【已过时的信息】本篇所描述的问题,已经得到了部分。本文将不再更新,请参见后续的进展报道。
继续昨天的话题。今天,招商银行的工作人员给我打来电话,建议我升级到最新版本。现将情况告知大家如下:
o 如同之前他们所做的事情一样,这个版本依然没有数字签名。在打了客服电话之后,我勉强执行了这个版本。[20061205更新:招商银行已经在网站上修正了这个问题]
o 如同之前的版本一样,这个版本仍然无法运行在amd64版本的Windows 2003上。
o 为了掩人耳目,这个版本中的WinIO.dll被改头换面放到了用户目录下的CMB\PB40\SysData\cmb8783.dat。
o 而另一方面,那个驱动的名字,变成了CertClient.dat。
(20061201修改:此处删去了一些具体的信息。这些信息出现在了招商银行专业版所安装的某些文件中,并且其内容确实有可能包含敏感数据。)
我想再次提醒招商银行,请使用正确的方法和方式修正问题。
Comments (11)
曾经用过4年交通银行...
不过这种改头换面的做法太搞笑了...
Posted by 菜鸟>_< | November 30, 2006 9:36 PM
Posted on November 30, 2006 21:36
哈哈哈!我记得招行的开卡密码就是“发*发”。
Posted by Kueihsing | December 1, 2006 11:35 AM
Posted on December 1, 2006 11:35
楼主有点过分了。我所在的公司帮银行生产IC卡,对这个行业还是有点了解。
众所周知,银行不过是个商业机构,其软件安全度达到商业标准即可,即使是军用标准,也不是没有漏洞。 我看招行已经做得很好了,主动去帮一般用户保护电脑安全,甚至做到驱动层,其实他们不这样做也没人怪的。你看其他银行,就算花旗汇丰,连浏览器的密码输入框都敢用,为什么?因为人家法律规定,银行就这安全水平,擅自研究、散发其技术秘密是违法行为,已经和黑客无异。 你再看国内其他银行,即使是U盾,依赖那么多层次的Dll调用,哪一层不能HooK?动态口令卡哪里防得住插入攻击?如果远程操纵,哪家银行的证书能防?我也不多说了,再说下去我也快违法了。
楼主有些说法我也很不赞成,“最基本的安全常识——安全不能建立在别人不知道的基础之上”,我就不知道这个常识,美国军用设备采用Ada开发目的是什么?就是不让你知道。Microsoft也有大量秘密,如果公开了,后果不知道怎样。IBM体系号称安全,主要原因就是封闭体系,别人不知道。除了非对称算法敢号称公开还能保密,其他的还没听说。
“竟然在我三番五次地投诉之后,仍然不做数字签名,这一行为足以让这家金融机构为之蒙羞”,我也看不出有多大道理,按楼主说法,这些文件好象是招行自己程序用的,为什么要做签名?是为了给你这个研究者比较明确的信息么?这点原因不能让招行蒙羞吧。
凭我在这行业的经验,楼主不要再玩火了。
Posted by 过客 | December 1, 2006 4:01 PM
Posted on December 1, 2006 16:01
樓主的做飯并不違法,我不知道過客在你自己的行業待幾年了,既然商業機構使用到了計算機安全,那就應該遵守這方面的規則,沒有數字簽名這是起碼的東西,這就是違法的,安全么?如果裝上了,這么容易被人破解,誰能用?不是說別的商業機構的沒有漏洞,但是招商銀行的這么明顯就很難說的過去了,至于U盾的問題你搞清楚用的什么技術了再來說話,ok?
Posted by 普通程序員 | December 1, 2006 4:17 PM
Posted on December 1, 2006 16:17
re:普通程序員:
招行加个数字签名是好一点,我也试了改动招行专业版,发现根本不行,应该是招行采用了其他类似数字签名的,更强悍的保护方法。
U盾我还是了解一些的,毕竟IC卡公司嘛,但我不方便说,说了真的违法。
Posted by 过客 | December 1, 2006 5:12 PM
Posted on December 1, 2006 17:12
继续讨论啊~~
关注中(我正打算开通招行网上银行专业版呢)
Posted by TaurenShaman | December 1, 2006 6:01 PM
Posted on December 1, 2006 18:01
为什么我找不到“用户目录下的CMB\PB40\SysData\cmb8783.dat。
”? 我的也是MG5。1。3。8
Posted by kkd | December 2, 2006 12:24 AM
Posted on December 2, 2006 00:24
美国军用设备采用Ada开发目的是什么?就是不让你知道。
看到这条我真的笑了.
Ada在gcc里面就有编译器.
Posted by 匿名人士253874 | December 3, 2006 5:20 PM
Posted on December 3, 2006 17:20
因为人家法律规定,银行就这安全水平,擅自研究、散发其技术秘密是违法行为,已经和黑客无异。
潜台词是不是,你的安全问题即使是由于银行发布的控件所引起的问题,也与银行无关?因为违法的是别人,和银行有什么关系,而且遭受损失的也不是银行.
Posted by anonymous | December 4, 2006 10:43 AM
Posted on December 4, 2006 10:43
不懂....
但看得出几位高人啊,应该一起好好讨论下
Posted by 垃圾乱飞 | December 4, 2006 11:06 AM
Posted on December 4, 2006 11:06
招商银行再度荣获“中国最佳银行”,是因为其他的银行太差了!
Posted by 54545招行 | July 22, 2007 5:28 PM
Posted on July 22, 2007 17:28