说实话如果一直像以前一样只有一个dll,只有一个防键盘记录的activex控件是非常不安全的。
如果电脑上有木马,很容易截获到用户的支付密码,比如木马只需要向IE发送一个消息或是伪装成IE插件,获取到iwebbrowser2接口,既而获取到ihtmldocument2接口,然后用MSHTML操纵支付宝的登录页面,把activex控件,也就是HTML中的一个<object>元素替换掉,就能记录到用户的支付宝登录密码和支付密码,而现在很多人的支付宝都开通了快捷支付,一个支付密码就掌管着银行卡里的钱,支付密码被第三者知道后非常危险。等等,还有很多手段都可以绕过activex控件获取到支付密码。在加上钓鱼网站层出不穷,一般用户很难分辨。而且除了IE外很多浏览器都不支持activex。于是支付宝启用了进程式的保护,变为主动防御,在一定程度上提高了安全程度。还有就是进程式的保护服务可能会收集一些信息上传到支付宝服务器,支付宝为实名认证过的支付宝账户买了保险,一旦用户支付宝账户资金被盗,保险公司会全额理赔。而如何认定用户是否是真的被盗,可能需要用到这些信息。当然,也许还有其它目的。
如果电脑上有木马,很容易截获到用户的支付密码,比如木马只需要向IE发送一个消息或是伪装成IE插件,获取到iwebbrowser2接口,既而获取到ihtmldocument2接口,然后用MSHTML操纵支付宝的登录页面,把activex控件,也就是HTML中的一个<object>元素替换掉,就能记录到用户的支付宝登录密码和支付密码,而现在很多人的支付宝都开通了快捷支付,一个支付密码就掌管着银行卡里的钱,支付密码被第三者知道后非常危险。等等,还有很多手段都可以绕过activex控件获取到支付密码。在加上钓鱼网站层出不穷,一般用户很难分辨。而且除了IE外很多浏览器都不支持activex。于是支付宝启用了进程式的保护,变为主动防御,在一定程度上提高了安全程度。还有就是进程式的保护服务可能会收集一些信息上传到支付宝服务器,支付宝为实名认证过的支付宝账户买了保险,一旦用户支付宝账户资金被盗,保险公司会全额理赔。而如何认定用户是否是真的被盗,可能需要用到这些信息。当然,也许还有其它目的。
这都是骗人的,activex足够安全了,那几个进程安全漏洞肯定更大,而且早就有这个盾那个盾了难道现在其他浏览器能用支付宝了,不过还是垃圾,客户端早就可以支付了,哪有那么多进程