我们一个新来的leader昨天踌躇满志的跟我说.....

kawara

原帖由 乱码 于 2010-11-19 22:00 发表


kawara原来在国内就是做web的？

是啊。9年以前开始做web，澳洲整整做了3年网银。不过我JS很不好

乱码

原帖由 uowzd01 于 2010-11-19 18:05 发表
再一次证明了LEADER的无能

相信很多公司都看JS不爽，但是其实ASP.NET都是依靠JS才能运行的，JAVA/PHP应该也一样依赖它，更不用说现在流行的JQUERY

这就好像人们说网页程序一样，说以后网页可以替代WINDOWS，结果呢，人人都用WI ...

web page还是得在browser上跑，browser是windows app。

不过google下一个平板电脑传说就是chorome作os，其他的东西全存在云里

bulaohu

原帖由 乱码 于 2010-11-19 21:51 发表
嗯，google 除了search还能在disable js的情况下工作，其他的重要产品都几乎不能.

他比较在乎security,我说银行的例子主要是打消他这方面的顾虑，现在大家好像都在说UX/functional,好吧，这个方面比security更重要些. ...

如果是我的话会问他到底为什么用JS就不安全

乱码

原帖由 kawara 于 2010-11-19 22:03 发表


是啊。9年以前开始做web，澳洲整整做了3年网银。不过我JS很不好

真是老前辈了，怪不得你的java那边那么熟！！

职位不需要谁也不会去用js这种破东西，我干这活也是迫不得已，我们team这方面都比较弱，我算是相对好点，又是新人，就赶鸭子上架了

乱码

原帖由 bulaohu 于 2010-11-19 22:04 发表


如果是我的话会问他到底为什么用JS就不安全

他会用xss来举例子。

我也同意带着javascript的确有隐患，不过要看产品对安全级别的要求，我不觉得我们的产品有什么值得去hack的东西，不过classic asp这个framework在安全上的support的确很有问题，稍微不注意，肯定被人hack了。

我本人就hack过我们同事的帐户，不过人家一点不care

kawara

确实有些人，特别是比较老的IT强调不用或少用JS.

理由是JS有很多漏洞，用户如果拜访了一些恶意网站，或者不完善的网站，他们的私人信息会被非法收集。所以部分用户可能会因此关掉部分JS feature或者干脆disable JS.造成高度依赖JS的网站（也就是我们的产品）不能工作。

换句话说，不能因为用户关掉JS，产品就不能工作。几十名绝顶高手在拍卖网站干的大概就是这个。

所谓的JS security issue，所以我们不能用应该就是指这个

hack一个网站跟这个网站是否用JS应该无关

这是我的理解。JS又一阵快消亡了，是Ajax救了它。很多business people分不清纯JS和Ajax的，他们把看起来有点神的东西都叫做Ajax,比如我上边提到过的那个fold,unfold div

cookie也是有安全漏洞的，所以我们那时候做的网银在用户disable cookie的时候也是能正常工作的。

[ 本帖最后由 kawara 于 2010-11-19 22:50 编辑 ]

zzgirl

我很好奇，现在有没有公司浏览网页是不允许用JS的？

乱码

原帖由 kawara 于 2010-11-19 22:31 发表
确实有些人，特别是比较老的IT强调不用或少用JS.

理由是JS有很多漏洞，用户如果拜访了一些恶意网站，或者不完善的网站，他们的私人信息会被非法收集。所以部分用户可能会因此关掉部分JS feature或者干脆disable JS.造成高度 ...

说句实在话，disable js的人都是tech guru，他们想用某一个网站，自然会去打开js，而且绝对不会因为js不开干不了事而去抱怨，我们的确有点杞人忧天了.

不信他们不去google map.

我们一般提倡cookieless website，不到万不得已，例如login，不会乱用，不过反观amazon，人家用的cookie，那真是出神入化。

你说的这个ajax的确有点搞，哈哈。

乱码

原帖由 zzgirl 于 2010-11-19 22:45 发表
我很好奇，现在有没有公司浏览网页是不允许用JS的？

没明白你的问题.

作网站不用js？还是上网必须关掉js？

我觉得前一个要求有点过分，后一个要求简直就是侵犯人权了

kawara

过去的网站简单，整个网银也没几处JS，validation全部是server side，哪像现在都要求client side validation.以前的UX也就是要排版好看之类。

当时我们卖了个网银给南非的一家银行，人家有钱，从俄罗斯找了一帮从良的黑客来测试我们的产品。把我们的产品搞得七零八落。

主要方法就是bypass页面，手工注入request parameter。当时第一次见，觉得很神。哪像现在是个程序员都会用firebug搞。

cdfei

request parameter没有编码吗？网银不是都应该在HTTPS上跑，能容易注入？

kawara

原帖由 cdfei 于 2010-11-19 23:02 发表
request parameter没有编码吗？网银不是都应该在HTTPS上跑，能容易注入？

https两个方面，

一是证书，网页只是one way authentication，也就是说只challenge server，不challange client，没影响，就算是mutual auth也无非是写自制浏览器时多费点劲，

二是SSL,secure socket layer，保证的是客户端和server中间第三方无法截获，那些人用自制的浏览器充当客户端，所以也没影响。编码什么的自制客户端都能解，因为密钥传递方式和获得都和正常浏览器一样。

总之网站用的https防得是中间第三方和恶意服务器，并不防客户端。

[ 本帖最后由 kawara 于 2010-11-19 23:15 编辑 ]

乱码

原帖由 cdfei 于 2010-11-19 23:02 发表
request parameter没有编码吗？网银不是都应该在HTTPS上跑，能容易注入？

看来谁都没睡哈~~

https是传输方面用binary,防止有人在中间用proxy侦听，在客户这端可以用任何方式改request parameter，都没问题。

乱码

原帖由 kawara 于 2010-11-19 23:13 发表

https两个方面，

一是证书，网页只是one way authentication，也就是说只challenge server，不challange client，没影响，就算是mutual auth也无非是写自制浏览器时多费点劲，

二是SSL,secure socket layer，保证的是客户端和serv ...

每6个node的certificate每年1400多，我们公司明年准备多扩50多个node，光这笔开销就不少

cdfei

恩，明白了，如果不使用客户证书，确实可以用自制浏览器这个办法，不过国内的银行基本上要交易是需要申请客户证书的，我才来澳洲的时候很惊奇他们不需要客户证书。
我觉得安全不安全和JS关系不大，我以前和建行的网银项目组有交道，他们的网银改版其实就是叫了很多JS上去，美其名曰提高用户体验。

kawara

原帖由 乱码 于 2010-11-19 23:23 发表


每6个node的certificate每年1400多，我们公司明年准备多扩50多个node，光这笔开销就不少

没看懂，这不才每年多交一万多元么？公司还在乎这点钱？

乱码

原帖由 kawara 于 2010-11-19 23:26 发表

没看懂，这不才每年多交一万多元么？公司还在乎这点钱？

我的意思是说，这钱给我涨工资多好阿

kawara

原帖由 cdfei 于 2010-11-19 23:25 发表
恩，明白了，如果不使用客户证书，确实可以用自制浏览器这个办法，不过国内的银行基本上要交易是需要申请客户证书的，我才来澳洲的时候很惊奇他们不需要客户证书。
我觉得安全不安全和JS关系不大，我以前和建行的网银项目组有交 ...

使用客户证书也没多大用，正常浏览器能干的事，自制的都能干。

客户体验这边叫UX，improve UX的方法就是狂加Ajax(这边把看起来比较神的JS也叫Ajax)

乱码

原帖由 cdfei 于 2010-11-19 23:25 发表
恩，明白了，如果不使用客户证书，确实可以用自制浏览器这个办法，不过国内的银行基本上要交易是需要申请客户证书的，我才来澳洲的时候很惊奇他们不需要客户证书。
我觉得安全不安全和JS关系不大，我以前和建行的网银项目组有交 ...

申请客户证书是怎么回事？谁来issue? 也是3rd party well-known的机构么？年费是多少？有点搞阿~~

不过这倒真的是secure了

乱码

原帖由 kawara 于 2010-11-19 23:30 发表

使用客户证书也没多大用，正常浏览器能干的事，自制的都能干。

客户体验这边叫UX，improve UX的方法就是狂加Ajax(这边把看起来比较神的JS也叫Ajax)

加大量的ajax,server那边可能吃不消，算是trade off了

而且让人很容易了解业务流程，报露很多可以被攻击的点，一个不小心，可能就被人黑了。

[ 本帖最后由 乱码 于 2010-11-19 23:37 编辑 ]

cdfei

至少知道是你K娃干的，因为用的是你的private key来发送信息的。

cdfei

你没在国内用过网银？也是证书结构发出的，相当于你的一个身份证。
网银是不可能把业务放在JS上的，最多不过就是让界面好看点，有点效果而已。

kawara

原帖由 乱码 于 2010-11-19 23:31 发表


申请客户证书是怎么回事？谁来issue? 也是3rd party well-known的机构么？年费是多少？有点搞阿~~

不过这倒真的是secure了

建行内部机构给他们签发就可以了。challenge client比较简单，server可以config的。

Secure一些，用户需要证书、用户名、密码齐全才能登录。

cdfei

工行用的是硬件数字狗，和这里HSBC一样，理论上还是比较安全的，不过这个安全主要是针对不被他人冒用你的帐户。

乱码

原帖由 cdfei 于 2010-11-19 23:40 发表
你没在国内用过网银？也是证书结构发出的，相当于你的一个身份证。
网银是不可能把业务放在JS上的，最多不过就是让界面好看点，有点效果而已。

我没用过，我出来哪会我们行才刚刚上网作宣传，离网上交易差10万八千里呢。

kawara

原帖由 cdfei 于 2010-11-19 23:37 发表
至少知道是你K娃干的，因为用的是你的private key来发送信息的。

我晕，不用证书也知道是谁干的，起码要登录吧。

知道有啥用，钱都走了

kawara

原帖由 cdfei 于 2010-11-19 23:43 发表
工行用的是硬件数字狗，和这里HSBC一样，理论上还是比较安全的，不过这个安全主要是针对不被他人冒用你的帐户。

证书和token是两码事吧

cdfei

你不用身份证去开证书，光登录那种，根本没有交易功能，你攻击的话，也最多可以查查别人的交易记录。

cdfei

是的，只是在说如果更安全的问题。

乱码

原帖由 cdfei 于 2010-11-19 23:43 发表
工行用的是硬件数字狗，和这里HSBC一样，理论上还是比较安全的，不过这个安全主要是针对不被他人冒用你的帐户。

我不是很明白这个数字狗的原理，你能解释一下么？是不是一组数对应一个用户，只要输入其中一个就可以？server side存者每个用户的那组数字？