V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
miyuki
V2EX  ›  分享发现

2 分钟内把别人支付宝 9.0 里的钱变成自己的

  •  4
     
  •   miyuki · 2015-07-09 20:26:05 +08:00 via Android · 18098 次点击
    这是一个创建于 3450 天前的主题,其中的信息可能已经有所发展或是发生改变。
    第 1 条附言  ·  2015-07-10 00:16:25 +08:00
    原文被和谐
    感谢 @ch3x 提供存档 http://chuansong.me/n/1523878
    第 2 条附言  ·  2015-07-10 21:26:17 +08:00
    为了消除用户的不安 支付宝官方搞了一份安全报告
    170 条回复    2015-07-12 12:01:15 +08:00
    1  2  
    FastMem
        101
    FastMem  
       2015-07-10 09:27:52 +08:00
    为嘛我的还是可以用手势密码呢
    L3au
        102
    L3au  
       2015-07-10 09:35:08 +08:00
    指纹密码就没这个问题喽
    另外,重置密码,输入原密码很是奇葩哎
    savebox
        103
    savebox  
       2015-07-10 09:37:12 +08:00
    好像手势月底之前可以用,过后无效
    hahastudio
        104
    hahastudio  
       2015-07-10 09:46:59 +08:00
    看截图明明是三分钟(重点错
    asan2006
        105
    asan2006  
       2015-07-10 09:50:04 +08:00
    我已经吓得关了小额免密支付了~~~
    bengle
        106
    bengle  
       2015-07-10 09:51:49 +08:00
    现在被盗保障金赔付100w了,求被盗
    outmanone
        107
    outmanone  
       2015-07-10 09:53:25 +08:00
    实际测试,安卓支付宝在9.0不行,修改支付密码,必须要输入原来的密码。
    Seikinmeid
        108
    Seikinmeid  
       2015-07-10 09:53:27 +08:00
    锤子手机的优势出来了。。。。可以加锁。。。
    em70
        109
    em70  
       2015-07-10 09:53:55 +08:00 via Android
    @jasontse
    @raincious
    @weyou

    改了支付密码,还绑定了一张新银行卡,银行卡的持卡人姓名与支付宝人名不符,这张卡曾经被绑定其他支付宝或者从未绑定过,这么多大数据信息,如果阿里巴巴还会允许交易,那马云引以为傲的大数据就太弱了。如果我来设计这个系统的话,改密码和转账操作不可能同时允许的,怎么也得间隔24小时或者输入一下身份证。
    zzNucker
        110
    zzNucker  
       2015-07-10 09:58:21 +08:00
    @em70 同意,不知道楼上有没有人真的走完全部流程的(包括转到另一张银行卡里)。。 看看是不是会在这方面有风控。
    sutking
        111
    sutking  
       2015-07-10 10:02:48 +08:00 via iPhone
    指纹验证一年用户,毫无压力飘过~~
    railgun
        112
    railgun  
       2015-07-10 10:05:24 +08:00
    这个没什么吧,应用设计的安全前提都是手机是本人持有。这是便捷和安全博弈的结果。
    wly19960911
        113
    wly19960911  
       2015-07-10 10:08:09 +08:00 via Android
    @bengle 最高赔付100W。ali会这么便宜你?😱
    quericy
        114
    quericy  
       2015-07-10 10:08:32 +08:00
    wp用户毫无压力,手势密码是啥?指纹验证是啥?窝们只有手输密码!
    qinglangee
        115
    qinglangee  
       2015-07-10 10:09:55 +08:00
    手机都拿到了,9.0之前版本多一个手机找回密码的步骤,3分钟也差不多搞定
    dyq917
        116
    dyq917  
       2015-07-10 10:12:08 +08:00
    这些都不可怕,可怕的是,你出事的时候,支付宝客服电话,相当难打通!!!!
    dyq917
        117
    dyq917  
       2015-07-10 10:12:27 +08:00
    @dyq917 一堆录的废话,墨迹死你
    dreamcountry
        118
    dreamcountry  
       2015-07-10 10:22:26 +08:00
    肯定会根据用户反馈增强安全性的,阿里不会这么傻
    Desert
        119
    Desert  
       2015-07-10 10:42:51 +08:00
    你拿你手机表演的不错
    LEVIN
        120
    LEVIN  
       2015-07-10 10:46:09 +08:00   ❤️ 5
    这些东西一般人还是很难理解啊。

    支付宝解释的很清楚,自己拿自己钥匙偷自己家冰箱的饮料,然后说防盗纯属虚设。

    1、现在大部分手机都有屏幕解锁,这是防偷窥的关键,实在有这种需求,加装第三方软件,本来手机现在就已经是一个相当私人的东西,谁那么蛋疼借来借去,就是借来的人谁那么没素质乱点开东西看,那纯粹是人的问题了,关app什么事,真有心,你设密码,你老婆不会偷瞄?前阵子新闻小孩子就偷偷记住了老爸的密码,花钱买了一堆游戏币。借给小孩子玩的话,那就自己注意呗,而且这种情况经常发生?

    2、有人说先修改了支付密码,你还打算慢慢偷?你去别的手机登录一个?就算又碰巧你知道了登录密码,你登录的上?不如去试试吧。

    3、手机被捡了,别人转个帐试试,你不会报警?大数据不会追溯?恰巧密码被人看到,突然给陌生人转了个大的,好多好精妙的设定,系统不会判定这笔交易异常?大型的盗卡集团一般都是用安全性差的各种理财网站传统的渠道洗钱。

    4、本来手势密码就是一个鸡肋的存在,心理安慰,就跟以前的复杂支付密码一样。安全不是靠表层的僵硬的机制,而是背后的信息关联,否则锁那么多,只靠锁眼保护安全,还是那么容易轻松撬开,但是如果治安环境好,警察给力,社会信息管理成熟,撬开了又如何,你还敢去撬开么。怕有人说,无论如何还是得装一个锁啊,这个问题可以回到第一个去理解。

    5、手机已经是一个很成熟的身份ID,好好保管手机吧,别弄丢了,不然你说一个验证码,这不是物理攻击嘛,怎么防护,不说支付宝,你所有网络服务都得中招呢,还有弄丢了还恰巧被丢了钱去找支付宝赔付呗。

    6、你们讨论互相改密码转来转去的,真的有那么轻松,你真的去转一个偷一个钱试试呗,是真偷哦。

    7、大部分时候,客户真的不是对的,但是也并没有什么好的办法,只要够强势,一切都会慢慢习惯。
    imn1
        121
    imn1  
       2015-07-10 10:56:02 +08:00   ❤️ 4
    人、设备、账户唯一绑定这个业务逻辑绝对是错误的

    一人多账户?(一个账户买充气娃娃,另一个买《马云语录》,我就是不想被“大数据”)
    一设备多账户?
    一设备多人?
    一人多设备?(电信登录下单、联通支付、移动给物流联络,老子“常用设备”七八个好不好)
    一账户多设备?

    一账户多人?(我和小偷,这个倒好像没限制,应该说无视了)
    这些情况都不会合法发生么?不可能发生?

    什么都可以绑定,但“人”是无法绑定的,除非“剥夺淘宝权利终身”
    支付宝给我带来很多方便,我也想它好好发展,希望这个公司不要再做反人类的事了
    smithtel
        122
    smithtel  
       2015-07-10 11:08:50 +08:00
    吓得我赶紧对手机设了一个开机密码。顺便买了一份保险。
    zjuster
        123
    zjuster  
       2015-07-10 11:12:00 +08:00
    你把手机丢给别人了?

    这现在就跟把钱包丢了没区别的。

    苹果用户,复杂解屏密码+指纹,so 淡定。
    smithtel
        124
    smithtel  
       2015-07-10 11:12:01 +08:00
    为什么都在关注支付宝的支付,难道没看到支付宝新增的IM功能吗。和微信界面太像了,我都不知道如何吐槽。
    We_Get
        125
    We_Get  
       2015-07-10 11:47:20 +08:00   ❤️ 1
    身份证验证之后的在天朝完全没屌用啊,身份证号码什么的太容易拿到了,特别是在手机也一起丢掉的时候。

    转自不存在的网站: @williamlong: 捡到手机如何得到机主身份证?很简单,拨打自己电话,得到手机号;百度网上营业厅,使用随机密码,看手机短信,登录;下一步,点击“修改我的资料”;你会惊喜地发现,这个手机主人的全部实名认证信息。
    missingbobo
        126
    missingbobo  
       2015-07-10 11:49:30 +08:00
    首先你要拿到手机
    imn1
        127
    imn1  
       2015-07-10 11:49:36 +08:00
    @LEVIN 120楼
    1和4有自相矛盾的部分
    2.这句话是我说的,但贵贴似乎没有理清逻辑,我说的是“拆分步骤,缩短单次操作时间”,这有多种可能,可以在同一设备上拆分(多线程、协程),拆分到多设备操作(多进程),非要理解为后者有点狭隘,对于非法使用者,只要在被发现(产生异常)前完成所有目的操作就足够了,异常处理是另一件事;合法使用者才会把异常处理纳入任务列表,因为这是道德范畴
    3.再次犯了思维狭隘的错误,转账不是唯一可行操作,还有其他,支付宝是否能够把所有操作都智能判断为异常交易?至少我知道信用卡被盗,转钱案例要远低于刷卡消费案例
    4、5、7.防盗义务是各方共同承担的,各自做好本分,推给任何一方单独承担都是错误的。用户至少没有把所有责任都推给支付宝,只是质疑支付宝一方的“本分”何在;为何支付宝不做好本分(业务流程流于形式),却把一个多方失误的责任只推给用户——“好好保管手机吧,别弄丢了”,感觉好像跟支付宝没关系似的
    6.不要教唆犯罪!!!
    讨论非法行为(或未发生行为)当然是建立在假设的基础上的,这也不正确?难道讨论杀人就得去真实一次看看后果?外站已经有好事者模拟了被盗(或丢失)的情形,也有人咨询了这种假设情形淘宝的应对,未能得到淘宝肯定担责的承诺(别说全部,部分担责都没承诺)


    7.真心不想讨论这条,楼下各位自己看吧
    wheatcuican
        128
    wheatcuican  
       2015-07-10 11:53:20 +08:00
    你们手机都不设解锁密码的么?
    如果这样的话,手机被盗后小偷用你手机以及手机里的信息,能做的事情,就不仅仅是“2分钟内就把别人支付宝9.0里的钱变成自己的 ”这么简单了。
    Moker
        129
    Moker  
       2015-07-10 11:56:21 +08:00
    @DearTanker 为什么我一年要3.88
    imn1
        130
    imn1  
       2015-07-10 12:01:18 +08:00
    @wheatcuican
    120楼第4条告诉你了——
    本来手势密码就是一个鸡肋的存在,心理安慰,就跟以前的复杂支付密码一样。
    luoway
        131
    luoway  
       2015-07-10 12:26:08 +08:00 via Android
    @LEVIN
    客户永远是对的,哪怕只是一小撮人,哪怕Ta真的错了。虽然我们承担不起教育客户的成本,但是我们要揽下所有的“错误”。这是服务业的基本素养。
    gg328217462
        132
    gg328217462  
       2015-07-10 12:26:22 +08:00
    自己吧钥匙给别人让别人去转账。然后你说不安全,,真是扯蛋的可以。拿谎言去验证谎言?
    miyuki
        133
    miyuki  
    OP
       2015-07-10 12:34:27 +08:00 via Android
    @gg328217462 没看见“造福百万小偷”这六个字吗
    luoway
        134
    luoway  
       2015-07-10 12:47:56 +08:00 via Android
    @We_Get 现在营业厅上隐藏了身份证号
    弄到身份证号的确可以改无手势解锁的支付宝支付密码
    问题是还有什么方便的办法弄到呢?
    digimoon
        135
    digimoon  
       2015-07-10 13:01:44 +08:00
    @imn1
    不知道你为什么会认为手势密码是鸡肋的
    首先,手机开屏密码每天要输多少次你可以自己统计一下
    其次,我甚至可以半个月都不输一次支付宝手势密码,因为我在电脑前基本都是用电脑支付
    dingyaguang117
        136
    dingyaguang117  
       2015-07-10 13:04:53 +08:00
    @bengle 那你得现有100W被盗才行呀~ 肯定不会赔多与你亏得吧
    imn1
        137
    imn1  
       2015-07-10 13:07:27 +08:00
    @digimoon
    120楼那位说的,不是我,你去看他写的,无聊且有空也看看127楼我回应他的
    digimoon
        138
    digimoon  
       2015-07-10 13:10:49 +08:00
    @imn1
    对不起搞混了
    ooh
        139
    ooh  
       2015-07-10 13:13:27 +08:00   ❤️ 1
    WP用户表示怎么还在惊奇颜色变成蓝色了
    hauk0101
        140
    hauk0101  
       2015-07-10 13:35:20 +08:00
    还是需要输入原密码的,只不过有短信验证,还有身份验证
    wheatcuican
        141
    wheatcuican  
       2015-07-10 13:41:39 +08:00
    @imn1 我说的是“手机锁屏密码”,不是“支付宝手势密码”。
    honeycomb
        142
    honeycomb  
       2015-07-10 13:45:01 +08:00
    @LEVIN


    ------支付宝解释的很清楚,自己拿自己钥匙偷自己家冰箱的饮料,然后说防盗纯属虚设。

    1,支付宝并不知道是自己还是他人拿了自己的钥匙
    2,就算是自己拿了自己的钥匙,在做敏感操作的时候,也是要多一步验证的。你锁门的时候不是要把钥匙多转一圈的嘛



    ------现在大部分手机都有屏幕解锁,这是防偷窥的关键,实在有这种需求,加装第三方软件,本来手机现在就已经是一个相当私人的东西,谁那么蛋疼借来借去,就是借来的人谁那么没素质乱点开东西看,那纯粹是人的问题了,关app什么事,真有心,你设密码,你老婆不会偷瞄?前阵子新闻小孩子就偷偷记住了老爸的密码,花钱买了一堆游戏币。借给小孩子玩的话,那就自己注意呗,而且这种情况经常发生?

    1,赞同手机是相当私人的东西的观点
    2,还是上一条的2,在可信设备上的敏感操作需要额外的验证



    ------有人说先修改了支付密码,你还打算慢慢偷?你去别的手机登录一个?就算又碰巧你知道了登录密码,你登录的上?不如去试试吧。

    1,说实在,应用程序不应该能永久性地唯一识别设备



    ------手机被捡了,别人转个帐试试,你不会报警?大数据不会追溯?恰巧密码被人看到,突然给陌生人转了个大的,好多好精妙的设定,系统不会判定这笔交易异常?大型的盗卡集团一般都是用安全性差的各种理财网站传统的渠道洗钱。

    1,在“你不会报警?大数据不会追溯?”之前,本来是可以做到阻止“别人转个账”的,现在把这步骤去掉了。
    2,为何要向蚂蚁金服提供那么多信息?为什么要让它知道你的一举一动?



    ------本来手势密码就是一个鸡肋的存在,心理安慰,就跟以前的复杂支付密码一样。安全不是靠表层的僵硬的机制,而是背后的信息关联,否则锁那么多,只靠锁眼保护安全,还是那么容易轻松撬开,但是如果治安环境好,警察给力,社会信息管理成熟,撬开了又如何,你还敢去撬开么。怕有人说,无论如何还是得装一个锁啊,这个问题可以回到第一个去理解。

    1,复杂支付密码和手势密码是毫无疑问的有效保护手段,弱密码/不设防的入口这一攻击向量可以说是最有效的攻击,支付宝去掉它们唯一的目的是简化支付手续,而不是保护。
    2,支付宝可以加上它的大数据保护,但是不能也不需要以去掉用户方面实施的控制为代价。
    3,所以,剥夺想装锁的人的装锁权利,那就自己玩呗。



    ------手机已经是一个很成熟的身份ID,好好保管手机吧,别弄丢了,不然你说一个验证码,这不是物理攻击嘛,怎么防护,不说支付宝,你所有网络服务都得中招呢,还有弄丢了还恰巧被丢了钱去找支付宝赔付呗。

    这件事情,希望所有iPhone的用户好好利用,并一定要使用两步验证和设备锁的特性。
    高级用户应当也为sim卡上pin锁。



    ------你们讨论互相改密码转来转去的,真的有那么轻松,你真的去转一个偷一个钱试试呗,是真偷哦。

    这是明显的“你行你上”言论,或许你需要去知糊或伪基百科学习一下。



    ------大部分时候,客户真的不是对的,但是也并没有什么好的办法,只要够强势,一切都会慢慢习惯。

    我也troll一把:用户的耐心是有限的,超过红线了,我也拍屁股走人了,并衷心祝愿支付宝合家欢乐。
    提示,对任何一个服务提供方过于依赖都会产生重大风险。


    ---------------------------------------------------------------------------------------------
    从几年前支付宝开始强推快捷支付的时候,我感到不对劲。
    年初强行去掉了复杂支付密码,去掉了强制两步验证的时候,我开始感觉到得离开了。
    今天支付宝进一步平台化,去掉手势密码,我觉得很庆幸,只要再等几天就能注销支付宝账号了。
    honeycomb
        143
    honeycomb  
       2015-07-10 13:50:26 +08:00
    @imn1

    一人多账户?(一个账户买充气娃娃,另一个买《马云语录》,我就是不想被“大数据”)

    是的,本来就应该由你决定什么支付宝可以知道,什么不可以知道


    一设备多账户?
    一设备多人?
    一人多设备?(电信登录下单、联通支付、移动给物流联络,老子“常用设备”七八个好不好)
    一账户多设备?

    其实服务提供方不应该具备识别设备的能力


    什么都可以绑定,但“人”是无法绑定的,除非“剥夺淘宝权利终身”
    支付宝给我带来很多方便,我也想它好好发展,希望这个公司不要再做反人类的事了

    支付宝想做的肯定和你的想法背道而驰,因为它也想像微信那样连接一切呀:
    有个人说了,支付宝花8年做了工具,花2两年变成了应用,再花2年变成了平台

    好在七月份世贸保护期结束,我们或许能在支付上有更多的选择
    imn1
        144
    imn1  
       2015-07-10 13:59:11 +08:00
    @wheatcuican
    算了,我的讨论点不在这个,而且我是调侃那位自相矛盾的话,你不理解就当我自言自语吧

    我的讨论点在于 “可信设备”===账户持有人 这个逻辑是错误的,并且这个“可信设备”并非由账户持有人本人确认为“可信”的
    wheatcuican
        145
    wheatcuican  
       2015-07-10 14:07:22 +08:00
    @imn1 既然你的讨论点不在这个,那你为何艾特我?貌似不是我没有理解,是你先没有弄清楚我的观点。
    Clarencep
        146
    Clarencep  
       2015-07-10 14:09:44 +08:00
    @LEVIN

    “1、现在大部分手机都有屏幕解锁,这是防偷窥的关键,实在有这种需求,加装第三方软件,本来手机现在就已经是一个相当私人的东西,谁那么蛋疼借来借去,就是借来的人谁那么没素质乱点开东西看,那纯粹是人的问题了,关app什么事,真有心,你设密码,你老婆不会偷瞄?前阵子新闻小孩子就偷偷记住了老爸的密码,花钱买了一堆游戏币。借给小孩子玩的话,那就自己注意呗,而且这种情况经常发生? ”
    ---
    关于“屏幕解锁”,这个是一个很弱的锁,很容易被偷窥的,而且手机刷机/升级版本后一般会自动清除屏幕锁的。
    imn1
        147
    imn1  
       2015-07-10 14:10:55 +08:00
    @honeycomb
    在理,理应用户选择,而不是自己定义一个概念就强加给用户

    即使PC端我也觉得支付宝的业务流程有问题,具体就不说了,免得他们把我拉黑
    不过方便倒是真的,所以我也不拒绝支付宝
    反正我至今只选择走网银,不往支付宝内打钱
    各种吐嘈只为支付宝能进步,直到我也能安心扔钱进去
    imn1
        148
    imn1  
       2015-07-10 14:12:57 +08:00
    @wheatcuican
    好吧,我认我手贱乱点了,抱歉!
    wheatcuican
        149
    wheatcuican  
       2015-07-10 14:25:19 +08:00
    @imn1 么么哒~
    LEVIN
        150
    LEVIN  
       2015-07-10 14:31:14 +08:00   ❤️ 2
    其实想想,还是不争了。

    1、依照小额支付免密码的设定,本来就是真丢了,损失很小,比丢了没密码的信用卡要安全。

    2、用错误的条件去模拟,却妄想得到正确的结果,自己装作小偷去偷自己的钱包,偷朋友的钱包,然后说钱包不安全,我也是醉了。安全总有一个概率问题,如果在能接受的范围提升体验完全可行。

    3、转给陌生人的时候,支付宝是有那个陌生人的数据的,转给朋友的时候也一样,商户扫码消费 也一样。银行这点目前来讲做的可没那么好。

    4、最好的方式就是下一版加入手势密码,但不主动设置。反正支付宝的主流客户不会在意这些,对安全过分在意的客户也只是一部分,太多小白并不会在意这些。以前抢支付宝红包的时候,就把手势密码解除了,至今也没想着要恢复,因为支付宝还是比较常用的软件...

    5、好多的危险真的是臆想出来的,都是概率问题...因噎废食不太好...不是有保险么,当年我看过几个例子还真的是有赔,你网银的钱被偷了,你找银行试试。

    6、支持资本,支持市场。
    imn1
        151
    imn1  
       2015-07-10 14:33:06 +08:00
    @honeycomb
    貌似你也看到支付宝业务流程(非移动端)的问题了,握个爪

    我做了近二十年的业务分析,虽然都是些小客户,但都严谨细致,不敢懈怠
    真难想象阿里系这样的大企业还做这么儿戏的流程,并不觉得是不慎,反而感觉是故意
    他们的目的真的难以捉摸
    kkhaike
        152
    kkhaike  
       2015-07-10 14:40:55 +08:00
    我突然想到,有没有办法骗保
    LEVIN
        153
    LEVIN  
       2015-07-10 14:45:13 +08:00
    @kkhaike 有。一批人靠这个吃饭。所有保险,一大笔成本都是为了应付骗保的。小微贷业务,大部分坏账是因为一堆骗贷的。但都在可承受的范围。
    kkhaike
        154
    kkhaike  
       2015-07-10 14:47:43 +08:00
    @LEVIN 我意思是大家测试下阿里所谓的大数据。。。顺便拿下保险金而已
    LEVIN
        155
    LEVIN  
       2015-07-10 14:52:20 +08:00
    @kkhaike 基本上可以判断这是违法的测试,你可以尝试一下,数额不多也不会入刑,不过中招了以后经济生活可能会有麻烦,现在征信系统越来越开放,非专业人士,最好不要尝试...
    zjl03505
        156
    zjl03505  
       2015-07-10 14:55:07 +08:00
    今日终于见识了v2ex上一帮能够改变世界的程序员。。。自己逻辑都没理清开始来分析支付宝了
    honeycomb
        157
    honeycomb  
       2015-07-10 15:01:47 +08:00
    @imn1
    握爪握爪~

    相信它是蓄意的


    我的想法来源可能和你一样。但结论比较一致。

    我从多年前便开始用Adblock(不是现在的Adblock for chrome), adblock plus, noscript乃至今天的ublock
    最初把它们当作过滤广告的工具,现在则是作为通用过滤器(虽说还是主要过滤广告和用户追踪代码)

    https://github.com/gorhill/uBlock#philosophy
    “The ultimate logical consequence of blocking = theft is the criminalisation of the inalienable right to privacy.”

    也就是说,建立了这样的常识:
    浏览器在显示内容以前,需要把内容下载到本地,因此互联网上面不喜欢的东西是可以不去看到的。
    引申出来,变成了在自己的设备运行的程序,自己有无法剥夺的最终决定权(只依靠软件的DRM都失败了,DRM还需要依靠硬件+服务/云才有意义)



    支付宝便挑战了这个常识:

    快捷支付直接绕过了网银,而银行也故意不设防,这让我(以及所有人)丧失了对银行账户的完整控制------不是由使用者主动且刻意地放弃,而是从一开始就失去了。
    它的后续做法也在暗示同一个思想:“因为用户离不开支付宝,所以人人要告诉支付宝的他们的一切,由支付宝接管"

    这是很侵犯性的举动。


    想到一个汽车的事情:

    最近几年的轿车的梁(特别是A柱附近)都在用超高强度钢替代传统钢材,维持强度不变,以降低车重/油耗/成本

    那么,为何不在维持车重的情况下,使用新材料,提高强度呢?
    因为支付宝要降低成本(意味着减少支付操作的成本,提高一次支付成功的比例),这是它平台化,占领线下的基础。
    而我要的是故意在支付过程中设下更多的(由我控制的)关卡,对支付宝来说,是提高了支付操作的成本。

    这样一来,以后和支付宝之间再有交集是比较难的了
    honeycomb
        158
    honeycomb  
       2015-07-10 15:02:43 +08:00
    @zjl03505
    难道是互相嘲笑?
    wheatcuican
        159
    wheatcuican  
       2015-07-10 15:48:56 +08:00
    @LEVIN “用错误的条件去模拟,却妄想得到正确的结果” +1
    imn1
        160
    imn1  
       2015-07-10 15:59:12 +08:00
    @honeycomb
    想法来源不一样,你的太技术了,哈哈
    不过结论确实就是你说的:不能丧失了对银行账户的完整控制

    快捷支付直接绑定银行卡是我不能接受的,资金是流动的,为何非要单一银行单一卡呢
    走网银的话只是接口,绑定的话我就搞不清,是否阿里已经知道我的资金流向了?
    虽然我也不是洗钱或者万亿身家的主,但如果啥账户都知道了跟被扒了衣服一般,要知道两个银行之间也是互相不知道的,阿里一家就可能知道我多个银行的某些信息了?
    郭嘉和police知道这些信息我是没所谓,因为他们有这个立场,阿里的立场是什么?

    我的想法来源最初就是第一次注册微博时,居然微博那边把我的淘宝帐号绑定了,当时微博新手,完全没有对策,最终选择在另一台从没用过淘宝的机器上另注册一个微博,才没有绑定
    这次让我很担心,因为理论上微博和淘宝是两家法人单位,服务内容也不同,为何未经我同意就随意共享了信息?异想天开一下:淘宝、某GPS、某SNS、某云存储……之间共享数据,而这几家的客户端同时都在自己的手机上……唉,不想了,会发疯的
    我也做过用户行为分析(助纣为虐?),统计学什么的都知道皮毛
    然后开始着手拦截淘宝的数据,逐个屏蔽,直到在别的站点(包括淘宝本身)看到淘宝推荐都跟我常浏览的东西完全无关才稍微定神

    还有那个买过的东西那个验证码也是,单次被人看到确实没问题,但如果有个“有心人”就难说了,只要这个“有心人”有足够耐心,记录下数十次、上百次验证码的图片,就足够分析了,这就叫“大数据”

    总有人说这是低概率事件(在淘宝大基数立场算概率就更低了),担心什么,有保险
    是啊,是我想多了,谁会那么闲来关注我,真是有被害妄想症啊
    不过人呢,就是这样,癌症死亡也是低概率,但谁敢说自己得了癌症也“无所谓,有保险”呢?
    shaoshuang
        161
    shaoshuang  
       2015-07-10 16:10:27 +08:00
    @honeycomb

    ---------------------------------------------------------------------------------------------
    1,支付宝并不知道是自己还是他人拿了自己的钥匙
    2,就算是自己拿了自己的钥匙,在做敏感操作的时候,也是要多一步验证的。你锁门的时候不是要把钥匙多转一圈的嘛

    回答你:
    1.在你打开支付宝进行操作的时候,支付宝就有一个初步识别了,正在操作的人是否是该账户的实际常规使用者
    2.你说的太好了,敏感操作的确需要验证,但是“敏感操作”的定义不是改密码就是敏感操作,而是在特定的条件下改密码才是敏感操作

    ---------------------------------------------------------------------------------------------
    1,赞同手机是相当私人的东西的观点
    2,还是上一条的2,在可信设备上的敏感操作需要额外的验证

    回答你:
    还是上面一条的1和2

    ---------------------------------------------------------------------------------------------
    1,说实在,应用程序不应该能永久性地唯一识别设备

    回答你:应用本身就具备识别设备特征的能力,但是你这句话,我读了半天没读懂,为啥不能识别设备?


    ---------------------------------------------------------------------------------------------
    1,在“你不会报警?大数据不会追溯?”之前,本来是可以做到阻止“别人转个账”的,现在把这步骤去掉了。
    2,为何要向蚂蚁金服提供那么多信息?为什么要让它知道你的一举一动?

    回答你:
    1.请你先找一个陌生人测试一下整个流程,看看是否真的把钱转走了,再来回答这个问题,不要给假设
    2.你不要否认,现在你的一举一动都是在给互联网公司提供信息,这个不是为何的问题,你的使用习惯在法律上并没有定义为隐私,而定义为隐私的内容,在支付宝都是有隐私条款的,你完全可以不同意条款,很简单,不用支付宝就行了。
    为啥要知道你的一举一动,初衷非常简单,想办法认识你,就可以给你提供便捷,阻碍不认识的人来拿走你的钱。


    ---------------------------------------------------------------------------------------------
    1,复杂支付密码和手势密码是毫无疑问的有效保护手段,弱密码/不设防的入口这一攻击向量可以说是最有效的攻击,支付宝去掉它们唯一的目的是简化支付手续,而不是保护。
    2,支付宝可以加上它的大数据保护,但是不能也不需要以去掉用户方面实施的控制为代价。
    3,所以,剥夺想装锁的人的装锁权利,那就自己玩呗。

    回答你:
    1.你说的很对,支付宝在能够保障安全(这个是相对来说的,比如100万笔支付中,非安全支付笔数不超过1笔就定义为安全,但是很抱歉,对于那一笔被盗的的确受到了伤害,因此需要保险这么个东西的存在)的前提下,尽可能提供更大的便捷
    2.你完全可以通过自己手机的复杂密码来保障你自己手机的使用安全
    3.按你的说法,所有不提供手势密码(或者其他加密方式)解锁的 app 都是耍流氓?

    ---------------------------------------------------------------------------------------------


    最后,在你眼里支付宝太不安全了,赶紧别用了,求求你了!市面上可以替代的东西太多了,希望你理解的“安全”可以让支付宝的市场占有率大幅下降,你就成功了!
    honeycomb
        162
    honeycomb  
       2015-07-10 16:23:32 +08:00
    @imn1

    “是啊,是我想多了,谁会那么闲来关注我,真是有被害妄想症啊 ”
    “无所谓,有保险”

    无论如何控制门钥匙的权利在自己
    就算不要钥匙了,也得是自己明确放弃了才可以没有的

    人在自己家里穿衣服是因为想穿,而与走不走光无关。
    同样的,你不想告诉支付宝一些信息,与你有没有秘密无关,只是因为你不想告诉,无需向蚂蚁金服汇报动机。



    或许,比较有建设性的措施是去研究下怎么样让银行卡无法开启快捷支付?

    --------------------------------
    从回帖里可以看到我国人民(即便是在v2ex上更可能了解用户追踪的用户都)是如此地不在意自己的隐私,对于想搞大数据的企业真的是太利好的消息了

    但我也担心反对大数据会像反对全球化一样,出现问题。
    虽然Adblock Plus用了十多年成功地改变了在线广告业,但是这场战争的实际焦点:用户追踪的未来会怎么来还很难说。

    https://zh.wikipedia.org/wiki/Adblock_Plus
    Air_Mu
        163
    Air_Mu  
       2015-07-10 18:22:24 +08:00
    哈哈我就知道会撕起逼来 阿里员工乙
    zhongx
        164
    zhongx  
       2015-07-10 18:30:41 +08:00
    太乱了,看的有点累
    kawaii303
        165
    kawaii303  
       2015-07-10 18:59:35 +08:00
    @bengle 维权估计很麻烦,很复杂
    moonkiller
        166
    moonkiller  
       2015-07-10 19:04:40 +08:00
    那些给阿里洗地的也是罪了
    quericy
        167
    quericy  
       2015-07-10 22:43:00 +08:00
    就没人吐槽下那个大数据嘛?支付宝之前是收集了多少隐私?
    可靠性有没有吹嘘的99.9999%这个没人知道,但至少能知道支付宝是会收集大到商品搜索习惯小到个人手势等等的东西
    有个“安全大脑”这样默默的看着,慌不慌?

    1%就想问问,支付宝的“安全大脑”的目光所及之处,有木有瞥到WindowsPhone呢?
    ...但愿还是没有的好
    Shelikhoo
        168
    Shelikhoo  
       2015-07-11 07:23:21 +08:00
    我一定是被电脑给同化了,为什么我觉得比特币的方案才是最好的。。。。

    当然,支付宝面向的是小白用户,太繁琐了的话就只有geek才能用了,达不到赚钱的目的。
    stingzou
        169
    stingzou  
       2015-07-11 22:39:37 +08:00
    支付宝这个安全大脑。。。无语了,每次遇到危机,就知道pr,就知道推卸责任,非要闹大了才道歉。
    williamx
        170
    williamx  
       2015-07-12 12:01:15 +08:00
    阿里给出了一个很好的拒绝借手机的借口:对不起,我的手机上有支付宝,不能外借。
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1021 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 81ms · UTC 20:46 · PVG 04:46 · LAX 12:46 · JFK 15:46
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.