Loading...
    AD: 猛买 | 快递查询 | Jobsdigg | 很棒的男装店
«
»

莫让数字证书绑架了电子支付

可任意转载,但必须在醒目位置以超链接形式标明文章原始出处和作者信息
原文地址:http://www.blogkid.net/archives/2558.html

昨天上午在手机上把玩支付宝的客户端,尝试给同事付一笔钱。耐心输入许多信息后,被告知,“数字证书用户暂不能支付”。不禁哑然,“手机在线支付,随时随地体验电子商务交易的快乐”,如果你装了数字证书,恭喜你,你没法体验了。

写文章前我专门查阅了一下数字证书的定义,在百度百科Wikipedia都有,百度百科的词条更详细些。如今的支付宝和财付通都引入了数字证书这个东西。财付通的也许是用户太少,没有见到什么讨论。但支付宝的数字证书用户可真没少吃苦。我在IE7和IE8中导入证书都遇到了奇怪错误,大辉也专门针对IE8写过文章

更严重的是,如今数字证书的作用范围仅限于Windows+IE,这让Windows+Firefox,Linux+Firefox甚至MacOS+Safari这些搭配都玩不转了。一起玩不转的还有手机版,如果两年后Google的Chrome OS——这个以Web为中心的OS流行起来(我知道它也是基于Linux),哪怕安全控件已经开发了一箩筐,数字证书,依然是绕不过的坎。

不如回头想想,数字证书是否安全?有多安全?是否有替代的解决办法?答案也并不复杂,不如考虑一个被广泛使用的“手机锁”(也被叫做“手机动态口令”等)。当绑定手机后,在进行一些重要操作时,网站会随机发送一段验证码到用户的手机,用户必须输入此验证码才可以继续操作。这个办法看起来土鳖,但已经非常保险。要知道,招商银行的支付网关,如今也支持这种方式的支付。一家在互联网方面做得最出色的银行(没有之一),选择了这样的策略,多少值得我们思考。

有人会说,数字证书技术如何先进,采用的RSA加密如何优越,高精尖就一定合适?或者说,那些把Linux玩得风生水起的Geek,有多少人会需要数字证书这样的东西来保证它们的安全?分享一个“古老的”小故事,我想大家都看过:

联合利华引进了一条香皂包装生产线,结果发现这条生产线有个缺陷:常常会有盒子里没装入香皂。总不能把空盒子卖给顾客啊,他们只得请了一个学自动化的博士后设计一个方案来分拣空的香皂盒。博士后拉起了一个十几人的科研攻关小组,综合采用了机械、微电子、自动化、X射线探测等技术,花了几十万,成功解决了问题。每当生产线上有空香皂盒通过,两旁的探测器会检测到,并且驱动一只机械手把空皂盒推走。

中国南方有个乡镇企业也买了同样的生产线,老板发现这个问题后大为发火,找了个小工来说:你他妈给老子把这个搞定,不然你给老子爬出去。小工很快想出了办法:他在生产线旁边放了台风扇猛吹,空皂盒自然会被吹走。

已经上马数字证书的第三方支付公司,应该是骑虎难下了。还没有上当的公司,可以仔细考量一下。复杂的做法,并不是把事情变简单的唯一途径。

PS:本人是百付宝的员工,文中观点仅代表个人非客观意见。

PS2:支付志这篇文章里引用的图片,和我的手机一样,都是台版的S1 :)

UPDATE: 本周,腾讯公司推出了基于Firefox的数字证书。不知道alipay会不会跟进。拭目以待。 -2009.9.20

July 15th, 2009 by 张磊

23 Responses to “莫让数字证书绑架了电子支付”

  1. 1谢朝晔

    嗯,用户使用数字证书的门槛 的确 要比使用手机的门槛 高多了。

    Comment on Jul 15th, 2009 at 10:24 PM  
  2. 2崔玉松

    为了文中那个小工,我决定浮上来一次,留个言

    Comment on Jul 15th, 2009 at 11:58 PM  
  3. 3revolo

    好奇点了一下百付宝,弹出一个窗口:请使用IE浏览器。
    笑喷了。。。。。

    Comment on Jul 16th, 2009 at 6:23 AM  
  4. 4张磊

    @revolo
    现在还没支持更多浏览器而已,不代表将来不会

    Comment on Jul 16th, 2009 at 10:02 AM  
  5. 5张磊

    @崔玉松
    您的域名真不错~~

    Comment on Jul 16th, 2009 at 10:03 AM  
  6. 6默契

    轻轻飘过~~~

    Comment on Jul 16th, 2009 at 10:50 AM  
  7. 7wooooow

    你所说的招行,主推的是数字证书-招行专业版。

    Comment on Jul 16th, 2009 at 11:10 AM  
  8. 8张磊

    @wooooow
    人家主推什么不要紧,关键是在没有数字证书时也能工作

    Comment on Jul 16th, 2009 at 12:15 PM  
  9. 9月饼

    记得第一次用数字证书是在大学用淘宝的时候。

    Comment on Jul 16th, 2009 at 2:25 PM  
  10. 10skyblue

    话说FF 不是也可以支持证书吗

    Comment on Jul 16th, 2009 at 9:28 PM  
  11. 11张磊

    @skyblud
    FF支持,并且Linux下Mac下都支持,但真的要做的话,可能得每个系统都搞一套。就像是安全控件。
    所以我在质疑,是否有这种必要?

    Comment on Jul 16th, 2009 at 9:35 PM  
  12. 12闫鹏

    安全与易用本身就是相矛盾的,所以才要退出多种可选的功能来提供给用户使用。有的用户可能觉得数字证书好,有的就觉得动态口令不错。用户的习惯不同,国内都是给用户心理上的安全感。paypal绑定了信用卡,并且前端页面没有任何的安全防护措施,老外不是也用的挺happy

    Comment on Jul 17th, 2009 at 12:38 AM  
  13. 13闫鹏

    晕倒,你这个时间是看着可真别扭…..
    还有,啥时候把我的链接给机上?

    Comment on Jul 17th, 2009 at 12:40 AM  
  14. 14cloudly

    吸引我从阅读器跳到这里只因“百付宝”……

    Comment on Jul 17th, 2009 at 7:43 PM  
  15. 15躲在街角的猫

    支付宝的数字证书确实有些问题,现在也正在改进中了。
    而且手机支付是未来的趋势,相信会越来越好的!

    Comment on Jul 17th, 2009 at 8:58 PM  
  16. 16张磊

    @躲在街角的猫
    不是说支付宝的证书有问题或者财付通的证书有问题,其实都没啥问题,只不过是阻碍了在更多平台、更广范围内的应用罢了。

    Comment on Jul 17th, 2009 at 9:05 PM  
  17. 17月饼

    在安全性跟易用性做平衡其实是很难的,有时候易用性还是要服从安全性的。

    Comment on Jul 17th, 2009 at 10:14 PM  
  18. 18张磊

    @月饼
    在这种思路的驱使下,第三方支付公司的安全策略不断升级,从安全控件到数字证书再到现在的U盾。我还看到有人建议用RSA的token。

    Comment on Jul 17th, 2009 at 10:16 PM  
  19. 19蓝天博客

    数字证书应该可以“云端”化。换台电脑就换个数字证书确实很麻烦!

    Comment on Jul 22nd, 2009 at 11:23 AM  
  20. 20VPS侦探

    我也是数字证书用户,而且手机也是S1,直接无缘了。。。

    Comment on Jul 28th, 2009 at 5:05 PM  
  21. 21felix021

    re: 为了文中那个小工,我决定浮上来一次,留个言
    这例子的确很赞

    Comment on Sep 19th, 2009 at 11:15 PM  
  22. 22梦想成真

    我不知道你这文章是什么时候发表的,但是淘宝我在去年就试过一次手机验证码支付,完全可以的呀!

    Comment on Oct 28th, 2010 at 8:37 PM  
  23. 23张磊

    @梦想成真
    但是一旦你开通了数字证书,悲剧就来了

    Comment on Oct 28th, 2010 at 8:38 PM  

Leave a Reply

«
»