下一版本的安卓系統將在app中默認阻止所有HTTP流量。Android的工程副總裁Dave Burke在博客文章中稱,這是“將所有網絡流量從明文(未加密的HTTP)遷移到TLS的更大努力中的最後一步......你現在需要通過TLS建立連接,除非你明確爲特定域使用明文。“
這將適用於所有面向Android P的應用程序。任何需要HTTP連接的內容必須提交特殊聲明。在網絡安全配置文件中設置。您將可以允許或禁止HTTP流量連接到特定域或整個應用。如果你不能保證所有連接都是HTTPS流量,比方說由用戶提供的URL,則應該通過要求使用HTTPS以保護與自己服務的連接這些域名。Android開發者博客文章中提供了這些配置的示例。
蘋果公司在iOS和macOS上有類似的功能,名爲App Transport Security(ATS)。 自iOS 9.0(2015年9月發佈)以來,該功能默認開啓,並要求應用程序添加自定義配置文件以允許HTTP流量免除。 此外,ATS通過僅允許TLS 1.2和提供前向保密的密碼來執行“強大的”HTTPS連接。
Android安全的高級軟件工程師Chad Brubaker直接闡述了HTTPS的一個普遍的說法:有些網頁是“敏感的”,需要加密,而對於保護其他類型的網頁(如博客或靜態主頁)並不重要。
HTTPS不僅僅是保護髮送給訪問者的數據 - 它還關乎保護整個連接。 如果沒有提供防止DNS欺騙和內容注入的身份驗證的HTTPS,則任何給定的連接都可能被誤用來通過跟蹤它們或竊取或注入數據來損害客戶端設備。
Brubaker寫道:“所有流量都應該加密,無論內容如何,因爲任何未加密的連接都可以用來注入內容,增加潛在易受攻擊的客戶端代碼的攻擊面,或跟蹤用戶。”
Android P計劃於2018年第三季度發佈,目前可用作開發預覽版。
目前騰訊、阿里SSL證書一般要3000元每年,逐浪CMS作爲國……,特價只要1800元(現在購買還送精品建站模板或字庫授權一套)
快速購買通道:https://www.73ic.com/Class_4/Default.aspx
更多SSL資訊可訪問:www.z01.com/help/https