⼩程序⼆维码有⽆安全漏洞?我们做了最完整的调查
是不是你打开的⽅式不对?
2012年5⽉23⽇,微信扫⼀扫功能还未上线,⽤户数刚破1亿⼤关,张⼩龙在其朋友圈发了⼀条个⼈对互联⽹⼊⼝的观
点:“PC互联⽹的⼊⼝在搜索栏,移动互联⽹的⼊⼝在⼆维码”。
⼀年之后,微信扫⼀扫功能上线,并随着公众号、微信⽀付、H5的陆续兴起,⼆维码以其快捷的⼊⼝⽅式占领了⽤户
索取移动互联⽹服务的“康庄⼤道”。
⼩程序的问世,⽆疑会为⼆维码的兴起再度添砖加⽡。⼀家⾦融机构给出的投资建议,⼆维码服务商名列其中。必须承
认的是,⼆维码已经成为这个时代最普及的名⽚种类。“微信的愿景是连接⼈与⼈,⼈与服务,连接⼀切,⼩程序的场
景水浒传读书笔记摘抄 是线下,扫码获得服务”。也许时隔五年,张⼩龙终于要开始真正验证他当初的观点了。
但是,⼩程序以⼆维码作为⼊⼝是否安全?(毕竟出现过⼆维码安全问题的案例),⽤户获取服务有了快速通道,但会
不会因此风险也成正⽐上升?
先来看⼀下以前⼆维码出现的安全问题:
1.盗⽤⽀付;
2.病毒侵⼊⾮法获得⽤户信息;
3.没有监管,开发者随意使⽤。
萤连长经过多⽅论证:⼩程序作为⼀款互联⽹产品,风险也是存在的,但相⽐其它类型的⼆维码,风险和犯罪价值较
低。
⼩程序可能存在的风险
扫了错的⼆维码
作为⼀个新事物,与⼩程序表现最相似的是H5,可能会有不法分⼦制作⼀个钓鱼或带病毒的H5,挂着⼩程序的名义让
⽤户扫;或者现实中场景中的⼩程序⼆维码被不法分⼦盗换,⽐如车站购票⼆维码,那⽤户信息和财产都将可能遇到威
胁。
对⼩程序不熟悉的⽤户如何识别他扫的是不是对的⼆维码?这⾥告诉⼤家⼏个⽅法。
1.从⼆维码识别
⼩程序的⼆维码只能通过扫描识别,在⽆法辨别⼀个⼆维码是否是⼩程序每晚一个鬼故事 的时候,⽤户可以将该⼆维码拍照保存,然后
通过扫描“相册”中的⼆维码或者将该⼆维码发送到微信,在微信中长按识别,如果可以识别,那么这就是⼀个“假”⼩程序
⼆维码。
2.从域名识别
如果⽤户忽视了上⼀条,扫码进⼊主页之后,在加载页进⾏下拉(加载完之后,有的H5禁⽌了下拉动作),假如可以
看到“⽹页由xxx提供”字样,你扫的也不是⼩程序的⼆维码。
3.分享识别
进⼊⼩程序之后,点击右上⾓的“...”,如果出现“分享到朋友圈”、“收藏”、“在其它浏览器中打开”、“复制链接”等字样,这
也不是⼩程序。
⼩程序⼆维码会被“⿊”吗?
有没有可能真的⼩程序⼆维码被不法分⼦侵⼊,以盗取⽤户信息?答案是肯定的,但是:
1.⼩程序的⼆维码⽣成⾮常严苛
⼩程序可以⽣成带参数的⼆维码(最初是10000个,现在涨到了100000个),每个带参数⼆维码可以实现不同功能。专
业做⼆维码的服务商“草料⼆维码”CEO蒋云晖向萤连长表⽰:⽣成⼩程序⼆维码必须通过固定接⼝,且需开发者提供密
钥,如果没有授权,即使是开发该⼩程序的第三⽅服务商也不能随便⽣成该⼩程序带参数的⼆维码。
2.⼩程序⼆维码的安全性较⾼
另外,据“去哪⼉出⾏”⼩程序开发者介绍,⼩程序跟另外⼀个域名进⾏通讯获取数据,会通过⼀套https的加密系统去保
证,https协议本⾝是安全的,这块跟App获取数据类似。⼩程序可以配置5个安全域名进⾏数据访问,⼩程序在提交审
核的过程中,微信官⽅对这些域名都会做检查,不防火灾 安全的访问地址会被拒绝。相较⽽⾔,H5不要求https,传输很可能
被⾮法截获。
此外,⼩程序中不能放外链,⽀付也只能通过微信⽀付完成,整个脉络都在微信的监管范围内,控制⼒度⾮常⼤。
3.⼩程序违法成本⾼,性价⽐低
⼩程序提交之前,需要对主体进⾏信息确认,包括主体企业名称、营业执照注册号、服务范围、管理员⾝份证姓名、号
码、⼿机号等信息,微信都会审核保障,对主体进⾏备案。如果⼩程序出现问题,被举报,整个⼩程序都将下线,机构
也会被警告;问题严重的话,可以直接报警,追查到个⼈,违法成本太⾼
再者,⼩程序因为容量限制,可实现的功能⽐App少很多,即⽤即⾛,属于轻度⽤户产品,所以也不会留存⽤户太多信
息,攻破没有太⼤意义。这个问题心脏跳动过快是怎么回事 蒋青岛一日游攻略 云晖也做了⼀个形象的⽐喻:费半心理相容 天劲撬开⼀把⼤锁,但⾥⾯的心素如简 东西还没有这个锁
值钱,聪明⼈谁会这么做?。
如果说有能⼒攻破服务器,相⽐QQ、微信,⼩程序的信息少之⼜少,所以就不⽤⼩程序来背这个不安全的锅了。
综上所述,⼩程序⼆维码或者说⼩程序⽆论从开发过程、监管平台都⾮常严格,被侵⼊的可能性并不⾼,但为了防⽌被
恶意攻击,开发者在提供服务功能的时候,还是在必要环节尽量设置“需要⽤户验证才能访问”,毕竟再⽅便也是要建⽴
在安全的基础之上。
本文发布于:2023-03-19 08:55:36,感谢您对本站的认可!
本文链接:https://www.wtabcd.cn/fanwen/zuowen/ce35191837ef5cc30f85a2acecadbf34.html
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。
本文word下载地址:做二维码.doc
本文 PDF 下载地址:做二维码.pdf
留言与评论(共有 0 条评论) |