Web APP技術(shù)發(fā)展趨勢(shì)及安全分析

◆王艷芳

?

Web APP技術(shù)發(fā)展趨勢(shì)及安全分析

◆王艷芳

(國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心浙江分中心 浙江 310060)

隨著微信小程序的重磅發(fā)布，無需下載即可使用的網(wǎng)頁(yè)應(yīng)用（Web APP）被認(rèn)為有可能成就下一個(gè)移動(dòng)領(lǐng)域的大生態(tài)。本文結(jié)合Web APP技術(shù)特點(diǎn)對(duì)其發(fā)展趨勢(shì)進(jìn)行了預(yù)測(cè)研判，并對(duì)存在的安全隱患和風(fēng)險(xiǎn)進(jìn)行了分析，提出了安全對(duì)策和建議。

Web APP；發(fā)展趨勢(shì)；安全風(fēng)險(xiǎn)

0 引言

2016年1月11日，騰訊宣布正在開發(fā)“應(yīng)用號(hào)”，歷時(shí)一年，2017年1月9日，微信小程序正式對(duì)外開放公測(cè)。微信坐擁8億活躍用戶，這一重大舉措毫無懸念地在移動(dòng)互聯(lián)網(wǎng)行業(yè)引起軒然大波。無需下載即可使用的網(wǎng)頁(yè)應(yīng)用（Web APP）成為大家關(guān)注的焦點(diǎn)，Web APP被認(rèn)為有可能成就下一個(gè)移動(dòng)領(lǐng)域的大生態(tài)。

1 Web APP的發(fā)展現(xiàn)狀

“小程序”并不是全新的面孔，早些年百度的“輕應(yīng)用”也是類似的Web APP形式，更多見的就是各種移動(dòng)瀏覽器上的Html5應(yīng)用。手機(jī)瀏覽器廠商希望推廣Web APP，將其作為瀏覽器上的一個(gè)應(yīng)用分發(fā)市場(chǎng)運(yùn)營(yíng)，用戶只需使用一個(gè)瀏覽器應(yīng)用就可以使用各種功能。由于當(dāng)時(shí)沒有與之相匹配的高速網(wǎng)絡(luò)及硬件支持，Web APP概念過于超前，可以說是“生不逢時(shí)”。

各大互聯(lián)網(wǎng)巨頭在大的趨勢(shì)上的隱形較量從未停止過。國(guó)內(nèi)，緊隨微信小程序，支付寶小程序內(nèi)測(cè)頁(yè)面曝光，阿里將建立一個(gè)自有開放平臺(tái)給第三方創(chuàng)建應(yīng)用，并將解決流量分發(fā)的問題；百度在HTML的Web APP技術(shù)上同樣試水多年，因?yàn)榘俣茸钇诖齏eb理念在移動(dòng)互聯(lián)網(wǎng)時(shí)代重生，這樣，搜索的一套體系就會(huì)有更大的用武之地。而在國(guó)外，谷歌一直在低調(diào)布局PWA的移動(dòng)互聯(lián)網(wǎng)Web標(biāo)準(zhǔn)，1月24日，Google宣布Android Instant Apps正式上線，并對(duì)一部分用戶開放測(cè)試，2月，處于測(cè)試狀態(tài)的Chrome57（手機(jī)版）中，谷歌正在測(cè)試增強(qiáng)型網(wǎng)頁(yè)應(yīng)用（Progressive Web Apps，簡(jiǎn)稱PWAs），使之與本地應(yīng)用“平起平坐”，出現(xiàn)在安卓應(yīng)用列表中；此外還有曾在移動(dòng)web的用戶體驗(yàn)和設(shè)備兼容性上投入很大，卻中途投誠(chéng)APP的Facebook。

Web APP之所以受關(guān)注，谷歌、Facebook、百度等巨頭不斷在web的路上去試錯(cuò)，正是因?yàn)閷?duì)原生APP（Native APP）所帶來的弊端有目共睹，雖然APP時(shí)代造就了蘋果的應(yīng)用商店帝國(guó)和成熟的平臺(tái)生態(tài)，也培育出了一大批的助手類應(yīng)用分發(fā)平臺(tái)，然而，開發(fā)門檻高，推廣難度大，大量的長(zhǎng)尾應(yīng)用，信息孤島現(xiàn)象日益凸顯。這些現(xiàn)象的出現(xiàn)，既不利于市場(chǎng)未來的發(fā)展，又與互聯(lián)網(wǎng)的開放、自由、低阻尼的鏈路式理念背道而馳。

Web APP最廣泛使用的開發(fā)工具包括HTML，CSS，JavaScript，HTML的語(yǔ)義化表達(dá)是搜索的基石之一，使得Web APP易于被索引和發(fā)現(xiàn)。Web協(xié)議棧讓全世界的網(wǎng)頁(yè)成為即時(shí)更新并通過URL相互聯(lián)系的網(wǎng)絡(luò)，使得Web APP具有天然的開放的優(yōu)勢(shì)。然而Web APP也存在著后臺(tái)運(yùn)行能力缺失、訪問頁(yè)面孤立等問題，由于框架和控件的調(diào)用功能受限，影響UI設(shè)計(jì)和使用體驗(yàn)。

2 發(fā)展趨勢(shì)分析

微信小程序開放公測(cè)的消息公布后，在網(wǎng)上引起了激烈的討論。有人認(rèn)為它會(huì)顛覆現(xiàn)有應(yīng)用市場(chǎng)的格局，有人認(rèn)為APP將從此消亡，也有人認(rèn)為這是互聯(lián)網(wǎng)的一個(gè)新風(fēng)口。

從開發(fā)角度看，國(guó)內(nèi)外大型互聯(lián)網(wǎng)企業(yè)推出的開源跨平臺(tái)移動(dòng)開放項(xiàng)目，可有效降低應(yīng)用的開發(fā)和推廣成本，給互聯(lián)網(wǎng)創(chuàng)業(yè)者帶來了新的機(jī)會(huì)。例如微信已經(jīng)對(duì)開發(fā)者提供了完整的設(shè)計(jì)指南，并提供一套可供 Web 設(shè)計(jì)和小程序使用的 Sketch 和 PS 基礎(chǔ)控件庫(kù)和開發(fā)者調(diào)用資源庫(kù)，但同時(shí)也對(duì)小程序的開發(fā)框架、樣式和傳播方式作了諸多限制。因此，小程序和APP之間不是非此即彼的二選一關(guān)系。對(duì)于絕大多數(shù)企業(yè)來說，必然是兩者都需要兼顧的，而資源相對(duì)匱乏的初創(chuàng)企業(yè)更適合從低成本微信小程序切入和試錯(cuò)。

從分發(fā)角度看，iOS和Android在移動(dòng)市場(chǎng)占據(jù)絕對(duì)地位，這兩款操作系統(tǒng)把持著最大的兩個(gè)原生APP分發(fā)渠道，App Store和Google Play。Web APP和Native APP的根本矛盾，實(shí)際上還是移動(dòng)互聯(lián)網(wǎng)底層入口的爭(zhēng)奪。目前來看，微信和阿里推出小程序均表態(tài)不會(huì)做標(biāo)準(zhǔn)的應(yīng)用市場(chǎng)。短期內(nèi)Web APP不會(huì)替代NativeAPP，可以看作應(yīng)用生態(tài)的一個(gè)補(bǔ)充。

從市場(chǎng)反應(yīng)來看，據(jù)《艾媒咨詢：2017年中國(guó)網(wǎng)民針對(duì)微信小程序使用與開發(fā)狀況調(diào)查報(bào)告》顯示，超過七成微信小程序用戶添加小程序個(gè)數(shù)在10個(gè)以內(nèi)，64.7%的微信小程序用戶在體驗(yàn)小程序后，選擇回歸到原有的手機(jī)APP中，繼續(xù)支持小程序的用戶占比僅為11.5%。分析師認(rèn)為，相比于手機(jī)APP，微信小程序作為一款輕應(yīng)用，雖然可以明顯節(jié)省手機(jī)內(nèi)存空間，但是由于其內(nèi)容屬性注重集約化、非個(gè)性化，導(dǎo)致用戶活躍度和用戶粘性普遍較低。數(shù)據(jù)顯示，微信小程序發(fā)布一個(gè)月后，應(yīng)用開發(fā)者關(guān)注度提升至94.9%，而選擇繼續(xù)開發(fā)小程序的應(yīng)用開發(fā)者僅占9.2%，更有35.2%應(yīng)用開發(fā)者對(duì)小程序感到失望、意在放棄?！靶〕绦颉眰兊碾y度不言而喻。

從互聯(lián)網(wǎng)發(fā)展的規(guī)律來看，未來依然會(huì)是開放的趨勢(shì)，HTML5等技術(shù)的成熟或許會(huì)促使新業(yè)務(wù)模式和新應(yīng)用的涌現(xiàn)，應(yīng)用市場(chǎng)寡頭壟斷的局面或?qū)⒈淮蚱啤?/p>

3 安全風(fēng)險(xiǎn)分析及對(duì)策

3.1安全風(fēng)險(xiǎn)

企業(yè)責(zé)任風(fēng)險(xiǎn)。類似微信小程序提供的開發(fā)平臺(tái)，使得開發(fā)門檻大幅下降，很多初創(chuàng)公司或個(gè)人可能因?yàn)锳PP推廣成本較高等因素轉(zhuǎn)而投向這類平臺(tái)，企業(yè)的熱情必然導(dǎo)致程序數(shù)量的上升，也增加了平臺(tái)的審核壓力。審核既包括程序、代碼方面的審核，也應(yīng)包含資質(zhì)、內(nèi)容等方面的審核。目前來看，此類平臺(tái)相關(guān)責(zé)任界定暫不明晰，存在企業(yè)責(zé)任風(fēng)險(xiǎn)。例如開發(fā)者的程序通過審核，但其后臺(tái)服務(wù)器存在安全隱患并未及時(shí)發(fā)現(xiàn)，也可能引發(fā)網(wǎng)絡(luò)安全事件等嚴(yán)重后果。

數(shù)據(jù)融合風(fēng)險(xiǎn)。以微信小程序?yàn)槔〕绦蚴沟抿v訊能夠獲取用戶衣食住行等更多的信息，而小程序的開發(fā)者也能收集到用戶的微信數(shù)據(jù)，各類數(shù)據(jù)逐漸累積、關(guān)聯(lián)、融合，稍加處理分析便能挖掘其內(nèi)在價(jià)值。目前，我國(guó)尚未有較為明確的法律法規(guī)對(duì)數(shù)據(jù)收集、挖掘和分析予以規(guī)范，如果商家沒有正當(dāng)運(yùn)用這些個(gè)人信息或未經(jīng)授權(quán)就動(dòng)用挖掘，可能導(dǎo)致用戶隱私信息的泄露。

應(yīng)用入口風(fēng)險(xiǎn)。微信和支付寶目前均表示不涉足類似應(yīng)用商店的小程序分發(fā)，一時(shí)間市場(chǎng)上出現(xiàn)了大量微信小程序商店，其中不乏一些個(gè)人創(chuàng)建。有別于常見APP商店，小程序等Web APP沒有實(shí)體文件，只有二維碼入口。這些小程序商店收集小程序的二維碼在網(wǎng)頁(yè)上分類展示，供用戶掃描進(jìn)入主程序。這使得不法分子有可能制作仿冒APP，并繞過微信等平臺(tái)的審核流程發(fā)布到市場(chǎng)。用戶如缺乏辨識(shí)能力，極可能被釣魚受騙。

金融相關(guān)風(fēng)險(xiǎn)。微信小程序推出數(shù)日，證監(jiān)會(huì)即緊急下發(fā)書面通知，要求基金公司暫停有交易功能的小程序，只允許產(chǎn)品頁(yè)面展示功能的存在，其原因主要出于用戶隱私和交易安全的考慮。因微信小程序提供了微信支付相關(guān)API的調(diào)用，這就意味著個(gè)人用戶可以通過微信小程序獲得金錢利潤(rùn)再進(jìn)行提現(xiàn)，這也給洗錢團(tuán)伙提供了一個(gè)新的可乘之機(jī)。

3.2安全對(duì)策

從企業(yè)層面，應(yīng)制定和完善安全責(zé)任界定等相關(guān)文件，從資質(zhì)、程序、內(nèi)容等全方位多角度加強(qiáng)審核與復(fù)查，完善信息安全保障制度，切實(shí)承擔(dān)起網(wǎng)絡(luò)信息安全責(zé)任。

從監(jiān)管部門層面，一方面加強(qiáng)對(duì)開放平臺(tái)的監(jiān)管，督促企業(yè)落實(shí)網(wǎng)絡(luò)信息安全責(zé)任；一方面則應(yīng)規(guī)范小程序商店等分發(fā)平臺(tái)的管理，可參照《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》中的“互聯(lián)網(wǎng)應(yīng)用商店服務(wù)提供者”進(jìn)行管理。

從國(guó)家層面，加快制定和完善相關(guān)立法，加強(qiáng)個(gè)人信息保護(hù)，同時(shí)普及公民宣傳教育，加強(qiáng)個(gè)人防范和保護(hù)意識(shí)，謹(jǐn)防上當(dāng)受騙。

4 結(jié)語(yǔ)

小程序等形式的Web APP的興起，給用戶帶來“無需安裝，用完即走”的便捷的同時(shí)，也不可避免的存在一定的安全風(fēng)險(xiǎn)，有效規(guī)避風(fēng)險(xiǎn)，才能更好地享受開放互聯(lián)網(wǎng)給我們帶來的便利。

[1]巖石.艾媒報(bào)告|2017年中國(guó)網(wǎng)民針對(duì)微信小程序使用與開發(fā)狀況調(diào)查報(bào)告.

[2]中國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展報(bào)告（2016）.移動(dòng)互聯(lián)網(wǎng)藍(lán)皮書，2016.

[3]微信公眾平臺(tái)|小程序.https://mp.weixin.qq.com/ cgi-bin/wx.