瀏覽器安全防範,小程式類技術或許是更優的解決方式
2022年4月的統計資料,連線到網際網路上的使用者有50億人(佔全球人口63%),連線到網際網路上的裝置有130億個;預期至2030年連線上網的裝置將達到294億個。
網際網路即將消失,一個高度個性化、互動化的有趣世界——物聯網正在壯大。
智慧手機的發展高峰期已經過去了。取而代之的是更加人性化的人與多智慧裝置的互動形式。例如:透過觸控屏以手指觸碰互動、透過智慧音響以語音互動、透過VR眼鏡和感測器進行模擬的體感互動、乃至透過腦機介面以腦電波互動... 承載人機互動的軟體載體也在不斷變化 - PC軟體、網站、App... 但不管智慧裝置如何的變化,應用生態最為豐富的,最成熟的當屬於HTML5和近幾年被微信小程式技術生態“捧紅”的小程式應用生態。
在智慧裝置中無論引入HTML5還是小程式應用,載體都是我們最熟悉的瀏覽器。
瀏覽器安全漏洞危機
向Web 3.0進步的網際網路,越來越趨向於去中心化,並倡導網路身份和信任鑑權。與此同時,與我們工作和生活息息相關的軟體應用載體--瀏覽器安全漏洞讓全球使用者堪憂。
據統計,截至2022年10月,
Chrome在2022年已經被記錄了303個漏洞,甚至有部分漏洞是在10月剛剛出現並被記錄的,以近乎於“碾壓”的數量成為漏洞最多的
瀏覽器。排名第二名的是
Firefox,117個漏洞;位列第三的是Edge瀏覽器,103個漏洞。
下面再列舉一些常見的瀏覽器安全隱患:
1、
瀏覽器劫持:瀏覽器被惡意篡改,引導使用者訪問“山寨網站”,並竊取使用者資訊,詐騙使用者財物。
2、
瀏覽器漏洞:如果沒有及時修復補丁,或修復漏洞,不法分子可能會趁機進行網路攻擊。
3、
網路釣魚:透過電子郵件、微信或瀏覽器劫持、DNS欺騙等方式誘導使用者訪問山寨網站,並透過後臺截獲使用者輸入的個人資訊(支付賬號、密碼等)。
4、
網頁木馬:如果惡意程式碼被啟用後,後臺會自動將木馬植入使用者端,從而控制使用者計算機,這樣子使用者的賬號、密碼、口令等可能會被連線竊取。
5、
自動記錄功能:使用瀏覽器訪問網站頁面這個過程,系統預設開啟歷史瀏覽記錄,很多資訊會被瀏覽器自動記錄下來。例如訪問的關鍵詞記錄、位址列記錄、快取檔案、Cookies、歷史訪問記錄等。
6、
限制外掛安裝:瀏覽器過去有很多的外掛,如果不需要了,可以刪除過時的外掛,養成不使用外掛時刪除外掛的習慣。
安全執行沙箱類技術的崛起
虛擬世界的“惡意”程式碼,也只能用虛擬的“牢籠”去“關住”它。安全沙箱(Security Sandbox),就是這麼一種數字牢籠,它的形態和技術實現方式有很多種,本質上它是一種安全隔離機制,透過構建一個封閉的軟體環境,隔離了它所在的“宿主”的資源包括記憶體、檔案系統、網路等等的訪問許可權。執行在這個封閉環境中的程式,其程式碼不受信任,程式不能因為其自身的穩定性導致沙箱的崩潰從而影響宿主系統,程式也無法突破沙箱的安全管控以讀寫宿主系統的資源。
是一種新型的輕應用技術,在FinClip安全沙箱中執行的輕應用,選擇了相容網際網路主流的小程式規範。這是一個非常明智的設計,FinClip的開發團隊沒有重新發明自己的技術規格,而是全力支援小程式這種形態的輕應用,一方面是因為小程式類技術的體驗和效果在網際網路上得到充分驗證、獲得巨大成功,另一方面是網上積累了豐富的技術生態、開發框架、以及更重要的 - 人才資源,從而讓企業IT幾乎是無縫掌握這個技術,能迅速投入應用。
FinClip的嵌入式安全沙箱,特點體現在三個方面:
1、沙箱內小程式之間的隔離
2、沙箱對執行其中的小程式程式碼,隔離其對宿主環境的資源訪問。以一家銀行與它的合作生態為例,銀行在自己的App上引入了衣食住行各類消費場景的小程式,這些小程式均非本行開發,也不能訪問到當前宿主App的任何資料資源
3、沙箱隔離了宿主對於沙箱中執行的小程式所產生的資料。以一家銀行與一家券商的合作為例,券商把自己的業務小程式投放到銀行的App中,銀行App作為宿主,並不能訪問沙箱內部該小程式的執行資料(當然,這是需要有一定的行業規範、監管政策去約束,但技術上首先是完全可能)
安全沙箱還配備了雲端的管控後臺,讓任何小程式可以被關聯到指定的App宿主所嵌的沙箱例項中,從而能且僅能執行在某一款App或者某一個終端上。像網際網路小程式一樣,FinClip的小程式也可以被實時上下架,對於金融機構來說,起到“實時風控”的效果,因為上下架的管理工具和許可權,都由企業私有化執行、自行負責。任何有潛在安全風險的前端程式碼,一經發現即可瞬間下架,使用者端再也無法開啟使用。
FinClip試圖構建一個Zero Trust(“零信任”)環境,不管小程式的“供應商”是誰,它們的程式碼都被隔離、同時也被保護在沙箱環境中。
相信不久的將來,我們會看到小程式的生態基於瀏覽器這個普適性載體執行在各式各樣的智慧終端上,在提升人際互動體驗的同時,瀏覽器的安全也得到的端側加固。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70023421/viewspace-2920635/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 前端優化:瀏覽器快取技術介紹前端優化瀏覽器快取
- Edge瀏覽器被搜狗瀏覽器篡改的解決方法瀏覽器
- 瀏覽器支援ES6的最優解決方案瀏覽器
- Min瀏覽器: 更快更輕量瀏覽器瀏覽器
- 【容器安全防線】Docker攻擊方式與防範技術探究Docker
- 360瀏覽器總是崩潰是為什麼 360瀏覽器經常崩潰怎麼解決瀏覽器
- 小技巧系列:html或js判斷IE瀏覽器HTMLJS瀏覽器
- 這也許是Android一句話許可權適配的更優解決方案Android
- 新版 Edge 瀏覽器或將擁有兩個不同的瀏覽器核心瀏覽器
- 什麼是網路安全?網路安全防範技術包括哪些?
- 效能更優越的小程式圖片懶載入方式
- 瀏覽器與伺服器通訊技術——jsonp瀏覽器伺服器JSON
- win10瀏覽器沒有註冊類怎麼解決_win10瀏覽器沒有註冊類如何處理Win10瀏覽器
- edge是什麼瀏覽器 microsoft edge是ie瀏覽器嗎瀏覽器ROS
- 雙核心瀏覽器核心切換控制技術瀏覽器
- python用selenium開啟瀏覽器後瀏覽器關閉---解決辦法Python瀏覽器
- 瀏覽器的全屏功能小結瀏覽器
- win10瀏覽器沒反應怎麼辦_win10瀏覽器總是無響應的解決方法Win10瀏覽器
- 圖解瀏覽器的多程式渲染機制圖解瀏覽器
- ie瀏覽器開啟怎麼是360導航 ie每次開啟都是360瀏覽器怎麼解決瀏覽器
- google瀏覽器打不開網頁是怎麼回事 谷歌瀏覽器無法上網怎麼解決Go瀏覽器網頁谷歌
- 常遇到的瀏覽器相容性有哪些?你是怎樣解決的?瀏覽器
- 突破瀏覽器域名併發限制的解決方案瀏覽器
- microsoft edge是ie瀏覽器嗎 edge瀏覽器和ie瀏覽器一樣嗎ROS瀏覽器
- Cube 技術解讀 | Cube 小程式技術詳解
- 手機 via瀏覽器 無法登入 此瀏覽器或應用可能不安全。 瞭解詳情 請嘗試使用其他瀏覽器。如果您使用的是受支援的瀏覽器 可以重新嘗試登入。瀏覽器
- js延遲載入的方式中,只有IE瀏覽器支援的是哪一種方式JS瀏覽器
- 重學瀏覽器(1)-多程式多執行緒的瀏覽器瀏覽器執行緒
- Android App安全防範措施的小結AndroidAPP
- html規範及主要瀏覽器版本的發展HTML瀏覽器
- ubuntu chrome瀏覽器安裝UbuntuChrome瀏覽器
- caj瀏覽器無法在win10上安裝的最佳解決方法瀏覽器Win10
- 什麼是小程式容器?移動應用開發難題或許它能解決
- js 判斷是什麼瀏覽器、是否為谷歌瀏覽器JS瀏覽器谷歌
- 微信如何直接跳轉外部瀏覽器技術揭秘瀏覽器
- 啟動google 瀏覽器允許跨域Go瀏覽器跨域
- 小程式生態是更靈活構建超級App的方式APP
- 安裝FireFox瀏覽器驅動程式geckodriver.exeFirefox瀏覽器