Web APP技術發展趨勢及安全分析

◆王艷芳

?

Web APP技術發展趨勢及安全分析

◆王艷芳

(國家計算機網絡應急技術處理協調中心浙江分中心 浙江 310060)

隨著微信小程序的重磅發布，無需下載即可使用的網頁應用（Web APP）被認為有可能成就下一個移動領域的大生態。本文結合Web APP技術特點對其發展趨勢進行了預測研判，并對存在的安全隱患和風險進行了分析，提出了安全對策和建議。

Web APP；發展趨勢；安全風險

0 引言

2016年1月11日，騰訊宣布正在開發“應用號”，歷時一年，2017年1月9日，微信小程序正式對外開放公測。微信坐擁8億活躍用戶，這一重大舉措毫無懸念地在移動互聯網行業引起軒然大波。無需下載即可使用的網頁應用（Web APP）成為大家關注的焦點，Web APP被認為有可能成就下一個移動領域的大生態。

1 Web APP的發展現狀

“小程序”并不是全新的面孔，早些年百度的“輕應用”也是類似的Web APP形式，更多見的就是各種移動瀏覽器上的Html5應用。手機瀏覽器廠商希望推廣Web APP，將其作為瀏覽器上的一個應用分發市場運營，用戶只需使用一個瀏覽器應用就可以使用各種功能。由于當時沒有與之相匹配的高速網絡及硬件支持，Web APP概念過于超前，可以說是“生不逢時”。

各大互聯網巨頭在大的趨勢上的隱形較量從未停止過。國內，緊隨微信小程序，支付寶小程序內測頁面曝光，阿里將建立一個自有開放平臺給第三方創建應用，并將解決流量分發的問題；百度在HTML的Web APP技術上同樣試水多年，因為百度最期待Web理念在移動互聯網時代重生，這樣，搜索的一套體系就會有更大的用武之地。而在國外，谷歌一直在低調布局PWA的移動互聯網Web標準，1月24日，Google宣布Android Instant Apps正式上線，并對一部分用戶開放測試，2月，處于測試狀態的Chrome57（手機版）中，谷歌正在測試增強型網頁應用（Progressive Web Apps，簡稱PWAs），使之與本地應用“平起平坐”，出現在安卓應用列表中；此外還有曾在移動web的用戶體驗和設備兼容性上投入很大，卻中途投誠APP的Facebook。

Web APP之所以受關注，谷歌、Facebook、百度等巨頭不斷在web的路上去試錯，正是因為對原生APP（Native APP）所帶來的弊端有目共睹，雖然APP時代造就了蘋果的應用商店帝國和成熟的平臺生態，也培育出了一大批的助手類應用分發平臺，然而，開發門檻高，推廣難度大，大量的長尾應用，信息孤島現象日益凸顯。這些現象的出現，既不利于市場未來的發展，又與互聯網的開放、自由、低阻尼的鏈路式理念背道而馳。

Web APP最廣泛使用的開發工具包括HTML，CSS，JavaScript，HTML的語義化表達是搜索的基石之一，使得Web APP易于被索引和發現。Web協議棧讓全世界的網頁成為即時更新并通過URL相互聯系的網絡，使得Web APP具有天然的開放的優勢。然而Web APP也存在著后臺運行能力缺失、訪問頁面孤立等問題，由于框架和控件的調用功能受限，影響UI設計和使用體驗。

2 發展趨勢分析

微信小程序開放公測的消息公布后，在網上引起了激烈的討論。有人認為它會顛覆現有應用市場的格局，有人認為APP將從此消亡，也有人認為這是互聯網的一個新風口。

從開發角度看，國內外大型互聯網企業推出的開源跨平臺移動開放項目，可有效降低應用的開發和推廣成本，給互聯網創業者帶來了新的機會。例如微信已經對開發者提供了完整的設計指南，并提供一套可供 Web 設計和小程序使用的 Sketch 和 PS 基礎控件庫和開發者調用資源庫，但同時也對小程序的開發框架、樣式和傳播方式作了諸多限制。因此，小程序和APP之間不是非此即彼的二選一關系。對于絕大多數企業來說，必然是兩者都需要兼顧的，而資源相對匱乏的初創企業更適合從低成本微信小程序切入和試錯。

從分發角度看，iOS和Android在移動市場占據絕對地位，這兩款操作系統把持著最大的兩個原生APP分發渠道，App Store和Google Play。Web APP和Native APP的根本矛盾，實際上還是移動互聯網底層入口的爭奪。目前來看，微信和阿里推出小程序均表態不會做標準的應用市場。短期內Web APP不會替代NativeAPP，可以看作應用生態的一個補充。

從市場反應來看，據《艾媒咨詢：2017年中國網民針對微信小程序使用與開發狀況調查報告》顯示，超過七成微信小程序用戶添加小程序個數在10個以內，64.7%的微信小程序用戶在體驗小程序后，選擇回歸到原有的手機APP中，繼續支持小程序的用戶占比僅為11.5%。分析師認為，相比于手機APP，微信小程序作為一款輕應用，雖然可以明顯節省手機內存空間，但是由于其內容屬性注重集約化、非個性化，導致用戶活躍度和用戶粘性普遍較低。數據顯示，微信小程序發布一個月后，應用開發者關注度提升至94.9%，而選擇繼續開發小程序的應用開發者僅占9.2%，更有35.2%應用開發者對小程序感到失望、意在放棄。“小程序”們的難度不言而喻。

從互聯網發展的規律來看，未來依然會是開放的趨勢，HTML5等技術的成熟或許會促使新業務模式和新應用的涌現，應用市場寡頭壟斷的局面或將被打破。

3 安全風險分析及對策

3.1安全風險

企業責任風險。類似微信小程序提供的開發平臺，使得開發門檻大幅下降，很多初創公司或個人可能因為APP推廣成本較高等因素轉而投向這類平臺，企業的熱情必然導致程序數量的上升，也增加了平臺的審核壓力。審核既包括程序、代碼方面的審核，也應包含資質、內容等方面的審核。目前來看，此類平臺相關責任界定暫不明晰，存在企業責任風險。例如開發者的程序通過審核，但其后臺服務器存在安全隱患并未及時發現，也可能引發網絡安全事件等嚴重后果。

數據融合風險。以微信小程序為例，小程序使得騰訊能夠獲取用戶衣食住行等更多的信息，而小程序的開發者也能收集到用戶的微信數據，各類數據逐漸累積、關聯、融合，稍加處理分析便能挖掘其內在價值。目前，我國尚未有較為明確的法律法規對數據收集、挖掘和分析予以規范，如果商家沒有正當運用這些個人信息或未經授權就動用挖掘，可能導致用戶隱私信息的泄露。

應用入口風險。微信和支付寶目前均表示不涉足類似應用商店的小程序分發，一時間市場上出現了大量微信小程序商店，其中不乏一些個人創建。有別于常見APP商店，小程序等Web APP沒有實體文件，只有二維碼入口。這些小程序商店收集小程序的二維碼在網頁上分類展示，供用戶掃描進入主程序。這使得不法分子有可能制作仿冒APP，并繞過微信等平臺的審核流程發布到市場。用戶如缺乏辨識能力，極可能被釣魚受騙。

金融相關風險。微信小程序推出數日，證監會即緊急下發書面通知，要求基金公司暫停有交易功能的小程序，只允許產品頁面展示功能的存在，其原因主要出于用戶隱私和交易安全的考慮。因微信小程序提供了微信支付相關API的調用，這就意味著個人用戶可以通過微信小程序獲得金錢利潤再進行提現，這也給洗錢團伙提供了一個新的可乘之機。

3.2安全對策

從企業層面，應制定和完善安全責任界定等相關文件，從資質、程序、內容等全方位多角度加強審核與復查，完善信息安全保障制度，切實承擔起網絡信息安全責任。

從監管部門層面，一方面加強對開放平臺的監管，督促企業落實網絡信息安全責任；一方面則應規范小程序商店等分發平臺的管理，可參照《移動互聯網應用程序信息服務管理規定》中的“互聯網應用商店服務提供者”進行管理。

從國家層面，加快制定和完善相關立法，加強個人信息保護，同時普及公民宣傳教育，加強個人防范和保護意識，謹防上當受騙。

4 結語

小程序等形式的Web APP的興起，給用戶帶來“無需安裝，用完即走”的便捷的同時，也不可避免的存在一定的安全風險，有效規避風險，才能更好地享受開放互聯網給我們帶來的便利。

[1]巖石.艾媒報告|2017年中國網民針對微信小程序使用與開發狀況調查報告.

[2]中國移動互聯網發展報告（2016）.移動互聯網藍皮書，2016.

[3]微信公眾平臺|小程序.https://mp.weixin.qq.com/ cgi-bin/wx.