招行的网银支持 Mac 了，10.8 亲测可用

已证实

良心银行

不支持U盾什么的么？大额付费有解决方案么。

始终不明白＂安全控件＂这种东西有什么意义
标准 HTML 提交密码会死么
用个网银还要装垃圾软件
谁发明的这玩意

不关心，手机支付妥妥的，蛮好

@NemoAlex 安全控件是为了防止本地木马记录键盘信息。

@NemoAlex 天朝银行机制的不完善就得靠技术手段去弥补。

这个……专业版的可以用么

@NemoAlex 标准控件的话，应该是可以通过注入js获取到明文密码的

@pandazxx 密码理论上只是个身份校验用途的数据，授权应该由一次性随机密码/种子码校验器等来实现。

@pandazxx 传输层 SSL 就行了
真不是安全问题
人家老外那么多金融系统，安全要求都很高，没一个这么干的
你能想到的东西人家上个世纪就都想到了
中国人自己制造个轮子，就觉得安全了么？

@BOYPT 是的，理论上可以结合一些网页外的手段如手机动态密码/安全令牌等增加安全性，如果仅仅用网页手段验证的话，还真是得有安全控件。但是应该有其他更通用的插件体系做到多浏览器兼容，之前gdd有位牛人介绍过，我没有详细了解。

@NemoAlex 用ie的话还真不行，很容易就被一些恶意控件在浏览器端就劫持了，还没到传输层

@NemoAlex 当然，你说的自己搞个轮子，安全不到哪里去，我也赞同，首先这些技术不见得比国外牛逼，另外其实国外金融安全另外一个很重要的保障是司法刑征的高效保障，我们这边全部都实名制，但是真正发生恶意转账以后，警察也无能为力。这样的危险无论用什么技术手段，都做不到国外的安全的。

如果是 rootkit 级别的 key logger 应该不是一个浏览器控件能够保证安全的，感觉主要还是对于安全意识不高的人群，另外心理作用也是一部分吧

建行也算部分支持

@bmwmengwei 建行的好多了，登录网银根本不需要任何“控件”，帐号密码一输就好了

没有Ukey，我都觉得不放心，看看国内的那些坏渣滓，种木马，养肉鸡的。
没有硬件级别的安全防护，都不让人放心。

@NemoAlex 其实建行网银也有，只是在你不知不觉间就通过ukey把driver驱动及安全组件给装上了。

@skywinger 我用 OS X

碉堡了 不错

@NemoAlex 其实也应该在MacOSX上应用Ukey

@skywinger 上房揭瓦了

其实这些银行推出什么样的“安全”措施没有错，错在强制使用非标准的东西
如果哪家银行能提供一个“我不是傻逼”的选项，不需要任何额外的程序和 USB 的东西，出了安全问题我自己负责，我一定会去用他家的

@NemoAlex 不用安全芯片，也就是ukey，谁都无法保证高级别的安全。硬件加解密，才是安全可靠的，我本人就是从事金融终端产品（也就是POS）的系统平台开发工作，所以很了解这点。

@skywinger 问题是我不需要那种强度的安全，国内网银开发的东西又不够全平台，很大程度上影响了正常使用

@skywinger
@NemoAlex
银行这么做只是为了推卸责任。

用控件就安全吗？不见得吧，每个键盘的按键声音都是有细小差别的，木马完全可以打开麦克风收集按键声，然后同输入的按键比较，然后得到用户的输入，完全不需要注入网页。
国外不用控件用随机密钥肯定是知道控件根本不能保证安全。

@skywinger 安全方面，不用ukey，类似浦发银行手机短信随机密码形式，是否可行？
@NemoAlex 浦发银行不就是这样吗？

@xhslyf 可以，前提条件是你需要额外接收短信，绑定手机号码。
其实如果手机NFC能成为我们国内的手机支付规范的话，NFC内部的安全芯片就能够存储银行的数字证书和私钥；这样就更便捷更安全可靠。

@skywinger 这样手机就更值得偷了。。。。

日本手机银行我记得是5000日元以下可刷，以上不知道会怎么样。。。。

@yuelang85 其实这个问题，在中国确实是比较无奈，可以强制配合PIN输入（密码输入）来配合安全芯片加解密报文的方式来使用。

win下activex控件权限很大，所以网银啊 支付宝之类 用这个就是拿来窃取用户信息的。

@skywinger 那安全性上，手机短信验证的方式也同样足够安全吧？相对U盾，手机短信的方式有什么安全隐患吗？

@skywinger
@linsk
@NemoAlex

我的一个很诛心的想法：这些银行其实早就知道 USB Key / 安全控件的方式很麻烦，只不过前期花了那么多钱去开发（说不定还屯了好多 USB Key？），现在换新方案不划算，就保持现状呗，反正银行的关键盈利点又不在网银上

@xhslyf，数据在传输过程中没有经过U盾上的安全芯片里的密钥加密后传输，容易被别有目的的人截获，从中获取你的银行卡密码（Pin）

@xhslyf 在国内，有人可以获取所有短信内容，并且是在你接受到之前。还有未使用的号他们也能获取到发送给他的短信内容

@skywinger
@kingwkb
那结合你俩说的，仅仅是 HTTPS 传输，没有经过U盾加密，也会存在安全隐患，恶意攻击者可以获取到我的银行卡密码。
然后，短信内容也可以被截取。
那么，我等于被盗了……

@skywinger
@kingwkb
另外，如果攻击者要获取我通过 HTTPS 发送的帐号和密码，同时再获取我的短信随机字符串。
这个难度是多大？简单来说，他是怎样做到？

@xhslyf HTTPS 是安全的，通过非对称的密钥实现传输层加密
其实我认为这些银行的业务，只需要 HTTPS 就够了

@NemoAlex 假如我中毒了，木马侦测网址，检测到我进入某个银行，然后开始记录键盘输入（此银行的密码输入框无控件），那么即使有HTTPS，我的卡号和密码是不是也一样被窃取？
另外，那个窃取短信内容是咋回事？你知道吗？

@xhslyf 是的，客户端或者服务器端有安全漏洞的话，密码一样会被窃取
HTTPS 只是在传输层应用 SSL，保证不会让传输层的第三方获取通讯内容罢了
浏览器的所谓“安全控件”只是小儿科的抵御密码记录罢了

@xhslyf 你天真了，只要是RSA的私钥不是存放在安全芯片里面，而是存放在手机上或存储卡上，那么HTTPS也就不安全了，真正金融级别的安全是应该和POS设备一样，主密钥是必须存放在安全芯片上或是密码键盘里的，具有拆机自毁的功能。

我 Safari 可用，但是 Chrome 用不了…… 支付宝插件也这样……

@NemoAlex 如果有的时候你会临时在其他电脑上支付，有这个安全控件，至少从心理上来说，你会安心很多。哪天你要是因为密码被盗，工资卡上被划走一大笔钱，你又或许会骂银行连基本的安全机制都不懂了。

@firsthym 抱歉，你想象中的那种人跟我不在一个层面上
再次重申我的观点：
“安全控件”纯属搞笑，对恶意程序来说只不过是增加了一点点开发成本而已
使用“U盾”来保障安全性是有效的，但是这绝对不是唯一的安全解决方案，例如短信安全码就很简单有效，没有平台和软件兼容的困扰
大部分银行把这些事情外包给软件开发能力很差公关能力很强的软硬件开发公司做出来的“U盾”，只有 Windows 可以用，其余几个主流操作系统平台都没有拿出解决方案
问题的关键在于：强迫用户使用“U盾”和“安全控件”，没有提供不使用这些的方案。这让网银在一些环境下根本无法使用，给高端用户带来麻烦

@NemoAlex 我觉得换我是决策方我也不会积极推进，也会选用目前这样保守迟钝的方案。理由很简单，如果提供了不强制使用各种安全措施的直接易行的方法，不只是你这样的高端用户会选用，更多的毫无安全意识的使用者也会这么用。

最后出了问题，大部分人还是会来找银行麻烦的。不是人人都像你一样愿意自己承担后果。那时候我是银行，我可就吃不了兜着走了。

至于跨平台的解决方案，也有个有意思的现象。但凡是金融类（主要指网银），在跨平台上都动作特别迟缓，也伴随着相关的麻烦的控件啊UKEY之类乱七八糟的要求，普通的互联网产品要做跨平台倒是推进的蛮快的。我觉得也是因为金融产品的特殊性，这方面推进会比较慢，哪怕技术上有相对成熟的方案，也不敢贸然使用，加之这类机构向来的官僚作风，想有点推进更是难上加难。估计这方面甚至还有国家出台的某些规范或者法律要求。

总之麻烦归麻烦，但如果换做我是银行决策方，我恐怕也会保持现状。

@NemoAlex 我本人就是从事金融支付的（POS），我在网银上，如果没有UKEY或是U盾等安全芯片来存放安全证书或是TMK的话，我是根本不敢用来做大额网上支付及网上大额转帐的。

@skywinger 无意冒犯