兆豐商銀憑證管理工具使用手冊 的第七章對「為什麼採用電子憑證之授權交易在執行時,一直出現「安全性資訊畫面」?」的說明:
Update:第一個,畫面跳出安全性資訊是因為在 https:// 網頁上夾雜 http:// 資訊,這不是 IE 的 bug,而是兆豐金的人設計網頁時的安全漏洞。如果沒有特殊設定,那麼在 SSL 所建立的 Cookie 會因為抓取 http:// 資料而從 Non-SSL 下從網路上傳輸。
IE 會出現警告訊息是正確的作法,因為這本來就有安全問題。
第二個,SSL 連線裡面需要的不只是一種加密方式,一般比較常見的連線是 RSA 1024bits + RC4 128bits (左圖) 或是 RSA 1024bits + AES 256bits (右圖),所以在說明書裡面故意把 "1024bits" 與 "128bits" 放在一起誤導使用者「1024 > 128」是很糟糕的事情:
第三個,兆豐金宣稱使用的 RSA 1024bits + 3DES 與現有 SSL 在使用的 RSA 1024bits + RC4 128bits 比較,會不會比較安全,我覺得... errr...
根據個人經驗,會加入手冊裡的東西,通常是客服不斷的接到詢問電話的問題。
如果加進手冊能夠減少人力成本,為什麼不呢?
請教一下
實際上 到底是為甚麼 會出現"非安全性項目"的警告呢??????
http://support.microsoft.com/kb/261188/zh-tw
當頁面包含 IFRAME 式沒有指定 SRC 屬性 (Attribute) 就會發生這個問題。
===============
找了一下 還是不懂
應該是那句"此種安控模式並非國際通用之Internet標準"吧.....
應該是完全指鹿為馬吧!!
把加密不完全的網頁造成的錯誤訊息
講成什麼"高級加密"
還說放心按下去... 囧
君不見某大站每每出事就是那套說詞:「如果有錯一定不是我的錯。」還是一堆人買單啊,只要有解釋都是有人相信的。
這鳥東西根本就是IE的bug,煩死了!不只有iframe會遇到,曾經在頁面上寫類似這樣的語法:
結果出現這個鳥訊息,移掉該HTML tag就ok... -_-|||
那次光是抓這問題,搞的快砍人.我根本上的相信,這是IE的bug,FX上面沒這情況. orz...
這個錯誤訊息的意思是說
在一個 https 的網頁中
有 http 的 resource
例如你有一個網頁 abc.html 裡面寫了一個 img src=http://xxxxx
用 https://aaa.com/abc.html 去連就會吐這個訊息
站在一般客戶(我要強調一般客戶,非專業工程師)的立場,他只要你告訴他「按下是安全的」就對了;站在客服的立場,「不要跟我講那麼技術的東西,只要保證客戶是安全的就好了」;站在寫程式的廠商(通常是OUTSOURCING)
「不要來找麻煩啦」
這樣是把使用者當笨蛋沒有錯,可是..說句實在話..並不是每個使用者都聰明到,向各位去發掘背後的原因。
我自己曾經寫過有關於網路銀行的Q&A,寫太技術,大家都看不懂,全部的人都在抱怨太難...
只好改成四不像... -_-
你搞錯方向了。
我要說明的是「根本不安全」而且還把整件事情講的很像很安全。
使用者很好哄的啊..有理由就會有人相信嘛... :P
安全到可以被植入網馬:)
Jeff 的留言才是問題所在, 我想gslin也是要表達這個意思.
啊... 上次貼完沒檢查,HTML code被過濾掉了. -_-
曾經發生過的案例是寫類似的HTML code:
img src="/Images/a.gif"...
src屬性中不寫http or https,寫了絕對路徑,這樣在IE中走https居然會發生這個鳥popup,問題是...很多地方都這樣寫,出事情的就是這行.移除這行後,就不會出現,但是別的地方寫法還是一樣啊!
那次真的很詭異很詭異...原本發生時候就是因為iframe問題,解決後爽了一下,後來還有出現,採用排除法,最後抓到這個元兇,真是無法理解.