被无视的网络交易平台安全与诚信
2007-12-18 16:47:42 来源:WEB开发网SSL的安全性在于它的数据无法篡改,即使中途被入侵者拦截,入侵者也无法直接看到传输中的真实数据内容,由于它采用高达64位和128位(当前普遍可见的级别),甚至256位机别的密钥随机加密技术,入侵者想要即时破译是不可能的事情,而当入侵者破译出内容时,数据早已经过时了,即使入侵者采用事先伪造的加密数据来实施欺骗,也会由于Hash值不同而视为无效数据处理。
当浏览器启用SSL传输时,网站的协议前缀就不再是http://,而是https://,同时浏览器的状态栏会出现一个金色的锁头。任何涉及电子商务的站点都必须采用安全传输协议,而同时也不是任何站点都能随便开放安全传输协议的,因为开启安全协议需要通过数字证书的申请,所以如今被滥用的钓鱼网站几乎都是普通HTTP协议的,只要用户仔细看就不难发现。
3.必要的自身安全:本地数据的隐私保证
除了上述的两种安全,还有一种更重要的,那就是支付平台在用户本地机器环境上的安全,因为用户的机器是交互的开始之处,也是最复杂的,如果一个支付平台做到了数字证书认证和数据传输安全保障,却在用户环境的数据交互部分造成严重问题,那么,多年积累下来的口碑也会被毁于一旦。
支付平台在用户机器上的存在形式是一种浏览器插件“BHO”(Browser Helper Object,浏览器辅助对象),它是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准,它是一种可以让程序员使用简单代码进入浏览器领域的“交互接口”(INTERACTIVED Interface)。
在这里,支付平台插件的作用是将本地页面里的敏感数据输入框加密,并阻止键盘记录器收集用户的输入,这样就避免了一般页面的“明文输入”隐患(虽然用户在密码框里输入的字符是不可见的,但它实际上仍然是可以直接被相关工具拦截查看的),设想一下,即使一个网络银行在站点和传输方面已经实现了绝对的安全,可是在用户输入用户名和密码的页面里却未加任何防范,导致用户输入的数据直接被特定的后台程序记录并发送给幕后黑手,那么,这后面的安全数据传输无论多么安全也已经没有意义了。
更多精彩
赞助商链接