◆王艷芳

?

Web APP技術(shù)發(fā)展趨勢及安全分析

◆王艷芳

(國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心浙江分中心 浙江 310060)

隨著微信小程序的重磅發(fā)布，無需下載即可使用的網(wǎng)頁應(yīng)用（Web APP）被認(rèn)為有可能成就下一個移動領(lǐng)域的大生態(tài)。本文結(jié)合Web APP技術(shù)特點對其發(fā)展趨勢進行了預(yù)測研判，并對存在的安全隱患和風(fēng)險進行了分析，提出了安全對策和建議。

Web APP；發(fā)展趨勢；安全風(fēng)險

0 引言

2016年1月11日，騰訊宣布正在開發(fā)“應(yīng)用號”，歷時一年，2017年1月9日，微信小程序正式對外開放公測。微信坐擁8億活躍用戶，這一重大舉措毫無懸念地在移動互聯(lián)網(wǎng)行業(yè)引起軒然大波。無需下載即可使用的網(wǎng)頁應(yīng)用（Web APP）成為大家關(guān)注的焦點，Web APP被認(rèn)為有可能成就下一個移動領(lǐng)域的大生態(tài)。

1 Web APP的發(fā)展現(xiàn)狀

“小程序”并不是全新的面孔，早些年百度的“輕應(yīng)用”也是類似的Web APP形式，更多見的就是各種移動瀏覽器上的Html5應(yīng)用。手機瀏覽器廠商希望推廣Web APP，將其作為瀏覽器上的一個應(yīng)用分發(fā)市場運營，用戶只需使用一個瀏覽器應(yīng)用就可以使用各種功能。由于當(dāng)時沒有與之相匹配的高速網(wǎng)絡(luò)及硬件支持，Web APP概念過于超前，可以說是“生不逢時”。

各大互聯(lián)網(wǎng)巨頭在大的趨勢上的隱形較量從未停止過。國內(nèi)，緊隨微信小程序，支付寶小程序內(nèi)測頁面曝光，阿里將建立一個自有開放平臺給第三方創(chuàng)建應(yīng)用，并將解決流量分發(fā)的問題；百度在HTML的Web APP技術(shù)上同樣試水多年，因為百度最期待Web理念在移動互聯(lián)網(wǎng)時代重生，這樣，搜索的一套體系就會有更大的用武之地。而在國外，谷歌一直在低調(diào)布局PWA的移動互聯(lián)網(wǎng)Web標(biāo)準(zhǔn)，1月24日，Google宣布Android Instant Apps正式上線，并對一部分用戶開放測試，2月，處于測試狀態(tài)的Chrome57（手機版）中，谷歌正在測試增強型網(wǎng)頁應(yīng)用（Progressive Web Apps，簡稱PWAs），使之與本地應(yīng)用“平起平坐”，出現(xiàn)在安卓應(yīng)用列表中；此外還有曾在移動web的用戶體驗和設(shè)備兼容性上投入很大，卻中途投誠APP的Facebook。

Web APP之所以受關(guān)注，谷歌、Facebook、百度等巨頭不斷在web的路上去試錯，正是因為對原生APP（Native APP）所帶來的弊端有目共睹，雖然APP時代造就了蘋果的應(yīng)用商店帝國和成熟的平臺生態(tài)，也培育出了一大批的助手類應(yīng)用分發(fā)平臺，然而，開發(fā)門檻高，推廣難度大，大量的長尾應(yīng)用，信息孤島現(xiàn)象日益凸顯。這些現(xiàn)象的出現(xiàn)，既不利于市場未來的發(fā)展，又與互聯(lián)網(wǎng)的開放、自由、低阻尼的鏈路式理念背道而馳。

Web APP最廣泛使用的開發(fā)工具包括HTML，CSS，JavaScript，HTML的語義化表達(dá)是搜索的基石之一，使得Web APP易于被索引和發(fā)現(xiàn)。Web協(xié)議棧讓全世界的網(wǎng)頁成為即時更新并通過URL相互聯(lián)系的網(wǎng)絡(luò)，使得Web APP具有天然的開放的優(yōu)勢。然而Web APP也存在著后臺運行能力缺失、訪問頁面孤立等問題，由于框架和控件的調(diào)用功能受限，影響UI設(shè)計和使用體驗。

2 發(fā)展趨勢分析

微信小程序開放公測的消息公布后，在網(wǎng)上引起了激烈的討論。有人認(rèn)為它會顛覆現(xiàn)有應(yīng)用市場的格局，有人認(rèn)為APP將從此消亡，也有人認(rèn)為這是互聯(lián)網(wǎng)的一個新風(fēng)口。

從開發(fā)角度看，國內(nèi)外大型互聯(lián)網(wǎng)企業(yè)推出的開源跨平臺移動開放項目，可有效降低應(yīng)用的開發(fā)和推廣成本，給互聯(lián)網(wǎng)創(chuàng)業(yè)者帶來了新的機會。例如微信已經(jīng)對開發(fā)者提供了完整的設(shè)計指南，并提供一套可供 Web 設(shè)計和小程序使用的 Sketch 和 PS 基礎(chǔ)控件庫和開發(fā)者調(diào)用資源庫，但同時也對小程序的開發(fā)框架、樣式和傳播方式作了諸多限制。因此，小程序和APP之間不是非此即彼的二選一關(guān)系。對于絕大多數(shù)企業(yè)來說，必然是兩者都需要兼顧的，而資源相對匱乏的初創(chuàng)企業(yè)更適合從低成本微信小程序切入和試錯。

從分發(fā)角度看，iOS和Android在移動市場占據(jù)絕對地位，這兩款操作系統(tǒng)把持著最大的兩個原生APP分發(fā)渠道，App Store和Google Play。Web APP和Native APP的根本矛盾，實際上還是移動互聯(lián)網(wǎng)底層入口的爭奪。目前來看，微信和阿里推出小程序均表態(tài)不會做標(biāo)準(zhǔn)的應(yīng)用市場。短期內(nèi)Web APP不會替代NativeAPP，可以看作應(yīng)用生態(tài)的一個補充。

從市場反應(yīng)來看，據(jù)《艾媒咨詢：2017年中國網(wǎng)民針對微信小程序使用與開發(fā)狀況調(diào)查報告》顯示，超過七成微信小程序用戶添加小程序個數(shù)在10個以內(nèi)，64.7%的微信小程序用戶在體驗小程序后，選擇回歸到原有的手機APP中，繼續(xù)支持小程序的用戶占比僅為11.5%。分析師認(rèn)為，相比于手機APP，微信小程序作為一款輕應(yīng)用，雖然可以明顯節(jié)省手機內(nèi)存空間，但是由于其內(nèi)容屬性注重集約化、非個性化，導(dǎo)致用戶活躍度和用戶粘性普遍較低。數(shù)據(jù)顯示，微信小程序發(fā)布一個月后，應(yīng)用開發(fā)者關(guān)注度提升至94.9%，而選擇繼續(xù)開發(fā)小程序的應(yīng)用開發(fā)者僅占9.2%，更有35.2%應(yīng)用開發(fā)者對小程序感到失望、意在放棄?！靶〕绦颉眰兊碾y度不言而喻。

從互聯(lián)網(wǎng)發(fā)展的規(guī)律來看，未來依然會是開放的趨勢，HTML5等技術(shù)的成熟或許會促使新業(yè)務(wù)模式和新應(yīng)用的涌現(xiàn)，應(yīng)用市場寡頭壟斷的局面或?qū)⒈淮蚱啤?/p>

3 安全風(fēng)險分析及對策

3.1安全風(fēng)險

企業(yè)責(zé)任風(fēng)險。類似微信小程序提供的開發(fā)平臺，使得開發(fā)門檻大幅下降，很多初創(chuàng)公司或個人可能因為APP推廣成本較高等因素轉(zhuǎn)而投向這類平臺，企業(yè)的熱情必然導(dǎo)致程序數(shù)量的上升，也增加了平臺的審核壓力。審核既包括程序、代碼方面的審核，也應(yīng)包含資質(zhì)、內(nèi)容等方面的審核。目前來看，此類平臺相關(guān)責(zé)任界定暫不明晰，存在企業(yè)責(zé)任風(fēng)險。例如開發(fā)者的程序通過審核，但其后臺服務(wù)器存在安全隱患并未及時發(fā)現(xiàn)，也可能引發(fā)網(wǎng)絡(luò)安全事件等嚴(yán)重后果。

數(shù)據(jù)融合風(fēng)險。以微信小程序為例，小程序使得騰訊能夠獲取用戶衣食住行等更多的信息，而小程序的開發(fā)者也能收集到用戶的微信數(shù)據(jù)，各類數(shù)據(jù)逐漸累積、關(guān)聯(lián)、融合，稍加處理分析便能挖掘其內(nèi)在價值。目前，我國尚未有較為明確的法律法規(guī)對數(shù)據(jù)收集、挖掘和分析予以規(guī)范，如果商家沒有正當(dāng)運用這些個人信息或未經(jīng)授權(quán)就動用挖掘，可能導(dǎo)致用戶隱私信息的泄露。

應(yīng)用入口風(fēng)險。微信和支付寶目前均表示不涉足類似應(yīng)用商店的小程序分發(fā)，一時間市場上出現(xiàn)了大量微信小程序商店，其中不乏一些個人創(chuàng)建。有別于常見APP商店，小程序等Web APP沒有實體文件，只有二維碼入口。這些小程序商店收集小程序的二維碼在網(wǎng)頁上分類展示，供用戶掃描進入主程序。這使得不法分子有可能制作仿冒APP，并繞過微信等平臺的審核流程發(fā)布到市場。用戶如缺乏辨識能力，極可能被釣魚受騙。

金融相關(guān)風(fēng)險。微信小程序推出數(shù)日，證監(jiān)會即緊急下發(fā)書面通知，要求基金公司暫停有交易功能的小程序，只允許產(chǎn)品頁面展示功能的存在，其原因主要出于用戶隱私和交易安全的考慮。因微信小程序提供了微信支付相關(guān)API的調(diào)用，這就意味著個人用戶可以通過微信小程序獲得金錢利潤再進行提現(xiàn)，這也給洗錢團伙提供了一個新的可乘之機。

3.2安全對策

從企業(yè)層面，應(yīng)制定和完善安全責(zé)任界定等相關(guān)文件，從資質(zhì)、程序、內(nèi)容等全方位多角度加強審核與復(fù)查，完善信息安全保障制度，切實承擔(dān)起網(wǎng)絡(luò)信息安全責(zé)任。

從監(jiān)管部門層面，一方面加強對開放平臺的監(jiān)管，督促企業(yè)落實網(wǎng)絡(luò)信息安全責(zé)任；一方面則應(yīng)規(guī)范小程序商店等分發(fā)平臺的管理，可參照《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》中的“互聯(lián)網(wǎng)應(yīng)用商店服務(wù)提供者”進行管理。

從國家層面，加快制定和完善相關(guān)立法，加強個人信息保護，同時普及公民宣傳教育，加強個人防范和保護意識，謹(jǐn)防上當(dāng)受騙。

4 結(jié)語

小程序等形式的Web APP的興起，給用戶帶來“無需安裝，用完即走”的便捷的同時，也不可避免的存在一定的安全風(fēng)險，有效規(guī)避風(fēng)險，才能更好地享受開放互聯(lián)網(wǎng)給我們帶來的便利。

[1]巖石.艾媒報告|2017年中國網(wǎng)民針對微信小程序使用與開發(fā)狀況調(diào)查報告.

[2]中國移動互聯(lián)網(wǎng)發(fā)展報告（2016）.移動互聯(lián)網(wǎng)藍(lán)皮書，2016.

[3]微信公眾平臺|小程序.https://mp.weixin.qq.com/ cgi-bin/wx.