很无聊，八一八国内的互联网安全(2) 移动支付

一. 银联
我了解国内最早做移动支付的应该是银联了，有没有更早的我就不知道了。

银联的移动支付之所以玩不起来，如下：
   1. 那玩意实际就是把现有的线上(互联网)线下(POS)已有商户搬到移动端而已，支持的商户少得可怜。
   2. 自己内部问题，他们内部都在画地盘，甚至都快被A家把市场蚕食没了还在内斗，玩儿个P啊。
   3. 当年的银联支付插件很有意思，市场上可见的并不是由一家做的，N家在做，银联都认，每家各自发布，银联和各家的分成办法是按你流量，这样的方式如何保证市场占有率？

技术方面：
   安全来说，我了解的不多，但我接触到的，初期使用客户端/服务器通讯使用SSL/HTTPS的基本没有，也就是说，简单的免费WIFI方式窃取支付信息都是可行的，后期不了解了。
   支付渠道基本选择的都是快捷支付，WIFI可窃/听(MD这都是关键字啊)的信息为快捷支付4要素：
      卡号/身份证号/姓名/预留手机号

二. 各手机银行
   可以吐槽下各手机银行居然在移动端使用卡密吗？感觉大家为了方便，玩儿的有点过了。
   科普下卡密的传输先(各大手机银行咋加密的不了解，这里说的是线下): 卡密这东西在线下是渠道不落地的，就是说，你的卡密在ATM(以及POS)上输入后马上加密，但ATM自己是解不开的，沿途各渠道也是无法解开的(印象中不光不解，还转PIN再搞一把)，只有信息发到核心系统才能被解开。
   这里还有个POS(ATM不了解...)灌密的问题，每个POS并不是置个商户号就能用的，那个玩意是每机一密的(不会重复使用密钥).
   ATM好像比较弱诶，这里说个国内某行安全事故: 典型交易要素没理解透的程序员(其实不怪小程序员，应该怪IT大环境)干的,他们ATM取款报文签名为：账户/金额，MMD交易流水号没签!!! 结果吗，被人换流水号用同样账户/金额/签名伪造报文，具体案情不太了解，个人感觉是通讯链路被搞定了，或者链路根本就没加密。
   好了，该喷卡密的事情了，请问以下几点各手机银行做到了吗：
  
   1. 卡密不能在客户端内存中连续存放，最优解决方案应为每输入一个字符做一次加密,但这样的话，是否符合X9.8(也许是X9.9不记得了)卡PIN加密方式我没验证过。
   2. 客户端的东西，你再咋搞，软件甚至密钥都到我手里了，针对性的做破解的话，获取卡密应该不难，这里联系到上篇的坑(非HTTPS渠道下载，甚至根证书区域污染)，我包一层把客户端丢给下载者，and so...(再吐槽国内的乱七八糟市场，敬告各位:下载手机银行等要命软件，请去银行官网下载，官网官网官网！！！！)

三. 重头来了，A&T(感觉他们根本配不上这高大上的名字啊)，CP你家别笑，一样的
   客户端支付从最早出现到现在，有个非常非常恶心的问题根本没法解决：
   1. 针对CS形式的插件调用，请问如何让用户判断跳出来的支付框是您A&T的？这里我是不是可以做个假的入口让你输入支付/登录信息？
   2. B/S的更扯了，别笑，现在还很多：支付的时候您给我弄个webview内嵌的登录/支付界面，URL看不到!!!!(其实看到也没法当真，我可以做个假的URL框框摆那骗你)，让我如何判断这个页面是您A&T的？
   3. a&t躺枪表示对不起咯(老的A&T已经没了，现在是a&t)