Web APP技术发展趋势及安全分析

2017-03-09王艳芳

网络安全技术与应用 2017年6期

关键词：开发者商店程序

◆王艳芳

Web APP技术发展趋势及安全分析

◆王艳芳

(国家计算机网络应急技术处理协调中心浙江分中心浙江 310060)

随着微信小程序的重磅发布，无需下载即可使用的网页应用（Web APP）被认为有可能成就下一个移动领域的大生态。本文结合Web APP技术特点对其发展趋势进行了预测研判，并对存在的安全隐患和风险进行了分析，提出了安全对策和建议。

Web APP；发展趋势；安全风险

0 引言

2016年1月11日，腾讯宣布正在开发“应用号”，历时一年，2017年1月9日，微信小程序正式对外开放公测。微信坐拥8亿活跃用户，这一重大举措毫无悬念地在移动互联网行业引起轩然大波。无需下载即可使用的网页应用（Web APP）成为大家关注的焦点，Web APP被认为有可能成就下一个移动领域的大生态。

1 Web APP的发展现状

“小程序”并不是全新的面孔，早些年百度的“轻应用”也是类似的Web APP形式，更多见的就是各种移动浏览器上的Html5应用。手机浏览器厂商希望推广Web APP，将其作为浏览器上的一个应用分发市场运营，用户只需使用一个浏览器应用就可以使用各种功能。由于当时没有与之相匹配的高速网络及硬件支持，Web APP概念过于超前，可以说是“生不逢时”。

各大互联网巨头在大的趋势上的隐形较量从未停止过。国内，紧随微信小程序，支付宝小程序内测页面曝光，阿里将建立一个自有开放平台给第三方创建应用，并将解决流量分发的问题；百度在HTML的Web APP技术上同样试水多年，因为百度最期待Web理念在移动互联网时代重生，这样，搜索的一套体系就会有更大的用武之地。而在国外，谷歌一直在低调布局PWA的移动互联网Web标准，1月24日，Google宣布Android Instant Apps正式上线，并对一部分用户开放测试，2月，处于测试状态的Chrome57（手机版）中，谷歌正在测试增强型网页应用（Progressive Web Apps，简称PWAs），使之与本地应用“平起平坐”，出现在安卓应用列表中；此外还有曾在移动web的用户体验和设备兼容性上投入很大，却中途投诚APP的Facebook。

Web APP之所以受关注，谷歌、Facebook、百度等巨头不断在web的路上去试错，正是因为对原生APP（Native APP）所带来的弊端有目共睹，虽然APP时代造就了苹果的应用商店帝国和成熟的平台生态，也培育出了一大批的助手类应用分发平台，然而，开发门槛高，推广难度大，大量的长尾应用，信息孤岛现象日益凸显。这些现象的出现，既不利于市场未来的发展，又与互联网的开放、自由、低阻尼的链路式理念背道而驰。

Web APP最广泛使用的开发工具包括HTML，CSS，JavaScript，HTML的语义化表达是搜索的基石之一，使得Web APP易于被索引和发现。Web协议栈让全世界的网页成为即时更新并通过URL相互联系的网络，使得Web APP具有天然的开放的优势。然而Web APP也存在着后台运行能力缺失、访问页面孤立等问题，由于框架和控件的调用功能受限，影响UI设计和使用体验。

2 发展趋势分析

微信小程序开放公测的消息公布后，在网上引起了激烈的讨论。有人认为它会颠覆现有应用市场的格局，有人认为APP将从此消亡，也有人认为这是互联网的一个新风口。

从开发角度看，国内外大型互联网企业推出的开源跨平台移动开放项目，可有效降低应用的开发和推广成本，给互联网创业者带来了新的机会。例如微信已经对开发者提供了完整的设计指南，并提供一套可供 Web 设计和小程序使用的 Sketch 和 PS 基础控件库和开发者调用资源库，但同时也对小程序的开发框架、样式和传播方式作了诸多限制。因此，小程序和APP之间不是非此即彼的二选一关系。对于绝大多数企业来说，必然是两者都需要兼顾的，而资源相对匮乏的初创企业更适合从低成本微信小程序切入和试错。

从分发角度看，iOS和Android在移动市场占据绝对地位，这两款操作系统把持着最大的两个原生APP分发渠道，App Store和Google Play。Web APP和Native APP的根本矛盾，实际上还是移动互联网底层入口的争夺。目前来看，微信和阿里推出小程序均表态不会做标准的应用市场。短期内Web APP不会替代NativeAPP，可以看作应用生态的一个补充。

从市场反应来看，据《艾媒咨询：2017年中国网民针对微信小程序使用与开发状况调查报告》显示，超过七成微信小程序用户添加小程序个数在10个以内，64.7%的微信小程序用户在体验小程序后，选择回归到原有的手机APP中，继续支持小程序的用户占比仅为11.5%。分析师认为，相比于手机APP，微信小程序作为一款轻应用，虽然可以明显节省手机内存空间，但是由于其内容属性注重集约化、非个性化，导致用户活跃度和用户粘性普遍较低。数据显示，微信小程序发布一个月后，应用开发者关注度提升至94.9%，而选择继续开发小程序的应用开发者仅占9.2%，更有35.2%应用开发者对小程序感到失望、意在放弃。“小程序”们的难度不言而喻。

从互联网发展的规律来看，未来依然会是开放的趋势，HTML5等技术的成熟或许会促使新业务模式和新应用的涌现，应用市场寡头垄断的局面或将被打破。

3 安全风险分析及对策

3.1安全风险

企业责任风险。类似微信小程序提供的开发平台，使得开发门槛大幅下降，很多初创公司或个人可能因为APP推广成本较高等因素转而投向这类平台，企业的热情必然导致程序数量的上升，也增加了平台的审核压力。审核既包括程序、代码方面的审核，也应包含资质、内容等方面的审核。目前来看，此类平台相关责任界定暂不明晰，存在企业责任风险。例如开发者的程序通过审核，但其后台服务器存在安全隐患并未及时发现，也可能引发网络安全事件等严重后果。

数据融合风险。以微信小程序为例，小程序使得腾讯能够获取用户衣食住行等更多的信息，而小程序的开发者也能收集到用户的微信数据，各类数据逐渐累积、关联、融合，稍加处理分析便能挖掘其内在价值。目前，我国尚未有较为明确的法律法规对数据收集、挖掘和分析予以规范，如果商家没有正当运用这些个人信息或未经授权就动用挖掘，可能导致用户隐私信息的泄露。

应用入口风险。微信和支付宝目前均表示不涉足类似应用商店的小程序分发，一时间市场上出现了大量微信小程序商店，其中不乏一些个人创建。有别于常见APP商店，小程序等Web APP没有实体文件，只有二维码入口。这些小程序商店收集小程序的二维码在网页上分类展示，供用户扫描进入主程序。这使得不法分子有可能制作仿冒APP，并绕过微信等平台的审核流程发布到市场。用户如缺乏辨识能力，极可能被钓鱼受骗。

金融相关风险。微信小程序推出数日，证监会即紧急下发书面通知，要求基金公司暂停有交易功能的小程序，只允许产品页面展示功能的存在，其原因主要出于用户隐私和交易安全的考虑。因微信小程序提供了微信支付相关API的调用，这就意味着个人用户可以通过微信小程序获得金钱利润再进行提现，这也给洗钱团伙提供了一个新的可乘之机。

3.2安全对策

从企业层面，应制定和完善安全责任界定等相关文件，从资质、程序、内容等全方位多角度加强审核与复查，完善信息安全保障制度，切实承担起网络信息安全责任。

从监管部门层面，一方面加强对开放平台的监管，督促企业落实网络信息安全责任；一方面则应规范小程序商店等分发平台的管理，可参照《移动互联网应用程序信息服务管理规定》中的“互联网应用商店服务提供者”进行管理。

从国家层面，加快制定和完善相关立法，加强个人信息保护，同时普及公民宣传教育，加强个人防范和保护意识，谨防上当受骗。