安全性是相对的，例如现实生活中访问银行是否非常安全？你可能会在枪口下被抢劫。您的 ATM 可能有一个撇渣器来窃取您卡上的数据。

当然SSL 有它的问题，PKI 也有它的问题， 人们正在努力解决它。EFF 正在推广“ Sovereign Keys”，这基本上可以防止伊朗等国家为 Gmail 伪造有效证书。Moxie Marlinspike 针对流氓 CA 提出的解决方案是Convergence。

很少有人能对 SSL 进行全面攻击，但一旦它被破坏，那就太糟糕了。但是，MITM 攻击不会让你开枪。因此，网上银行比我们目前拥有的任何替代方案都安全得多。

正如您所发现的，是的，这取决于 SSL 系统是否受到破坏（颁发给不拥有真实站点的一方的证书，或者将虚假 CA 证书注入客户端）以及浏览器尝试通过 MITM 站点连接（作为代理，或通过 DNS 中毒，或路由注入）。

无论是单独的（AFAIK）都不会允许连接以客户端无法检测到的方式受到损害。请注意，这意味着任何同时提供路由和初始 CA 列表的组织都可能危及服务（ISP 用于捆绑 MSIE 4/Netscape 4 以及用于拨号服务的安装 CD，通常您仍然需要安装软件才能访问USB 甚至网络连接的 ADSL 路由器，提供修改 CA 列表的机会）。

“现在，浏览器仍应警告客户端，因为提供的证书是颁发给与 URL 中的不同的主机” - 但您说颁发的是“合法的”？如果证书与主机名不匹配，则它不是合法的。

但是仍然有许多其他方法可以破坏网站的安全性，而无需达到这些程度。

你的理解是正确的。更大的风险（在许多情况下）是您用来进行网上银行业务的客户端计算机上的恶意软件。恶意软件可以彻底击败所有安全防御：SSL、防病毒，应有尽有。我们已经看到这种恶意软件在野外被广泛使用，通常用于从小企业那里窃取资金。所以，网上银行是相当可怕的东西。

也就是说，作为个人，我很乐意一直使用网上银行。你知道为什么？因为我的银行承诺，如果发生未经授权的访问，他们会让我变得完整。只要我使用合理的做法（选择一个好的密码，不要告诉任何人，完成银行业务后退出），如果我的账户发生未经授权的收费，银行将承担任何损失，不我。这意味着我很安全，我不必担心风险。

例如，这是美国银行的政策：

使用我们的在线银行服务，您可以确信您的美国银行账户将得到安全和保护。我们安全的网上银行服务包括对源自网上银行的任何欺诈活动（包括账单支付）的 0 美元责任保护。[...]

美国银行承诺，您不会对源自您的网上银行关系的任何欺诈活动负责。当您在交易首次出现在您的对帐单上的 60 天内通知银行时，我们将从您的账户中转出的资金记入您的损失金额。

另请参阅他们的服务协议以获取更多详细信息。据我所知，这广泛代表了许多银行为个人账户提供的保护类型，尽管并非所有银行都在其协议中提供这种具体、明确、保护性的语言。

但是，有一个重要的问题。这种保护只提供给个人。它不适用于企业帐户。对于企业账户，如果存在任何欺诈或安全漏洞，银行将不承担任何责任，并让客户陷入困境。这使得网上银行对个人来说是安全的，但对企业来说却是非常危险的——尤其是小型企业，他们可能没有足够的专业知识来充分防御这些威胁。不幸的是，许多小企业并没有意识到网上银行的风险，其中一些已经受到网络犯罪分子的打击。有关大量文档，请参阅Brian Krebs 的博客被这个问题摧毁的小企业的数量。出于这个原因，我建议考虑网上银行的小企业要谨慎行事。

我并不太担心我和银行之间的系统，我认为它受到了很多审查并且相当难以攻击。

我不担心银行的安全，因为我对此无能为力，而且我相当肯定，如果人们直接从他们的数据库中窃取资金，他们将承担主要责任。

我很害怕从 Windows PC 访问银行。rootkit 中的键盘记录器几乎无法检测到，病毒检测软件通常比 rootkit 的曲线落后一年左右（当它们完全可以检测到它们时），并且您做任何事情都无法阻止它们。您可以非常小心，但最终可能会有一些东西进入。您甚至会经常发现浏览器页面，仅查看它们就会危及您的 PC。

如果您重新启动到一个单独的工具来扫描硬盘驱动器并且如果您的 rootkit 的签名或模式包含在该工具的数据库中，那么您就很好了，但是我对这个行业的了解还不够，无法知道这些 IF 到底有多大。

我在 OSX/Linux/iOS 上感觉更安全，不是因为不可能破解它们或其他任何东西，但它有点难，而且我知道我的偏执狂我最终在我的 Windows PC 上找到了 rootkit，但我还没有找到一个在其他平台上（我运行 4 包括 Android，但感觉不像我想要的那样安全）所以很多只是个人经验。Windows 7 也可能更安全，但还没有足够的数据可以确定。