浏览器安全防范,小程序类技术或许是更优的解决方式
2022年4月的统计数据,连接到互联网上的用户有50亿人(占全球人口63%),连接到互联网上的设备有130亿个;预期至2030年连接上网的设备将达到294亿个。
互联网即将消失,一个高度个性化、互动化的有趣世界——物联网正在壮大。
智能手机的发展高峰期已经过去了。取而代之的是更加人性化的人与多智能设备的交互形式。例如:通过触控屏以手指触碰交互、通过智能音箱以语音交互、通过VR眼镜和传感器进行仿真的体感交互、乃至通过脑机接口以脑电波交互... 承载人机交互的软件载体也在不断变化 - PC软件、网站、App... 但不管智能设备如何的变化,应用生态最为丰富的,最成熟的当属于HTML5和近几年被微信小程序技术生态“捧红”的小程序应用生态。
在智能设备中无论引入HTML5还是小程序应用,载体都是我们最熟悉的浏览器。
浏览器安全漏洞危机
向Web 3.0进步的互联网,越来越趋向于去中心化,并倡导网络身份和信任鉴权。与此同时,与我们工作和生活息息相关的软件应用载体--浏览器安全漏洞让全球用户堪忧。
据统计,截至2022年10月,Chrome在2022年已经被记录了303个漏洞,甚至有部分漏洞是在10月刚刚出现并被记录的,以近乎于“碾压”的数量成为漏洞最多的浏览器。排名第二名的是Firefox,117个漏洞;位列第三的是Edge浏览器,103个漏洞。
下面再列举一些常见的浏览器安全隐患:
1、浏览器劫持:浏览器被恶意篡改,引导用户访问“山寨网站”,并窃取用户信息,诈骗用户财物。
2、浏览器漏洞:如果没有及时修复补丁,或修复漏洞,不法分子可能会趁机进行网络攻击。
3、网络钓鱼:通过电子邮件、微信或浏览器劫持、DNS欺骗等方式诱导用户访问山寨网站,并通过后台截获用户输入的个人信息(支付账号、密码等)。
4、网页木马:如果恶意代码被激活后,后台会自动将木马植入用户端,从而控制用户计算机,这样子用户的账号、密码、口令等可能会被连接窃取。
5、自动记录功能:使用浏览器访问网站页面这个过程,系统默认开启历史浏览记录,很多信息会被浏览器自动记录下来。例如访问的关键词记录、地址栏记录、缓存文件、Cookies、历史访问记录等。
6、限制插件安装:浏览器过去有很多的插件,如果不需要了,可以删除过时的插件,养成不使用插件时删除插件的习惯。
安全运行沙箱类技术的崛起
虚拟世界的“恶意”代码,也只能用虚拟的“牢笼”去“关住”它。安全沙箱(Security Sandbox),就是这么一种数字牢笼,它的形态和技术实现方式有很多种,本质上它是一种安全隔离机制,通过构建一个封闭的软件环境,隔离了它所在的“宿主”的资源包括内存、文件系统、网络等等的访问权限。运行在这个封闭环境中的进程,其代码不受信任,进程不能因为其自身的稳定性导致沙箱的崩溃从而影响宿主系统,进程也无法突破沙箱的安全管控以读写宿主系统的资源。
FinClip是一种新型的轻应用技术,在FinClip安全沙箱中运行的轻应用,选择了兼容互联网主流的小程序规范。这是一个非常明智的设计,FinClip的开发团队没有重新发明自己的技术规格,而是全力支持小程序这种形态的轻应用,一方面是因为小程序类技术的体验和效果在互联网上得到充分验证、获得巨大成功,另一方面是网上积累了丰富的技术生态、开发框架、以及更重要的 - 人才资源,从而让企业IT几乎是无缝掌握这个技术,能迅速投入应用。
FinClip的嵌入式安全沙箱,特点体现在三个方面:
1、沙箱内小程序之间的隔离
2、沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。以一家银行与它的合作生态为例,银行在自己的App上引入了衣食住行各类消费场景的小程序,这些小程序均非本行开发,也不能访问到当前宿主App的任何数据资源
3、沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。以一家银行与一家券商的合作为例,券商把自己的业务小程序投放到银行的App中,银行App作为宿主,并不能访问沙箱内部该小程序的运行数据(当然,这是需要有一定的行业规范、监管政策去约束,但技术上首先是完全可能)
FinClip安全沙箱还配备了云端的管控后台,让任何小程序可以被关联到指定的App宿主所嵌的沙箱实例中,从而能且仅能运行在某一款App或者某一个终端上。像互联网小程序一样,FinClip的小程序也可以被实时上下架,对于金融机构来说,起到“实时风控”的效果,因为上下架的管理工具和权限,都由企业私有化运行、自行负责。任何有潜在安全风险的前端代码,一经发现即可瞬间下架,用户端再也无法打开使用。
FinClip试图构建一个Zero Trust(“零信任”)环境,不管小程序的“供应商”是谁,它们的代码都被隔离、同时也被保护在沙箱环境中。
相信不久的将来,我们会看到小程序的生态基于浏览器这个普适性载体运行在各式各样的智能终端上,在提升人际交互体验的同时,浏览器的安全也得到的端侧加固。
浏览器安全防范,小程序类技术或许是更优的解决方式相关推荐
- 小程序容器技术的绝妙之处
提到小程序,我们并不陌生.它是一种不需要下载安装即可使用的应用,应用将无处不在,随时可用,"用完即走"无需安装卸载.那么,你又是否了解小程序容器技术呢?它又有什么绝妙之处呢?你可能 ...
- 微信小程序开发技术预研分析报告
预研背景 本次预研是对微信小程序使用流程及开发技术的研究. 预研目的和意义 本次预研在于了解小程序具体语法.接口功能.具体实现方式等. 预研目标 通过微信小程序的技术研究可实现自主完成小程序的功能开发 ...
- FinClip黑板报:3分钟了解Vue开发小程序的技术原理
Vue. React 和 Angular 是当前应用最广的三大前端框架,仅从 GitHub 趋势来看,Vue 更是排在了第一位,目前已经达到了 17 万的 Star. 目前,不管是 BAT 大厂,还是 ...
- 3分钟了解Vue开发小程序的技术原理
Vue. React 和 Angular 是当前应用最广的三大前端框架,仅从 GitHub 趋势来看,Vue 更是排在了第一位,目前已经达到了 17 万的 Star. 目前,不管是 BAT 大厂,还是 ...
- 浅入了解Vue开发小程序的技术原理
Vue. React 和 Angular 是当前应用最广的三大前端框架,仅从 GitHub 趋势来看,Vue 更是排在了第一位,目前已经达到了 17 万的 Star. 目前,不管是 BAT 大厂,还是 ...
- 微信小程序存在的风险_微信小程序开发技术风险存在,如何规避是重点
微信小程序开发技术风险存在,如何规避是重点 微信小程序自上线以来已经历经三年的时间,不断推陈出新,推展业务,如今已形成了一定规模和影响力,线上购物.在线点餐.预订服务.便捷出行.小游戏等多种多样的小程 ...
- 钉钉小程序快照技术初窥
作者:孙然(煮虾) 对于小程序技术来说,容器加载和前端异步渲染的过程中固然不可避免的会有白屏或 loading 页的展示,短则一瞬间,长则需要数秒才能展示首屏.如果白屏时间长,将非常影响用户的体验.根 ...
- Mac应用打开小程序的技术解决方案
小程序逐渐打通所有应用场景,打破移动端和PC端的边界,解决了频繁在桌面设备和移动设备间跳转带来的「割裂感」,使用户在办公.学习.娱乐时带来极大便利.在未来,小程序将成为万物互联的连接器,打破物理边界. ...
- App/H5/小程序测试技术
本节大纲 ØApp测试概述与流程 ØApp测试策略详解 ØH5测试与小程序测试概述 ØH5测试与小程序测试技术详解 01 App测试概述与流程 定义 1.手机测试 Ø 手机测试是一个很大的题目,涉及到 ...
- 将小程序容器技术应用到物联网IoT生态建设中
智能汽车.智能社区.智能穿戴设备等技术的不断成熟及应用,与其紧密结合的物联网(IoT)正日益成为个人和企业工作生活中的重要组成部分,它为企业和个人带来了操作流程的改进和更好的生活体验,再加上人工智能( ...
最新文章
- centos7下搭建git和gitlab版本库
- Github上 Star 数相加超过 7w+ 的三个面试相关的仓库推荐
- 2018.12.15 bzoj3676: [Apio2014]回文串(后缀自动机)
- VC++实现Turbo码
- 标记寄存器---汇编学习笔记
- AutoML大提速,谷歌开源自动化寻找最优ML模型新平台Model Search
- 答疑:有关一例EXT3文件系统故障
- php 业务管理,PHPOA集团版协同套件:整合集团业务的管理平台
- Html和Css学习笔记-html进阶-html5属性
- 2017-3-01 test
- Typora下载及使用
- Fedora14 root用户登陆
- 电视android降低版本,电视猫旧版本下载-电视猫视频去升级版3.1.3 安卓版下载_飞翔下载...
- java计算器取余_java计算器代码,只有加减乘除和取余运算的??
- 游戏制作之路(48)地形纹理工具
- React使用iconfont阿里巴巴矢量图库
- 栈溢出 __stack_chk_fail
- How to cover an IE windowed control (Select Box, ActiveX Object, etc.) with a DHTML layer.
- WIN7 连接不上打印机 0x00000002
- 【我参加NVIDIA Sky Hackathon】ASR篇