@ericls 话是如此，但是，一旦上法庭，被告是谁，还不是银行。那么银行，你能胜诉吗？

@yeyeye 我同意你的说法，安全本身就是个相对的概念。只是某个黑客是否有必要这么做，对于一般人，钓鱼可能比这个来的容易

@est 如果是领导，他就不知道这个东西叫 active 叉，他会说：“浏览器插件……”，云云

@sobigfish 应该没那么怂吧。应该是把加密完的数据回填 hidden 域

@mgcnrx11 还是有开源内核的 chrominum 。这本身属于浏览器实现问题。

@powergx ca 倒是没关系，因为银行在密码数据上，除了依靠 SSL 外，还有单独的点对点加密

@yeyeye 图形键盘也可以做到每次重排位置的，所以截图分析位置，就可以防御了

算了，不说了，看 AlphaGo 吧。说个问题，拐了三个楼

@qian19876025 请告诉我一个正版观看的途径，不要谈去美区 Netflix ，那也是违法的；不要谈买一个进口蓝光，那也是违法的。事实上，没有 xx 总局审批，你在中国任何途径看到，都是违法的。还在这里谈违法

@zesik
@shao well ， well ，仅仅是一个可以忽略的细节

把整个过程又梳理了一下，写了篇博文，供大家把玩儿

https://story.tonylee.name/2016/03/08/guan-yu-cbczhong-padding-oraclegong-ji-de-zai-jie-du/

@echo1937 原来如此，感谢

@zonghua 这个，申请法官同意，应该是可以的，好理解 😄

@xpclassical http://cn163.net/archives/16430/

原来如此啊

@breeswish 我曾经也在想，可能在方法回溯的过程中，一定会推到出矛盾的地方，因此将结果过滤掉。查看 @maemual 提供的资料，我发现一种更好的验证逻辑。因为如果 padding 是 0x01 的话， IV 的倒数第二位是什么，并不影响 padding 是否 valid 。可以通过变换 IV 的倒数第二位来证明， padding 是 0x01

@maemual 问对领路人，胜读十年书啊。

我看到的资料，包括什么云舒写的分析（ http://www.icylife.net/yunshu/attachments/Padding-Oracle-Attack.pdf ）,都只是把原作者的这一篇 http://blog.gdssecurity.com/labs/2010/9/14/automated-padding-oracle-attacks-with-padbuster.html 翻译了一遍，其中很重要的 padding 长度推测，只字未提。

非常感谢您的回答

ngrok+1

ngrok