это вопрос ко всем программистам, разрабатывающим веб-сайты онлайн-банкинга для банков.
Почему все банки используют Java-апплеты для своих веб-сайтов онлайн-банкинга? в основном, если у вас не установлена JRE, вы не можете использовать свои веб-сайты.
если это из соображений безопасности, разве SSL недостаточно хорош?
BBVA.es, крупный испанский банк, не использует java.
Alfabank.ru, крупный российский банк, тоже не использует java.
Неужели так много банков используют Java-апплеты для банковских операций?
Рискну сказать, что ваша выборка статистически незначима, потому что мой выборочный пул (т.е. банки, которые я использую) никоим образом не использует Java-апплеты :-)
Мой банк, USAA, не использует апплеты Java для обычных повседневных банковских операций, но использует их для своих Deposit@Home Сервис для депонирования чеков из дома. Вероятно, в данном случае они используют Java, потому что проще получить доступ к сканеру и манипулировать изображениями чеков после их сканирования.
Я нашел банк в Австрии, который использует апплет Java во время обычного банковского использования, Sparkasse. Вот причина, по которой они приводят на своем сайте, почему они используют Java.
Поскольку мы считаем пароль особенно деликатным вопросом, мы хотели бы обеспечить для него особую защиту. Поэтому мы считаем, что необходимо шифровать ваш пароль в дополнение к SSL. Для этого мы используем функцию неотслеживаемого шифрования, которая шифрует ваш пароль и делает его неразборчивым. Будет загружен апплет Java, который может выполнить шифрование. Таким образом, на сервер передается только зашифрованный пароль. Таким образом, мы также гарантируем, что ни один сотрудник банка никогда не увидит ваш пароль в незашифрованном виде или не сможет передать вам ваш пароль, поскольку он хранится у нас только в зашифрованном виде.
Вот сайт с более подробной информацией о безопасности этого банка.
У меня сложилось впечатление, что повторное шифрование чего-либо сделает его менее безопасным.
Меня всегда этому учил мой профессор сетевой безопасности, но я никогда не видел ничего более научного, чем его слова.
Но правда, если это шифрование выполнено с помощью хеш-функции, ваш пароль будет «безопасен» от глаз сотрудников банка (журнал, отладочная информация и т. д.), но это единственное преимущество, которое я вижу.
что касается SSL, он только шифрует ваше общение, на стороне сервера вы получаете незашифрованные данные. Но это неплохая новость, сервер должен это делать, чтобы понимать ваши приказы.
