V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
billytv
V2EX  ›  支付宝

(支付宝黑科技) 才发现不单只手机不用解锁密码, 连电脑的数字证书都关闭了, 真不安全

  •  
  •   billytv · 2015-11-11 22:21:08 +08:00 · 8595 次点击
    这是一个创建于 3303 天前的主题,其中的信息可能已经有所发展或是发生改变。

    鉴于贵国的国产软件尿性感人, 平时用一台电脑专门负责所有国产软件, 另一台办正事用. 今天双 11 时间有点紧迫, 直接用办正事的电脑直接登录淘宝, 正打算拍下后改用另一台电脑支付, 才发现浏览器居然可以正常输入支付密码, 心里吓了一大跳. 上面有一行小字大概说我的支付环境安全, 数字证书都不用安装就直接支付成功了.

    本人觉得支付宝这样真的玩得有点过. 以下是我电脑的资料

    OS: win10 PRO 英文版
    browser: Firefox 隐私模式 + flash blcok
    系统没有安装任何国产软件和服务

    而我另一台电脑是 win7 中文版, 两台电脑唯一的共同点恐怕就是相同外网 IP

    单单凭 IP 就判断这是我的常用电脑, 支付宝这有点过了吧? 系统环境完全不同, 然后翻了翻支付宝的说明, 才发现数字证书偷偷地 "升级" 了

    亲,为让你有更安全顺畅的支付体验。自 2015 年 6 月 8 日起,数字证书、短信校验服务、手机宝令将全面升级为智能安全防护系统,实时保护你的账户和资金安全。

    不会支付宝插件像百度一样开了个 worm hole, 然后局域网的机器都可以访问吧...

    55 条回复    2015-11-13 00:14:50 +08:00
    watzds
        1
    watzds  
       2015-11-11 22:58:37 +08:00 via Android
    这样他们多挣钱,某个人被坑了要投诉,他们拿出一小部分钱赔给你就是了
    Slienc7
        2
    Slienc7  
       2015-11-11 23:20:26 +08:00
    支付宝有数字证书么?
    我任何环境一直都可以直接输入的,以前还有手机验证码,现在也取消了。

    @watzds
    完全可以推说你自己中毒了,跟他没关系,不赔你有什么办法?
    youling
        3
    youling  
       2015-11-11 23:43:29 +08:00   ❤️ 11
    第一,“贵国”这个词是起源于左翼文人的作品。因为他们眼中的国家是个并不存在的理想国,因此用“贵国”是可以理解的,但,如果说“天朝”二字还略带自嘲的话,常把“贵国”这种地图炮挂在嘴边,是显得矫情而没文化的,普通人并没有一个说“贵国”的立场,除非已经肉身翻出去了,再用贵国还差不多。何况“贵国的国产软件尿性感人”是个病句,且“尿(sui)性”是个褒义词。

    其次,纵观支付宝被盗的案件,问题源头主要是手机,或者是被社工了,本机上做得再周密,又能保证中间的网络传输环节不出问题?又能保证人本身不会犯错?支付宝作为交易平台,肯定比你更关心你的支付安全,否则面对数亿的用户,哪怕有 0.1%的用户被盗,各种善后支出都会令其焦头烂额。

    “不会支付宝插件像百度一样开了个 worm hole, 然后局域网的机器都可以访问吧..”
    “……”
    xjbeta
        4
    xjbeta  
       2015-11-11 23:49:38 +08:00 via iPhone
    蜜汁自信
    blueionic
        5
    blueionic  
       2015-11-11 23:51:17 +08:00 via Android
    是以前被国产的尿性搞成这尿性了吧。。看看非国产的,很多不都是这样么。。
    msxcms
        6
    msxcms  
       2015-11-11 23:55:55 +08:00
    非要装一堆插件才开心?
    d7101120120
        7
    d7101120120  
       2015-11-12 00:03:05 +08:00   ❤️ 1
    = =每次看到贵国两字。。。都感觉。。。。

    说正事,关于支付宝这个,我上学期是在寝室住,然后这个学期搬出来了,而且换用了移动宽带,而且移动宽带你知道的, IP 全国到处跑不固定,但是支付宝还是允许直接支付的。后来我重装了系统,换成了 win10 ,还是可以直接支付的= =难道支付宝可以根据的我硬件来判定。

    反正来说现在的话,我一般是分两个卡,一个卡连网银都不开,一个开绑定支付宝,绑定支付宝的卡只留少许资金用于虚拟消费等,等需要购买大件的时候再重新从不远的 ATM 取存款机上面一取一存来变相转账。
    leyle
        8
    leyle  
       2015-11-12 00:13:42 +08:00 via Android   ❤️ 2
    贵国,就是从生到生活到死都很贵的国家。
    Quaintjade
        9
    Quaintjade  
       2015-11-12 00:22:16 +08:00
    告诉你吧,以前的支付宝就算把所有相关进程结束掉删掉、把所有证书吊销、把所有服务禁用掉,照样可以登陆和支付。
    说白了那些东西根本就是打着安全幌子干其他勾当的东西。

    另外,支付宝插件并不是数字证书,数字证书好像需要另外申请,启用数字证书就不能在移动端上使用了
    honeycomb
        10
    honeycomb  
       2015-11-12 00:22:46 +08:00
    @d7101120120
    那张不开网银的卡还得想办法做到不能开快捷支付
    marenight
        11
    marenight  
       2015-11-12 00:52:49 +08:00
    直接登陆支付宝提示要安装插件,但是先登陆淘宝,从淘宝进入就可以直达支付宝页面……
    fulvaz
        12
    fulvaz  
       2015-11-12 01:07:32 +08:00
    不如,你挂个代理登陆支付,看会不会找你验证?
    Kain
        13
    Kain  
       2015-11-12 01:17:32 +08:00 via Android
    @honeycomb 我有一张银行卡,连预留手机号都没有的,其他功能更不要说,别人应该是没办法开我的快捷支付。
    stupidcat
        14
    stupidcat  
       2015-11-12 01:28:12 +08:00
    某些人可能是仗着自己钱多就不允许别人觉得贵了,从这点上来说的确很像贵国的作风。
    viocabbage
        15
    viocabbage  
       2015-11-12 02:05:01 +08:00
    人在香港,每次登陆都要两步认证,好烦
    cxbig
        16
    cxbig  
       2015-11-12 02:09:07 +08:00
    网页登录从来不用帐号密码。
    ericFork
        17
    ericFork  
       2015-11-12 02:17:57 +08:00
    支付宝的数字证书体验不佳,而且兼容性也不好,没了也就没了
    a629
        18
    a629  
       2015-11-12 03:06:28 +08:00
    这个世界上根本就没有绝对的安全一说!
    vpslover
        19
    vpslover  
       2015-11-12 05:14:09 +08:00 via iPhone
    @youling 其实“天朝”的本体是“兲朝”................
    ysz19962
        20
    ysz19962  
       2015-11-12 08:04:33 +08:00 via Android
    @youling 一个词不是只能局限于元词义
    LazyZhu
        21
    LazyZhu  
       2015-11-12 08:09:26 +08:00
    @a629 钱也是挣不完的,人也是会老死的...
    sxd
        22
    sxd  
       2015-11-12 09:00:24 +08:00
    @youling 第一次知道尿是多音字 感谢教育
    breestealth
        23
    breestealth  
       2015-11-12 09:03:01 +08:00
    看到“贵国”,发现原来是洋大人!
    洋大人真是难伺候。
    当年搞安全控件被一堆人喷,现在不用安全控件了还是被喷,你们想怎样??
    iqav
        24
    iqav  
       2015-11-12 09:12:12 +08:00
    你钱没丢没漏就行啦。
    loqixh
        25
    loqixh  
       2015-11-12 09:25:47 +08:00
    隐私模式没用,支付宝检测常用电脑是他的服务进程检测的
    loqixh
        26
    loqixh  
       2015-11-12 09:26:35 +08:00
    加:你平时都干什么事?要这么小心?这么怕?
    skylancer
        27
    skylancer  
       2015-11-12 09:32:02 +08:00
    早该关了,那东西在根证书列表中拉屎拉尿,要不是这登录我早删看
    skylancer
        28
    skylancer  
       2015-11-12 09:34:25 +08:00
    @loqixh 你知道么,现在完全不需要那东西了
    zaqxsw123nm
        29
    zaqxsw123nm  
       2015-11-12 09:34:37 +08:00
    我是觉得支付宝觉得自己有那个能力找到钱丢失的方向。才会这么干。因为我看到好多例子了。被盗刷的去向和谁盗刷的几乎都是一清二楚、、、
    mrjoel
        30
    mrjoel  
       2015-11-12 09:36:23 +08:00 via Android
    我支付宝账号几年了 没出过问题。我周边的人也从未听说谁支付宝被盗过。
    code4life
        31
    code4life  
       2015-11-12 09:43:05 +08:00
    看来我也是那么的单纯, 特地把一台旧笔记本用于网购 网银,支付宝也申请了数字证书.这个事情支付宝竟然没主动告知用户. 顿时不爱了!!!!
    pljhonglu
        32
    pljhonglu  
       2015-11-12 09:46:47 +08:00
    因为现在支付宝的技术升级了~技术带来的总会是便捷
    Poko
        33
    Poko  
       2015-11-12 10:28:36 +08:00
    怕个蛋,我十几张信用卡,几十张银行卡都绑定了支付宝,银行卡的密码还都一样,手机也是一个号用了几年,注册的各种网站, APP 不下几百个,邮箱密码也都一样从来没被盗过,只是经常接到无抵押贷款,股票,原油,现货,商铺,海景房的电话而已。
    honeycomb
        34
    honeycomb  
       2015-11-12 10:45:11 +08:00
    @breestealth

    当年搞安全控件被一堆人喷
    为什么喷:
    1 ,过去因为兼容性差
    2 ,现在是因为兼容性差+控件本身成为了垃圾 /间谍软件
    动不动装个防钓鱼助手

    现在不用安全控件了还是被喷,你们想怎样??
    为什么喷:

    1 ,不用安全控件了,用户丧失控制权
    2 ,强推替代安全控件的措施,而这个措施本身是垃圾 /间谍软件
    阿里钱盾的梗这里大家都知道吧



    为什么人家的两步验证不会被喷:
    1 , Google 账户的:通用的没有验证以外功能的 TOTP 验证器, U 盾,短信,备用验证码,应用程序专用密码
    2 ,微软账户的:通用的没有验证以外功能的 TOTP 验证器或微软开发的专用验证器,短信,备用验证码,应用程序专用密码
    3 , Apple 账户的:内置于 iOS 没有验证以外功能的专用验证器,短信,备用验证码,应用程序专用密码
    4 , GitHub 账户的:类似 Google
    .......
    因为人家做的是工具
    khy
        35
    khy  
       2015-11-12 10:52:31 +08:00
    云盾,
    yuedingwangji
        36
    yuedingwangji  
       2015-11-12 11:10:47 +08:00
    我说一句,上一次,我用我的电脑上我姐的支付宝, 然后, 一直支付不成功, 足足试了 3 次才成功,不过我也不知道支付宝现在为什么要关掉短信验证,感觉挺不安全的, 前不久,听说支付表现在搞了个风控,就是能从各种因素判断你是不是本人,比如操作习惯,手势等,有兴趣的可以自己百度
    ll5888
        37
    ll5888  
       2015-11-12 11:33:15 +08:00
    俺是觉得 如果出现支付宝被倒刷 支付宝不理你 不赔偿 这问题有讨论价值
    取消证书 是让你在支付的时候不用思考 俺装了阿里钱盾 提取卡密的时候 需要验证一下。
    wscaiyang
        38
    wscaiyang  
       2015-11-12 11:47:04 +08:00
    昨天用支付宝支付美元竟然让输入身份证后几位,貌似也不安全
    laydown
        39
    laydown  
       2015-11-12 11:47:05 +08:00
    @youling 零丁洋里叹零丁,我在贵国说贵国。想怎么说就怎么说呗,还要他人来规范?
    twor2
        40
    twor2  
       2015-11-12 12:43:15 +08:00
    有损失了再吐槽吧
    目前来看,我觉得还好,技术不就是应该这样演进吗?

    只是如果支付宝给一个选项,就好了。保守派,可以不打开新安全验证方式的按钮,皆大欢喜。
    terence4444
        41
    terence4444  
       2015-11-12 13:37:54 +08:00
    用 iOS 的感觉还行,除了强制把支付密码改成 6 位数字让人不爽。我觉得要吐嘈的是京东,这么多理财产品一个 HTTPS 都没有……
    ivenvd
        42
    ivenvd  
       2015-11-12 17:44:37 +08:00
    @youling 这两个都已经在网络上产生了衍生意思,很多年了吧。就像「囧」一样,没必要纠结愿意。

    另外作为东北人,真心不觉得「尿性」是纯褒义词……比如「就你那点儿尿性」、「你尿性(叽)啥呀」这种,都不是啥褒义。「 XX 的尿性」完全可以理解为「 XX 那点儿尿性」……
    bk201
        43
    bk201  
       2015-11-12 17:58:40 +08:00
    证书问题与 chrome 取消插件的更新有关。
    安全问题出现了,肯定支付宝会负责的,否则这一曝光,客户可是飞一般的流失。
    so898
        44
    so898  
       2015-11-12 18:06:07 +08:00
    感觉楼主正看着楼上的回复,指指点点,说着『这帮 W 毛』『斯特哥尔摩综合症』之类的话
    twor2
        45
    twor2  
       2015-11-12 20:21:39 +08:00
    @so898 所以现在真心不愿意回帖了

    1. 5 个铜板没了
    2. 认真说出自己的想法被说 5 毛
    3. 碰上 jp 的喷友,直接给你来一个 sb

    你说心情怎么能好?
    Yiph
        46
    Yiph  
       2015-11-12 20:27:30 +08:00
    @youling 赞第一段。
    billytv
        47
    billytv  
    OP
       2015-11-12 21:29:21 +08:00
    @so898 我并没有指指点点, 每个人都有他表达意见的权利, 我的目的只不过提醒一下各位罢了, 安全证书被取消了快半年我没有收到任何通知或提示, 作为一个负责任大国的良心企业, 不应该出个明显点的调整公告吗? 游戏规则你喜欢随便怎么改都可以, 但请让我知道, 我会用双脚作出选择
    sun019
        48
    sun019  
       2015-11-12 21:32:55 +08:00
    普通用户谁管那么多哦。唉,少点折腾吧
    billytv
        49
    billytv  
    OP
       2015-11-12 21:40:22 +08:00
    @loqixh 注重隐私不是应该每个人都要做吗? 虽然大数据时代已经没有隐私可言. A 网站可以知道我访问 A 网站, 但当访问 B 网站时, A 网站不能知道我在访问 B 网站, 所以我一般都使用隐私模式, 需要登录时再开一个实例
    loqixh
        50
    loqixh  
       2015-11-12 22:04:17 +08:00
    @billytv 喜欢我不爽支付宝,但调整公告是绝对有的,有段时间,每次登陆后有个大大的公告
    402645707
        51
    402645707  
       2015-11-12 22:50:12 +08:00
    昨天拿同学手机登录支付宝

    没有短信验证!!我的阿里钱盾没有反应!!
    图形密码无效
    而且


    快捷支付和小额免密全开啊我去
    techyan
        52
    techyan  
       2015-11-12 23:12:47 +08:00 via iPhone
    我倒感觉支付宝不用数字证书更安全。

    从另一方面理解。
    wallbreakerover
        53
    wallbreakerover  
       2015-11-12 23:52:45 +08:00
    现在是通过大数据判断帐号有风险才会让你用证书或者其他验证,否则密码就行. 之前我自己转钱不用证书, 我老婆用的时候就要证书, 同一台电脑,同一个 ip. 淘宝技术流弊的不要不要的
    hullopanda
        54
    hullopanda  
       2015-11-13 00:09:22 +08:00
    最近不是取消了证书了吗
    imn1
        55
    imn1  
       2015-11-13 00:14:50 +08:00
    @bk201
    没看到不代表没有,删得快就不会曝光了
    对岸有不少支付宝的文章,因为公关能力过不了海峡
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1576 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 37ms · UTC 00:00 · PVG 08:00 · LAX 16:00 · JFK 19:00
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.