怎么实现类似网上银行登陆的控件

都什么年代了还想着搞“控件”。

现在除了智障微信支付和少数几家银行，谁还用控件去“保护”数据。

HTTPS 保护传输过程就好。

至于终端安全性？那不是网站该管的事。

如果是内部系统，涉密的情况下，可以加数字证书认证，一人发一个智能卡。

再说了，控件根本不能防键盘记录器之类的恶意程序

@chinvo 我想做个毕设，银行的，所以想在登陆加个安全保证，但是按照你的意思的话，是不是只要保证好 https 就够了？最多加个二步验证就够了？

@whwq2012 是这样没错

@whwq2012 现在大多数是，HTTPS+短信验证。有些加了控件也要短信验证，貌似还有些是初次登录某个设备需要验证。

@whwq2012
现在已经有一个统一的 API，叫做 Web payments

空间的目的只是试图用驱动劫持（以独占）
1：和密码器之间的通信，使用密码输入框时独占键盘等。
2：曾经有使用驱动的病毒，让支付页面显示 A，但实际上付款到 B 的做法。网银盾的应对则是加了屏幕，在上面显示具体的付款信息，因为网银盾的加解密过程都在其内部，证书也不能导出，病毒攻破了电脑却对它无能为力。

建行网银不需要控件。

汇丰银行的企业网银就是 HTTPS+token （动态密码器本身有密码，网银无密码）。
国内网银用网页 https 的一个顾虑是，现在 CA 以及主流浏览器都是境外机构（比如 google, mozilla, 微软），如果哪天因为某些原因伪造了证书可能威胁到中国金融安全，毕竟 Google 之流规模没四大行大。

https 加上电子口令卡再加上手机短信验证码，我觉得就足够了。

短信验证码，
注意验证码同时提供操作信息，即您将向 XX 转账 xx 元，请确认。

@honeycomb 然而控件并不能劫持并独占键盘输入事件，所以无法达到这种“理想”状态。

目前仍在用控件的，也仅仅是实现一个加密的目的，但是在本身 https 的情况下，并没有什么特别的效果。


@Quaintjade 如果从浏览器劫持的角度考虑，国内的浏览器似乎更危险的样子呢，毕竟不实施 EV，有的时候还会故意显示错误的证书信息。另外目前亚诚信托管的金融 CA 就是为了避免 zf 不可控 CA 签发虚假金融证书。

@Quaintjade
“如果哪天因为某些原因伪造了证书可能威胁到中国金融安全”
事实证明伪造证书的正式国内的机构。
而国内终于有不伪造证书的 CA 了，却又是管理水平过低，安全意识没有的。

@chinvo @Cu635
国内银行 /央行等部门的根本思路大概是金融安全必须掌控在我国自己手中。然而虽然抓在了自己手中，却因为能力水平问题，导致体验和实际安全性都成疑。
CFCA 和亚洲诚信战略合作，似乎只是亚洲诚信负责运营云计算 /主机行业的业务。