52,797
社区成员
发帖
与我相关
我的任务
分享淘宝网中的密码控件一定要用ActiveX实现么?
国内许多的电子商务网站,网上银行都使用ActiveX插件方式提供密码输入控件,我不明白为什么要使用这样不兼容的技术,毕竟AX只能在IE上运行,其他浏览器都无法使用,这样不是要重复开发新得插件才能在其他浏览器上跑么。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式也不见的安全。
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
既然如此,我就很怀疑他们使用ActiveX的目的是什么了,为了自己方便还是用户方便?还是。。。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式也不见的安全。
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
既然如此,我就很怀疑他们使用ActiveX的目的是什么了,为了自己方便还是用户方便?还是。。。
...全文
请发表友善的回复…
发表回复
hiloves 2009-10-23
- 打赏
- 举报
[Quote=引用 15 楼 luciferstar 的回复:]
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
[/Quote]
luciferstar讲的是不错,HTTP通讯加密的标准技术是HTTPS,不是ActiveX,这点是没错的。但HTTPS对服务器负载重,淘宝出于成本考虑才使用ActiveX加密密码。
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
[/Quote]
luciferstar讲的是不错,HTTP通讯加密的标准技术是HTTPS,不是ActiveX,这点是没错的。但HTTPS对服务器负载重,淘宝出于成本考虑才使用ActiveX加密密码。
hiloves 2009-10-23
- 打赏
- 举报
[Quote=引用 16 楼 xsir317 的回复:]
引用 15 楼 luciferstar 的回复:
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
回去看看信息安全的课本吧。。。啥叫加密。。。啥叫密文。
[/Quote]
xsir317讲的一点不错。
重复一句,加密算法是公开的,加密密钥是严格保密的,明文 + 密钥 = 密文。
你如何用JS保存密钥????
引用 15 楼 luciferstar 的回复:
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
回去看看信息安全的课本吧。。。啥叫加密。。。啥叫密文。
[/Quote]
xsir317讲的一点不错。
重复一句,加密算法是公开的,加密密钥是严格保密的,明文 + 密钥 = 密文。
你如何用JS保存密钥????
hiloves 2009-10-23
- 打赏
- 举报
[Quote=引用 14 楼 caobob 的回复:]
不是加密的问题http会被监听的。而ActiveX实现了Socket。两者的安全性截然不同。
[/Quote]
淘宝登录页的ActiveX并未实现与服务器之间直接的Socket连接,这个ActiveX的作用是加密密码,然后放到表单的TPL_Password项中,被HTTP POST上服务器的。
不是加密的问题http会被监听的。而ActiveX实现了Socket。两者的安全性截然不同。
[/Quote]
淘宝登录页的ActiveX并未实现与服务器之间直接的Socket连接,这个ActiveX的作用是加密密码,然后放到表单的TPL_Password项中,被HTTP POST上服务器的。
LuciferStar 2009-10-22
- 打赏
- 举报
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
xsir317 2009-10-22
- 打赏
- 举报
[Quote=引用 15 楼 luciferstar 的回复:]
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
[/Quote]
回去看看信息安全的课本吧。。。啥叫加密。。。啥叫密文。
首先,通过hook方式获得密码,无论用不用插件只要跟系统有交互那肯定有办法获得密码的按键
其次,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术
关键是数据的传输。
你再怎么加密,我把你的数据拦截了,我就知道一切了。
[/Quote]
回去看看信息安全的课本吧。。。啥叫加密。。。啥叫密文。
caobob 2009-10-21
- 打赏
- 举报
不是加密的问题http会被监听的。而ActiveX实现了Socket。两者的安全性截然不同。
jxwangjm 2009-10-20
- 打赏
- 举报
进来学习一下
hiloves 2009-10-17
- 打赏
- 举报
楼主,加密算法是公开的,真正要保密的是加密密钥,你用JS如何保证密钥不被窃取。所以ActiveX的第一步是要保证密钥安全,然后用这个密钥加密你的登录密码,IE再将加密后的密码POST上服务器。不过,现在的网站一般是不用ActiveX,是用HTTPS,但是HTTPS占用的服务器资源要比服务器解密密钥要大,一台服务器可以用解密算法解10个密码,如果用HTTPS就只能解5个,为了减少成本所以就用ActiveX了。
hiloves 2009-10-17
- 打赏
- 举报
Flash可以反解译出原代码,一看就知道加密算法是什么。其实一般是用HTTPS来做的。
anyqu 2009-09-19
- 打赏
- 举报
安全第一
Jose_Xu 2009-09-19
- 打赏
- 举报
为了自己的银行账户安全,随便哪个用户都不会嫌弃这个麻烦!
Jose_Xu 2009-09-19
- 打赏
- 举报
无论你用什么都是会被钩子等钩出密码帐户来。
使用ActiveX其中ActiveX本身是利用C或者C++开发的文本输入框,其目的是为了防止被钩出重要信息,
以前QQ也是没做这个处理,后来出现盗号非常频繁。
使用ActiveX其中ActiveX本身是利用C或者C++开发的文本输入框,其目的是为了防止被钩出重要信息,
以前QQ也是没做这个处理,后来出现盗号非常频繁。
aokihu 2009-09-17
- 打赏
- 举报
没错,Flash是插件,但是别忘了,Flash的占有率超过90%
cuixiping 2009-04-22
- 打赏
- 举报
楼主大概忘了,在ie里,flash本身就是一个ActiveX
过河石头 2009-04-22
- 打赏
- 举报
js+flash 破解起来容易些?
zhaozhijun0207 2009-04-20
- 打赏
- 举报
怎样安全,就怎样用.
aokihu 2009-04-20
- 打赏
- 举报
支付宝有读U盘的功能么?
还有即使是RSA算法js也能实现,小日本就有一个这样的库,能够计算32位以内的,虽然实用不高但是说明了js是能够实现的,同时也可以由as来运算,这个性能高些。
而数字证书不过就是一个文本文件,完全可以用flash的本地文件功能存储,除了不能读硬件外,我觉的js+flash完全可以实现现在的功能
还有即使是RSA算法js也能实现,小日本就有一个这样的库,能够计算32位以内的,虽然实用不高但是说明了js是能够实现的,同时也可以由as来运算,这个性能高些。
而数字证书不过就是一个文本文件,完全可以用flash的本地文件功能存储,除了不能读硬件外,我觉的js+flash完全可以实现现在的功能
小瑞 2009-04-20
- 打赏
- 举报
[Quote=引用楼主 aokihu 的帖子:]
国内许多的电子商务网站,网上银行都使用ActiveX插件方式提供密码输入控件,我不明白为什么要使用这样不兼容的技术,毕竟AX只能在IE上运行,其他浏览器都无法使用,这样不是要重复开发新得插件才能在其他浏览器上跑么。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式…
[/Quote]
,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术 ,这些都是摘要算法,不能作为加密的,网络传输都是根据数字证书做的非对称加密。
国内许多的电子商务网站,网上银行都使用ActiveX插件方式提供密码输入控件,我不明白为什么要使用这样不兼容的技术,毕竟AX只能在IE上运行,其他浏览器都无法使用,这样不是要重复开发新得插件才能在其他浏览器上跑么。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式…
[/Quote]
,通讯加密,即使用js也能实现md5,sha加密算法,根本没必要使用ActiveX技术 ,这些都是摘要算法,不能作为加密的,网络传输都是根据数字证书做的非对称加密。
小瑞 2009-04-20
- 打赏
- 举报
[Quote=引用楼主 aokihu 的帖子:]
国内许多的电子商务网站,网上银行都使用ActiveX插件方式提供密码输入控件,我不明白为什么要使用这样不兼容的技术,毕竟AX只能在IE上运行,其他浏览器都无法使用,这样不是要重复开发新得插件才能在其他浏览器上跑么。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式…
[/Quote]
js+flash可以读硬件KEY么?
好像好多都是使用KEY读取数字证书的,JAVA是不能直接读取的
国内许多的电子商务网站,网上银行都使用ActiveX插件方式提供密码输入控件,我不明白为什么要使用这样不兼容的技术,毕竟AX只能在IE上运行,其他浏览器都无法使用,这样不是要重复开发新得插件才能在其他浏览器上跑么。
我觉得使用js+flash也能实现同样的功能,而好处是编写一次随处可运行,不用开发不同版本的插件,而像ebay只是使用ajax方式也实现了,为何国内口口声声说要做到网站兼容性,而只支持IE
而使用ActiveX的方式…
[/Quote]
js+flash可以读硬件KEY么?
好像好多都是使用KEY读取数字证书的,JAVA是不能直接读取的
ActiveX 控件只能在 IE 中使用,淘宝在 Firefox、Chrome 中使用的控件是使用 NPAPI 编写的。 2、安全控件真的安全吗? 所谓安全控件诞生的起因,是因为浏览器的标准输入控件,
