下一版本的安卓系统将在app中默认阻止所有HTTP流量。Android的工程副总裁Dave Burke在博客文章中称,这是“将所有网络流量从明文(未加密的HTTP)迁移到TLS的更大努力中的后一步......你现在需要通过TLS建立连接,除非你明确为特定域使用明文。“
这将适用于所有面向Android P的应用程序。任何需要HTTP连接的内容必须提交特殊声明。在网络安全配置文件中设置。您将可以允许或禁止HTTP流量连接到特定域或整个应用。如果你不能保证所有连接都是HTTPS流量,比方说由用户提供的URL,则应该通过要求使用HTTPS以保护与自己服务的连接这些域名。Android开发者博客文章中提供了这些配置的示例。
苹果公司在iOS和macOS上有类似的功能,名为App Transport Security(ATS)。 自iOS 9.0(2015年9月发布)以来,该功能默认开启,并要求应用程序添加自定义配置文件以允许HTTP流量免除。 此外,ATS通过仅允许TLS 1.2和提供前向保密的密码来执行“强大的”HTTPS连接。
Android安全的更高一级软件工程师Chad Brubaker直接阐述了HTTPS的一个普遍的说法:有些网页是“敏感的”,需要加密,而对于保护其他类型的网页(如博客或静态主页)并不重要。
HTTPS不仅仅是保护发送给访问者的数据 - 它还关乎保护整个连接。 如果没有提供防止DNS欺骗和内容注入的身份验证的HTTPS,则任何给定的连接都可能被误用来通过跟踪它们或窃取或注入数据来损害客户端设备。
Brubaker写道:“所有流量都应该加密,无论内容如何,因为任何未加密的连接都可以用来注入内容,增加潜在易受攻击的客户端代码的攻击面,或跟踪用户。”
Android P计划于2018年第三季度发布,目前可用作开发预览版。
