Open Banks - 在这里讨论网银标准化和兼容性话题  - 讨论区

标题:建议增加讨论网银https版本和加密强度及已知漏洞修复

2015年03月09日 星期一 17:48

国内的大部分网银支持的加密协议最高都差不多是TLS1.0_RSA_WITH_AES128_CBC_SHA.

SSL/TLS在14年漏洞频曝,SSL3被主流浏览器屏蔽。

现在主流商业网站一般支持使用TLS1.2协议 DHE ECDHE 正向完全加密,银行类网站的https传输安全等级根本不能比。

可通过https://www.ssllabs.com测试一个https网站的协议安全情况。

2015年03月09日 星期一 18:04

我认为这件事很有意义,不过这是一个很专业的事情,最好是让专业的人用专业的平台来做。Open Banks是个业余组织,并不是说水平业余,但是时间投入上肯定是业余的。我建议到乌云漏洞平台提交和检索漏洞,乌云平台上的安全专家更加集中,也有厂商专门跟进安全问题,漏洞发布之后更容易引起重视:http://www.wooyun.org/

如果有必要,可以考虑在 Open Banks 做个外链,链接到乌云平台上的网银相关关键词检索结果页。

2015年03月10日 星期二 09:06

乌云关注的是未知漏洞的实际运用,和标准https协议几乎没有什么交集。更希望讨论的是一个https标准化的问题,这是可量化对比的。比如https://addons.mozilla.org/zh-CN/firefox/addon/calomel-ssl-validation/ firefox插件,直接对握手协议强度进行评价。

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !

    Zeuux © 2024

    京ICP备05028076号