关于工行网站登陆的问题

很多人说工行页面的个人网上银行使用了ActiveX，在FF下面无法登陆。
说句公道话，工行这么做也是为安全考虑的。
我在IE里面试验了一下，事先删除机器上无用的ActiveX控件，访问这个登陆页面，IE很快弹出一个ActiveX安装提示，两次点击“否”之后，页面显示出来了，只是在“请输入登录密码：”后面显示一个没有加载成功的红叉标志。查看页面源代码，发现ActiveX起作用的地方就是这个输入密码的地方。
找了一下工行的帮助，发现这样的说明：
http://www.icbc.com.cn/detail.jsp?infoi ... pe=CMS.STD
我想这个控件的作用就是防止系统中可能存在的木马程序通过监听键盘消息来获取用户输入的密码字符串。

如果网上银行单纯采用HTTPS加密传输形式，虽然可以保证通过网络发送的数据是加密的，但是无法保证客户端有恶意程序在监视用户输入。其他一些网上银行，包括QQ采用软键盘输入密码的形式，可能也是为了防止监听程序窃取密码。

今天刚用了firefox，却发现在登陆招商银行和工商银行的电子网上银行的时候，根本看不到输入框，无法登陆！郁闷了！
如下图，这个问题怎么解决啊？

第2张

工商银行的那个activex插件可以避免系统里键盘记录木马起作用么？能否给出证据？
全世界的网上银行都可以通过HTTPS来操作，为什么就“中国工商银行”不可以？

你可以自己编一个程序试试能不能截获密码啊。
HTTPS确实在网络传输过程中没有问题，但是HTTPS不能保证客户端系统中不存在恶意程序。也不能保证这些键盘输入不会被恶意程序截获，很多黑客软件都有这个功能。
工行ActiveX的说明就在我的帖子里面，如果你对它的原理有质疑可以打电话询问他们。

多说一句，如果真的由于客户端的恶意程序造成密码泄漏、财产损失，银行是不能负责任的。因为银行没有义务保证客户端的安全，被木马、病毒感染是客户疏忽的结果。全世界的银行只用HTTPS，因为他们不会为你系统自身的安全问题负责任，出了问题只能怪自己不小心。

ActiveX能够防止键盘消息监听的原理是什么？可靠性如何？好像没看见有公开的资料。理论上要监听的话是根本防不住的，在硬件级或者操作系统内核级做了手脚ActiveX根本就防不住。

工商银行的这个ActiveX控件好像是在一个单独的进程里面运行，独立于IE，这样单独针对IE的键盘记录器便会失去作用。不过对于系统级的记录全局键盘操作的，应该还是无效。

那这样说用Java Applet也应该可以做到啊。为何不用Java Applet呢？这可是跨平台的，比ActiveX要好多了吧，这样在UNIX/Linux/MacOS上都可以用了。

http://blog.joycode.com/moslem/archive/ ... 37529.aspx

这是一篇分析网上银行安全控件的文章，可以参考一下。

我发这个主题的意思是觉得ActiveX并不是毫无用处，很多时候可以简化问题的解决，特别是在企业内部网，由于防火墙的阻断，安全性的考虑有时候不是那么紧迫，反而是一些企业办公的功能靠单纯的HTML无法解决。

当然上面有人提到的JAVA也是解决方案之一，不过没有人证明JAVA在安全性上面是无懈可击的，SUN也没有对JAVA开放源代码。

我们没有说activex是毫无用处的，在很多场合它也许非常有用。但是对于一个H互联网应用，activex是不适合的。互联网的本质就是可以让不同的人(正常人和残废人)使用不同的平台(不同的硬件平台，甚至手持设备)用不同的软件(不同的操作系统，浏览器和其他互联网程序)来互相交流信息。activex的使用破坏了这个基础，破坏了Decentralization的原则。activex在互联网应用中从来就不是也不可能是一个好的解决方案。
它似乎在这里解决了一个问题，但它造成的问题是将此应用绑定在了特定的设备和平台。这样，当这个特定的设备和平台发生安全性问题的时候，这个平台的安全性问题就很有可能转嫁到了你的具体应用上，且无法在短时间内找到替换。实际上它所带来的安全隐患远大于其表面上解决的问题。
不把所有的鸡蛋放在一个篮子里是考虑安全问题时的一个很基本的出发点。在互联网应用中使用activex就等于逼迫大家把所有的鸡蛋放在一个篮子里，别无选择。就好象在食物链中种群越少，食物链断裂的可能性就越大。互联网的健康发展也是这个道理。

Java Applet比ActiveX更安全。ActiveX几乎可以对系统做任何操作，一旦出现漏洞，黑客可以利用漏洞控制整个系统，而Java Applet采用Sandbox模型，不可以随意访问系统，即使发现漏洞影响也小得多。而且Java Applet是跨平台的，适用性远比ActiveX广泛。至少目前出现严重安全问题的都是ActiveX控件而不是Java Applet。
关于Java Applet的安全性，请看
http://java.sun.com/sfaq/

http://linux.softhouse.com.cn/html/2004 ... 02496.html

http://www.csdn.net/news/newstopic/18/18448.shtml

http://www.nsfocus.net/index.php?act=se ... yword=java

http://classic.sunsolve.sun.com/pub-cgi ... A%2Asecuri

ibm网站也是使用Java Applet~~

其实我觉得要象达到同样的目的，做成plugin就很好，每个平台做一个，问题就解决了。