视频版:
原因是IE浏览器支持ActiveX技术。
ActiveX是基于COM技术发展起来的带有界面的组件技术。ActiveX可以作为插件嵌入IE中。ActiveX控件的作用是:
当用户在网银输入密码时并不是在标准的HTML的<Input>元素中输入的密码,而实际上是在ActiveX控件伪装的文本框里面输入的。然后ActiveX控件会把用户输入的密码明文加密,避免密码明文泄露导致安全问题。有些更高级的网银密码控件还能设法避免键盘钩子勾到用户输入的密码字符。
每个大银行都有自己的网银ActiveX控件来接收用户登录、转账时的密码输入。这才是网银死守IE浏览器的根本原因。
那么问题来了,这是必须的吗?
不是。我不想在这里讲原理什么的。但是如果你是一个淘宝天猫的老用户,那么大概十年前你应该也安装过淘宝的“安全控件” 用来处理支付密码问题,那么,各位想想最近这七八年你有安装过这东西吗?支付宝的支付密码难道在Mac OS的电脑上无法输入吗?
不是的,现在已经有新的Web技术来实现安全性的同时不必再引入ActiveX控件了。
说到底还是银行太保守太懒了,不肯顺应技术发展的趋势做出改变。
阿里巴巴也曾为支付宝制作过用于输入密码的二进制安全控件,我贴出来只是为了告诉大家这种技术广泛存在过,现在已经被阿里巴巴抛弃了,大家无需安装。
现在所有先进的浏览器都在抛弃在网页内内嵌二进制组件的技术和方法,普遍希望使用HTML5这种原生的Web技术来实现功能。这样做安全性更好效率更高。
1、因为即便是最新的Windows,出于兼容性,仍然提供了IE的支持,也就是说IE仍然可用。
2、只有Windows平台的IE支持ActiveX技术,而这个技术可以使得网站绕过浏览器直接与挂载在Windows上的插件直接通信。
3、其实吧,整个安全体系里面最薄弱的环节是密码,而这个话其实是比尔盖茨说的……。换言之,取消密码才是最安全的方案,而事实上是,如果你真的要输入密码,那真的没有什么技术可以比ActiveX这种可以绕开浏览器的技术更安全。现代支付系统事实上是用风控代替密码的作用……
这里面其实有一些反常识的知识点:
1、ActiveX技术其实没有过时,因为事实上这个技术没有替代品。只能说更多使用场景可以用其他更好的替代技术,而非一定要用ActiveX。
2、整个支付环节中的最大的风险节点仍然是密码,免密支付才是未来的方向。免密最大的问题在于法律风险,在没有密码的情况下如何证明用户故意盗刷……
也就是说真遇到那种胡搅蛮缠的用户,你怎么证明他在这个过程中存在过失。而使用密码的支付方式这些方面都非常成熟了……
这个问题透着一股邪乎味儿,怎么看怎么危险啊……
建议专业机构给予支援。