摘要:国内的一些银行的网上银行系统为了用户信息的安全，在登录页面上使用了名为“安全登录控件”的东西，取代了传统的 HTML 的输入控件（Input），下面就对用户量较大的招商银行和工商银行的登录界面及“安全登录控件”做一下对比。 1、招商银行 招商银行的网上银行系统做的比较早，用户也很大，深受大部分用户欢迎，其在安全控制手段上也一直比较严格。 在进入正题之前，先来一点题外话：招商银行的有些安全控制办法很值得我们学习，例如专业版证书，据我猜想，可能是在标准的 X.509 证书上又做了一些安全保护，即对标准的证书又进行加密（加密方式不是公开的），这样在计算机中保存/备份的证书是不能通过 Windows 提供的程序去打开的，只有在专业版软件中输入正确的密码后才能导入，这样即遵循了标准，保证了扩展性，又在安全措施上大大加强了。 招商银行的大众版不象专业版那样版本更新很快（可见招商银行的专业版用户量很大，而大众版并不是其发展的重点），大众版自诞生之日起，界面一直比较简单朴素，但基本功能都具备。通过对大众版登录界面的的分析，得到了一下信息： 1) 在登录界面上有数字验证码来防止暴力攻击 2) 安全登录控件中包含两个控件：帐户和密码输入控件 3) 用户输入登录信息后，提交时 Javascript 从安全登录控件中取出的帐户和密码是经过加密的，即在 SSL 加密的基础上，又做了自定义的加密，完全做到了端到端的保密通讯（这一点可以通过 ieHTTPHeaders 查看出来） 4) 在登录 Form 中还有一个 ClienNo 和 SerialNo 等字段，这些值被设置为安全登录控件的 Option，估计是做为加密所用 Key 的一部分 5) 登录 Form 的提交地址是一个 DLL（ISAPI？），Web Server IIS 5.0 (招商银行的主页似乎运用了 Content Management Server ，从其页面源码中可以看出来） 6) 安全登录控件的 CAB 包（CMBEdit.CAB)，大小有 117 KB，包含控件 CMBEdit.DLL ，应该是使用 VC 编写的，版本 1.1，经过 VeriSign 代码签名 7）最关键的是，不管是 MVM 的基于 .NET 的键盘 Hook 程序，还是另外一个基于 VB 的键盘 Hook 程序，都无法捕捉用户在安全登录控件里输入的键值，这也许是最重要的一点 8) 由于在页面中使用 ActiveX ，可能给一些用户带来登录问题（如安全设置不同或安装 XP SP2 都可能阻止 ActiveX 的安装），招商银行的页面上明确给出了解决登录的链接文档。 总之，招商银行的网上银行登录界面在安全上的确做的不错。 2、中国工商银行 工商银行网上银行近两年发展很快，成了其不可或缺的一个重要渠道，且被国外一些媒体评为中国最佳网上银行。 1) 工商银行的个人网上银行系统登录界面中没有使用验证码来防止暴力攻击，这种成本非常低，但安全性回报很高的做法竟然都不用（扣1分） 2) 登录界面中，只有密码域使用了安全控件，难道帐号信息就不重要（扣1分） 3) 在 ieHTTPHeaders 捕捉到的登录 Form 提交的信息中，帐号和密码是未加密的明文，且没有任何其它的信息来防止安全攻击（扣3分） 4) 有意思的是，在登录界面的 HTTP Response 信息中，不但有 IIS 5.0 的信息，还有 WebSphere Application  Server 4.0 的信息，看来其 Web Server 是 IIS，而 Application Server 又是 WebSphere ，这一对组合 ... 5) 登录安全控件的 CAB 包（AxSafeControls.CAB) 大小约为 174......[阅读全文]

摘要:今天在登录 Hotmail 的时候，发现自己的 25 M 邮箱升级到 2G ，比展波给我的 1G Gmail 大出整整一倍，我也不是 MSN 会员呀，这让人难为情 ...　，后来看到，有不少人也和我一样幸运 ... 前几天，曾经有人写了一个 GMail Drive shell extension，可以将 Gamil 邮箱虚拟成一个硬盘分区GMail Drive，文件系统为GMailFS，这样你就有 1G 的 Web Drive 了，使用挺方便，速度也不慢，即然有 2G 的 Hotmail 了，那 Hotmail Drive shell extension 估计也不远了，Hotmail 是可以使用 WebDAV 来访问的，估计可以使用这个协议来完成这个 extension，升级后的Hotmail 的附件限制是 20 M，这是不是也意味着 Hotmail Drive 是的单个文件也可达 20 M？ Gmail 虽然很大，但比较慢，而且经常登录不上去，希望 Hotmail 的升级不会带来类似问题。...[阅读全文]

摘要:很多高级安全技术归根结底都要使用到 PKI，而认证机构（CA） 和数字证书又是 PKI 中的两个关键部分，所以要想应用这些高级安全技术，就需要建立一套基于 PKI 的 CA ，以便进行数字证书的发放、验证、吊销等功能。 最近较为详细的试用了 Windows Server 自带的证书服务，发现 Microsoft 可能对 Windows 中的证书服务没有足够的重视，以至从 NT 4 开始，证书服务提供的功能基本没有增强：简单的证书申请页面、简陋的服务器管理界面（MMC），证书申请的Web界面还是基于 ASP ，要在 IIS 6上设置允许 ASP 执行 ...... 一般来说，建立 CA 时，要采用层次架构，我们经常在通过 SSL 访问 Internet 上的一些服务器时，查看其数字证书，都可以发现 CA 的层次结构：首先是根证书服务器（Root CA），它只面向其它子 CA 发放证书，而不向用户发放用于应用程序的各种证书。象 Verisign ，一般都在根 CA 下分好几个子 CA ，每个子 CA 面向不同的用户或应用类型，发放指定功能类型的证书。 Microsoft 证书服务在安装时就需要指定 CA Server 的类型（企业根 CA、企业从属 CA、独立根 CA、独立从属 CA 等），一旦指定后，就不能更改，这倒也合情合理，但只能安装证书服务的一个实例，这样就无法在一台机器上建立 CA 的层次结构了（虽然 Microsoft 曾声称它们的 CA 可以实现 40 级的结构，可这是以 40 台服务器为代价的......），希望 Microsoft 以后能象 SQL Server 一样，在一台 CA 上实现多个实例，这样建立根 CA 后，可根据需要再建立几个子 CA ，如果以后在一台机器性能不能满足要求的话，就可以平滑地移植到其它服务器上。 另外，证书服务器的申请界面（ASP）比较简陋，且在用户申请证书后，管理员不能及时得到通知，此外现有的证书页面中不能包含一些描述信息，如用户说明此证书的用途、用户的联系方式、期限要求等，这些信息才是证书服务器管理员最需要了解的信息，而现有的 MMC 管理界面中提供的有用信息很少。 以上几个缺陷倒也简单，借着还有点 ASP 的知识，自力更生，给每个页面包含（Include）了页首（Header）和页尾（Footer）文件，并设置了CSS ，让界面看上去更舒服，而且也与企业内部网上的其它 Web 应用在 UI 上保持一致。同时，修改几个提交页面，使得用户在向证书服务提交申请的同时，向指定的管理员邮箱发送通知邮件，这样管理员就能及时到证书服务管理界面中进行相关后续操作（如有人对此代码感兴趣，可以在 Comment 中索取）。 据有人说，OpenCA 具有在一台机器上实现多级 CA 的功能，等过后试试，比较烦人的是，还需要安装一台 Linux 虚拟机。...[阅读全文]

摘要:参加北京 TechED 2004 的同志们，如果听了第一天早上郭安定的《探索 Office 解决方案的艺境与技术趋势》这个 Session，大家一定深有印象，因为他将 Office 的成员与金、木、水、火、土联系起来，形成了独具特色的“Office 五行论”，很有意思，不管大家对其认同程度如何，这总算是 TechED 讲师的一个突破 ---- 不是照搬国外的 TechED 的 Slide。 此外，这个 Session 吸引我的另外的一个方面是：Slide 中使用了一个播放插件，使得各页在切换时具有各种 3D 效果，如旋转的箱子，翻动的活页夹等，对于多年来习惯了 PowerPoint 毫无生气的翻页方式之后，这种十分 Cool 效果无疑十分吸引与会者的眼球与兴趣，增强 Session 的趣味性。 我注意到郭老师在打开 Slide 时会有一个 Splash 屏，显示了 PowerXXX 的字样，这估计就是插件的名称，回去 Google 了一下，发现此插件的正确名称为： PowerPlugs，大小约有 6 M。 安装 PowerPlugs 后，会在 PowerPoint 中增加一个 Transitions 快捷工具栏，有如图所示的三个按钮: View Show With 3D：以事先定义的 3D 转换的方式演示 Slide Add 3D Transition：给选定的页增加 3D 转换效果 Pack 3D Effects：将 3D 转换效果打包，生成 AVI，以便在没有 Direct3D 或较低版本的 PowerPoint 中播放。 默认安装 PowerPlugs 后，3D 转换效果较少，可以通过其它渠道获得较多的转换效果。 如果各位经常要给别人讲课，要做 Demo，马上利用 PowerPlugs 为你的 Slide 增色添彩吧 :P。 查看：PowerPlugs 及更多 Office 功能增强插件下载：PowerPlugs for PowerPoint...[阅读全文]