行业新闻与博客

默认情况下，Android 的下一个版本默认会阻止应用中的 HTTP 流量。在博客文章中，Android 的工程副总裁 Dave Burke 表示，这是“将所有网络流量从明文（未加密的 HTTP）转移到 TLS 的更大努力中的最新一步......您现在需要通过 TLS 进行连接，除非您明确选择加入特定域的明文。“

这将适用于所有针对 Android P 的应用程序，如果需要任何 HTTP 连接，则需要在应用程序清单中进行特定声明。这是通过网络安全配置文件控制的。

您将能够允许或禁止 HTTP 流量以连接到特定域或整个应用程序。如果您无法选择退出所有 HTTP 流量，因为您的应用程序连接到无法保证 HTTPS 可用性的任意主机，例如通过 WebView 提供用户提供的 URL，则应通过要求 HTTPS 来保护与您自己的服务的连接那些领域。此 Android Developer 的博客文章中提供了这些配置的示例。

Apple 在 iOS 和 macOS 中具有类似的功能，名为 App Transport Security（ATS）。默认情况下，此功能自 iOS 9（ 2015 年 9 月发布）开启，并要求应用程序添加自定义配置文件以允许免除 HTTP 流量。此外，ATS 仅通过允许提供前向保密的 TLS 1.2 和密码来强制实施“强大的”HTTPS 连接。

默认安全

Android 安全高级软件工程师 Chad Brubaker 直接解决了一个关于 HTTPS 的普遍误解：一些网页是“敏感的”并且需要加密，而保护其他类型的网页（如博客或静态主页）并不重要。

HTTPS 不仅仅是保护发送给访问者的数据 - 它还涉及保护整个连接。如果没有提供防止 DNS 欺骗和内容注入的身份验证的 HTTPS，任何给定的连接都可能被滥用来通过跟踪客户端设备或窃取或注入数据来损害客户端设备。

Brubaker 写道，“所有流量都应加密，无论内容如何，因为任何未加密的连接都可用于注入内容，增加可能存在漏洞的客户端代码的攻击面，或跟踪用户。”

非常感谢您对亚洲注册的支持与信任！

禁止转载