为什么支付宝与中国的网上银行使用用户体验欠佳的「安全控件」，而 PayPal 不使用？
按投票排序
不知道我是否适合回答这个问题...这问题说起来话长，简单的说几句吧。最大的差异来自：Paypal/Google CheckOut 以信用卡用户为主，国内支付网站用户以借记卡为主（所以必须有和银行通信的环节，而国内各家银行采用的方案几乎都是亲微软体系的...） 。借记卡没办法撤销，信用卡还有事后核实，对用户来说非常有利，所以国外用户承担的风险其实并不大，而国内就不是这样了，用户的风险偏大。安全控件的确有用，但没有用以侵犯用户隐私或是其它什么的，而是用来做智能（姑且这么说吧）行为分析，来帮助用户进行主动的防御。的确对大部分用户有价值（不只是FUD），但对一部分用户的体验造成了很大干扰。安全控件的选择，开始所用的技术体系的确犯下了错误，而且，这个方向不可扭转，将错就错。另外，竞争对手如果用了类似的方法，用以鼓吹其安全性，你也不得不跟进；国内国外的安全情况其实都很糟糕，国外犯罪手法以信用卡盗卡/欺诈为主，国内则是木马盗取网银密码...
非常赞成Fenng的回答，我简单补几句：1、如果只是网银支付，其实连密码都不需要，因为银行会去做安全的校验。但支付宝有余额支付、支付宝卡通支付，还有个担保交易的“确认收货”，这些环节的安全确认都是只能依靠支付宝来做的。2、国内安全环境糟糕，用户安全意识薄弱，木马猖獗。在付款确认环节做干预，用控件分析用户行为，当时当景(包括现在)最合适的办法。3、事实上，手机确认是个不错的选择。可一旦手机丢失，风险就全部得支付宝来承担了，所以手机这条路走起来也很难步伐太大。目前看来，无控件的登录密码 + 手机确认付款，会是比较良好的解决方案。4、安全控件的具体技术方案应该是当时的最优选择，而且选了就是条不归路。走到今天，痛苦蛮多。但为了大多数用户的资金安全，必须咬牙抗住。一边告诉飞行，一边想办法修换零件。ps：keso一直说支付宝应该大力发展信用卡业务。从安全和便捷的角度来看，这个思路是有道理的。信用卡也是未来银行在个人业务上的利润大头。（以上仅代表个人观点。我不负责支付宝的安全业务，所以仅从一个从业者的角度做如上分析。不欢迎转载、引用）
一方面有金融和信用体系方面的，paypal等有银行和保险公司来分担，自己主要控制风险率。 其实paypal的那一套体系并不能说很神秘，主要就是通过模型来控制风险率，并由人去确认那部分风险，所以其风控团队人数也比较多。至于国内，如果支付宝也能有交易2%的费率的话，这样控制风险率并赔付也是可能的！要知道支付宝的交易总额超过了payapl，如果支付宝2011年超过1万亿，万分之一的风险就是1个亿啊，民营公司本就不像国企那样挣钱，所以各种手段都得上，少点风险是一点。还有一个问题就是，欺诈这个产业链非常庞大，而我们的公安是不大管的，除非是很大金额的要案他们才出手。同时异地办案麻烦啊！
这关键是信任体系和风控技术的差别。其他人说的都是为何「中国特色」下支付宝为何需要安全控件，我来告诉你为什么美国不需要安全控件吧。一个简单的案例能够解释清楚本质的区别：你在 PayPal 上支付了 $1000 买了一件东西，结果发现是假货，接着发现商家跑了。这时候你觉得会发生什么事情？跟你在支付宝上买了 ￥1000 假货的处理方式会有什么区别？站在你的角度来看，首先美国法律规定了当商业诈骗发生时个人最多承担 $50 的责任，$50 以外的责任由企业承担。那意味着无论如何 PayPal 必须给你退回至少 $950，如果 PayPal 好人一些的话会全额退款给你。美国法律如此保护你，使得你能够很安心地支付，不担心遇到诈骗时会产生显著的经济损失。站在 PayPal 的角度来看，那岂不意味着这一笔交易平白无事亏了 $950？（因为美国是信用社会，所以你支付的 $1000 会直接付款给商家，不会出现 PayPal 扣押款项的阶段。）对于单个个案来说，确实是这样的。但是我们也知道就算是银行签发信用卡也总会遇到不还钱的人，所以没有任何一家金融机构能够完全避免诈骗，能做的就是玩赢这个概率游戏，使得自己最终尽可能多的赚钱。这其实就是风险控制所做的事情，PayPal 拥有非常好的风控算法，能够尽可能地保护自己避免高风险交易发生。（如果 PayPal 一开始就判断一个交易是高风险的，它就会阻止这个交易进行。）所以说，在中国法律不保护你，支付宝也不会使用聪明的方法保护自己和保护你，所以只好选用笨办法，那就是安全控件。在美国，法律保护你，PayPal 使用聪明的方法保护自己，所以你放心支付就是了。--如果你还不相信美国法律对你的保护有多强大，可以再提供两个例子：1. 如果你的信用卡被盗了，别人拿去消费了 $100,000，最终你需要偿还的额度还是 $50。谁亏了？商家和银行亏了。如果你去美国旅行，你发现当你出示你的境外信用卡时商家有较高的概率要你出示护（通过护照照片和名字核对你的持卡人身份），这其实就是商家自我保护的措施。因为涉及境外信用卡的诈骗比较多，所以商家比较担心你并非真正的卡主，如果卡主有一天报诈骗案，那么你在商家这里买的东西都相当于它白送给你的。2. Kevin Mitnick 在自传 Ghost in the Wires 里面说到，他克隆别人的 SIM 卡信息然后盗用别人的账号打电话上网觉得没什么负罪感，因为只要 SIM 卡真正的持卡人在收到巨额账单后指出这是被盗用，他最多只需要支付 $50 额外的话费，亏本的只是运营商。考虑到 Kevin Mitnick 一直在黑运营商，所以他当然觉得运营商亏本没所谓。
从我们多年来从事外卡支付的经历来看，主要区别是：支付宝用户充值的主要是借记卡，大家都知道借记卡各家银行只验证网银登录名。登录密码、卡号、密码，如果他们出现泄漏，银行是不但任何责任的，用户一直处于劣势，银行对第三方支付公司也是限制禁止条款颇多。国内支付同行们必须采取各种方式各种概念宣扬他们的安全性，哪怕是不怎么靠谱的。而Paypal、Google Checkout用户主要充值采用信用卡，在国际上由于Visa、MasterCard为了扩大全球业务，联合各大卡组织、安全机构指定了很多严格的政策和条款，对收单机构要求非常严格，针对收单机构的PCI DSS认证就是其中之一，从硬件到软件，从流程到人员，从网络到应用环境都有非常细致的要求。另外国际信用卡对持卡人的保护力度远远高于国内银联和银行对持卡人的保障。 譬如：国际信用卡chargr back 是180天以内的都可以，而国内各家银行都变成90天另外chargr back的条件和处理流程也完全不一样，国际信用卡chargr back只要向发卡行申诉，发卡行会及时要求收单行调单处理，收单行要求支付机构及时处理，如果无法提供或者未提供相应证据，需要返还申请chargr back的消费金额。而国内各家银行的做法普遍是要求用户自行联系商家和支付机构协商解决，一般是不处理为chargr back的，持卡人权益无法得到保障。PS：就算是信用卡，国内发卡行也默认或者推荐你开通密码功能，之后出现被盗，责任就很方便推给持卡人了。写的比较乱，仅供参考。
1. 国内外环境差别较大，这就决定了什么到了中国都必须结合实际情况，就连资本主义路线也不例外，现在走的应称为社会资本主义。国内用户在城信及法律意识方面较欠缺，与国外比，不是几十年能培养得起来的。社会文化差别是根本原因。2. 在支付领域最关键的，也是最基本的就是安全。用户一分钱不对，都会投诉。如果不能解决资金安全问题，就over。3. 风控(风险控制)是目前国内支付领域一大难题。长期性的，可持续的，会发展的。就技术架构的优先级来说应为：安全性、可靠性、扩展性(主要是分布事务)、性能。4. 从技术方案上来说还是有改进空间，白鸦说的很对，边造飞机边改零件。
技术上，安全控件对增强安全性并没有很多好处。HTTPS可以保证敏感信息在传输过程中不被监听，因此安全控件在传输过程中起到的加密作用就可有可无。另一块风险在于键盘监听。但即使安装了安全控件，也无法保证客户端的键盘输入一定不会被监听。保护客户端的安全方面，还是360之类的更拿手。所以相比安全控件带来的极大不便，它带来安全性的提升甚至可以忽略。但是安全控件在风控方面有很大作用。安全控件可以读到机器网卡mac地址、机器名等信息，这些对风控和证据保留是极大臂助。抛开技术不谈，其实安全控件的流行不能怪支付宝。当初商业银行都推安全控件，导致安全控件几乎是“必须品”。我05年开始用支付宝（支付宝04年底才推出，我算是很早的用户了），那时根本没有安全控件、数字证书。突然有一天用上了安全控件，于是Firefox就没法用支付宝了，那时我还郁闷了很久。再说到政策，大家也知道如今非金融机构做支付业务需要申请牌照了。央行科技司的检测标准里面，如果没有安全控件和数字证书，会被当作一个“问题”来记录。其实那制定标准的老爷们，和大多数初级用户一样，只需要“看起来很安全”。
控件、安全问题我不懂。只是最近恰好看到过一些PayPal的资料，应该可以补充一下前面提及关于风险控制的问题。其实PayPal在早期也面临严重的商业欺诈。2000年时候，PayPal每个月都有大量损失资金，最严重时由于商业欺诈平均每月的损失在1000万美元以上。这使得PayPal不得不动用大量的人力、物力想办法，他们最终开发出一整套工具来识别商业欺诈，并雇了1000多人专门对付网络欺诈。但是这个反欺诈工具并没有公开申请专利，但是始终被PayPal视作是其商业秘密。据PayPal自己说，使用PayPal 服务的商家因诈骗造成的损失只有其收入的0.17%，而在网络采用信用卡方式的商家因诈骗造成的损失为其收入的1.8%。PayPal的创始人Max Levchin很早就将公司定义为：“一家表面上看是金融服务公司的安全公司。”因此，准确地说，PayPal的核心竞争力就是判断风险。
银监会或国内政府部门要求银行网上银行系统，必须安装安全控件。支付宝涉及到银行转账，所以根据规定。也要安装安全控件。
我也补充一点，就是国内外的用户习惯很不一样，国外尤其欧美用户是强烈抵制用控件，隐私问题对他们而言很重要，从一开始就决定了在国外这套玩不转
风控机制不同吧。国内的信用卡支付发展还有很长的路要走，而且国内的风控部门大多掌握在支付方式手里，而国外很多都是B2C网站自有的风控部门。
貌似这个是技术类问题...恰巧得很,我不懂技术...抛开身份,从支付宝重度用户和PayPal重度用户来讲,我谈谈我的观点.国内自从有了3721后就冒了很多的"安全控件",最常见的就是金融机构,以前用的多的是IE版本,要用不同的网上银行基本上每家都会有自己的插件存在,一个控件要升级一次就需要重启一次浏览器,不然输入不了密码.除了金融机构的控件,我接触的第一家国内支付公司应该是快钱(有可能是环迅),记得不是特别的清楚了.想不到他们也用安全控件,这让我很郁闷.心想支付公司也需要插件?除了金融机构的控件,我接触的第一家国内支付公司应该是快钱(有可能是环迅),记得不是特别的清楚了.想不到他们也用安全控件,这让我很郁闷.心想支付公司也需要插件?而在当时,基本上是没有公司采用https的浏览器安全协议方式.后来有一次不知是要登录hotmail还是哪个国外的网站才知道了https开头的网站,刚开始以为是中病毒了,(原谅我当时幼稚的想法吧...)赶紧把网站关闭掉了.生怕自己电脑中毒.再后来支付宝出来了,但是当时安装支付宝的安全控件用户体验很差,彼时,浏览器市场混战,我也很喜欢尝鲜,只要我换一个浏览器就需要安装一个插件,很多时候支付一个订单麻烦的时候需要30分钟以上才可以搞定.所以那个时候我有想砸键盘的感脚.直到前一两年,火狐和Chrome的兴起,我才渐渐的打开支付宝界面发现没有那么多插件了,支付比较顺畅,甚至只需要输入密码就可以在几分钟之内完成支付.但是仍然会有一些所谓的安全证书在各种威胁性语言和吓人的安全等级下被迫强制的安装在我的电脑上.这个原因的基础是中国诚信环境的缺失,各种安全控件更多的是为了安慰网上环境的安全性.而忽略掉了网上环境最根本最需要的风险控制.国内支付公司的支付理论假设是买卖双方是互不信任的,缺乏契约精神,所以需要中介第三方担保,这一点在支付宝初期宣传尤为突出.这属于前端风险控制,买家付钱给第三方担保,卖家发货,发现货物不对,直接可以从担保公司拿走钱,好像没有直接去面对卖家,胆量也增加了不少,不然不敢下订单,因为害怕报复.而国外的支付环境的理论假设是买卖双方是相互信任的,我给你付钱,你给我同等的等价物,买家收到货物之后发现不符合,才会跟卖家协商沟通,这是后端风险控制,更多的是买卖双方之间在进行协商.支付公司只是在交易过程中担当的是渠道功能.支付宝的功能在某些程度有点像法官角色.道高一尺魔高一丈,有经济利益就一定会有欺诈,PayPal的最大优势还真是风险控制这一块儿.创始人之一有专门负责风险控制模型,属于商业机密,也斥巨资收购过的以色列的安全公司专门用于反欺诈.可以看的出来的趋势是国内的支付公司在逐渐的摒弃安全控件,(虽然仍有不少金融机构和支付公司还在使用),采用https的浏览器安全协议传输数据.加强风险控制,提高用户体验.所有支付公司有一个共同的目的,就是保护用户的数据安全,信息安全,资金安全.安全第一.技术问题可以参见来自丁香园CTO Fenny及楼上的知友.
我是来捣乱的！在风险控制系统保护下，北美fraud比率是0.9%，100块交易要风险损失1块。这1块都是商家付了。而支付宝呢，全是自己赔。然后就说说设备指纹，在国外设备指纹极其成熟的情况下，在所谓名单和模型极其成熟的情况下，是0.9%。如果你想要控制在哪怕千分之五，设备指纹都是不够的。其他的不说了，应该都懂的！
补充一点：从安全角度，黑客学习的成本和激励比普通用户高得多，只有你把门槛提的足够高，才能防范大部分的风险。但同时，学习动力不同的用户，就会觉得不方便……性价比的博弈啊
安全控件可以有，但是要保证兼容性。像中国银行的网银（忍不住吐槽下），在firefox下直接导致浏览器进程停止响应，在IE10下即使开兼容模式也没用（Windows 7 x64），无奈用Firefox的IETab强制IE8兼容模式。Ubuntu下就别想用了。每次付款都要让我妈折腾一个小时。支付宝相对做的比较好，至少在firefox和chrome下都没有出过什么问题。
我真的没有觉得支付宝安全控件的体验很差 相反 我觉得工商银行真的不该存活在这个世界上
我自己用的网银是浦发的手机密码
二身边朋友用的是工商的优盾
那个什么控件和优盾简直让我想砸了电脑
Paypal和Checkout是靠金融体制和信用机制来进行风险事后控制.
一旦出现安全事故, 会首先由银行承担, 最后由保险公司承担.而支付宝是靠IT技术进行事前控制的, 因为在中国的金融体制和信用机制现状下, 一旦出现问题, 只能消费者个人承担. 在这样的情况下, 支付宝不得不在安全上做到万无一失.PS: 我不是专业人员, 只是从零散得知的一些信息做判断
作为在PAYPAL 工作的员工来讲，同时也是支付宝的用户，对于这两款产品，各有各的优点吧，都是在不同的法律环境下运行来的，楼上很多分享的都很到位，具体的我也不方便明说
仅从技术方面剖析：1、https本质上是在Browser和WebServer之间建立加密的通信链路，以确保所有的信息都是加密传输的。如果SSL证书是verisign等内置在IE浏览器内的信任证书企业所签发的，那么表示该网站可信，防止钓鱼。2、https可以对客户的身份进行认证码？默认是不可以的，但可以通过给客户端配置软证书（.pfx,p12）来实现对客户身份的认证功能，但是由于软证书、难维护易拷贝等缺点，在实际中很少使用。3、U盾中有什么？智能芯片+COS，所谓只能芯片就是进行密码运算、保存密钥的芯片，COS就是管理这些资源的操作系统，简单来讲就是个文件系统。可以在U盾中生成非对称密钥对（一般为RSA），通过第三方CA机构签发数字证书并导入到U盾中，私钥+证书对就代表了客户的身份。4、由于浏览器的安全限制，浏览器本身是不能访问本地资源的，为了访问到U盾，所以只能依靠安全控件，同时安全控件也提供一些自保护的功能。5、安全控件都做了哪些操作？主要是用来读取U盾中的信息以及调用U盾来进行密码运算，主要有两方面的功能：
a)身份认证；
b)数字签名，为操作留有电子证据；
国外对买家的保护不是国内能比的， 说个实例。以前运营海外游戏的时候，有天突然发现paypal少了几千刀， 一查才知道某个信用卡用户申请退款，理由是未成年人使用信用卡，而这些消费大部分是产生在4,5个月前。以前我们也碰到过退款，都直接认了，没有烦过paypal。这次实在感觉冤啊，就求助电客服，但对方说也没办法，因为是电子商品，没有物流信息，所以还是只能认了。想想半年前收到的货款还要吐出去， 那感觉真是难受。paypal信用卡买家有180天的退款期，而卖家其实更像是弱势群体，除了经常碰到信用卡退款外，还经常被封帐号。我们在国内这么多年，用了这么多平台，从没碰到一起退款事件。相比国内， 国外的买家真尼玛是生活在温室里，给保护的实在太好了，谁还想安装那些丑陋的安全控件！您还未登陆，请登录后操作！
关于支付宝的安全控件问题。
的财付通的控件，不知是什么原因？是我的系统问题吗？我见被人的电脑很快就能装上了！
谢谢哪位高手能赐教一下！
不是系统有问题,应该是浏览器有问题,不知你是使用哪种浏览器,但支付宝只支持IE浏览器,对其它的浏览器是不支持的,我就曾试过使用火狐而无法登陆操作.
插件或工具条阻止了安全控件的安装
应该先关闭他们
2.打开浏览器、工具、Internet选项、安全
一般级别太高会有影响
调节到中等比较好
3.如果不行
就把安全级别设置为自定义
把ActiveX控件的有关项目修改为启用或提示
您的举报已经提交成功，我们将尽快处理，谢谢！
你可以把你的IE那个安全设置设成中级就好了。
再就是装完控件重启 试度。
大家还关注
电脑不停弹出修改...我安装了支付宝安全控件怎么没起作用啊
- 第一专业IT门户网站
我安装了支付宝安全控件怎么没起作用啊
我下载了支付宝安全控件马上重启一次 ,安装后又重启了一次,但当我再次进入支付宝,输入密码时,仍然弹出一个对话框要我安装控件,我都试了很多次了,也用了不少办法都没办法解决.
请各位高手帮我解决这个问题!
若能搞定,事后我还追加悬赏分!!!!
典型问题请尝试以下处理方法： 1、安装控件中如果报错或安装后登录框仍然显示红叉 解决方法：请确认安装控件后电脑是否重启，如未重启请先重启电脑，再点击 重装控件，按照提示重启电脑。 2、密码登录框已出现，光标可以插入，但无法输入密码 解决方法：点击“开始”-“控制面板”-“添加删除程序”，找到“支付宝安全控件”，点击“删除”进行卸载。如果没有找到支付宝安全控件，请重新安装安全控件再进行卸载，卸载后如果提示重启电脑，请重新启动。然后登录支付宝网站安装新控件，按提示再次尝试安装。 如果排除以上情况，请再尝试下以下处理方法： 1、 安全控件完全支持IE5.5以上版本 2、 您在升级安全控件时，请关闭您正在运行的其他程序，例如旺旺/贸易通等，如果运行下载的安装包，包括您正在使用的浏览器都要关闭，这样可以尽量避免安装程序提示您重启操作系统。 3、 IE浏览器设置恢复为默认值： a) 点击浏览器菜单栏上的工具－&Internet选项－&安全，选择internet区域，如〔默认级别〕按钮不是灰的，就直接点击，如果是灰的，不用做任何操作。 b) 依次选择4个区域（Internet/本地Intranet/受信任的站点/受限制的站点），并且点击&默认级别&按钮 c) 点击〔高级〕标签，点击〔还原默认设置〕 4、 确认使用Administator用户登录操作系统，或者是Administrators组中的用户，需要保证自己登录的用户对NTFS分区格式的硬盘系统目录(Windows)具有写权限。 5、 在安装使用支付宝的过程中，请留意浏览器页面区域上方有没出现一个黄色的确认提示条。IE7等高版本浏览器增加的安全特性，会在这个区域要求用户的确认，才能使支付宝的程序正常运行。 6、 出现安装问题后，建议下载EXE安装包来安装，这个安装包会尽量帮您解决所遇到的问题。 7、 如果以上步骤都无法解决您的问题，通常是您机器上的第三方软件造成的。支付宝页面使用了微软的ActiveX控件技术，您可以自行检查是否有第三方软件阻止您的浏览器使用控件。具体的操作可参考第三方软件的帮助。下方有一些第三方软件的列表和参考操作，包括但不限于这些软件，可能会对支付宝的正常使用造成影响。 请正确设置，或者临时禁用/卸载这些软件，如瑞星系列、卡巴斯基、3721、安全卫士360、kv系列杀毒软件、股票软件、eBay易趣、dudu下载加速器、中文上网、青娱乐聊天软件、很棒小秘书、百度搜霸、百度超级搜霸、一搜工具条、网络猪、划词搜索。 如果您是使用Maxthon浏览器，那么该浏览器不会提示您安装安全控件，所以这时需要您在选项－广告猎手－启用ActiveX过滤前面打勾 如果问题还是无法解决，一个简单有效的办法是重装系统，可能的情况下，可以尝试使用和原来不同的安装盘。重装系统时有两点必须注意： 1）必须格式化系统盘（默认是C盘） 2）重装后必须安装杀毒软件或防火墙，XP系统请升级到SP2 如果您电脑上有安装瑞星卡卡上网安全助手，您需要取消瑞星卡卡对支付宝网站免疫的设置，取消免疫方法您可以参照
相关知识等待您来回答
该问题来自：太平洋电脑网是首家以专业电脑市场联盟为基础的IT资讯网站，为IT企业与终端用户提供全面、权威、专业的IT资讯服务。购物领域专家
& &SOGOU - 京ICP证050897号