银行网站使用 java 小程序的替代方案

Posted 2023-02-22

【中文标题】银行网站使用 java 小程序的替代方案

【英文标题】：Alternative to using java applet for bank websites

【发布时间】：2011-01-18 15:02:51

【问题描述】：

这是为银行开发在线银行网站的所有程序员的问题。

为什么银行的网上银行网站都使用 java 小程序？基本上如果你没有安装JRE，你就不能使用他们的网站。

如果是出于安全原因，SSL 还不够好吗？

【参考方案1】：

西班牙大银行 BBVA.es 不使用 java。

俄罗斯主要银行 Alfabank.ru 也不使用 java。

真的有那么多银行使用 java 小程序进行银行业务吗？

【参考方案2】：

我敢说你的样本在统计上是微不足道的，因为我的样本池（即我使用的银行）不以任何方式使用 Java 小程序 :-)

http://www.bankofamerica.com http://www.ally.com https://www.mccoydirect.org

【参考方案3】：

我的银行 USAA 不使用 Java 小程序进行日常的日常银行业务，但确实将其用于他们的 Deposit@Home 服务，以便从家里存入支票。他们可能在这种情况下使用 Java，因为它更容易访问扫描仪并在支票被扫描后操纵图像。

【参考方案4】：

我在奥地利发现了一家银行，它在正常使用银行业务时使用 Java 小程序，Sparkasse。以下是他们在网站上给出的使用 Java 的原因。

由于我们认为密码是一个特别敏感的问题，因此我们希望对其进行特殊保护。因此，我们认为除了 SSL 之外，还需要对您的密码进行加密。为此，我们使用无法追踪的加密功能来加密您的密码并使其难以辨认。将上传一个可以执行加密的 Java 小程序。因此，只有一个加密的密码被传送到服务器。通过这种方式，我们还确保任何银行员工都不会看到您的密码未加密，也不会将您的密码传递给您，因为它仅作为加密版本存储在我们这里。

Here is the site with more details about this banks security.

【讨论】：

oic，他们使用 java 小程序进行端到端加密——密码在客户端加密，然后通过安全连接 (SSL) 发送到网上银行服务器。那么这不会使不进行端到端加密的在线银行网站的安全性降低吗？

只是通过他们的网站，这似乎并非如此，因为只需将密码的哈希值存储在数据库中即可完成同样的事情。

【参考方案5】：

我的印象是重新编码某些东西会降低安全性。

我的网络安全教授总是这样教我，但我从来没有见过比他的话更科学的东西。

但确实如此，如果该加密是通过哈希函数进行的，那么您的密码在银行员工的眼中（日志、调试信息等）将是“安全的”，但这是我看到的唯一优势。

至于 SSL，它只加密您的通信，在服务器端您的数据未加密。但这不是坏消息，服务器需要这样做才能理解您的订单。