小程序插件或是直接使用第三方小程序插件是否有安全性问题:
(1)小程序插件目前无法直接调用wx.login,wx.getUserInfo,wx.requestPayment,等无法直接调用,是出于安全因素的考虑吗?
(2)小程序插件安全性,微信官方是如何保证的,通过什么方式保证的?
(3)微信小程序的安全性会不会因为加入小程序插件而出现巨大的安全问题如:1、如果小程序可以获取到规定服务外的信息(比如:用户的钱、余额等)即是信息泄露;2、小程序的运行环境为微信APP内嵌浏览器,开发者需对腾讯的信任级别达到操作系统级别吗? 3、在微信主程序中获得代码执行,成功制造代码执行的漏洞?4、恶意的小程序插件实现了越狱,攻击操作系统?
这个是产品策略,主要是出于对用户隐私的保护。
对于其中大多数情形,我们有机制来保护。并不是所有的安全问题都可以有效解决,请问你想了解哪一方面的安全问题呢?
我们有一定的安全隔离机制,来使得插件不能窃取小程序中的数据。小程序的安全机制依赖于微信本身,如果微信被攻击,小程序的安全也会相应受到影响,微信的安全团队会全力保证微信本身的安全。小程序攻击操作系统的情况目前还未有先例。
感谢您的回复,我主要想了解:1、小程序插件嵌入到小程序后,小程序本身的安全性是否可以有效保证?
2、小程序插件审核中有没有关于安全方面的审核机制?
3、小程序钓鱼风险官方是否可以有效控制?小程序插件的出现会不会增高小程序钓鱼的风险?
4、 小程序插件源码和小程序源码一起运行,会不会增加敏感信息泄露的风险?
可以的。
当然有。
可以的。目前并不认为插件和钓鱼有关联。
插件可以收集小程序传递给插件的信息(反之亦然),所以系统整体而言这样的风险确实有所增加,不过都是可控的。