【收录】国内大部分的USBKey通过B/S方式（CAPICOM）产生数字签名的严重安全漏洞

</script>

???????在目前大多数Usbkey中均存在诱导签名的问题，在第一次产生数字签名的时候，USBKey会提示用户输入PIN，但在第2次，第3次签名动作产生的时候，这些都已经是用户无法感知的事实！
????? 这就是我为什么不希望使用B/S，而是C/S方式手段产生数字签名的原因。
???????我的另外一篇文章提到如何通过Java调用CryptoAPI:?
??????http://www.blogjava.net/security/archive/2006/07/11/java_cryptoapi_csp_signature.html, 已经被用于SecureX Eclipse Plugin（securex.sourceforge.net）当中。
??????
??????在我负责的多个业务系统中的数字签名/印章中，均存在上面的危险！除非我们能够确保恶意页面不存在，否则，某个程序员在系统中，哪怕是Insert很小一段JS代码到某个不显眼的页面，后果是非常严重的。