Re: 有感于刚看的一个帖子，请教一下ｗｅｂ的安全性

[Chrys Liu <chrys.liu@gmail.com>]

用倒是会用，可M$的东东是要银子地，难道让我为了用一下银行业务花两千块钱买个windows??难道微软给银行回扣不成??

在 2005-10-15六的 12:33 +0800，Guo Gawain写道：
> 技术上我想不是大问题，大家都知道有很多手段可以达到相对的安全。但是在客户界面上要达到一定的易用性就不是那么容易了，对于银行这种成千上万的用户来说，易用性和安全性并举也是非常重要的，不然没有人会用了。
> 
> Windows在国内普通用户的普遍性还是比较高的。所以兼容IE是必要的。而且熟用linux的用户大多也会用Windows(IE)吧。：）
> 
> 在 05-10-15，lin cheng<actionthanword@gmail.com> 写道：
> > 在linux下，一切都是现成的，安全性远胜于windows.
> > 开户时提交自已的公钥，并取得银行的公钥。转帐时银行将交易情况签名，用你的公钥加密，用浏览器传给你，然后你用gpg解密，验证无误后，签名，用银行的公钥加密，再post回去，银行解密，验证签名无误，交易成功。
> > 如果嫌手工操作麻烦，最多用一个开源插件帮你做批处理，清清楚楚，没有任何后门。你本地的私钥安全当然是自已的责任，每个linuxer都会认识到这点。
> > windows下的所谓控件呀，它的安全性谁来保证？出了问题怎么举证？再加上无尽的系统后门与漏洞，盗你的私钥容易的多。
> > usb的移动证书，如果仅仅存储私钥，安全性仍然没有改善。理想情况是将私钥、加解密、签名、验证模块统统内置，还要带一个小显示屏，将要签名的内容显示出来，避免伪造。
> >
> >
> > 在 05-10-14，Kern<kernel1983@gmail.com> 写道：
> > > 关于在IE下安装个COM组件(也就是activex什么的)，原因很明显：这样提供出来的密码筐不太容易被一般的密码记录软件搞定！所以你自己想拷个密码粘贴进去都是不可能的……
> > >
> >