delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

06 Dec 2006

招行事件最新进展:重视安全,新版5.1.3.8加入了数字签名

尽管目前最新的5.1.3.8仍然无法在Windows x64版本中正常运行,但招商银行在今天做出了一项非常重要而富于决定性意义的改善:他们今天发布的版本,已经进行了数字签名。尽管这个新的版本仍然无法在Windows x64上运行,但无论如何,这个可能并没有被许多人注意到的小改进,至少让我们看到了招商银行在安全方面的决心和意志,是值得广大用户信任的。

除了增加了数字签名,以及改变了压缩使用的软件之外,新版本的5.1.3.8与上个月的版本相比没有其他变化。

说明:尽管添加数字签名是非常令人鼓舞的事情,但遗憾的是,也许由于银行变更审计的限制,WinIO的修改版本并没有(可能是还没来得及)从这个版本中剔除,因此与之前相同,这个版本仍要求以管理员身份执行网上银行程序。

尽管目前已经知道,与之前不同,这个版本中的驱动程序和DLL都进行了重新编译(MD5不再匹配),加上新增了数字签名,我们可以认为这些驱动的可信度得到了一定的提升。尽管如此,我并不认可必须以管理员身份运行网上银行专业版这一现状,但相比数字签名而言,这个问题并不是一个“危机”级别的安全问题。


Archived: 7 Comments

jestery | December 5, 2006 11:59 PM

沙发
这么麻烦还不如涉及交易的时候短信授权。小偷得到我信息之后,需要再复制个sim卡信息,难度挺大。

过客 | December 6, 2006 11:58 AM

短信授权的可用比较差,我不喜欢,经常拖延几小时才收到,有时根本收不到,如果做重要的事情,靠短信要急死。

netstree | December 7, 2006 8:22 AM

Release 6.2什么时候正式发布啊?12月中旬可是快到了.

Xin LI | December 7, 2006 11:58 PM

楼上的“过客”朋友用的一定是联通的手机 :-P

开个玩笑,不过我也觉得交易短信授权比较麻烦,而且还有一个问题就是,它还捆绑了一个让另一家公司了解用户某些行为(特别是银行交易)的途径,从保护用户隐私的角度考虑,我认为银行应该只和用户做“点对点”的联系,或者,这类功能至少应该是一个选项,而不是作为一项必选的功能。

地主家的河马 | December 8, 2006 11:19 AM

============
http://forum.cmbchina.com/cmu/viewthread.aspx?postid=1347856

观望了几天,今天到主站下拉个新版的,用我自己的账号就能安装了,(非管理员),应该对操作系统没有大的更改,(我自己的账号权限是不够的,如果要求改的话,安装就不能进行了)。

terminal services的状态没有被修改(想改也改不了,嘿嘿)(current is enabled)。

Windows Firewall/Internet Connection Sharing (ICS) 也没有改动。(current is disabled.)

其他的没有测试。。。

 

刚才看到有人说有数字签名了,看了一下下回来的文件,晕倒,是12月5日早8点的,看来下得还是有点早,又做了小白鼠。。。

==========

希望IT部门对这次的事件有良好的书面记录, 呵呵呵,即使不公开。。。嘿嘿

地主家的河马 | December 8, 2006 11:23 AM

说实在的,比较怀疑招行内部的变更管理(审计)制度的有效性。。。招行的审计师是哪一个所呢?国内所的话,大部分都应该没有IS审计的内容。。。如果是4大的话, 或者招行有请过IS审计的咨询公司的话,那就只能打他们的pp了。。。

地主家的河马 | December 8, 2006 11:29 AM

haha, 原来是KPMG。。。。。。无语了。。。