自2019年11月1日起,安卓系統(tǒng)要求所有APP都必須默認(rèn)阻止所有域名的HTTP流量,包括程序更新和所有Google Play上的新應(yīng)用程序,確保通過TLS協(xié)議保護(hù)進(jìn)入或離開Android設(shè)備的所有網(wǎng)絡(luò)流量。這將適用于所有面向Android 9.0的應(yīng)用程序,任何需要HTTP連接的內(nèi)容必須提交特殊聲明。
Android 9.0默認(rèn)阻止HTTP流量
Android 9.0將通過網(wǎng)絡(luò)安全配置(Network Security Configuration)中的默認(rèn)設(shè)置阻止APP中HTTP流量。網(wǎng)絡(luò)安全配置(Network Security Configuration)是安卓N版本開始引入的一種安全功能,可以允許安卓開發(fā)者們在無需修改App代碼的情況下自定義網(wǎng)絡(luò)安全設(shè)置,可以允許或禁止特定域名或整個APP的HTTP流量。當(dāng)APP包含不安全的NSC配置時(比如允許所有域名存在未加密連接,或在調(diào)試模式之外接受用戶提供的證書),最新版本的Android Studio和Google Play會在發(fā)布前的報告中警告開發(fā)人員,確保開發(fā)人員了解其安全配置,鼓勵整個安卓生態(tài)系統(tǒng)采用HTTPS加密。
蘋果iOS ATS強(qiáng)制HTTPS加密
蘋果iOS和macOS上也有類似功能,稱為App Transport Security(ATS)。啟用ATS后,它會屏蔽明文HTTP資源加載,強(qiáng)制App通過HTTPS連接網(wǎng)絡(luò)服務(wù),通過傳輸加密保障用戶數(shù)據(jù)安全。雖然蘋果延長了最后期限,給開發(fā)者更多時間做好準(zhǔn)備,但在移動APP中使用HTTPS加密連接是必然趨勢。
盡快為APP升級HTTPS
天威誠信提醒您不僅比較“敏感”的網(wǎng)頁需要進(jìn)行加密,一些其他類型的頁面(如博客或靜態(tài)主頁)同樣需要重點(diǎn)保護(hù)。HTTPS不僅僅保護(hù)發(fā)送給訪問者的數(shù)據(jù),它關(guān)系到整個連接的安全。HTTPS提供身份驗(yàn)證、防止DNS欺騙和內(nèi)容注入,防止連接被用于跟蹤、竊取或注入數(shù)據(jù),損害終端設(shè)備。“所有流量都應(yīng)該加密,無論內(nèi)容如何,因?yàn)槿魏挝醇用艿倪B接都可以用來注入內(nèi)容,增加潛在易受攻擊客戶端代碼的攻擊面或追蹤用戶。”
用戶通過瀏覽器訪問網(wǎng)站時,使用HTTPS的網(wǎng)頁會顯示醒目的安全鎖標(biāo)識,讓用戶知道正在訪問的網(wǎng)頁連接安全。但是在移動應(yīng)用上,網(wǎng)絡(luò)連接的安全性就沒有那么透明了,用戶很難知道APP連接網(wǎng)絡(luò)時使用的是HTTP還是HTTPS。
因此,移動APP上實(shí)現(xiàn)“全站HTTPS加密”變得尤為重要,整個APP流量都通過HTTPS加密連接,防止HTTP頁面跳轉(zhuǎn)或重定向到HTTPS頁面的過程中被劫持或篡改。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!