莫让数字证书绑架了电子支付
昨天上午在手机上把玩支付宝的客户端,尝试给同事付一笔钱。耐心输入许多信息后,被告知,“数字证书用户暂不能支付”。不禁哑然,“手机在线支付,随时随地体验电子商务交易的快乐”,如果你装了数字证书,恭喜你,你没法体验了。 写文章前我专门查阅了一下数字证书的定义,在百度百科和Wikipedia都有,百度百科的词条更详细些。如今的支付宝和财付通都引入了数字证书这个东西。财付通的也许是用户太少,没有见到什么讨论。但支付宝的数字证书用户可真没少吃苦。我在IE7和IE8中导入证书都遇到了奇怪错误,大辉也专门针对IE8写过文章。 更严重的是,如今数字证书的作用范围仅限于Windows+IE,这让Windows+Firefox,Linux+Firefox甚至MacOS+Safari这些搭配都玩不转了。一起玩不转的还有手机版,如果两年后Google的Chrome OS——这个以Web为中心的OS流行起来(我知道它也是基于Linux),哪怕安全控件已经开发了一箩筐,数字证书,依然是绕不过的坎。 不如回头想想,数字证书是否安全?有多安全?是否有替代的解决办法?答案也并不复杂,不如考虑一个被广泛使用的“手机锁”(也被叫做“手机动态口令”等)。当绑定手机后,在进行一些重要操作时,网站会随机发送一段验证码到用户的手机,用户必须输入此验证码才可以继续操作。这个办法看起来土鳖,但已经非常保险。要知道,招商银行的支付网关,如今也支持这种方式的支付。一家在互联网方面做得最出色的银行(没有之一),选择了这样的策略,多少值得我们思考。 有人会说,数字证书技术如何先进,采用的RSA加密如何优越,高精尖就一定合适?或者说,那些把Linux玩得风生水起的Geek,有多少人会需要数字证书这样的东西来保证它们的安全?分享一个“古老的”小故事,我想大家都看过: 联合利华引进了一条香皂包装生产线,结果发现这条生产线有个缺陷:常常会有盒子里没装入香皂。总不能把空盒子卖给顾客啊,他们只得请了一个学自动化的博士后设计一个方案来分拣空的香皂盒。博士后拉起了一个十几人的科研攻关小组,综合采用了机械、微电子、自动化、X射线探测等技术,花了几十万,成功解决了问题。每当生产线上有空香皂盒通过,两旁的探测器会检测到,并且驱动一只机械手把空皂盒推走。 中国南方有个乡镇企业也买了同样的生产线,老板发现这个问题后大为发火,找了个小工来说:你他妈给老子把这个搞定,不然你给老子爬出去。小工很快想出了办法:他在生产线旁边放了台风扇猛吹,空皂盒自然会被吹走。 已经上马数字证书的第三方支付公司,应该是骑虎难下了。还没有上当的公司,可以仔细考量一下。复杂的做法,并不是把事情变简单的唯一途径。 PS:本人是百付宝的员工,文中观点仅代表个人非客观意见。 PS2:支付志这篇文章里引用的图片,和我的手机一样,都是台版的S1 。 UPDATE: 本周,腾讯公司推出了基于Firefox的数字证书。不知道alipay会不会跟进。拭目以待。 -2009.9.20
