本来想发帖了解高手们用什么手段来防止钓鱼。可一直没得到
好的解决方案，却惹来一群喜欢嘲讽的喷子。

[Zhang Cheng]

算你赢好了，然并卵。

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---

您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。
要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+un...@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

Cheng,

Best Regards

[AnnCMY]

不是业内人士，不懂CSDN术语。。。

的确是要保存了完整原始密码的，但这是保存在服务提供方，也就是银行那头负责安全。 

再说，只是初始设定密码时候需要完整密码，之后并不需要完整密码。输一次，和每次都得输完整密码，输一次的risk肯定是低的。 

用户这边并不是每次需要输入完整密码，而且也不是键盘输入这样，作为普通用于的我是觉得安全性高很多的，至少不担心木马或是钓鱼站了。 paypal 这类一直要输完整密码的，我都是能避免就避免的。 我知道身边很多人都是这样，不相信paypal -_- 

On Tuesday, 30 June 2015 08:27:04 UTC+1, shell909090 wrote:

你说的是CSDN吧。。。

要能够输入密码的第N位，通常都是需要保存了完整的原始密码的。。。

2015-06-30 15:24 GMT+08:00 AnnCMY <gee...@gmail.com>:

要求输密码的时候， 都是要你输完整密码么？
 如果只是随机要求输 比方 第三，第五，第某位密码 并且是从下拉框选择 而不是键盘输入， 是不是更安全一点？
我不是技术人员，只是使用上发现几个用的银行信用社啥的都是这么个要随机密码输入，最近连单位里都要这么搞才能入内网。但象paypal啥的却都是要输完整密码。
 技术上来说，这个要随机密码应该很容易实现吧？安全性上能提高多少呢？

--
-- You received this message because you are subscribed to the Google Groups Shanghai Linux User Group group. To post to this group, send email to sh...@googlegroups.com. To unsubscribe from this group, send email to shlug+un...@googlegroups.com. For more options, visit this group at https://groups.google.com/d/forum/shlug?hl=zh-CN
---
您收到此邮件是因为您订阅了 Google 网上论坛的“Shanghai Linux User Group”群组。

要退订此群组并停止接收此群组的电子邮件，请发送电子邮件到shlug+unsubscribe@googlegroups.com。
要查看更多选项，请访问 https://groups.google.com/d/optout。

--

[Alpha Cheng]

2015-07-02 18:25 GMT-04:00 AnnCMY <gee...@gmail.com>:

不是业内人士，不懂CSDN术语。。。

的确是要保存了完整原始密码的，但这是保存在服务提供方，也就是银行那头负责安全。 

再说，只是初始设定密码时候需要完整密码，之后并不需要完整密码。输一次，和每次都得输完整密码，输一次的risk肯定是低的。 

用户这边并不是每次需要输入完整密码，而且也不是键盘输入这样，作为普通用于的我是觉得安全性高很多的，至少不担心木马或是钓鱼站了。 paypal 这类一直要输完整密码的，我都是能避免就避免的。 我知道身边很多人都是这样，不相信paypal -_- 

​​然而我相信 PayPal 不相信 CSDN​.

Chase Online 和 Discover 也都是要求你输完整密码的，肿么破​

--

Regards.

Afa.L Cheng

Disclaimer:

This message contains confidential information and is intended only for the individual named. If you are not the named addressee you should not disseminate, distribute or copy this e-mail. Please notify the sender immediately by e-mail if you have received this e-mail by mistake and delete this e-mail from your system. E-mail transmission cannot be guaranteed to be secure or error-free as information could be intercepted, corrupted, lost, destroyed, arrive late or incomplete, or contain viruses. The sender therefore does not accept liability for any errors or omissions in the contents of this message, which arise as a result of e-mail transmission. If verification is required please request a hard-copy version.

[Alpha Cheng]

2015-07-02 18:25 GMT-04:00 AnnCMY <gee...@gmail.com>:

用户这边并不是每次需要输入完整密码，而且也不是键盘输入这样，作为普通用于的我是觉得安全性高很多的，至少不担心木马或是钓鱼站了。

这样钓鱼网站也有几率钓到你的密码。而且，位数少了穷举起来不是更容易了么