Day 9595 提取支付宝「真正的」安全控件

本文内容来自：http://bbs.kafan.cn/thread-1520630-1-1.html，以下只包含其中的手工操作部分：

1. 下载官方安装包：https://download.alipay.com/sec/edit/aliedit.exe
2. 使用7-zip打开安装包。
3. 对于IE浏览器，提取以下6个文件：Alidcp.dll、aliedit.dll、npalidcp.dll、npaliedit.dll、npAlipaydhc.dll、npAliSecCtrl.dll，将这些文件放置到任意目录（原文要求目录名为aliedit，其实可以随意，我放到了alipay目录下一样用），然后使用regsvr32注册之（需要管理员权限cmd，命令行例：regsvr32 c:\alipay\Alidcp.dll），即可使用。
4. 对于非IE内核浏览器（例如Chrome），提取以下3个文件：npalidcp.dll、npaliedit.dll、npAliSecCtrl.dll。由于手头只有Chrome浏览器，故仅对此进行实验，经确认，将以上文件提取到chrome.exe同级目录下的Plugins目录（没有则新建）中即可，以能在chrome://plugins/中看到Alipay webmod control、Alipay security control、Alipay Security Control 3为准，并将这三个插件的Always Allowed（总是允许）打勾即可使用。

可能有人要问为什么不用官方的一键安装，方便又快捷，那是因为原版的安装程序不仅会将需要的安全控件装进来，还会按照用户协议安装对本机流量进行监视的后台服务，最明显的特征就是会有一个一直吃CPU的Alipaybsm.exe和其守护进程AlipaySecSvc.exe。

关于其监视用户的嫌疑，可搜索关键字【alipaybsm 监视】查找相应文章进行阅读。

至于支付宝方面做贼心虚的表现，可以从安装程序附带的用户协议的变动看出来，支付宝官方有一份《支付宝安全控件安装许可协议》（点击查看本地截图，截图时间2015年1月13日），其中列举了一条极具争议的内容：

3. 支付宝有权通过本软件收集您的相关信息（包括但不限于URL、登录IP、登录阿里旺旺ID）并有权将其传递给本公司的关联公司或阿里巴巴集团旗下的其他公司。

包括但不限于……嗯。

之前安装的时候也看到过这句话，不知从什么时候起，这句话从本地的安装程序中消失了，但在线版还是保留着的。

虽然理论上用户点击【我同意】时，同意的应该是不包含这句话的本地协议，但一来镇上的EULA对最终用户本来就没有什么保护效力，二来即使本地协议中也有这么一句话：

您通过点击确认本协议或以其他方式选择接受本协议，即表示您已与支付宝达成协议并同意接受本协议的全部约定内容。

其他方式是什么呢？大概解释权在支付宝公司方面吧。

就更别提在线版中的文字游戏了：

您对以上四点已有充分的理解并明白因此可能导致的相应后果。对您使用本软件所产生的一切后果，支付宝（中国）网络技术有限公司（www.alipay.com）不承担任何责任。

看到红色的句号了吗？那个句号的意思是，两句话是独立的，并不是说因为「以上四点」产生的后果支付宝不承担责任，而是你用了这个软件产生的任何后果支付宝才不承担任何责任呢☆

说到底，毕竟EULA存在的意义就是写得冗长到几乎没有人愿意去读，但实际上已经在长长的文句中给用户下好了绊子，而且算准了用户一定会点击同意。