360綠色網站的安全謊言：“偷梁換柱”浸潤電商網銀安全體系/

　　2月6日，360官網上一條 “網購首選，3億用戶的共同選擇”的廣告悄然上線。打開這條廣告鏈接，以“網購安全”為主題的新款“360安全瀏覽器”赫然在目。

　　據《每日經濟新聞》記者獲得的360內部信息，360將借今年的“3·15”活動，大力推動與國內電商企業的合作，以將360安全瀏覽器植入電商領域。這則推廣廣告，正是這一步驟的前奏曲。

　　據記者調查，360兩年前開始布局電子商務安全領域，其最先打出的 “安全產品”是 “網銀無憂”、“地址欄銘牌”，即360瀏覽器主推的“綠色網站認證”。

　　360向人們傳遞的信息是，“360綠色網站認證”可以確保用戶使用網銀以及電子商務交易安全。

　　眾所周知，電子商務的交易安全，尤其是網銀，一直是網民、乃至整個社會焦點關注的問題之一。歐美、日本等國家的網銀安全體系非常復雜與發達，而國內的網銀體系，也是在小心設想、小心求證的前提下，一步步地展開。

　　那么，360是否真的具備這個能力——取代網銀服務提供者身份驗證體系，由自身來充當網銀“保鏢”呢？

　　獨立調查員懷疑360公司是否具備這個能力。于是，他進行了如下實驗，以了解360綠色網站認證機制：

　　在本機模擬，將招行網銀域名劫持到IP為50.63.127.126(xliar.com)的網站，并在目標服務器上構建相應目錄體系和登錄頁文件，然后使用360安全瀏覽器訪問招行大眾版登錄頁，從而進入偽裝的招行網銀頁面。

　　360網購保鏢自動檢測招行運行環境，幾秒鐘后完成檢測，報告“本次檢測未發現風險，現在可以放心網購了！”

　　此時瀏覽器地址欄銘牌顯示為“招商銀行”，點擊后彈出“通過綠色網站認證”，披著“招行網銀”外衣的劫持網址，即被360認證為招行官方網站。

圖片1

　　而同樣的操作，使用IE瀏覽器訪問時，IE瀏覽器地址欄則會以非常顯眼的方式告知用戶“（網站數字）證書錯誤”，點擊錯誤信息可知，該網站證書不屬于招商銀行網站。

　　事實上，用國際主流的瀏覽器均會彈出類似的錯誤提醒警示，用戶收到信息后自然會停止交易、避免損失。

　　這意味著，如果一家詐騙網站通過域名劫持招商銀行網站，所謂的“360綠色網站認證”并不能有效執行網銀保鏢的辨識功能，進行安全認證。

　　360安全瀏覽器的安全檢查能力為什么會如此之低呢？

　　據 《每日經濟新聞》記者了解，目前國際主流的認證機構為VeriSign，包括中國工商銀行、中國建設銀行、中國銀行、中國農業銀行均采用該機構認證。招商銀行網頁所顯示的，也正是該機構的認證，這也作為網上銀行安全的基本保證而得到公認。

　　而獨立調查員演示的證據顯示，360瀏覽器直接屏蔽認證機構VeriSign基于加密體系的可信認證，將其替換成了360綠色網站認證。

　　獨立調查員提醒網購者，應信任銀行網站自身的安全證書，并在整個交易過程中關注地址欄域名和安全證書中的域名是否一致，以及其根域名是否與官方域名一致，切勿輕易信任和依賴360的“綠色網站認證”。

　　獨立調查員認為，這又是另一起360“破壞性創新”的典型案例：“一點技術含量也沒有的網站身份認證，竟然可以公然取代國際上通行的網上銀行安全認證體系。這就是360的非創新型破壞。”

　　然而，對于類似公然挑釁國際準則的行為，為什么監管部門可以坐視不管呢？

　　可以預想的是，一旦360大規模啟動“各大電商推薦安全購物使用360瀏覽器”活動，人們的網上購物均要依賴于 “360綠色網站認證”，360收獲的將是又一次360式“癌性擴張”，而中國的網銀體系又將會面臨怎樣的可怕變局？