把使用者當笨蛋...

兆豐商銀憑證管理工具使用手冊 的第七章對「為什麼採用電子憑證之授權交易在執行時,一直出現「安全性資訊畫面」?」的說明:

Update:第一個,畫面跳出安全性資訊是因為在 https:// 網頁上夾雜 http:// 資訊,這不是 IE 的 bug,而是兆豐金的人設計網頁時的安全漏洞。如果沒有特殊設定,那麼在 SSL 所建立的 Cookie 會因為抓取 http:// 資料而從 Non-SSL 下從網路上傳輸。

IE 會出現警告訊息是正確的作法,因為這本來就有安全問題。

第二個,SSL 連線裡面需要的不只是一種加密方式,一般比較常見的連線是 RSA 1024bits + 128bits (左圖) 或是 RSA 1024bits + 256bits (右圖),所以在說明書裡面故意把 "1024bits" 與 "128bits" 放在一起誤導使用者「1024 > 128」是很糟糕的事情:

第三個,兆豐金宣稱使用的 RSA 1024bits + 與現有 SSL 在使用的 RSA 1024bits + 128bits 比較,會不會比較安全,我覺得... errr...

13 thoughts on “把使用者當笨蛋...”

  1. 根據個人經驗,會加入手冊裡的東西,通常是客服不斷的接到詢問電話的問題。
    如果加進手冊能夠減少人力成本,為什麼不呢?

  2. 請教一下
    實際上 到底是為甚麼 會出現"非安全性項目"的警告呢??????

  3. 應該是完全指鹿為馬吧!!
    把加密不完全的網頁造成的錯誤訊息
    講成什麼"高級加密"
    還說放心按下去... 囧

  4. 君不見某大站每每出事就是那套說詞:「如果有錯一定不是我的錯。」還是一堆人買單啊,只要有解釋都是有人相信的。

  5. 這鳥東西根本就是IE的bug,煩死了!不只有iframe會遇到,曾經在頁面上寫類似這樣的語法:

    結果出現這個鳥訊息,移掉該HTML tag就ok... -_-|||

    那次光是抓這問題,搞的快砍人.我根本上的相信,這是IE的bug,FX上面沒這情況. orz...

  6. 站在一般客戶(我要強調一般客戶,非專業工程師)的立場,他只要你告訴他「按下是安全的」就對了;站在客服的立場,「不要跟我講那麼技術的東西,只要保證客戶是安全的就好了」;站在寫程式的廠商(通常是OUTSOURCING)
    「不要來找麻煩啦」

    這樣是把使用者當笨蛋沒有錯,可是..說句實在話..並不是每個使用者都聰明到,向各位去發掘背後的原因。

    我自己曾經寫過有關於網路銀行的Q&A,寫太技術,大家都看不懂,全部的人都在抱怨太難...

    只好改成四不像... -_-

  7. 啊... 上次貼完沒檢查,HTML code被過濾掉了. -_-

    曾經發生過的案例是寫類似的HTML code:

    img src="/Images/a.gif"...

    src屬性中不寫http or https,寫了絕對路徑,這樣在IE中走https居然會發生這個鳥popup,問題是...很多地方都這樣寫,出事情的就是這行.移除這行後,就不會出現,但是別的地方寫法還是一樣啊!

    那次真的很詭異很詭異...原本發生時候就是因為iframe問題,解決後爽了一下,後來還有出現,採用排除法,最後抓到這個元兇,真是無法理解.

Leave a Reply

Your email address will not be published. Required fields are marked *