把使用者當笨蛋...

兆豐商銀憑證管理工具使用手冊 的第七章對「為什麼採用電子憑證之授權交易在執行時,一直出現「安全性資訊畫面」?」的說明:

Update:第一個,畫面跳出安全性資訊是因為在 https:// 網頁上夾雜 http:// 資訊,這不是 IE 的 bug,而是兆豐金的人設計網頁時的安全漏洞。如果沒有特殊設定,那麼在 SSL 所建立的 Cookie 會因為抓取 http:// 資料而從 Non-SSL 下從網路上傳輸。

IE 會出現警告訊息是正確的作法,因為這本來就有安全問題。

第二個,SSL 連線裡面需要的不只是一種加密方式,一般比較常見的連線是 RSA 1024bits + 128bits (左圖) 或是 RSA 1024bits + 256bits (右圖),所以在說明書裡面故意把 "1024bits" 與 "128bits" 放在一起誤導使用者「1024 > 128」是很糟糕的事情:

第三個,兆豐金宣稱使用的 RSA 1024bits + 與現有 SSL 在使用的 RSA 1024bits + 128bits 比較,會不會比較安全,我覺得... errr...

This entry was posted in Browser, Computer, Financial, IE, Joke, Murmuring, Network, Recreation, Security, Software, WWW. Bookmark the permalink.

13 Responses to 把使用者當笨蛋...

  1. adrian says:

    根據個人經驗,會加入手冊裡的東西,通常是客服不斷的接到詢問電話的問題。
    如果加進手冊能夠減少人力成本,為什麼不呢?

  2. Test/FZ says:

    請教一下
    實際上 到底是為甚麼 會出現"非安全性項目"的警告呢??????

  3. Test/FZ says:

    http://support.microsoft.com/kb/261188/zh-tw
    當頁面包含 IFRAME 式沒有指定 SRC 屬性 (Attribute) 就會發生這個問題。
    ===============
    找了一下 還是不懂

  4. leafy says:

    應該是那句"此種安控模式並非國際通用之Internet標準"吧.....

  5. mitivic says:

    應該是完全指鹿為馬吧!!
    把加密不完全的網頁造成的錯誤訊息
    講成什麼"高級加密"
    還說放心按下去... 囧

  6. anton says:

    君不見某大站每每出事就是那套說詞:「如果有錯一定不是我的錯。」還是一堆人買單啊,只要有解釋都是有人相信的。

  7. Ming says:

    這鳥東西根本就是IE的bug,煩死了!不只有iframe會遇到,曾經在頁面上寫類似這樣的語法:

    結果出現這個鳥訊息,移掉該HTML tag就ok... -_-|||

    那次光是抓這問題,搞的快砍人.我根本上的相信,這是IE的bug,FX上面沒這情況. orz...

  8. Jeff says:

    這個錯誤訊息的意思是說
    在一個 https 的網頁中
    有 http 的 resource

    例如你有一個網頁 abc.html 裡面寫了一個 img src=http://xxxxx
    https://aaa.com/abc.html 去連就會吐這個訊息

  9. YK says:

    站在一般客戶(我要強調一般客戶,非專業工程師)的立場,他只要你告訴他「按下是安全的」就對了;站在客服的立場,「不要跟我講那麼技術的東西,只要保證客戶是安全的就好了」;站在寫程式的廠商(通常是OUTSOURCING)
    「不要來找麻煩啦」

    這樣是把使用者當笨蛋沒有錯,可是..說句實在話..並不是每個使用者都聰明到,向各位去發掘背後的原因。

    我自己曾經寫過有關於網路銀行的Q&A,寫太技術,大家都看不懂,全部的人都在抱怨太難...

    只好改成四不像... -_-

  10. Gea-Suan Lin says:

    你搞錯方向了。

    我要說明的是「根本不安全」而且還把整件事情講的很像很安全。

  11. roga says:

    使用者很好哄的啊..有理由就會有人相信嘛... :P

  12. Kuon says:

    安全到可以被植入網馬:)
    Jeff 的留言才是問題所在, 我想gslin也是要表達這個意思.

  13. Ming says:

    啊... 上次貼完沒檢查,HTML code被過濾掉了. -_-

    曾經發生過的案例是寫類似的HTML code:

    img src="/Images/a.gif"...

    src屬性中不寫http or https,寫了絕對路徑,這樣在IE中走https居然會發生這個鳥popup,問題是...很多地方都這樣寫,出事情的就是這行.移除這行後,就不會出現,但是別的地方寫法還是一樣啊!

    那次真的很詭異很詭異...原本發生時候就是因為iframe問題,解決後爽了一下,後來還有出現,採用排除法,最後抓到這個元兇,真是無法理解.

Leave a Reply

Your email address will not be published. Required fields are marked *