你们觉得卡巴会兼容支付宝控件么？我不希望兼容。

GoldJune

事情去年就抱出来了http://www.freebuf.com/news/special/39805.html（原始的作者的博客托管在blogger上，可能无法访问，就贴这个了）

我目前还没完全想明白Alipaybsm.exe这样做的目的是什么。初步感觉，有可能是跟背地里监控网络流量有关。毕竟，目的地址不正确的数据，就算被放入Socket接收缓冲里面，在网络层与传输层之间估计也被滤掉了。我这次是因为用了SOCK_RAW，需要自己下到网络（IP）层来处理数据，才碰巧发现了这个情况。如果只是在传输层（TCP/UDP）从事工作，估计不会有任何察觉。

只不过，反过来讲，如果能做到复制数据到Socket接收缓冲，那应该完全可以做到监控流量而不带任何痕迹才对。所以我目前还只能理解为，Alipaybsm.exe想完全监控网络流量，所以利用了这个手段（复制发送的数据到接收缓冲中），但干这事屁股没擦干净（也可能没法擦干净），才产生了我遇到的这些情况。

很奇怪的是，它其实并不是随着“支付宝安全控件”（Aliedit.exe）装上去的。当你登录支付宝，根据Web页面上的提示安装了“支付宝安全控件”时，只会在Program Files (x86)\alipay下面建一个名字叫alieditplus的目录。

但是过一会儿（我这次过了30分钟左右），在alieditplus下面会出现一个update目录，并下载一个SafeTransaction_Setup.exe放在其“\job\file\tmp\zip_1009_”子目录中（不同时期不同环境中路径可能会有所不同）。随后Program Files (x86)\alipay\SafeTransaction目录便出现，里面就有Alipaybsm.exe（当然还有一些别的）。

我在网上想搜一下关于这个Alipaybsm.exe或SafeTransaction_Setup.exe的相关信息，发现少得可怜。Alipay官方完全没有提到过这些东西，好像它们是感染了AIDS的私生子一样。不过每个安装了支付宝安全控件的电脑上，估计都会有这些个东西（还有个AlipayDHC也值得注意）。我认为以这种方式进行推广的程序，很可能另有其目的，不见得真的是保障个浏览器安全这么简单。如果真是为了保障浏览器安全，完全可以公开（乃至大张旗鼓地）宣传，然后打包到安装包里一起分发下去正大光明地安装，不是吗？

PS: 我后来发现，杀掉AlipaySecSvc.exe也会导致复制数据包的现象中断，并且重启该服务之后，恢复现象花的时间比单单杀掉Alipaybsm.exe要长。可见Alipaybsm.exe的角色大概只是一个行动的发起者和结果的分析者，具体对流量实施监控的行为，很可能是它去调用AlipaySecSvc.exe中的某些个服务来完成的。这说明对于“支付宝安全控件”本身也不能掉以轻心。相关功能其实可能一直就放在AlipaySecSvc.exe中，只是没有人来扣扳机而已。而这个扣扳机的可以是Alipaybsm.exe，也可以是别的谁，那谁谁谁。

Wesly.Zhang（毛子研发部都认识且信任的中国版主，在国际论坛负责部分2015产品的BUG收集，专业人士）的解释：
http://bbs.kaspersky.com.cn/foru ... ead&tid=1247908（帖子内附带了解决办法)

此问题是由于 支付宝 最新控件与 KAV/KIS 2015 15.0.0.463 版本存在兼容性问题（Alipay 从底层转发所有 tcp 流量与 AVP 形成多层过滤可能导致 TCP/IP 缓冲区超时）

通过淘宝购买商品通过支付宝支付不会受到任何影响，即便是你想登陆支付宝账户查询支付宝账户或者购买余额宝都不会有影响。因为我本身就是网购达人，支付宝在客户端真正起作用的是那个浏览器插件，插件的作用是让你能够输入密码，然后将密码进行转换发送到服务器比对hash值，让你登陆账户。目前阿里巴巴在打造安全软件，以后会越来越多的完善系统安全架构平台。如果可能一般用户只需要注册一个浏览器插件就可以满足日常的支付。在这里我个人还是建议大家保障您的财产安全，请勿使用快捷支付功能，虽然看似便捷，其中的安全隐忧还是显而易见的，应该让支付宝直接从银行账户中划款，让支付宝跳转到银行网上银行进行转账，银行的网上银行插件的安全强度是支付宝不能够比的，尤其是U盾。多一重保护对资金安全至关重要。

当然也会有不一样的声音


相信谁就看各位自己的了。即使上插件的DLL文件和守护服务毫无关系。浏览器也不会因为多了支付宝控件而去调用这些exe。那么问题来了，如果那些服务起着保护作用，他是如何保护的？浏览器和支付宝之间的连接全部是依靠TLS实现的。也就是说除非受到MITM攻击，中间的流量是无非被第三方解密的。假设那些服务对其保护，那么必须同时拥有SSL的private密匙和Public密匙，而任何一家企业是根本不会将私匙存入一个公开提供给客户的程序中。也就是说这个控件服务实际上根本不能知道浏览器在你付款时候的页面内容。保护谈何而起？这个也同样适用在防钓鱼的情况下，合格的浏览器会严格检查SSL证书。那剩下的情况就是用户本地计算机的了，比如防止键盘记录器截屏等等，这个难道卡巴还不如支付宝?如果你们这样认为，那么请别买卡巴斯基了，你们用支付宝控件作为杀毒软件吧。

当然会有人说为啥国外没有这类控件，国外普遍基于Paypal模式，和国内完全不一样，遇到盗刷这类问题，Paypal和银行都会快速处理。Paypal的验证都非常严格。人家是基于“信任”的一种支付模式。这里不多说了，我的意思是国外那样不代表就该反对支付宝的插件。（实际上也就那几个DLL起作用）强制SSL是非常重要也是必需的。(因为可以利用浏览器的缓存来进行js投毒攻击https页面。但是这个攻击不是在https加密页面下进行的，而是在http。)


现在对于支付宝的这个控件没有个正常合理的说法，阴谋论也是主要论调，在有官方说法前信那种就看各位自己的了。本人对这个很不喜欢，就像你的基友来你家借宿一宿，晚上却偷偷地拿相机拍你老婆洗澡。你会舒服么？当然对于那些认为“基友是保护你老婆”的人，大家也别喷他们，每个人都有自己知识的局限性和思维的局限性。起码在这个兼容问题上，我期望卡巴中国部门能尽早发布原汁原味的MR2，仅此而已。
另外，对于支付宝这个行为，用户要求支付宝那里做出修改可以说是不切实际，国内情况太复杂了，大家都懂的。

本人非专业人士，纯属业余爱好，如有不妥请指教。

本人奶王

唉，有些东西说不好，既然不合适不适合自己，不相信他就不要用它，就像换女盆友一样，感觉不适合自己就分手，以后各自去寻找自己的幸福，何必要在分手之后又要跟他现在的男友说他的种种不好呢？时间自会证明一切，对于一个东西也是这样，自己不用何必在怂恿别人呢。本人也是刚刚加入卡饭大家庭，其他的也不便多说。

GoldJune

本人奶王 发表于 2015-2-3 00:58
唉，有些东西说不好，既然不合适不适合自己，不相信他就不要用它，就像换女盆友一样，感觉不适合自己就分手 ...

是啊，还天天嚷嚷去兼容支付宝。卡巴最起码应该是一家有底线的安全公司。部分安全底线怎么可能放弃。

本人奶王

GoldJune 发表于 2015-2-3 01:09
是啊，还天天嚷嚷去兼容支付宝。卡巴最起码应该是一家有底线的安全公司。部分安全底线怎么可能放弃。

有时候想想也是无趣，即便没有安全问题，不兼容又怎么样呢，win8我有很多软件都不兼容，难道就因为这样不用微软了？（正版win8，也是要钱的）

jefffire

我也同意。而且要不兼容一切和国内有关联的软件，这样的卡巴才是深受广大群众喜爱的好产品。

yzt1004

jefffire 发表于 2015-2-3 10:10
我也同意。而且要不兼容一切和国内有关联的软件，这样的卡巴才是深受广大群众喜爱的好产品。

你这是高级黑还是真心话啊，我都看不懂了

那几家常报QQ迅雷易语言阿里系百度什么的，我还真的更看得起一些，比如红伞eset emsisoft 蜘蛛……

轩、

其实每个杀软都刚正不阿，有问题果断报的话也许国内软件们就会规矩很多

cdsys

对阿巴的软件表示很无奈，但又不得不用。以手机支付宝为例，他每隔一分钟就要获取你的位置，以后他比公安部门还要了解你的一举一动

抑郁使者

与卡巴斯基冲突的那个安全控件翻译成中文就是阿里巴巴浏览器安全服务，应该是反钓鱼组件的一部分
楼主的想法过于偏激，杀毒软件就是一个软件，这不兼容那不兼容即使你的防护再好也没有用，杀毒软件是为用户服务的，不是给用户带来无限麻烦的
不管中国的软件是不是行为有问题，但是，阿里巴巴是合法注册公司，是受中国国家法律保护的第三方支付公司，如果卡巴斯基或者一个人没有十足证据证明支付宝安全控件存在非法行为的前提下，包括卡巴斯基在内不可能也没有权力选择不兼容
楼主那个帖子的作者也无法证实与卡巴斯基冲突的组件的真实作用，只是一个疑问，不要做过多联想
还是回到原点，如果你认为卡巴斯基的保护能力足矣保护你的淘宝购物安全，那么你继续使用，反正我是不相信卡巴斯基，因为在全套支付宝安全体系保护下造成财产损失，支付宝公司会给予赔偿，阉割了支付宝安全控件通过卡巴斯基保护下的财产损失，卡巴斯基可不赔，楼主祈祷卡巴斯基坚不可摧吧

抑郁使者

cdsys 发表于 2015-2-3 12:09
对阿巴的软件表示很无奈，但又不得不用。以手机支付宝为例，他每隔一分钟就要获取你的位置，以后他比公安部 ...

不知道你的地理位置怎么缴电费 水费 手机费？
自动识别位置好，还是你每次自己输入位置好？