招行的网银支持 Mac 了，10.8 亲测可用

碉堡了 不错

@NemoAlex 其实也应该在MacOSX上应用Ukey

@skywinger 上房揭瓦了

其实这些银行推出什么样的“安全”措施没有错，错在强制使用非标准的东西
如果哪家银行能提供一个“我不是傻逼”的选项，不需要任何额外的程序和 USB 的东西，出了安全问题我自己负责，我一定会去用他家的

@NemoAlex 不用安全芯片，也就是ukey，谁都无法保证高级别的安全。硬件加解密，才是安全可靠的，我本人就是从事金融终端产品（也就是POS）的系统平台开发工作，所以很了解这点。

@skywinger 问题是我不需要那种强度的安全，国内网银开发的东西又不够全平台，很大程度上影响了正常使用

@skywinger
@NemoAlex
银行这么做只是为了推卸责任。

用控件就安全吗？不见得吧，每个键盘的按键声音都是有细小差别的，木马完全可以打开麦克风收集按键声，然后同输入的按键比较，然后得到用户的输入，完全不需要注入网页。
国外不用控件用随机密钥肯定是知道控件根本不能保证安全。

@skywinger 安全方面，不用ukey，类似浦发银行手机短信随机密码形式，是否可行？
@NemoAlex 浦发银行不就是这样吗？

@xhslyf 可以，前提条件是你需要额外接收短信，绑定手机号码。
其实如果手机NFC能成为我们国内的手机支付规范的话，NFC内部的安全芯片就能够存储银行的数字证书和私钥；这样就更便捷更安全可靠。

@skywinger 这样手机就更值得偷了。。。。

日本手机银行我记得是5000日元以下可刷，以上不知道会怎么样。。。。

@yuelang85 其实这个问题，在中国确实是比较无奈，可以强制配合PIN输入（密码输入）来配合安全芯片加解密报文的方式来使用。

win下activex控件权限很大，所以网银啊 支付宝之类 用这个就是拿来窃取用户信息的。

@skywinger 那安全性上，手机短信验证的方式也同样足够安全吧？相对U盾，手机短信的方式有什么安全隐患吗？

@skywinger
@linsk
@NemoAlex

我的一个很诛心的想法：这些银行其实早就知道 USB Key / 安全控件的方式很麻烦，只不过前期花了那么多钱去开发（说不定还屯了好多 USB Key？），现在换新方案不划算，就保持现状呗，反正银行的关键盈利点又不在网银上

@xhslyf，数据在传输过程中没有经过U盾上的安全芯片里的密钥加密后传输，容易被别有目的的人截获，从中获取你的银行卡密码（Pin）

@xhslyf 在国内，有人可以获取所有短信内容，并且是在你接受到之前。还有未使用的号他们也能获取到发送给他的短信内容

@skywinger
@kingwkb
那结合你俩说的，仅仅是 HTTPS 传输，没有经过U盾加密，也会存在安全隐患，恶意攻击者可以获取到我的银行卡密码。
然后，短信内容也可以被截取。
那么，我等于被盗了……

@skywinger
@kingwkb
另外，如果攻击者要获取我通过 HTTPS 发送的帐号和密码，同时再获取我的短信随机字符串。
这个难度是多大？简单来说，他是怎样做到？

@xhslyf HTTPS 是安全的，通过非对称的密钥实现传输层加密
其实我认为这些银行的业务，只需要 HTTPS 就够了