delphij's Chaos

选择chaos这个词是因为~~实在很难找到一个更合适的词来形容这儿了……

03 Feb 2007

招商银行大众版密码控件再度「升级」

今天看到招商银行网站上发出了一篇公告说:

尊敬的客户: 因业务发展需要,我行定于2007年2月2日升级网上个人银行大众版密码控件。客户第一次登录大众版时,将看到浏览器弹出窗口提示安装新密码控件,客户确认后即可自动完成升级。

一如既往地,在一个涉及用户安全的产品上,这个公告采取了模糊和回避的态度。计算机的所有权属于用户,升级控件没问题,可是到底为什么升级?是否也应该告知用户?

就此,本人提出以下4点质疑:

  1. 招商银行的「业务发展需要」,是否必须通过用户升级大众版控件来完成?(我个人认为「业务发展需要」是一个十分不恰当的提法,最低限度,这类说明也应该是「为了改善安全性」、「为了提高可靠性」这样的具体描述)

  2. 作为一个安全产品,其升级、发布是否有规范的发布流程?如果有,所作的变动是否可以秘而不宣?谁来为这些变动产生的潜在负作用买单?这个升级版本到底做了什么变动?这些变动经过了什么人的审批?

  3. 如果不升级,会产生什么后果?

  4. 在花费了1个季度的时间,仍然没有解决必须用管理员身份登录网上银行、不能够解决在去年11月开始引入的64位兼容回归问题(注:之前的版本运行是很正常的)等一系列严重安全和兼容性问题的情况下,这个开发团队是否还有资格继续开发涉及如此多用户存款的银行产品?

以上观点,欢迎招商银行以及使用招商银行产品的朋友指正、转载。谢谢。