自2019年11月1日起,安卓系統要求所有APP都必須默認阻止所有域名的HTTP流量,包括程序更新和所有Google Play上的新應用程式,確保通過TLS協議保護進入或離開Android設備的所有網絡流量。這將適用於所有面向Android 9.0的應用程式,任何需要HTTP連接的內容必須提交特殊聲明。
Android 9.0默認阻止HTTP流量
Android 9.0將通過網絡安全配置(Network Security Configuration)中的默認設置阻止APP中HTTP流量。網絡安全配置(Network Security Configuration)是安卓N版本開始引入的一種安全功能,可以允許安卓開發者們在無需修改App代碼的情況下自定義網絡安全設置,可以允許或禁止特定域名或整個APP的HTTP流量。當APP包含不安全的NSC配置時(比如允許所有域名存在未加密連接,或在調試模式之外接受用戶提供的證書),最新版本的Android Studio和Google Play會在發布前的報告中警告開發人員,確保開發人員了解其安全配置,鼓勵整個安卓生態系統採用HTTPS加密。
蘋果iOS ATS強制HTTPS加密
蘋果iOS和macOS上也有類似功能,稱為App Transport Security(ATS)。啟用ATS後,它會屏蔽明文HTTP資源加載,強制App通過HTTPS連接網絡服務,通過傳輸加密保障用戶數據安全。雖然蘋果延長了最後期限,給開發者更多時間做好準備,但在移動APP中使用HTTPS加密連接是必然趨勢。
儘快為APP升級HTTPS
天威誠信提醒您不僅比較「敏感」的網頁需要進行加密,一些其他類型的頁面(如博客或靜態主頁)同樣需要重點保護。HTTPS不僅僅保護髮送給訪問者的數據,它關係到整個連接的安全。HTTPS提供身份驗證、防止DNS欺騙和內容注入,防止連接被用於跟蹤、竊取或注入數據,損害終端設備。「所有流量都應該加密,無論內容如何,因為任何未加密的連接都可以用來注入內容,增加潛在易受攻擊客戶端代碼的攻擊面或追蹤用戶。」
用戶通過瀏覽器訪問網站時,使用HTTPS的網頁會顯示醒目的安全鎖標識,讓用戶知道正在訪問的網頁連接安全。但是在移動應用上,網絡連接的安全性就沒有那麼透明了,用戶很難知道APP連接網絡時使用的是HTTP還是HTTPS。
因此,移動APP上實現「全站HTTPS加密」變得尤為重要,整個APP流量都通過HTTPS加密連接,防止HTTP頁面跳轉或重定向到HTTPS頁面的過程中被劫持或篡改。