|
|
别相信支付宝,因为它不安全! |
|||||||||||||
发表时间:2006-8-22 17:21:12 天气状况: 今天是:2008年11月22日 星期六 浏览次数: |
|||||||||||||
| 众多媒体都曾报道过,淘宝网的支付系统-支付宝 是中国最安全的支付系统。 然而事实是不是这样呢?答案是否定的,支付宝在安全性能上有巨大的漏洞。 淘宝网公关部经理陶然曾表示,“淘宝上个季度的网上交易额为10亿元,“支付宝”自从去年推出以来,大为增强了淘宝网购物交易的安全性,成为国内最安全的网上支付工具”。但支付宝只能算作一个诚信的工具,说白了,类似支付宝这样的诚信工具有点像保险公司的概念,类似于第三方信用证。它连真正意义上的支付工具都不能算。在中国,只有银行能做支付。淘宝只是在银行支付的基础上提供,是交易活动中的信息服务,支付宝还不是真正意义上的支付工具。提供支付功能的只有银行。第三方支付最终还是应该由银行来做的,银行的信用才是最值得信赖。支付宝不发生实际上的资金流,它只是一种虚拟的货币。从技术的角度来说,银行才起到一个支付平台的作用。 但大家都只从交易模式上、诚信基础上来考虑安全问题,但没有人能从真正的安全技术上来讨论支付宝的安全性。 本文便是要从技术上揭开支付宝的巨大漏洞。希望他们能尽快改善。 通过支付宝认证(个人实名认证和商家实名认证)的会员、可以申请数字证书,他们的技术人员也在网上发帖字说 “支付宝数字证书是由支付宝与通过公安部、信息产业部、国家密码管理局等机构认证的权威机构合作,采用数字签名技术,颁发给支付宝用户用以增强支付宝用户帐户使用安全的一种数字凭证,并根据支付宝用户身份给予相应的网络资源访问权限。” 但是不是只要有了证书就可以高枕无忧了呢? 错。 数字证书 代表着用户的网上的身份,相当于只要黑客能获取到某位用户的数字证书,也就可以冒充他的身份,从而可以登录进去盗取钱物。 关键是支付宝的证书 是可以直接下载到本地机(电脑的硬盘里)上,那就意味着,黑客只要植入一个间谍程序(spyware)到支付宝的用户的机器上,便可以轻而易举地获得该用户电脑中的资料,包括数字证书。 那请问,这样的安全机制能有多大的用处呢? 甚至那些没有被认证的用户连数字证书都不能申请,他们只能用静态的用户名+密码的形式,这种登录方式最容易遭到木马程序(Keylogger)的监听。 支付宝的技术人员应该多考虑一下他们的安全机制,毕竟,如果支付系统出现技术上安全问题,对于这个支付系统的声誉是有很大的损失。 网络安全护航者 http://blog.chieftrust.com香港大学博士 首创信息安全技术有限公司 http://www.chieftrust.com | |||||||||||||
 打印本文  推荐本文  加入收藏  返回顶部  关闭窗口 |
|||||||||||||
| |||||||||||||
|
 |
电子商务网 网络营销顾问:厦门杰晶网络nbsp;nbsp;闽ICP备06018874号 Copyright © 2006 ECSoon.com All Rights Reserved 合作站点 |