漸進式網頁應用:可能被忽視了的陰暗面

2021-01-14 讀芯術

全文共2755字,預計學習時長7分鐘

圖源:Google

就像蘋果砸在牛頓頭上改變了人們理解萬有引力的方式,增強型網頁應用通過提供web形式的類似應用程式的體驗,正在改變人們對應用程式的理解方式。

增強型網頁應用是谷歌最初提出的技術之一。「漸進式網頁應用」(progressive web app)是由弗朗西斯·貝裡曼(Frances Berriman)和亞歷克斯·拉塞爾(Alex Russell)於2015年首次提出的。

它是一種描述應用程式的方法,這種應用程式利用了現代瀏覽器支持的新特性,例如service worker和web應用程式清單,無論何種本機作業系統,用戶都能將web應用程式升級為增強型網頁應用。

PWAs也能夠聯網,谷歌公司稱它有如下的特徵:

· 可靠性:加載迅速,即使在不確定的網絡條件下也不會顯示那隻霸王龍(Chrome斷網界面)。

· 迅速:快速響應用戶交互,動畫如絲綢般順滑,不會卡頓。

· 參與性強:就像一個設備上自然的應用程式,具有身臨其境的用戶體驗。

你可能已經讀過PWA的相關信息了,大家都覺得它未來可期。但很可能你並沒有意識到它也有不常被提及的陰暗面。其隱患不少,但本文將主要集中在一項上:指紋識別。

指紋識別是什麼?

「沒有兩個人的指紋是相同的,包括同卵雙胞胎。」指紋讓人類變得獨一無二,相互區分開來。類似地,指紋技術也可以應用於其他實體,用於識別獨一無二的個體。瀏覽器指紋就是一個例子。

瀏覽器指紋是網站通過配置設置或其他可注意的屬性,從而識別或重新識別訪問者、用戶代理或設備的能力。瀏覽器指紋可作為一種安全措施,如用戶身份驗證。在某些情況下,指紋識別可用於:

· 辨認用戶

· 跟蹤並關聯用戶在會話內和跨會話的瀏覽活動

· 收集信息,從中得出關於用戶的推測等

可能會導致何種危害?

指紋識別的最大威脅在於其可能威脅用戶隱私。

· 用戶辨認

用戶可能需要匿名上網,這齣自不同的原因,例如擔心被監視和個人人身安全。瀏覽器的指紋識別可以與個人識別信息相關聯,應用程式或服務提供商能很容易地識別是否匿名的用戶。

· 瀏覽活動的意外關聯

即使不需個人信息識別,瀏覽也會被檢測。網絡平臺可以根據瀏覽器指紋來保存個人資料,所以這種情況完全有可能。這可能會導致在沒有用戶授權或內容的情況下對用戶進行跟蹤,清除cookie等行為不會阻止或重置已經通過瀏覽器指紋獲得的關聯。

· 關於用戶的推論

即使沒有上述的需要,僅基於很少的瀏覽器指紋相關特徵,用戶也會被辨認出來或歸類。作業系統版本和設備細節可以用來推斷用戶的購買力。假如用戶為匿名,他們絕對不希望使用這種扣除方法。由於設備指紋識別技術,已經有一些相關事例,例如,Mac用戶會被指引到更貴的酒店消費。

PWA如何輔助指紋識別?

PWAs需要一個清單文件,是一個JSON格式的文件,包含描述應用程式的各種特徵的鍵。清單文件中的一個值是start_url。這個值決定了當用戶啟動web應用程式時應該加載的首選URL(例如用戶從設備的應用程式菜單或主屏幕點擊web應用程式的圖標時)。

W3C團隊認為這種機制包含了設備或瀏覽器指紋識別和用戶與瀏覽器活動關聯的潛在威脅。他們認為這將導致一種新的類似cookie的本地機制。

有可能 start_url用來表示應用程式是從瀏覽器外部啟動的 (例如, "start_url":"index.html?launcher=homescreen")。這對於分析或其他定製可能很有用。然而,開發人員也可以將字符串編碼到唯一標識用戶的 start_url中(例如伺服器分配的UUID)。這是用戶可能沒有意識到的指紋/隱私敏感信息。

即使在撰寫本文時,這個問題仍有待討論,適當的解決方案尚未提出。而且正如W3C團隊提到的,它甚至達到了Github問題已經被解決的程度。

「我們同意,我在承認這個問題的同時已經關閉了它,但這個問題是不可解決的,因為它是url固有的。我們讓實現者知道這是一個問題,並提供通過UI進行緩解的可能性。」

安全研究員Lukasz Olejnik對排名前1萬的網頁進行了一項研究,以檢查網頁指紋的使用情況。他的研究發現:

· 1672頁包括manifest.json

· 828個使用了專用的start_url

· 274個使用了參數

· 沒有網頁使用隨機生成的標識符

他還指出,雖然他確實看到了明顯唯一標識符(例51606102_9527_7259_7770),但它們似乎並不是為每個新用戶隨機生成的。這個適度的測試結果相當謹慎:技術上可能的跟蹤目前似乎未被使用。

雖然情況暫時讓人鬆一口氣,跟蹤方法還沒有在當前的PWAs中實現。但它是一顆定時炸彈,因為正如我們所知,它可能很快就會成為針對用戶隱私的無聲殺手。

蘋果將如何反擊?

圖源:unsplash

蘋果以安全的設備生態系統聞名,這主要歸因於比其他任何設備製造商更嚴格的規則和政策。雖然一方面損失了產品的可定製性,但另一方面增加了系統的安全性。蘋果公司更傾向於代表用戶做決定,而非用戶自己做決定。

由於PWAs試圖像本地應用程式那樣執行操作,它們需要訪問設備硬體特性,如藍牙、NFC、磁場等。通過引入一些Web API,如Web藍牙API、Web NFC API、磁強計API等提供了這些功能,這已經成為可能。

但蘋果最近拒絕在基於safari的瀏覽器中使用16個Web API,這表明了這樣一種事實,即它們為指紋識別提供了途徑,對用戶隱私構成了威脅。這些API已經在Chromium系統中實現了,其中部分在Mozilla系統中得以實現。

蘋果還聲稱,在線廣告商和數據分析公司可以操縱這些API,從而對用戶和他們的設備進行指紋識別。

以上情況給PWAs帶來了麻煩,這將成為開發人員試圖構建利用本機特性的應用程式的障礙。WebKit對指紋的第一道防線是不執行增加指紋可操作性的web功能,也不使用安全的方法來保護用戶。

蘋果還表示,如果這些新技術中的任何一項「在未來降低了指紋識別能力」,它將重新考慮將其添加到Safari上。但PWAs是一項很有發展潛力的技術,以上提及的隱私問題不應該讓客戶們遠離能根據他們喜好提供F.I.R.E的PWAs。

留言點讚關注

我們一起分享AI學習與發展的乾貨

如轉載,請後臺留言,遵守轉載規範

相關焦點

  • 譯文丨2018網頁設計總結
    本文翻譯自澳大利亞設計師Rylan Ziesing及其設計團隊Rhino Design對2018年網頁設計的總結。五、Material DesignMaterial Design是谷歌基於Android系統推出的全新設計語言,一開始可能主要面向行動裝置界面
  • 從網頁排序看圖論的重要應用
    從網頁排序|看圖論的重要應用  圖,是什麼?    圖論的概念與成果以及它的應用非常廣泛, 既有許多來自生產實踐的應用問題, 也有許多來自其他學科研究的理論問題.  來,看一個圖論的重要應用吧——網頁排序
  • 月球陰暗面是什麼?它在哪?
    許多人使用「月球陰暗面」這樣的短語來比喻某件神秘未知的事物。月球陰暗面,就是指月球上我們從未見過的、一直背向地球的那一側。那一側的月球,面向著寒冷漆黑、廣袤無垠的宇宙。在那一側的月球上,會有什麼呢?那裡的環境條件是怎樣的呢?真的是處於永恆的黑暗之中嗎?
  • Win10應用商店網頁版出現白屏提示「Access Denied」
    但剛剛PConline小編發現Windows商店網頁版突然遭遇Access Denied(拒絕訪問),整個商店網頁呈現白屏,無法顯示正常內容。▲旗魚瀏覽器訪問截圖當訪問Win10應用商店網頁版時(青島聯通網絡),無論是首頁還是應用跳轉頁面都顯示Access Denied(拒絕訪問),並且還有更多內容:You don't have permission to access "http://unistore.www.microsoft.com/store/apps/app/9wzdncrfjbh4"
  • 谷歌雲遊戲將以網頁應用形式登陸iOS
    來源:網易科技報導 相關關鍵詞 美國當地時間周四,谷歌正式宣布其雲遊戲服務Stadia將以網頁應用的形式登陸蘋果
  • 飛利浦推非晶矽顯示技術 主要針對移動應用
    【搜狐IT報導】(文/羅映波)從飛利浦電子透露消息顯示,飛利浦針對目前移動應用需求,推出採用非晶矽(a-Si)技術的新型高解析度面板,開發出了採用新像素設計、擁有集成柵驅動器的非晶矽高解析度顯示器
  • Instagram發布網頁版應用 無動態消息功能
    照片分享服務Instagram今天宣布推出網頁版應用,用戶可以通過瀏覽器訪問。但Instagram顯然仍然將移動業務作為重心。  應用包含一個標題圖片(一般為用戶最近上傳的照片),一個「關注」(Follow)按鈕,以及按日期組織的用戶照片。
  • 【已恢復】Win10 應用商店網頁版部分遭遇 「拒絕訪問」錯誤
    感謝IT之家網友 wkdubhe1987 的投稿下午21點發現Win10商店網頁版已經恢復。IT之家訊 6月1日消息,微軟Windows10商店開放以來遇到過幾次錯誤,但大多數受影響的是Win10 Mobile和Windows10 PC設備端,但剛剛IT之家發現Windows商店網頁版遭遇Access Denied(拒絕訪問),整個商店網頁呈現白屏,無法顯示正常內容。
  • 我們真的需要網頁版App嗎?Google PWA的困局
    我總結文章裡的 Progressive 主要有這兩層含義:如果用戶需要,網頁可以漸進式地變成App,比如被添加到主屏幕、全屏方式運行、離線工作、推送通知消息等。但它仍是Web而非放到App Store裡。
  • 谷歌Stadia雲遊戲服務將以網頁應用形式登陸iOS
    據國外媒體報導,美國當地時間周四,谷歌正式宣布其雲遊戲服務Stadia將以網頁應用的形式登陸蘋果iOS平臺。
  • iPad網頁設計類應用軟體推薦
    本文是來自mobiweb20.com的一篇文章,介紹了20個iPad網頁設計類的應用程式,尤其適合於使用iPad進行UI設計的程式設計師。iMockupsiMockups 可以讓你直接在 iPad 上進行 Web 網頁設計。
  • Instagram中文網頁版
    Instagram中文網頁版是一款玩法豐富的軟體,快來下載體驗下。Instagram中文網頁版軟體功能:Instagram中文網頁版玩法特別有趣,快來下載吧!讓您與喜歡的人和事物聯繫更緊密。
  • 使用reveal.js製作精美的網頁版PPT
    但苦於mac上運行PPT那感人的流暢度, 成功的激起了筆者的強迫症, 所以索性想辦法通過技術的手段來做個網頁版PPT, 這個時候筆者發現了reveal.js: 一個使用 HTML 語言製作演示文稿的 Web 框架,支持插入多種格式的內容,並以類似 PPT 的形式呈現. 花了15分鐘系統的調研了一下, 覺得基本滿足技術分享類PPT的要求, 所以決定採用該方案來實現我的網頁版PPT.
  • 從搜尋引擎角度分析網頁蜘蛛抓取內容的類別與過程
    從搜尋引擎的角度來看,網際網路上的網頁主要分為四類,即被抓取的網頁、被抓取的內容、可抓取的網頁和暗網。四類網頁,熟悉網頁分類顧名思義,爬網網頁是蜘蛛已經爬網的網頁內容。要爬網的網頁尚未爬網,但已進入等待列表。爬行是一個尚未被發現但已經存在的網頁。暗網是一個網頁,搜尋引擎無法通過自爬網找到一個連結,需要手動提交。平時我們分析的頁面抓取主要是非黑網絡中的頁面抓取。每個搜尋引擎在黑暗的網絡抓取都有自己獨特的算法。我們不做太多分析。搜尋引擎收錄有兩種主要策略,即廣度優先策略和深度優先策略。
  • NASA發布網頁應用 為公眾提供探索灶神星渠道
    據外媒報導,日前,NASA面平民科學家發布了一款灶神星(Vesta)探索網頁應用。
  • 鬼滅之刃:十二鬼月上弦月,分別代表了人性的那些陰暗面?
    鬼滅之刃:十二鬼月上弦月,分別代表了人性的那些陰暗面?喜歡鬼滅之刃的觀眾朋友們大家好!十二鬼月作為鬼陣營中的強者,尤其是上弦鬼,他們一個人就足以給鬼殺隊造成極大的損失,一般隊員無論上去多少都無法彌補這份力量上的碾壓,唯有柱能夠與他們一戰,那麼今天我們就分析一下,十二鬼月上弦鬼,他們代表了人性的那些陰暗面吧。
  • Facebook推出網頁版Messenger
    昨天,Facebook推出了即時通訊產品Messenger的網頁版,擁有獨立的聊天界面。Facebook認為,網頁版Messenger是對其移動端應用的補充。 網頁版Messenger的界面分為左右兩塊:左版塊為近期會話列表,右版塊為聊天窗口。這點和微信網頁版類似,不過Messenger的界面為統一的純白色,更乾淨清新。
  • 谷歌Stadia將以網頁應用形式登陸iOS 以規避App Store的限制
    站長之家(ChinaZ.com)11月20日 消息:谷歌周四宣布其Stadia雲遊戲服務將以網頁應用形式登陸iOS平臺,以規避蘋果App Store的限制。
  • 漸進式的持戒、聞思修行、斷除惡習,有這4點好處!
    【─ #漸進式的修行 ─】有一個老師父說:「打坐要精進、坐得穩,一開始設定一分鐘,只要今天比前一天多坐一分鐘就可以了。不要小看這增加的一分鐘,一旦下定決心、持之以恆,禪修就會變成生活習慣,不會感到困難。」