我们一个新来的leader昨天踌躇满志的跟我说.....

乱码

原帖由 cdfei 于 2010-11-19 23:47 发表
你不用身份证去开证书，光登录那种，根本没有交易功能，你攻击的话，也最多可以查查别人的交易记录。

如果是电子签名的证书，就只能在一个固定的机器上作业务，在其他机器上只有看得份，可以这么理解么？

kawara

每个token有一个密钥，用密钥根据时间算出一个password.

cdfei

我的理解是，每个客户一个密码，写到这个设备中了，然后根据一定的算法，生成一个标识码，服务中用客户的登录用户信息，验证这个标识码是否正确，判定是否为客户本人。这个是和时间相关的，设备每生成的一个码，在一定时间内就失效了，好像是5分钟还是什么的，记不到了。

乱码

原帖由 kawara 于 2010-11-19 23:53 发表
每个token有一个密钥，用密钥根据时间算出一个password.

这是hsbc那个device的原理么？

got it.

How does the Online Security Device Security Code work?
The Online Security Device generates a time-sensitive, single-use six digit Security Code for you to use when logging on to Internet Banking and for selected online transactions. The Security Code is generated by an algorithm based on time within the Online Security Device. Each Online Security Device has a matching file, stored securely in a database at HSBC, with the matching algorithm.

When you activate your Online Security Device, HSBC identifies which Device you have by asking you to enter the serial number. The serial number has no security value; it is simply a means of identifying to the Bank which Device a customer has. Once activated, a Device becomes unique to the PBN it was activated with.

When you are using Internet Banking and are required to enter a Security Code, the system compares the entered Code with the expected Code within the file. If they match, you are granted access. If they do not match, you will be asked to re-enter the Security Code.

http://www.hsbc.com.au/1/2/perso ... et-banking/faq/faq6

[ 本帖最后由 乱码 于 2010-11-19 23:59 编辑 ]

cdfei

证书是导入到浏览器中的，你可以导入导出，安装到多台机器，我们都是在IE上测试的。

kawara

那个token实现其实老复杂了，刚出来的时候要20美金一个。

主要是server 和token时间有误差的时候不好处理。

那个南非项目就用这个token，当时澳洲还没有

[ 本帖最后由 kawara 于 2010-11-20 00:05 编辑 ]

乱码

原帖由 cdfei 于 2010-11-19 23:58 发表
证书是导入到浏览器中的，你可以导入导出，安装到多台机器，我们都是在IE上测试的。

嗯，不错，听起来比较安全。

国内好像就认IE，其他的都忽略，好简单啊

乱码

原帖由 kawara 于 2010-11-20 00:03 发表
那个token实现其实老复杂了，刚出来的时候要20美金一个。

主要是server 和token时间有误差的时候不好处理

我看了那个解释半天，也没明白啥意思，还是cdfei说的清楚些，可能就是不让我们弄清楚

cdfei

银行什么时候缺过钱啊。
真正银行被击破导致偷钱的事情其实很少，主要还是木马、钓鱼网站等使客户密码用户名丢失，所以银行在验证客户身份上就很下功夫，起码中国的是这样。

kawara

呵呵，我以前看过token的开发手册的

bulaohu

原帖由 乱码 于 2010-11-19 22:14 发表


他会用xss来举例子。

我也同意带着javascript的确有隐患，不过要看产品对安全级别的要求，我不觉得我们的产品有什么值得去hack的东西，不过classic asp这个framework在安全上的support的确很有问题，稍微不注意，肯定被人ha ...

XSS绝大多数情况下威胁有限，XSRF威胁大得多，但跟自家网站往往没什么关系

乱码

原帖由 cdfei 于 2010-11-20 00:06 发表
银行什么时候缺过钱啊。
真正银行被击破导致偷钱的事情其实很少，主要还是木马、钓鱼网站等使客户密码用户名丢失，所以银行在验证客户身份上就很下功夫，起码中国的是这样。 ...

嗯，当时我们行有个做储蓄的写程序，留后门，每个客户的帐里偷一分钱，转到他自己的帐户里去.有一次有个客户，刚刚存了10000块，转身就要取出来，结果死活差一分取不出来，行里就查这事，后来把这小子揪出来了。判了几年不清楚。

其实他还是业务不熟，要我是他，就在年底结息那天晚上作这个，每个人偷1毛钱也肯定没人发现，他太傻了。

cdfei

大老虎的那个网站确实不错，关了JS也能到这个效果，真不错。

bulaohu

原帖由 kawara 于 2010-11-19 22:59 发表
过去的网站简单，整个网银也没几处JS，validation全部是server side，哪像现在都要求client side validation.以前的UX也就是要排版好看之类。

当时我们卖了个网银给南非的一家银行，人家有钱，从俄罗斯找了一帮从良的黑客来测 ...

当年有好多网站连SQL injection都不检测，完全是裸奔。但最近几年形势完全变了，看看CVE里面的entry，大的漏洞基本上都快挖完了，结构性的漏洞基本上没有了，现在能找到的基本上就是网管的愚蠢导致的东西

cdfei

是吗，以前我去给建行做项目的时候，看他们结息日晚上都是通宵上班的，应该也没那么容易吧，这些歪路不好走啊。