(支付宝黑科技) 才发现不单只手机不用解锁密码, 连电脑的数字证书都关闭了, 真不安全
billytv · 2015-11-11 22:21:08 +08:00 · 8557 次点击这是一个创建于 3279 天前的主题,其中的信息可能已经有所发展或是发生改变。
鉴于贵国的国产软件尿性感人, 平时用一台电脑专门负责所有国产软件, 另一台办正事用. 今天双 11 时间有点紧迫, 直接用办正事的电脑直接登录淘宝, 正打算拍下后改用另一台电脑支付, 才发现浏览器居然可以正常输入支付密码, 心里吓了一大跳. 上面有一行小字大概说我的支付环境安全, 数字证书都不用安装就直接支付成功了.
本人觉得支付宝这样真的玩得有点过. 以下是我电脑的资料
OS: win10 PRO 英文版
browser: Firefox 隐私模式 + flash blcok
系统没有安装任何国产软件和服务
而我另一台电脑是 win7 中文版, 两台电脑唯一的共同点恐怕就是相同外网 IP
单单凭 IP 就判断这是我的常用电脑, 支付宝这有点过了吧? 系统环境完全不同, 然后翻了翻支付宝的说明, 才发现数字证书偷偷地 "升级" 了
亲,为让你有更安全顺畅的支付体验。自 2015 年 6 月 8 日起,数字证书、短信校验服务、手机宝令将全面升级为智能安全防护系统,实时保护你的账户和资金安全。
不会支付宝插件像百度一样开了个 worm hole, 然后局域网的机器都可以访问吧...
 |
1
watzds 2015-11-11 22:58:37 +08:00 via Android
这样他们多挣钱,某个人被坑了要投诉,他们拿出一小部分钱赔给你就是了
|
 |
2
Slienc7 2015-11-11 23:20:26 +08:00
|
 |
3
youling 2015-11-11 23:43:29 +08:00  11
第一,“贵国”这个词是起源于左翼文人的作品。因为他们眼中的国家是个并不存在的理想国,因此用“贵国”是可以理解的,但,如果说“天朝”二字还略带自嘲的话,常把“贵国”这种地图炮挂在嘴边,是显得矫情而没文化的,普通人并没有一个说“贵国”的立场,除非已经肉身翻出去了,再用贵国还差不多。何况“贵国的国产软件尿性感人”是个病句,且“尿(sui)性”是个褒义词。
其次,纵观支付宝被盗的案件,问题源头主要是手机,或者是被社工了,本机上做得再周密,又能保证中间的网络传输环节不出问题?又能保证人本身不会犯错?支付宝作为交易平台,肯定比你更关心你的支付安全,否则面对数亿的用户,哪怕有 0.1%的用户被盗,各种善后支出都会令其焦头烂额。 “不会支付宝插件像百度一样开了个 worm hole, 然后局域网的机器都可以访问吧..” “……” |
 |
4
xjbeta 2015-11-11 23:49:38 +08:00 via iPhone
蜜汁自信
|
 |
5
blueionic 2015-11-11 23:51:17 +08:00 via Android
是以前被国产的尿性搞成这尿性了吧。。看看非国产的,很多不都是这样么。。
|
 |
6
msxcms 2015-11-11 23:55:55 +08:00
非要装一堆插件才开心?
|
 |
7
d7101120120 2015-11-12 00:03:05 +08:00 1
= =每次看到贵国两字。。。都感觉。。。。
说正事,关于支付宝这个,我上学期是在寝室住,然后这个学期搬出来了,而且换用了移动宽带,而且移动宽带你知道的, IP 全国到处跑不固定,但是支付宝还是允许直接支付的。后来我重装了系统,换成了 win10 ,还是可以直接支付的= =难道支付宝可以根据的我硬件来判定。 反正来说现在的话,我一般是分两个卡,一个卡连网银都不开,一个开绑定支付宝,绑定支付宝的卡只留少许资金用于虚拟消费等,等需要购买大件的时候再重新从不远的 ATM 取存款机上面一取一存来变相转账。 |
 |
8
leyle 2015-11-12 00:13:42 +08:00 via Android 2
贵国,就是从生到生活到死都很贵的国家。
|
 |
9
Quaintjade 2015-11-12 00:22:16 +08:00
告诉你吧,以前的支付宝就算把所有相关进程结束掉删掉、把所有证书吊销、把所有服务禁用掉,照样可以登陆和支付。
说白了那些东西根本就是打着安全幌子干其他勾当的东西。 另外,支付宝插件并不是数字证书,数字证书好像需要另外申请,启用数字证书就不能在移动端上使用了 |
 |
10
honeycomb 2015-11-12 00:22:46 +08:00
@d7101120120
那张不开网银的卡还得想办法做到不能开快捷支付 |
 |
11
marenight 2015-11-12 00:52:49 +08:00
直接登陆支付宝提示要安装插件,但是先登陆淘宝,从淘宝进入就可以直达支付宝页面……
|
 |
12
fulvaz 2015-11-12 01:07:32 +08:00
不如,你挂个代理登陆支付,看会不会找你验证?
|
 |
13
Kain 2015-11-12 01:17:32 +08:00 via Android
@honeycomb 我有一张银行卡,连预留手机号都没有的,其他功能更不要说,别人应该是没办法开我的快捷支付。
|
 |
14
stupidcat 2015-11-12 01:28:12 +08:00
某些人可能是仗着自己钱多就不允许别人觉得贵了,从这点上来说的确很像贵国的作风。
|
 |
15
viocabbage 2015-11-12 02:05:01 +08:00
人在香港,每次登陆都要两步认证,好烦
|
 |
16
cxbig 2015-11-12 02:09:07 +08:00
网页登录从来不用帐号密码。
|
 |
17
ericFork 2015-11-12 02:17:57 +08:00
支付宝的数字证书体验不佳,而且兼容性也不好,没了也就没了
|
 |
18
a629 2015-11-12 03:06:28 +08:00
这个世界上根本就没有绝对的安全一说!
|
 |
23
breestealth 2015-11-12 09:03:01 +08:00
看到“贵国”,发现原来是洋大人!
洋大人真是难伺候。 当年搞安全控件被一堆人喷,现在不用安全控件了还是被喷,你们想怎样?? |
 |
24
iqav 2015-11-12 09:12:12 +08:00
你钱没丢没漏就行啦。
|
 |
25
loqixh 2015-11-12 09:25:47 +08:00
隐私模式没用,支付宝检测常用电脑是他的服务进程检测的
|
|
26
loqixh 2015-11-12 09:26:35 +08:00
加:你平时都干什么事?要这么小心?这么怕?
|
 |
27
skylancer 2015-11-12 09:32:02 +08:00
早该关了,那东西在根证书列表中拉屎拉尿,要不是这登录我早删看
|
 |
29
zaqxsw123nm 2015-11-12 09:34:37 +08:00
我是觉得支付宝觉得自己有那个能力找到钱丢失的方向。才会这么干。因为我看到好多例子了。被盗刷的去向和谁盗刷的几乎都是一清二楚、、、
|
 |
30
mrjoel 2015-11-12 09:36:23 +08:00 via Android
我支付宝账号几年了 没出过问题。我周边的人也从未听说谁支付宝被盗过。
|
 |
31
code4life 2015-11-12 09:43:05 +08:00
看来我也是那么的单纯, 特地把一台旧笔记本用于网购 网银,支付宝也申请了数字证书.这个事情支付宝竟然没主动告知用户. 顿时不爱了!!!!
|
 |
32
pljhonglu 2015-11-12 09:46:47 +08:00
因为现在支付宝的技术升级了~技术带来的总会是便捷
|
 |
33
Poko 2015-11-12 10:28:36 +08:00
怕个蛋,我十几张信用卡,几十张银行卡都绑定了支付宝,银行卡的密码还都一样,手机也是一个号用了几年,注册的各种网站, APP 不下几百个,邮箱密码也都一样从来没被盗过,只是经常接到无抵押贷款,股票,原油,现货,商铺,海景房的电话而已。
|
|
34
honeycomb 2015-11-12 10:45:11 +08:00
@breestealth
当年搞安全控件被一堆人喷 为什么喷: 1 ,过去因为兼容性差 2 ,现在是因为兼容性差+控件本身成为了垃圾 /间谍软件 动不动装个防钓鱼助手 现在不用安全控件了还是被喷,你们想怎样?? 为什么喷: 1 ,不用安全控件了,用户丧失控制权 2 ,强推替代安全控件的措施,而这个措施本身是垃圾 /间谍软件 阿里钱盾的梗这里大家都知道吧 为什么人家的两步验证不会被喷: 1 , Google 账户的:通用的没有验证以外功能的 TOTP 验证器, U 盾,短信,备用验证码,应用程序专用密码 2 ,微软账户的:通用的没有验证以外功能的 TOTP 验证器或微软开发的专用验证器,短信,备用验证码,应用程序专用密码 3 , Apple 账户的:内置于 iOS 没有验证以外功能的专用验证器,短信,备用验证码,应用程序专用密码 4 , GitHub 账户的:类似 Google ....... 因为人家做的是工具 |
 |
35
khy 2015-11-12 10:52:31 +08:00
云盾,
|
 |
36
yuedingwangji 2015-11-12 11:10:47 +08:00
我说一句,上一次,我用我的电脑上我姐的支付宝, 然后, 一直支付不成功, 足足试了 3 次才成功,不过我也不知道支付宝现在为什么要关掉短信验证,感觉挺不安全的, 前不久,听说支付表现在搞了个风控,就是能从各种因素判断你是不是本人,比如操作习惯,手势等,有兴趣的可以自己百度
|
 |
37
ll5888 2015-11-12 11:33:15 +08:00
俺是觉得 如果出现支付宝被倒刷 支付宝不理你 不赔偿 这问题有讨论价值
取消证书 是让你在支付的时候不用思考 俺装了阿里钱盾 提取卡密的时候 需要验证一下。 |
 |
38
wscaiyang 2015-11-12 11:47:04 +08:00
昨天用支付宝支付美元竟然让输入身份证后几位,貌似也不安全
|
 |
40
twor2 2015-11-12 12:43:15 +08:00
有损失了再吐槽吧
目前来看,我觉得还好,技术不就是应该这样演进吗? 只是如果支付宝给一个选项,就好了。保守派,可以不打开新安全验证方式的按钮,皆大欢喜。 |
 |
41
terence4444 2015-11-12 13:37:54 +08:00
用 iOS 的感觉还行,除了强制把支付密码改成 6 位数字让人不爽。我觉得要吐嘈的是京东,这么多理财产品一个 HTTPS 都没有……
|
 |
42
ivenvd 2015-11-12 17:44:37 +08:00
@youling 这两个都已经在网络上产生了衍生意思,很多年了吧。就像「囧」一样,没必要纠结愿意。
另外作为东北人,真心不觉得「尿性」是纯褒义词……比如「就你那点儿尿性」、「你尿性(叽)啥呀」这种,都不是啥褒义。「 XX 的尿性」完全可以理解为「 XX 那点儿尿性」…… |
 |
43
bk201 2015-11-12 17:58:40 +08:00
证书问题与 chrome 取消插件的更新有关。
安全问题出现了,肯定支付宝会负责的,否则这一曝光,客户可是飞一般的流失。 |
 |
44
so898 2015-11-12 18:06:07 +08:00
感觉楼主正看着楼上的回复,指指点点,说着『这帮 W 毛』『斯特哥尔摩综合症』之类的话
|
|
45
twor2 2015-11-12 20:21:39 +08:00
|
 |
47
billytv OP @so898 我并没有指指点点, 每个人都有他表达意见的权利, 我的目的只不过提醒一下各位罢了, 安全证书被取消了快半年我没有收到任何通知或提示, 作为一个负责任大国的良心企业, 不应该出个明显点的调整公告吗? 游戏规则你喜欢随便怎么改都可以, 但请让我知道, 我会用双脚作出选择
|
 |
48
sun019 2015-11-12 21:32:55 +08:00
普通用户谁管那么多哦。唉,少点折腾吧
|
|
49
billytv OP @loqixh 注重隐私不是应该每个人都要做吗? 虽然大数据时代已经没有隐私可言. A 网站可以知道我访问 A 网站, 但当访问 B 网站时, A 网站不能知道我在访问 B 网站, 所以我一般都使用隐私模式, 需要登录时再开一个实例
|
 |
51
402645707 2015-11-12 22:50:12 +08:00
昨天拿同学手机登录支付宝
没有短信验证!!我的阿里钱盾没有反应!! 图形密码无效 而且 快捷支付和小额免密全开啊我去 |
 |
52
techyan 2015-11-12 23:12:47 +08:00 via iPhone
我倒感觉支付宝不用数字证书更安全。
从另一方面理解。 |
 |
53
wallbreakerover 2015-11-12 23:52:45 +08:00
现在是通过大数据判断帐号有风险才会让你用证书或者其他验证,否则密码就行. 之前我自己转钱不用证书, 我老婆用的时候就要证书, 同一台电脑,同一个 ip. 淘宝技术流弊的不要不要的
|
 |
54
hullopanda 2015-11-13 00:09:22 +08:00
最近不是取消了证书了吗
|
Select Language