檢測(cè)結(jié)果顯示,微信小程序使用安全風(fēng)險(xiǎn)較為突出,平均一個(gè)小程序存在8項(xiàng)安全風(fēng)險(xiǎn),超過(guò)90%的小程序在泄露程序源代碼和輸入信息時(shí)沒(méi)有采取安全防護(hù)措施,超過(guò)80%的小程序?yàn)橛脩籼峁﹤€(gè)人信息搜集建議,個(gè)人信息在本地存儲(chǔ)和網(wǎng)絡(luò)信息傳輸中沒(méi)有做加密的小程序超過(guò)60%,少量小程序在使用中存在越權(quán)問(wèn)題。總體而言,小程序的安全現(xiàn)狀令人堪憂。
小程序使用SSL證書
為保護(hù)用戶的信息數(shù)據(jù)安全,小程序在上線之初就被強(qiáng)制要求必須使用HTTPS加密協(xié)議,通過(guò)HTTPS來(lái)請(qǐng)求網(wǎng)絡(luò)通信服務(wù),不滿足條件的域名和協(xié)議則是無(wú)法請(qǐng)求。為了保護(hù)小程序應(yīng)用安全,微信小程序也有諸多的限制,如官方的需求文檔要求,每個(gè)微信小程序必須事先設(shè)置一個(gè)通訊域名,并通過(guò)HTTPS請(qǐng)求進(jìn)行網(wǎng)絡(luò)通信,不滿足條件的域名和協(xié)議無(wú)法請(qǐng)求。因此開發(fā)者應(yīng)先準(zhǔn)備好域名需要配置的HTTPS證書,如果要實(shí)現(xiàn)服務(wù)器端HTTPS請(qǐng)求,那么就要在服務(wù)器端配置SSL證書來(lái)實(shí)現(xiàn)。
SSL證書在小程序使用中扮演的角色
SSL證書在小程序開發(fā)中并不會(huì)直接使用,而是安裝在服務(wù)器上,啟動(dòng)HTTPS協(xié)議之后,就能有效保護(hù)小程序的使用安全。小程序通常使用的html5技術(shù)開發(fā),具有兼容性強(qiáng)的特點(diǎn),支持在線使用,不需要安裝,用完就可以關(guān)閉。互聯(lián)網(wǎng)常見的傳輸協(xié)議是HTTP明文傳輸協(xié)議,沒(méi)有加密的防范措施,所有數(shù)據(jù)都是暴露在危險(xiǎn)中。HTTP協(xié)議對(duì)小程序不能起到任何保護(hù)作用,不能給小程序進(jìn)行校驗(yàn),更不能給服務(wù)器提供安全傳輸,小程序的使用存在極大的安全隱患。
微信小程序因微信的龐大用戶群,擁有大量用戶,曾經(jīng)不被業(yè)界看好的輕應(yīng)用模式,現(xiàn)在已經(jīng)成為互聯(lián)網(wǎng)企業(yè)不可忽視的獲取流量的平臺(tái)。微信小程序上線之初就被要求使用HTTPS協(xié)議加密,對(duì)于想通過(guò)小程序獲取流量的使用者來(lái)說(shuō),為小程序配置HTTPS協(xié)議是各行業(yè)繞不開的技術(shù)門檻。JoySSL分析,小程序的應(yīng)用帶動(dòng)了HTTPS協(xié)議的發(fā)展和普及,隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,HTTPS協(xié)議將會(huì)在更多的場(chǎng)景中使用,SSL證書也將助力企業(yè)在信息安全的道路上不斷前行。
本文地址:http://m.knowyourextract.com//article/2021/1001/29019.html