关于工行网站登陆的问题

很多人说工行页面的个人网上银行使用了ActiveX，在FF下面无法登陆。
说句公道话，工行这么做也是为安全考虑的。
我在IE里面试验了一下，事先删除机器上无用的ActiveX控件，访问这个登陆页面，IE很快弹出一个ActiveX安装提示，两次点击“否”之后，页面显示出来了，只是在“请输入登录密码：”后面显示一个没有加载成功的红叉标志。查看页面源代码，发现ActiveX起作用的地方就是这个输入密码的地方。
找了一下工行的帮助，发现这样的说明：
http://www.icbc.com.cn/detail.jsp?infoi ... pe=CMS.STD
我想这个控件的作用就是防止系统中可能存在的木马程序通过监听键盘消息来获取用户输入的密码字符串。

如果网上银行单纯采用HTTPS加密传输形式，虽然可以保证通过网络发送的数据是加密的，但是无法保证客户端有恶意程序在监视用户输入。其他一些网上银行，包括QQ采用软键盘输入密码的形式，可能也是为了防止监听程序窃取密码。

你可以自己编一个程序试试能不能截获密码啊。
HTTPS确实在网络传输过程中没有问题，但是HTTPS不能保证客户端系统中不存在恶意程序。也不能保证这些键盘输入不会被恶意程序截获，很多黑客软件都有这个功能。
工行ActiveX的说明就在我的帖子里面，如果你对它的原理有质疑可以打电话询问他们。

多说一句，如果真的由于客户端的恶意程序造成密码泄漏、财产损失，银行是不能负责任的。因为银行没有义务保证客户端的安全，被木马、病毒感染是客户疏忽的结果。全世界的银行只用HTTPS，因为他们不会为你系统自身的安全问题负责任，出了问题只能怪自己不小心。

http://blog.joycode.com/moslem/archive/ ... 37529.aspx

这是一篇分析网上银行安全控件的文章，可以参考一下。

我发这个主题的意思是觉得ActiveX并不是毫无用处，很多时候可以简化问题的解决，特别是在企业内部网，由于防火墙的阻断，安全性的考虑有时候不是那么紧迫，反而是一些企业办公的功能靠单纯的HTML无法解决。

当然上面有人提到的JAVA也是解决方案之一，不过没有人证明JAVA在安全性上面是无懈可击的，SUN也没有对JAVA开放源代码。

http://linux.softhouse.com.cn/html/2004 ... 02496.html

http://www.csdn.net/news/newstopic/18/18448.shtml

http://www.nsfocus.net/index.php?act=se ... yword=java

http://classic.sunsolve.sun.com/pub-cgi ... A%2Asecuri