看到《中国网银不能用非ie，真的是中国企业不思进取吗？》这贴我真的笑了，银行为难你，你还为银行说好话，我真是无语。中国的银行玩的无非就是“ActiveX控件”“口令卡＋U盾”“信用卡消费密码”老三样嘛，我一个一个来批。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

用ActiveX控件害的不光是非Windows非IE用户，有些Windows＋IE用户追新，安装了最新的IE版本或者测试版，而银行的控件升级跟不上，也会导致无法使用网银。IE9都发布多久了，农行至今ActiveX控件还不支持IE9呢。ActiveX控件完全是个害人害己的东西。

Windows＋IE登录中国银行的网站有时会导致系统崩溃，出现花屏，然后自动重启，在“Internet选项”-“高级”里取消“启用第三方浏览器扩展”，一般能解决。看到这个解决方法，造成的原因明眼人都知道了吧。

至于还有程序员在网上公开过“ActiveX越补越不安全，漏洞越来越多”的代码研究文章，你们可以去搜搜看，我很早以前看过，懒得找了，认为我瞎编的请随意。

国外银行的开放不光是上面提到的选用技术的问题，还有开放心态的问题。为什么国外有Microsoft Money、Mint、Quiken这种好用的东西（登录一个客户端或者网站就能直接添加和验证大部分银行的帐户，不管是信用卡还是储蓄卡，而且可以在线直接查询余额、转帐、还款，实现几乎所有各家网上银行就可以实现的东西，而无须一家一家网银打开分别查看和处理），国内没有？因为国外大部分银行都是很开放的心态，愿意支持OFX解决方案，共享自己的数据给第三方金融服务商，真正给用户方便和实惠。

这里转载一段OFX的介绍，不想看的可以直接跳过：

OFX (Open Financial Exchange，即开放式金融交换) 是在互联网中用于各金融机构、商家和消费者之间进行财务数据交换统一规范的解决方案。OFX 由CheckFree、Intuit 和微软在1997年早期共同制定，支持普遍类型的金融活动，比如消费者与银行业务（包括图像下载、贷款与分期付款资料的下载）、消费者与企业之间的付款、电子账单和投资业务，包括股票、债券、共有基金和税务情况等资料的下载，还有财务计划和保险等。OFX 支持交易网站、客户机构和私人财务管理软件，使金融机构连接多方用户及系统集成商的过程变得简单而更有效率。
OFX 解决方案是一个面向网络的“客户－服务器”系统，特点是为客户和金融机构服务器之间提供直接连接，以XML 的形式提供一个请求/响应模型，具有所有类型数据的同步功能以及完备的错误校正功能。此标准规范还集成了当今被广泛采用的互联网传输协议与安全协议。此规范的授权是免费的，允许任何软件开发人员去设计前端界面。
OFX 解决方案是开源的，任何金融机构或供应商都可以部署实施它，也可以在网站上进行预览。该解决方案现广泛应用于CheckFree、Intuit、微软以及那些在其产品和服务中支持金融数据交换的公司。
详情请访问：http://www.ofx.net/

微软中国曾经试图引进Microsoft Money这个软件到中国做成简体中文版，遇到的第一个问题就是如何说服中国银行支持OFX格式把自己的数据贡献出来。说服了多少年你们知道吗？最终的结果是，工行招行勉强同意了开放借记卡、信用卡账单自动下载，中国信托商业银行只同意借记卡对帐单自动下载，中行仅提供csv格式银行对帐单和信用卡交易明晰，交行仅同意公开csv银行对帐单。这么多年争取才获得了这么可怜的几家银行的这么局限的支持，这个软件无疾而终也就很正常了。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

口令卡完全是个为了所谓的“安全”牺牲用户体验的东西，其实也并不是你想像的那么安全。

银行给口令卡用涂层覆盖密码区域只是个心理暗示效果，一个安全暗示，刮去的涂层并不能保证你的安全，口令卡的原理决定了涂层跟安全搭不上一丝关系，真正影响安全的是相关的密保算法与网站防钓鱼机制，只能防范盗号、木马、钓鱼等程序。

不管你的口令卡是全没刮，刮了一部分还是全部刮开了，只要不小心落到了别人手里，而这个人知道你的卡号和密码，一样可以神不知鬼不觉盗用你的帐户。

U盾的原理很简单，就是基于非对称的电子密钥系统，银行有公钥，个人持有银行发的U盾里面有私钥，使用的时候两者对应。U盾落到别人手里下场和口令卡一样。U盾和口令卡一样也是物理层面加了一层防盗，而且一样是Windows Only，IE Only，这完全是短视的结果。就算是Windows用户也不是能很顺利用的，随便一搜你就知道有多少人因为是64位Windows或者其他防火墙杀毒软件原因用不上U盾了。

当然这是一种比较极端的情况，我这里只是想说明口令卡和U盾带来的安全心理暗示是名不副实的，有误导的，牺牲的用户体验和实现的安全级别相比起来，我个人觉得是不值得的。

很多人以为银行推出口令卡和U盾是为了安全，其实我觉得银行更多是为了赚钱。光我知道工行和建行已经开始强制推销U盾了，其他银行跟上也是迟早的事情。不花50块钱（各地可能价钱有区别）购买这个U盾，你连活期储蓄帐户都开不了，哪怕你已经买了2块钱的口令卡。搞笑哦！这里都是玩数码的人，就算你们不生产这东西也知道这个批量采购成本撑死也就几块钱了吧，银行真的为用户着想干嘛要50块高价强制推销给你？说U盾好的真是被人抽了嘴巴还要谢天谢地。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

下面说说信用卡安全，很多人不知道信用卡的“刷卡密码”是中国特色吧？这是银联附加的标准，国外是没有这一说的。有的人说“为什么别人拿着我的卡号和CVV2就可以在国外网站购物而不用输入密码，太不安全了”。有的人办了信用卡后第一时间就是开通密码，觉得不开通密码不安全。其实这种想法完全是想反了，实际上不设密码才是真正的安全。

信用卡和储蓄卡的真正区别在于“信用”二字，签帐时让你签名就行了，不用输入任何密码就能方便地消费。如果商家发现签名和信用卡背面地签名不一致就会为难你。如果你收到月结单地时候认为有任何一笔消费不是你消费的，有可能是盗用，只要银行对照了签名认可你的说法，银行是自己吃掉这笔损耗款项，不会记录在你的消费里。

有人说“国内商家都不核对签名的，还是用密码保险”。你们可以随便去看看你们自己信用卡的银行条款，国内都会大概意思这样写成“如果信用卡没有设置消费密码，则发现不属于自己的消费后24或48小时（每个银行不一样）可以提出申诉，核对后将撤销消费。如果信用卡设置了消费密码，则银行会认为每笔消费都是你消费的，不会核对消费凭据”。你以为银行给你信用卡加密码是为了你安全，实际上是银行自己要规避这笔坏帐责任呢，你的小算盘会有银行打得精吗？（笑）假如你的信用卡设了密码，别人直接用你的卡去国外不吃“消费密码”这一套的网上商户去消费了，或者直接偷了你的卡去什么商家消费了，因为你设置了中国特色的消费密码，最终吃亏的还是你自己，因为银行会因为你设置了密码而强制把这笔消费算在你头上。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

如果看完这些还觉得能用国内网上银行是Windows优越性的人，我无话可说。

我讨厌拿Windows能用网上银行来打压其他系统的人，就像我从来不会拿GFW导致Android用户用同步用Gmail不爽来喷Android不好用一样，这样的喷法第一显得没常识，第二显得很刻薄。就算你们觉得中国的网上银行千好万好，而不是指出和投诉他们这些错误的决定，总有一天你们也会吃哑巴亏的。

[ 本帖最后由 sakuraltr 于 2011-10-11 13:18 编辑 ]

引用:

原帖由 leedsun 于 2011-10-11 13:06 发表
posted by wap, platform: ZTE (N600)

牺牲用户体验来保证安全…这有错么？上飞机前过安检多正常？

那你何必用网银？每次都跑银行去排队吧，每次银行都当面看着你亲自来操作才是真的安全。