把使用者當笨蛋…

Posted on April 25, 2007 by Gea-Suan Lin

兆豐商銀憑證管理工具使用手冊 的第七章對「為什麼採用電子憑證之授權交易在執行時,一直出現「安全性資訊畫面」?」的說明:

Update:第一個,畫面跳出安全性資訊是因為在 https:// 網頁上夾雜 http:// 資訊,這不是 IE 的 bug,而是兆豐金的人設計網頁時的安全漏洞。如果沒有特殊設定,那麼在 SSL 所建立的 Cookie 會因為抓取 http:// 資料而從 Non-SSL 下從網路上傳輸。

IE 會出現警告訊息是正確的作法,因為這本來就有安全問題。

第二個,SSL 連線裡面需要的不只是一種加密方式,一般比較常見的連線是 RSA 1024bits + 128bits (左圖) 或是 RSA 1024bits + 256bits (右圖),所以在說明書裡面故意把 “1024bits” 與 “128bits” 放在一起誤導使用者「1024 > 128」是很糟糕的事情:

第三個,兆豐金宣稱使用的 RSA 1024bits + 與現有 SSL 在使用的 RSA 1024bits + 128bits 比較,會不會比較安全,我覺得… errr…

Related Posts:

  • No Related Posts
This entry was posted in Browser, Computer, Financial, IE, Joke, Murmuring, Network, Recreation, Security, Software, WWW. Bookmark the permalink.
  • adrian

    根據個人經驗,會加入手冊裡的東西,通常是客服不斷的接到詢問電話的問題。
    如果加進手冊能夠減少人力成本,為什麼不呢?

  • Test/FZ

    請教一下
    實際上 到底是為甚麼 會出現”非安全性項目”的警告呢??????

  • Test/FZ

    http://support.microsoft.com/kb/261188/zh-tw
    當頁面包含 IFRAME 式沒有指定 SRC 屬性 (Attribute) 就會發生這個問題。
    ===============
    找了一下 還是不懂

  • leafy

    應該是那句"此種安控模式並非國際通用之Internet標準”吧…..

  • mitivic

    應該是完全指鹿為馬吧!!
    把加密不完全的網頁造成的錯誤訊息
    講成什麼”高級加密”
    還說放心按下去… 囧

  • http://antontw.blogspot.com anton

    君不見某大站每每出事就是那套說詞:「如果有錯一定不是我的錯。」還是一堆人買單啊,只要有解釋都是有人相信的。

  • Ming

    這鳥東西根本就是IE的bug,煩死了!不只有iframe會遇到,曾經在頁面上寫類似這樣的語法:

    結果出現這個鳥訊息,移掉該HTML tag就ok… -_-|||

    那次光是抓這問題,搞的快砍人.我根本上的相信,這是IE的bug,FX上面沒這情況. orz…

  • http://jeff-yeh.net Jeff

    這個錯誤訊息的意思是說
    在一個 https 的網頁中
    有 http 的 resource

    例如你有一個網頁 abc.html 裡面寫了一個 img src=http://xxxxx
    https://aaa.com/abc.html 去連就會吐這個訊息

  • YK

    站在一般客戶(我要強調一般客戶,非專業工程師)的立場,他只要你告訴他「按下是安全的」就對了;站在客服的立場,「不要跟我講那麼技術的東西,只要保證客戶是安全的就好了」;站在寫程式的廠商(通常是OUTSOURCING)
    「不要來找麻煩啦」

    這樣是把使用者當笨蛋沒有錯,可是..說句實在話..並不是每個使用者都聰明到,向各位去發掘背後的原因。

    我自己曾經寫過有關於網路銀行的Q&A,寫太技術,大家都看不懂,全部的人都在抱怨太難…

    只好改成四不像… -_-

  • http://blog.gslin.org/ Gea-Suan Lin

    你搞錯方向了。

    我要說明的是「根本不安全」而且還把整件事情講的很像很安全。

  • http://blog.roga.tw roga

    使用者很好哄的啊..有理由就會有人相信嘛… :P

  • http://x-solve.com/blog/?author=19 Kuon

    安全到可以被植入網馬:)
    Jeff 的留言才是問題所在, 我想gslin也是要表達這個意思.

  • Ming

    啊… 上次貼完沒檢查,HTML code被過濾掉了. -_-

    曾經發生過的案例是寫類似的HTML code:

    img src=”/Images/a.gif”…

    src屬性中不寫http or https,寫了絕對路徑,這樣在IE中走https居然會發生這個鳥popup,問題是…很多地方都這樣寫,出事情的就是這行.移除這行後,就不會出現,但是別的地方寫法還是一樣啊!

    那次真的很詭異很詭異…原本發生時候就是因為iframe問題,解決後爽了一下,後來還有出現,採用排除法,最後抓到這個元兇,真是無法理解.