? ? ? ?下一版本的安卓系統(tǒng)將在app中默認阻止所有HTTP流量燥撞。Android的工程副總裁Dave Burke在博客文章中稱,這是“將所有網(wǎng)絡(luò)流量從明文(未加密的HTTP)遷移到TLS的更大努力中的最后一步......你現(xiàn)在需要通過TLS建立連接渠啊,除非你明確為特定域使用明文输吏。“
這將適用于所有面向Android P的應(yīng)用程序替蛉。任何需要HTTP連接的內(nèi)容必須提交特殊聲明贯溅。在網(wǎng)絡(luò)安全配置文件中設(shè)置。您將可以允許或禁止HTTP流量連接到特定域或整個應(yīng)用躲查。如果你不能保證所有連接都是HTTPS流量它浅,比方說由用戶提供的URL,則應(yīng)該通過要求使用HTTPS以保護與自己服務(wù)的連接這些域名熙含。Android開發(fā)者博客文章中提供了這些配置的示例罚缕。
蘋果公司在iOS和macOS上有類似的功能,名為App Transport Security(ATS)怎静。 自iOS 9.0(2015年9月發(fā)布)以來邮弹,該功能默認開啟,并要求應(yīng)用程序添加自定義配置文件以允許HTTP流量免除蚓聘。 此外腌乡,ATS通過僅允許TLS 1.2和提供前向保密的密碼來執(zhí)行“強大的”HTTPS連接。
? ? ? ? Android安全的高級軟件工程師Chad Brubaker直接闡述了HTTPS的一個普遍的說法:有些網(wǎng)頁是“敏感的”夜牡,需要加密与纽,而對于保護其他類型的網(wǎng)頁(如博客或靜態(tài)主頁)并不重要侣签。
? ? ? ?HTTPS不僅僅是保護發(fā)送給訪問者的數(shù)據(jù) - 它還關(guān)乎保護整個連接。 如果沒有提供防止DNS欺騙和內(nèi)容注入的身份驗證的HTTPS急迂,則任何給定的連接都可能被誤用來通過跟蹤它們或竊取或注入數(shù)據(jù)來損害客戶端設(shè)備影所。
? ? ? ?Brubaker寫道:“所有流量都應(yīng)該加密,無論內(nèi)容如何僚碎,因為任何未加密的連接都可以用來注入內(nèi)容猴娩,增加潛在易受攻擊的客戶端代碼的攻擊面,或跟蹤用戶勺阐【碇校”
Android P計劃于2018年第三季度發(fā)布,目前可用作開發(fā)預(yù)覽版渊抽。
