檢測結(jié)果顯示,微信小程序使用安全風(fēng)險較為突出,平均一個小程序存在8項安全風(fēng)險,超過90%的小程序在泄露程序源代碼和輸入信息時沒有采取安全防護(hù)措施,超過80%的小程序為用戶提供個人信息搜集建議,個人信息在本地存儲和網(wǎng)絡(luò)信息傳輸中沒有做加密的小程序超過60%,少量小程序在使用中存在越權(quán)問題。總體而言,小程序的安全現(xiàn)狀令人堪憂。
小程序使用SSL證書
為保護(hù)用戶的信息數(shù)據(jù)安全,小程序在上線之初就被強(qiáng)制要求必須使用HTTPS加密協(xié)議,通過HTTPS來請求網(wǎng)絡(luò)通信服務(wù),不滿足條件的域名和協(xié)議則是無法請求。為了保護(hù)小程序應(yīng)用安全,微信小程序也有諸多的限制,如官方的需求文檔要求,每個微信小程序必須事先設(shè)置一個通訊域名,并通過HTTPS請求進(jìn)行網(wǎng)絡(luò)通信,不滿足條件的域名和協(xié)議無法請求。因此開發(fā)者應(yīng)先準(zhǔn)備好域名需要配置的HTTPS證書,如果要實現(xiàn)服務(wù)器端HTTPS請求,那么就要在服務(wù)器端配置SSL證書來實現(xiàn)。
SSL證書在小程序使用中扮演的角色
SSL證書在小程序開發(fā)中并不會直接使用,而是安裝在服務(wù)器上,啟動HTTPS協(xié)議之后,就能有效保護(hù)小程序的使用安全。小程序通常使用的html5技術(shù)開發(fā),具有兼容性強(qiáng)的特點,支持在線使用,不需要安裝,用完就可以關(guān)閉。互聯(lián)網(wǎng)常見的傳輸協(xié)議是HTTP明文傳輸協(xié)議,沒有加密的防范措施,所有數(shù)據(jù)都是暴露在危險中。HTTP協(xié)議對小程序不能起到任何保護(hù)作用,不能給小程序進(jìn)行校驗,更不能給服務(wù)器提供安全傳輸,小程序的使用存在極大的安全隱患。
微信小程序因微信的龐大用戶群,擁有大量用戶,曾經(jīng)不被業(yè)界看好的輕應(yīng)用模式,現(xiàn)在已經(jīng)成為互聯(lián)網(wǎng)企業(yè)不可忽視的獲取流量的平臺。微信小程序上線之初就被要求使用HTTPS協(xié)議加密,對于想通過小程序獲取流量的使用者來說,為小程序配置HTTPS協(xié)議是各行業(yè)繞不開的技術(shù)門檻。JoySSL分析,小程序的應(yīng)用帶動了HTTPS協(xié)議的發(fā)展和普及,隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,HTTPS協(xié)議將會在更多的場景中使用,SSL證書也將助力企業(yè)在信息安全的道路上不斷前行。
本文地址:http://m.murenxiang.com.cn//article/2021/1001/29019.html