V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Hardrain
V2EX  ›  SSL

ICBC 的网银 SSL 评级 F 吼不吼哇

  •  
  •   Hardrain · 2016-12-10 23:27:56 +08:00 · 3802 次点击
    这是一个创建于 2940 天前的主题,其中的信息可能已经有所发展或是发生改变。
    https://www.ssllabs.com/ssltest/analyze.html?d=mybank.icbc.com.cn

    This server is vulnerable to the POODLE TLS attack. Patching required. Grade set to F.
    This server uses RC4 with modern protocols. Grade capped to C.
    The server does not support Forward Secrecy with the reference browsers.
    22 条回复    2016-12-11 18:35:21 +08:00
    Clarke
        1
    Clarke  
       2016-12-11 00:10:24 +08:00 via Android
    那种网站都没人维护的。
    Hardrain
        2
    Hardrain  
    OP
       2016-12-11 00:12:02 +08:00
    @Clarke 那是工行的网银……
    这么重要都不维护?
    Clarke
        3
    Clarke  
       2016-12-11 00:18:12 +08:00 via Android
    @Hardrain ,换句话说就是维护的人都不管 SSL 评级的,他们觉得只要上 SSL 就够了。
    vibbow
        4
    vibbow  
       2016-12-11 00:19:04 +08:00
    目测是需要兼容 IE6 导致的...
    Phariel
        5
    Phariel  
       2016-12-11 00:19:46 +08:00
    上到 A+对他们来说也没什么意义。
    wun
        6
    wun  
       2016-12-11 02:47:03 +08:00
    This server is vulnerable to the POODLE TLS attack. Patching required. Grade set to F.
    irainsoft
        7
    irainsoft  
       2016-12-11 04:40:58 +08:00
    领导不说搞下面是不会搞的

    应该告诉领导网址前面加个企业名称绿锁会很好看|・ω・`)
    lhbc
        8
    lhbc  
       2016-12-11 06:36:28 +08:00 via iPhone
    @vibbow 兼容 IE6 可以做到评价 B
    15015613
        9
    15015613  
       2016-12-11 09:48:43 +08:00
    ICBC
    爱存不存
    seashell
        10
    seashell  
       2016-12-11 11:11:11 +08:00
    本来我想说吼啊,但是仔细一想还是什么都不说最吼。
    xfspace
        11
    xfspace  
       2016-12-11 12:29:31 +08:00 via Android
    你才知道?
    ETiV
        12
    ETiV  
       2016-12-11 12:34:04 +08:00 via iPhone   ❤️ 2
    检测银行网站安全性?还公开发表?对方银行知晓了吗?让你这么做了吗?

    小心锒铛入狱
    Quaintjade
        13
    Quaintjade  
       2016-12-11 13:09:57 +08:00
    银行之类有另一套封闭的安全体系(比如网银盾、网银软件 /插件、 CFCA 证书、 SM2 之类),然后只对那套体系做安全审计。
    至于通用的 PKI 体系如何他们并不关心,对他们的意义无非就是个绿锁而已。

    你可以看看各大银行的网银软件下载地址,大多都是赤裸裸的 http 。
    HowardMei
        14
    HowardMei  
       2016-12-11 14:37:59 +08:00   ❤️ 1
    @Quaintjade 得过且过跟不上时代而已,新加坡 DBS 银行评级就为 A
    https://www.ssllabs.com/ssltest/analyze.html?d=internet-banking.dbs.com.sg
    nvidiaAMD980X
        15
    nvidiaAMD980X  
       2016-12-11 15:26:21 +08:00 via Android
    @Quaintjade 提到 CFCA 这种扯淡的 CA 颁发机构,我就觉得恶心…………
    nvidiaAMD980X
        16
    nvidiaAMD980X  
       2016-12-11 15:27:35 +08:00 via Android
    @ETiV 洋大人的判断, ICBC 敢干涉?
    Quaintjade
        17
    Quaintjade  
       2016-12-11 15:39:09 +08:00 via Android
    @HowardMei
    没什么可比性。

    很多外资银行的网银本身就基于 https ,当然会好好部署 ssl 的安全性。我知道像汇丰银行网银根本就不用装插件,就是 https 网页+离线 token 验证码。

    内资银行整套安全体系不依赖 https ,自然不关心 ssl 的安全性。
    HowardMei
        18
    HowardMei  
       2016-12-11 16:18:33 +08:00
    @Quaintjade 在线银行客户端能绕开 https 体系?不能吧!跟银行本身的安全体系没关系啊。
    bsidb
        19
    bsidb  
       2016-12-11 16:19:16 +08:00 via Android   ❤️ 1
    @Quaintjade 当年如果用迅雷下载建行的网银客户端,会被导入到某个其他软件,也是可以!
    Quaintjade
        20
    Quaintjade  
       2016-12-11 16:59:54 +08:00
    @HowardMei
    貌似国内所有银行的在线网银都是要安装插件的,也就是说安全体系由该插件实现,与浏览器本身没什么关系。
    至于客户端,它连接的并不是你浏览器访问的那个网站页面,走的是其他通道。心情好的话加密算法都不用 RSA 或 ECC ,而是 SM2 。

    @bsidb
    国内银行网银的安全逻辑是: (1)你在自己的电脑正确使用了真正的网银软件则能够确保安全性 (2)你用了假冒的网银软件则用不了网银(有网银盾或手机短信二重验证)。
    至于你从银行官网下载了假的网银软件导致系统中毒,银行不会承担责任。这是艹蛋之处。
    RqPS6rhmP3Nyn3Tm
        21
    RqPS6rhmP3Nyn3Tm  
       2016-12-11 17:14:39 +08:00 via iPhone
    一直觉得,反正国内的网银都要装控件,为什么不做成 Standalone app 呢,像招行那样
    qceytzn
        22
    qceytzn  
       2016-12-11 18:35:21 +08:00
    @BXIA 招行的 Standalone app 有 MAC 版、 linux 版、 BSD 版吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2130 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:12 · PVG 00:12 · LAX 08:12 · JFK 11:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.