据统计，截至2022年10月，Chrome在2022年已经被记录了303个漏洞，甚至有部分漏洞是在10月刚刚出现并被记录的，以近乎于“碾压”的数量成为漏洞最多的浏览器。排名第二名的是Firefox，117个漏洞；位列第三的是Edge浏览器，103个漏洞。
2022年，主流浏览器安全漏洞让全球用户堪忧。

Web2.0时代，浏览器是了解世界的窗口。不管是办公还是日常生活中，我们都通过浏览器来搜索资料，浏览内容以及收发邮件。浏览器给我们带来方便的同时，也带来一些安全隐患：

1、浏览器劫持：浏览器被恶意篡改，引导用户访问“山寨网站”，并窃取用户信息，诈骗用户财物。

2、浏览器漏洞：如果没有及时修复补丁，或修复漏洞，不法分子可能会趁机进行网络攻击。

3、网络钓鱼：通过电子邮件、微信或浏览器劫持、DNS欺骗等方式诱导用户访问山寨网站，并通过后台截获用户输入的个人信息（支付账号、密码等）。

4、网页木马：如果恶意代码被激活后，后台会自动将木马植入用户端，从而控制用户计算机，这样子用户的账号、密码、口令等可能会被连接窃取。

5、自动记录功能：使用浏览器访问网站页面这个过程，系统默认开启历史浏览记录，很多信息会被浏览器自动记录下来。例如访问的关键词记录、地址栏记录、缓存文件、Cookies、历史访问记录等。

6、限制插件安装：浏览器过去有很多的插件，如果不需要了，可以删除过时的插件，养成不使用插件时删除插件的习惯。

后App时代，人机交互软件载体拓展至智能设备

谷歌的执行董事长埃里克·施密特曾预言：互联网即将消失，一个高度个性化、互动化的有趣世界——物联网即将诞生。2022年4月的统计数据，连接到互联网上的用户有50亿人（占全球人口63%），连接到互联网上的设备有130亿个；预期至2030年连接上网的设备将达到294亿个。

智能手机的发展高峰期已经过去了。跟PC台式机、手提电脑、平板一样，任何电子设备都有没落的一天，可以说，只要人机交互技术还不够人性化，它就有被替换的刚需。

什么算是人性化呢？就是让人类与机器的交互能够回归“眼耳鼻舌身意”的本能。通过键盘、鼠标和机器打交道就不是人类最自然的、最符合感官本能的方式，这几十年不断优化、突破的人机交互方式，包括了通过触控屏以手指触碰交互、通过智能音箱以语音交互、通过VR眼镜和传感器进行仿真的体感交互、乃至通过脑机接口以脑电波交互... 承载人机交互的软件载体也在不断变化 - PC软件、网站、App... 下一个技术形态会是什么呢？会不会是“类小程序”的形态？

安全运行沙箱类技术的崛起

虚拟世界的“恶意”代码，也只能用虚拟的“牢笼”去“关住”它。安全沙箱（Security Sandbox），就是这么一种数字牢笼，它的形态和技术实现方式有很多种，本质上它是一种安全隔离机制，通过构建一个封闭的软件环境，隔离了它所在的“宿主”的资源包括内存、文件系统、网络等等的访问权限。运行在这个封闭环境中的进程，其代码不受信任，进程不能因为其自身的稳定性导致沙箱的崩溃从而影响宿主系统，进程也无法突破沙箱的安全管控以读写宿主系统的资源。

沙箱类技术以各种形态出现：在BSD等操作系统里就提供直接叫做“Jail”的虚拟化隔离；在JVM里为了支持Java Applet这里网络加载的代码的运行，实现了sandbox机制；浏览器里的HTML渲染引擎，一定程度上也可以视为一种在用户态的基于安全能力模型（Capability-based）的沙箱技术。

FinClip：前端安全沙箱技术

FinClip是一种新型的轻应用技术，在FinClip安全沙箱中运行的轻应用，选择了兼容互联网主流的小程序规范。这是一个非常明智的设计，FinClip的开发团队没有重新发明自己的技术规格，而是全力支持小程序这种形态的轻应用，一方面是因为小程序类技术的体验和效果在互联网上得到充分验证、获得巨大成功，另一方面是网上积累了丰富的技术生态、开发框架、以及更重要的 - 人才资源，从而让企业IT几乎是无缝掌握这个技术，能迅速投入应用。

FinClip的嵌入式安全沙箱，又被称之为小程序容器，它的本质其实是建立在Security Capability model基础上的浏览器内核的扩展，其沙箱的特点，体现在三个方面：

1、沙箱内小程序之间的隔离
2、沙箱对运行其中的小程序代码，隔离其对宿主环境的资源访问。以一家银行与它的合作生态为例，银行在自己的App上引入了衣食住行各类消费场景的小程序，这些小程序均非本行开发，也不能访问到当前宿主App的任何数据资源
3、沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。以一家银行与一家券商的合作为例，券商把自己的业务小程序投放到银行的App中，银行App作为宿主，并不能访问沙箱内部该小程序的运行数据（当然，这是需要有一定的行业规范、监管政策去约束，但技术上首先是完全可能）

换句话说，FinClip试图构建一个Zero Trust（“零信任”）环境，不管小程序的“供应商”是谁，它们的代码都被隔离、同时也被保护在沙箱环境中。

FinClip安全沙箱还配备了云端的管控后台，让任何小程序可以被关联到指定的App宿主所嵌的沙箱实例中，从而能且仅能运行在某一款App或者某一个终端上。像互联网小程序一样，FinClip的小程序也可以被实时上下架，对于金融机构来说，起到“实时风控”的效果，因为上下架的管理工具和权限，都由企业私有化运行、自行负责。任何有潜在安全风险的前端代码，一经发现即可瞬间下架，用户端再也无法打开使用。

这些安全管控的能力，可以说是企业尤其是金融机构数字化转型所必须。对于企业而言，内部IT、外部合作伙伴，均可以作为“供应商”以小程序方式实现、提供数字化场景，从而形成数字生态。

写在最后

智能终端的浏览器安全，小程序容器技术提供了新的安全保护视角：一方面，桌面应用需要充分利用市场上的各个成熟业务生态，快速引入生态的能力便成为了企业在数字化时代的“必需品”。小程序容器技术可以让企业快速获得生态引入的能力，以生态小程序应用夯实自身的业务护城河。

另一方面，小程序容器技术天然的前端安全隔离特性，在安全技术架构中起到前端代码隔离的作用，配合小程序应用的管理后台上下架，企业可以对潜在安全风险的应用进行实时监控及上下架管理，起到事前-中-后的实时风控效果。

小程序技术能提升桌面应用安全等级？相关推荐

独家！支付宝小程序技术架构全解析
在轻应用混战的当下,小程序已经成为巨头们角逐的焦点,阿里自然也不甘落后.据阿里官方的数据,截止到今年1月28日为止,支付宝小程序应用数已经达到12万,总用户数突破5亿,日活跃用户数突破2.3亿,用户通 ...
独家！支付宝首次披露其小程序技术架构
独家!支付宝首次披露其小程序技术架构在轻应用混战的当下,小程序已经成为巨头们角逐的焦点,阿里自然也不甘落后.据阿里官方的数据,截止到今年 1 月 28 日为止,支付宝小程序应用数已经达到 12 万, ...
支付宝小程序技术架构全解析
在轻应用混战的当下,小程序已经成为巨头们角逐的焦点,阿里自然也不甘落后.据阿里官方的数据,截止到今年 1 月 28 日为止,支付宝小程序应用数已经达到 12 万,总用户数突破 5 亿,日活跃用户数突破 ...
mPaaS小程序技术架构深度解析
⚅ 点击观看<mPaaS 小程序新品发布会>回放 > > 随着小程序技术的愈发成熟,不同平台的优势和典型使用场景各有侧重,同时越来越多的开发者可以结合自身的业务特色,通过小程序 ...
互联网进入存量博弈时代，小程序技术创造移动应用新机遇
你的App里多久没有出现过一款新应用了? 距离上一个现象级的应用抖音出现已经过去了6年,那些曾经频繁上新移动应用的互联网大厂们,如今都按下了按停键.App市场万马齐喑,巨头创新不断,应用市场中小团队异 ...
小程序技术能否成为移动应用市场新机遇？
你的App里多久没有出现过一款新应用了? 距离上一个现象级的应用抖音出现已经过去了6年,那些曾经频繁上新移动应用的互联网大厂们,如今都按下了按停键.App市场万马齐喑,巨头创新不断,应用市场中小团队异 ...
小程序技术始于微信？来看看移动端小程序技术的前世今生！
本文由DCloud 公司创始人王安原创发布于CSDN,原题<小程序技术演进史>,即时通讯网收录时有改动,感谢原作者. 1.引言微信的成功,并非特定于某个具体的功能,微信的成功实际上是一大 ...
凡泰小程序技术—可持续的数字化转型
"区块链第一股"壹账通,实际做的是金融数字化平安"嫡子"金融壹帐通赴美上市,众多自媒体打着"区块链第一股"的旗号,兴致勃勃的想要在区块链这 ...
开放银行发展趋势：小程序技术为银行带来了哪些机遇？
开放银行发展的趋势日益明显,而小程序技术作为其重要驱动力之一,为银行带来了巨大的发展机遇.通过小程序技术,银行可以实现个性化服务.提升用户体验.拓展第三方合作,进而推动开放银行的发展和创新. 随着科技 ...
小程序技术助力开放银行建设
开放银行的概念在全球范围内获得了广泛认可,并且正在逐步推进.然而,开放银行的发展状况在不同国家和地区可能存在差异.开放银行(Open Banking)是一种金融服务模式,通过开放数据和应用程序接口(A ...

小程序技术能提升桌面应用安全等级？

后App时代，人机交互软件载体拓展至智能设备

安全运行沙箱类技术的崛起

FinClip：前端安全沙箱技术

写在最后

小程序技术能提升桌面应用安全等级？相关推荐

最新文章

热门文章