建行“网站查询”系统非常不安全!

http://***/advisories/CCB_account_inquiry_security_problem.htm

笔者以前信用卡账户查询都是使用电话查询的,今日由于电话难打而去建行网站看看是否可以在线查询,还真有“网站查询”(查得快),不用不知道,一用吓一跳!如下图示,此在线查询系统居然没有部署 SSL 证书 (不能用 https://accounts.ccb.com/accounts/login_savings_ope.gsp 访问 ) !非常不安全,非常不可思议!笔者强烈提醒广大建行储蓄卡用户、信用卡用户千万千万不要使用其“网站查询”功能,否则您的卡上的钱不翼而飞还不知道是什么原因!

     不要以为笔者所在公司是卖 SSL 证书的就是“王婆卖瓜 自卖自夸 ”,请听笔者徐徐道来,只要您稍微有一点互联网常识就能了解,笔者不是危言耸听!

     目前一般的网上银行系统都部署了 SSL 证书,点击建行网站上的“ 网上银行 ”就能看到此页面是使用 https:// 访问的,浏览器右边或下方有安全锁标志 ,这意味着您在线输入的信用卡卡号和查询密码信息是自动加密传输到服务器的,就能保证这么重要的机密信息不会被非法窃取和篡改。

     而现在的建行 “网站查询” ( 查得快 ) 系统并没有部署 SSL 证书,则意味着您在线输入的储蓄卡卡号和查询密码从您的电脑到建行查询服务器的传输过程中是明文传输的,任何人只要能侦听到到此传输过程的数据包就能知道您的卡号和查询密码,如果您的查询密码与取款密码一样的话,窃听者就可以把您的储蓄卡中的钱取走了,太可怕了!绝对不要冒险使用。更可怕的是,您在线查询到的结果也是明文从建行查询服务器传到您的电脑上显示的,窃听者也就能看到你卡中有多少钱!看到了您卡中有多少钱了,即使您的取款密码与查询密码不一样,也会诱惑窃听者用穷举法找到您的取款密码!

     不要以为侦听您的传输数据包是难事,现在的办公楼宇和家里上网所谓的“宽带”实际上是一个大局域网,这样的话,整个楼内任何一台电脑安装一个包侦听软件就可以截获整个楼内所有电脑的数据包,窃听者可以锁定侦听建行查询网站就能事实看到您的卡号和查询密码,以及您卡中有多少钱!非常容易得手,所以非常危险!

     最后,再次强烈提醒广大建行储蓄卡用户、信用卡用户千万千万不要使用其“网站查询”功能 ( 如果此查询系统没有部署 SSL 证书的话 ) ,也同时再次呼吁建行以及其他有类似问题的银行,一定要为储户和信用卡用户的账户安全负责,及时部署 SSL 证书,推荐部署支持强制 128 位加密技术的 SGC 超真 SSL 证书,只要这样才能保证无论用户使用什么版本的浏览器都能实现高强度的机密数据加密,才能保证卡号和密码信息不会被非法截获。

 

 

你可能感兴趣的:(安全)