中國政府在制度上助長網絡詐騙行為 – 後續的後續

作者: Renata Wong

下面是讀者的新意見:

(1) “笑死了,首页没有用https不等于登陆后的购票/个人网银页面没有加密,如果连更深入的调查都懒得做,这样自我打脸,真是增肥的好方法呢”

(2) “https://kyfw.12306.cn/otn/login/init 这个不是https?
https://ebsnew.boc.cn/boc15/login.html 这个不是https?
还有呢,从截图上看到作者用百度搜索,没有注意百度已经跟google一样全部https了吗?
中国的网络安全形势固然严峻,但被false accusation不假思索地带节奏,除了削弱文章的可信度以外,更是没有脑子的体现”

(3) “关于讲证据,我自己贴一下几个网站的登陆域名,请作者自己看去吧
https://kyfw.12306.cn/otn/login/init(12306购票的登陆页面,睁眼看看前面是什么!)
https://ebsnew.boc.cn/boc15/login.html(中国银行的个人网银登陆页面,睁眼看看前面是什么!)
光是这两个就足够驳斥本文的例子,有意见吗?
中国的网络安全是很严峻,但对西方的false accusation不加思考被带节奏,那就是没脑子了!”

讓我們按順序給予一個回復:

(1) 訪客說: “首页没有用https不等于登陆后的购票/个人网银页面没有加密”.

回答: 這是個無知的說法. 如果登陸後才有加密, 這個加密是沒有用的. 懂嗎? 因為你註冊時, 也就是說當網頁沒有加密的時候, 所輸入的數據都有可能由黑客”竊取”. 黑客獲得了你的註冊信息, 包括你的用戶名和密碼後, 妳才加密? 請問加密的目的是為了什麼?

(2) 訪客說: “https://kyfw.12306.cn/otn/login/init 这个不是https?”

回答: 對, 這個不是使用https安全協議的地址。隨便寫下一個網址不是證據。下圖為證據:

12306-no-https-again

訪客說: “https://ebsnew.boc.cn/boc15/login.html 这个不是https?”

回答: 是的, 該網址用了https協議。但是, 這裡我們能夠看出訪客對加密這件事多麼不了解。請看下圖。 這是訪客給的網址。 按連接, 可以見到在上面, 網址之前, 有一個”i”符號, 即信息符號。按下這個符號後, 顯示的信息是: “This site uses a weak security configuration (SHA-1 signatures), so your connection may not be private.” (中譯: 此網站使用弱安全配置(SHA-1簽名),因此您的連接可能不是私密的。) 原因是該網站所使用的安全散列演算法為SHA-1。這個算法早在2010年已經被視為不安全。目前通用的算法是SHA-2或SHA-3, 不再使用SHA-1了。

boc-weak-security

提供的證據已經夠多了, 不再糾纏, 因為爭論已經跟事實沒關了, 而是態度和取向的問題。所以不再就這問題回應。

最後, 我就此感謝該訪客的意見, 因為她/他從反面證明了我原來的觀察。

3 thoughts on “中國政府在制度上助長網絡詐騙行為 – 後續的後續

  • 2017-04-29 at 10:43 下午
    Permalink

    才看到黃先生这几篇文章,希望说一些个人浅见,我不敢轻易判断大陆整体网络安全是否属于制度上的不作为,但由于我也曾在有关的资讯网站內工作,自觉对这方面多少比普通人更了解些,例如黃先生曾提到的TPM模块,大陆的确禁止进口,不过你也肯定清楚这国际标准的范围是指什么国家,另一点是控制这些标准的国家对出口相关技术和产品一直有很大介心,大陆政府对使用它们也存有介心应能理解?另外其实大陆的网絡安全问题,用戶方也有很大责任的,我敢说即使到现在,大陆的XP用戶仍有相当数量,而黃先生提到的一些先进安全技术在老机器老系统是支持不了或使用复杂的,我认为这也是采用这些技术比较滞后的主要原因之一。

    得壹守壹;心中無賊;自知者英;自勝者雄;故:無壹英雄

    Reply
    • 2017-05-02 at 11:29 上午
      Permalink

      文章作者是 Renata Wong (女性),意見已傳達。黃盛。

      Reply
    • 2017-05-22 at 4:15 下午
      Permalink

      謝謝妳/你的意見。

      就第一個問題來說,我認為中國政府可以使用任何技術,不一定要採用西方國家發展的技術。如何得到,是另一回事。但是絕對需要有適當的技術。

      就第二個問題來說,我覺得每個用戶確實有責任,但是是對自己的責任。用戶自己決定使用什么硬件軟件,这是她們應有的自由。另一方面,一間公司對所有用戶/客戶亦負有責任,因为用戶購買它的服務。作為一個客戶,既然我付錢,我要这個服務是安全的,這應該是最起碼的要求。兩者沒有矛盾。https協議不是一種難得的技術,如果願意花錢購買的話,連寫博客的個人用戶都可以使用。但是,正如我曾經提到,在中國確實不常用。為何? 依我看是系統性的現象。

      在今年五月的WannaCrypt事件前兩個月,微軟為所支持的系統發行了應對有關安全風險的安全更新。但是,因為早在2009年微軟停止支持XP系統,並且2014年4月之後再也不為此提供安全更新,XP用戶沒有辦法更新。WannaCrypt事件中受害的是沒有該安全更新的用戶,即也包括XP使用者。如果是微軟知道其系統存有風險而沒有發行安全更新,便毫無疑問是微軟的責任。但XP用戶沒有升級至Windows Vista、8、10或者沒有安裝更新,因此是用戶的責任。(最新消息: 微軟於五月12日公布正會為不再支持的系統,包括XP,提供解決方案。)

      回到大陸的狀況,在面臨各種各樣的網絡風險中,中國政府和互聯網供應商是否有責任為大陸的互聯網用戶提供相應的支援?

      Renata Wong

      Reply

發表迴響

你的電子郵件位址並不會被公開。