网络银行安全？！ - 乱弹

犬者

“说了你又不听,听又不懂,懂又不做,做又做错,错又不认,认又不改,改又不服,不服也不说，那叫我怎么办？！”

【乱弹】网络银行安全？！

实在受不了农业银行了……老妈居然在偶完全不知的情况下，给偶办了张建行的“乐当家金卡”……这次回家，便乘机把农行的钱全部转到建行了……

偶家方圆一公里内居然有三个建行的网点……敢情店租不用钱？

原来建行也是跟白云机场一样……服务窗口前都放了个服务评价按钮……呼呼……前台MM们猜想工作压力会很大……废了一番口舌终于让MM A了解到偶是来开通网银的……可是MM A貌似对业务非常不熟悉……旁边的MM B一直得帮A回答……MM B貌似很smart……总是喜欢猜测我的问题的理由，然后抢先按照她的理解去做“直接回答”……可惜偶这客户比较特殊……她以常理做的这些猜测完全不能适应偶的情况……搞得偶很怒……很想换去MM B的服务台，然后待会给她按一个“不满意服务”……

建行的网银是使用USB Key做安全验证……听起来很安全……可实际上，这些基于ActiveX的“安全控件”一定是不安全的……唉……也不想跟MM废话，我只求能用……然后，很smart的MM B亦无法回答偶：“USB key能否在Windows 2003下使用？”这个问题……最后叫了分行经理阿姨出来回答……阿姨强调说windows 2000可以用……对于2003却含糊其词说应该可以……好吧……姑且相信你……

刚刚用回新加坡的windows 2003，确实可以用……不过退出网银时，建行的一个页面提示却让偶很无语：

我不知道会有多少建行的用户会因为这个“对没有标记为安全的ActiveX控件进行初始化和脚本运行”提示而去真的做如是操作……这个操作无异于将自己电脑的安全防线关闭……银行让自己用户去启用“没有标记为安全”的控件，以让建行自己的不安全的控件得以运行……且不说建行何以要把自己的控件”不安全/没有标记安全“，难道建行完全不知道如此一来会让其他真正不安全的控件在用户电脑上畅通无阻么？

打个比方，建行如此提示，相当于它为了让自己的营业员正常出入用户的家，便跟用户说：”若建行营业员不能正常上门，你就把家里的门拆了吧……“

因为建行你的这个提示，导致用户的电脑中了木马、中了流氓软件乃至用户的网银帐号资金被全部盗走；建行你要负责是不？

呵呵……猜想建行亦不至于如此拿用户的电脑安全当儿戏……虽然它的USB Key是要强制用户花钱购买，偶还不至于认为它是以加强网银安全为噱头来搞创收……它应该还是希望大家都平安无事能够正常交易……问题出在实践上……

指定“加强网络银行安全性”这个目标的达官贵人们，大概是不可能懂ActiveX/安全标识等技术细节的……看建行USB Key的包装盒，似乎是捷得外包做的……建行本身的网页控件呢？调用捷得的接口还是说捷得把这块也给做了？无论如何，猜想都是涉及到不同方面的协调，遇到问题，具体操作的人也许就本着“解决问题”的简单想法，给出了提示“启用没有标记为安全的Active控件”的解决方案……

类似的情况我也做过……外包项目，网页已经做好，IE7中出现问题……并没有重新编写程序解决IE7的兼容性问题的资源……偶便直接提示对方说把网站加到IE7信任网站列表之中……

建行是提示用户把门拆了，我是提示用户开道后门专门给我做的这个网站走……作为具体开发的人员，大家给这样的提示，其实纯粹就是为了偷懒省事……反正上面的人不懂，而我们亦的的确确给出了解决问题的方法……只是，负责责任、体贴用户的解决方案跟为解决而解决的方案根本就是有天渊之别……后者的无耻程度可以跟“锯箭法”相比了……

所谓“锯箭法”……士兵打战被箭射中……看外科医生，外科医生把露在体外的箭柄锯断，然后就说搞定……体内的箭头，那是内科的事了……

似乎……很少在IT方面看到国内公司有负责、体贴用户的例子……除非有直接的利益影响……要负责、要做到体贴是需要投入资源的……我不知道国内的公司都是受资源限制……还是说具体负责的人都跟我一样懒惰……

"多一事不如少一事" 这样的概念亦不知道是否是在国人的潜意识中……毕竟，倘若自己为了把事情做好而去“多一事”，自己是要承担相应的责任的……只“完成”上司交待的事情，绝不多做，这样的态度在新加坡亦是非常普遍……新加坡人甚至亦把此种态度归纳为“怕输/Kiasu”（怕输的含义不止此） ……

针对“多一事”的处罚机制到处都有 ……而奖励机制却非必然……哎~~

62972|怕输|网络安全|责任

问天　@10/8/2007 11:54:26 PM
View blogs in this category:乱弹