发布时间:2023-4-19 分类: 电商动态
自2019年11月1日起,安卓系统默认要求所有应用拦截所有域名的HTTp流量,包括程序更新和Googleplay上的所有新应用,确保所有进出安卓设备的网络流量都受到TLS协议的保护。这将适用于所有面向Android9.0的应用程序,任何需要HTTp连接的内容都必须提交一个特殊的声明。
默认情况下,Android9.0会阻止HTTp流量
Android9.0将通过网络安全配置中的默认设置阻止应用程序中的HTTp流量。NetworkSecurityConfiguration是Android N版引入的安全功能,可以让Android开发者在不修改App代码的情况下自定义网络安全设置,允许或禁止特定域名或整个App的HTTp流量。当App包含不安全的NSC配置(如允许未加密连接所有域名,或接受调试模式外用户提供的证书)时,最新版本的AndroidStudio和Googleplay会在预发布报告中对开发者进行警告,确保开发者了解自己的安全配置,并鼓励整个安卓生态系统采用HTTpS加密。
苹果iOSATS强制HTTpS加密
苹果iOS和macOS上也有类似的功能,叫做AppTransportSecurity(ATS)。ATS启用后,将阻断明文, HTTP资源的加载,强制App通过HTTpS连接网络服务,通过传输加密保证用户数据的安全。尽管苹果延长了最后期限,并给了开发者更多的准备时间,但在移动应用中使用HTTpS加密连接是一个不可避免的趋势。
尽快升级App的HTTpS
天威程心提醒您,不仅敏感网页需要加密,一些其他类型的网页(如博客或静态主页)也需要保护。HTTpS不仅保护发送给访客的数据,还关系到整个连接的安全性。HTTpS提供身份验证,防止DNS欺骗和内容注入,并防止连接被用来跟踪、窃取或注入数据,从而损坏终端设备。所有流量都应加密,无论内容如何,因为任何未加密的连接都可能被用来注入内容、增加潜在易受攻击的客户端代码的攻击面或跟踪用户
当用户通过浏览器访问网站时,使用HTTpS的网页会显示醒目的安全锁标志,让用户知道被访问网页的连接是安全的。但是在移动应用中,网络连接的安全性并不是那么透明,用户在连接网络时很难知道App使用的是HTTp还是HTTpS。
因此,在手机App上实现“全站HTTpS加密”尤为重要,通过HTTpS加密将整个App流量连接起来,防止在跳转或重定向到HTTpS页面的过程中,HTTp页面被劫持或篡改。
