黑客找到漏洞可获取银行卡密码？ 业内：浏览器补丁及时补

工行网站截图，右下角小锁标志代表该网站已部署了SSL证书 来源：工行网站

点击工行网页右下角小锁标志，可以弹出上述页面，显示证书的详细信息

　　左为IE 6 版本浏览器，安全锁标志在右下角。右为 IE 7 版本浏览器，安全锁标志是显示在地址栏的右边

　　【新民网·独家报道】3日，媒体报道称，有技术人员指出，网络浏览器与SSL安全证书合作存在严重漏洞，黑客可以侵入获取用户银行卡密码等数据。对此，中国最大的自主品牌SSL证书产品提供商沃通（WoSign）CTO王高华向新民网记者表示，国内用户不必过度恐慌，只要及时升级浏览器补丁，确保电脑没有流氓软件，彻底杀毒，不安装没有数字签名的软件即可。

　　据媒体报道，7月30日在美国拉斯韦加斯举行的年度“黑帽”大会上，有技术人员指出，网络浏览器与SSL安全证书合作存在严重漏洞，黑客攻击渗透到联网计算机中，就能利用计算机和用户认为可靠的网站建立一个窃取系统，并获得信用卡账号、密码等关键数据，用户认为安全的网站将不再安全。

　　目前，作为应用最广的IE浏览器生产商微软称正在调查这个漏洞，生产火狐浏览器的Mozilla公司则称最新版本的火狐浏览器已将漏洞修补，其他火狐浏览器的防漏洞补丁将在几日内发布。

　　王高华表示，此漏洞是针对浏览器的漏洞，非SSL证书漏洞，安全是多方面的，SSL证书只是保证了从用户浏览器提交到服务器之间的传输加密安全，其它过程还需要其它安全措施。对于电子商务服务提供商，特别是涉及到金钱交易的单位如银行，不能认为部署了SSL 就万事大吉，必须结合其他技术和管理措施实现综合的强身份认证和业务授权解决方案。如在需要用户输入密码的地方安装密码安全控件，使得此控件在第一时间获得密码并加密传输给服务器，而不会被流氓软件窃取。

　　此前，有媒体报道称，由于SSL证书能高效地加密网上的信息，并能对网站的身份进行验证，因此，自推出以来就在欧美地区获得了大量部署，加之欧美各国有相应的个人隐私保护法律法规，因此，几乎100%的美国政府网站、电子商务网站等，但凡需要用户登录的地方，都部署了 SSL证书。但中国SSL证书的应用情况却不容乐观，绝大多数电子政务网站和电子商务网站都没有部署SSL证书。

　　“只要用户及时升级浏览器补丁，确保电脑是干净的，有杀毒软件，不要随便下载或安装没有数字签名的软件，就不用担心网银密码等被窃取。” 王高华说。

　　同时，王高华指出，这种潜在威胁并没有想象得那么严重，但值得注意的是，国内有些网银软件没有数字签名，非常危险。对于网上电子商务用户来讲，在网上购物或其他网上应用时，一定要检查浏览器右下方是否有安全锁标志，如果没有，建议不要使用；如果有，还应点击安全锁，查看证书中所描述的网站信息与网站上声称的公司名称是否一致，如果不一致，建议也不要使用，这样可以有效确保个人信息安全。（新民网记者 姜燕）

　　附：浏览器上显示安全锁标志，表明网站部署了SSL证书，并表明信息从终端到网站是被加密的。部署了SSL证书的网站正常情况下会自动显示安全锁标志。以 IE 浏览器为例，IE 6 版本浏览器的安全锁标志在右下角， IE 7 版本浏览器的安全锁标志是显示在地址栏的右边。鼠标放在安全锁上面会显示目前采用的加密强度。

　　点击安全锁标志，再点击“查看证书”就会显示证书主要信息，如证书目的、证书颁发者、证书颁发对象、证书有效起始日期等信息。再点击“详细信息”就会显示此证书的详细信息，如证书颁发者、证书主题、密钥用法、吊销列表CRL分发点、证书序列号等。

　　SSL 安全协议最初是由美国网景(NetScape)公司设计开发的，全称为: 安全套接层协议 (Secure Sockets Layer) ， 它指定了在应用程序协议 ( 如 HTTP 、 Telnet 、 FTP) 和 TCP/IP 之间提供数据安全性分层的机制，采用公开密钥技术，为 TCP/IP 连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。1994年，美国RSA公司设立全球第一个CA(数字证书颁发机构)。1996年 1月，美国VeriSign 公司和南非的Thawte公司相继设立了商业 CA，从此在欧美市场正式开始了商业部署。VeriSign从2000年通过代理商进入中国市场，为银行、证券等机构的网站颁发SSL证书，目前，国内唯一一家支持浏览器的中国品牌的SSL证书颁发机构是WoSign(沃通)公司。