无聊，八一八内地网银和香港网银。

为什么内地网银使用时一定要安装插件，而香港网银直接用浏览器就可以登陆使用。仅仅好奇八卦下，请大神们科普下。

post_deleted

澳洲没有插件，个人用户也不需要网银盾，直接账号密码就可以转钱，其实觉得挺不安全的

ericgordonhe 发表于 2019-7-12 14:47

应该说只有中国的银行才用插的，要下载这种控件那种控件，麻烦死了。

现在都用手机app了，并不是每家银行都要插，除非大额。

评论内容不可见

像中国银行，用chrome啥都不需要

从浏览器安全角度来说，HTTPS加密码已经有比较强的保障了。要突破，要么浏览器出现严重的安全漏洞，要么有人控制了你的（记住密码的）电脑或者密码。

论浏览器安全，浏览器安全漏洞几率高呢还是银行插件安全漏洞几率高呢...如果你用的是chrome，Google的安全团队投入估计吊打任意银行，开源软件意味着收到全世界安全团队的监督和研究。

如果是你的电脑被控制了或者是你的密码被控制了，可能就是熟人作案，熟人作案恐怕都看不上网银这么复杂，直接想办法控制你的手机就行。

还有一点，很多银行的控件本来就基于漏洞百出浏览器厂商不再维护的过时技术（active X，NPAPI等），有时候会出现要求用户必须用某低版本浏览器甚至IE的情况，而这些老版本的浏览器和IE本身就已经有大量已知漏洞了，一个控件能堵上的口子极其有限，对银行的技术投入来说其实也不划算。在没有物理密码器加持的情况下，一个单独的闭源控件不比直接用浏览器本身安全到哪里去。在有物理密码器加持的情况下，区别在于用户自己的密码管理，物理密码器是用户密码管理不善的最后一道防线。

aleviosa 发表于 2019-7-14 03:44

对了，即使有物理密码器加持，用于验证的控件本身可能也是漏洞来源....最稳妥的加持一般是两步验证，比如在可疑设备或者可疑地点登陆账号时要求手机验证，这样基本只有熟人作案或者电信诈骗可破。中银香港和中银证券香港印象里所有涉及到重要交易的操作都要验证手机（比如开启境外提现，开启apple pay，转账前的登记收款人账户），其他银行不太清楚哈。

受教了，谢谢。