据统计,截至2022年10月,Chrome在2022年已经被记录了303个漏洞,甚至有部分漏洞是在10月刚刚出现并被记录的,以近乎于“碾压”的数量成为漏洞最多的浏览器。排名第二名的是Firefox,117个漏洞;位列第三的是Edge浏览器,103个漏洞。
2022年,主流浏览器安全漏洞让全球用户堪忧。
Web2.0时代,浏览器是了解世界的窗口。不管是办公还是日常生活中,我们都通过浏览器来搜索资料,浏览内容以及收发邮件。浏览器给我们带来方便的同时,也带来一些安全隐患:
1、浏览器劫持:浏览器被恶意篡改,引导用户访问“山寨网站”,并窃取用户信息,诈骗用户财物。
2、浏览器漏洞:如果没有及时修复补丁,或修复漏洞,不法分子可能会趁机进行网络攻击。
3、网络钓鱼:通过电子邮件、微信或浏览器劫持、DNS欺骗等方式诱导用户访问山寨网站,并通过后台截获用户输入的个人信息(支付账号、密码等)。
4、网页木马:如果恶意代码被激活后,后台会自动将木马植入用户端,从而控制用户计算机,这样子用户的账号、密码、口令等可能会被连接窃取。
5、自动记录功能:使用浏览器访问网站页面这个过程,系统默认开启历史浏览记录,很多信息会被浏览器自动记录下来。例如访问的关键词记录、地址栏记录、缓存文件、Cookies、历史访问记录等。
6、限制插件安装:浏览器过去有很多的插件,如果不需要了,可以删除过时的插件,养成不使用插件时删除插件的习惯。
?
后App时代,人机交互软件载体拓展至智能设备
谷歌的执行董事长埃里克·施密特曾预言:互联网即将消失,一个高度个性化、互动化的有趣世界——物联网即将诞生。2022年4月的统计数据,连接到互联网上的用户有50亿人(占全球人口63%),连接到互联网上的设备有130亿个;预期至2030年连接上网的设备将达到294亿个。
智能手机的发展高峰期已经过去了。跟PC台式机、手提电脑、平板一样,任何电子设备都有没落的一天,可以说,只要人机交互技术还不够人性化,它就有被替换的刚需。
什么算是人性化呢?就是让人类与机器的交互能够回归“眼耳鼻舌身意”的本能。通过键盘、鼠标和机器打交道就不是人类最自然的、最符合感官本能的方式,这几十年不断优化、突破的人机交互方式,包括了通过触控屏以手指触碰交互、通过智能音箱以语音交互、通过VR眼镜和传感器进行仿真的体感交互、乃至通过脑机接口以脑电波交互... 承载人机交互的软件载体也在不断变化 - PC软件、网站、App... 下一个技术形态会是什么呢?会不会是“类小程序”的形态?
安全运行沙箱类技术的崛起
虚拟世界的“恶意”代码,也只能用虚拟的“牢笼”去“关住”它。安全沙箱(Security Sandbox),就是这么一种数字牢笼,它的形态和技术实现方式有很多种,本质上它是一种安全隔离机制,通过构建一个封闭的软件环境,隔离了它所在的“宿主”的资源包括内存、文件系统、网络等等的访问权限。运行在这个封闭环境中的进程,其代码不受信任,进程不能因为其自身的稳定性导致沙箱的崩溃从而影响宿主系统,进程也无法突破沙箱的安全管控以读写宿主系统的资源。
沙箱类技术以各种形态出现:在BSD等操作系统里就提供直接叫做“Jail”的虚拟化隔离;在JVM里为了支持Java Applet这里网络加载的代码的运行,实现了sandbox机制;浏览器里的HTML渲染引擎,一定程度上也可以视为一种在用户态的基于安全能力模型(Capability-based)的沙箱技术。
小程序容器技术,例如FinClip,它的本质其实是建立在Security Capability model基础上的浏览器内核的扩展,其沙箱的特点,体现在三个方面:
1、沙箱内小程序之间的隔离
2、沙箱对运行其中的小程序代码,隔离其对宿主环境的资源访问。以一家银行与它的合作生态为例,银行在自己的App上引入了衣食住行各类消费场景的小程序,这些小程序均非本行开发,也不能访问到当前宿主App的任何数据资源
3、沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。以一家银行与一家券商的合作为例,券商把自己的业务小程序投放到银行的App中,银行App作为宿主,并不能访问沙箱内部该小程序的运行数据(当然,这是需要有一定的行业规范、监管政策去约束,但技术上首先是完全可能)
换句话说,小程序容器试图构建一个Zero Trust(“零信任”)环境,不管小程序的“供应商”是谁,它们的代码都被隔离、同时也被保护在沙箱环境中。
写在最后
智能终端的浏览器安全,小程序容器技术提供了新的安全保护视角:一方面,桌面应用需要充分利用市场上的各个成熟业务生态,快速引入生态的能力便成为了企业在数字化时代的“必需品”。小程序容器技术可以让企业快速获得生态引入的能力,以生态小程序应用夯实自身的业务护城河。另一方面,小程序容器技术天然的前端安全隔离特性,在安全技术架构中起到前端代码隔离的作用,配合小程序应用的管理后台上下架,企业可以对潜在安全风险的应用进行实时监控及上下架管理,起到事前-中-后的实时风控效果。