小程序技术可以提升桌面应用安全等级？

2021年我国手机浏览器市场规模约为7.3亿人，用户规模整体呈上升趋势，但增长渐缓。

QQ浏览器、UC浏览器是手机浏览器市场上的主流，最新数据显示，UC浏览器、QQ浏览器的用户活跃度较高，月活用户占比分别为62.2%、52.4%，与其他浏览器拉开了较大差距。

Web2.0时代，浏览器是了解世界的窗口。

移动时代来临，浏览器已经成为手机必备刷视频、看新闻的综合性APP，但是随之而来的问题不少，而令浏览器用户最为头疼的，也是浏览器带给我们的安全隐患：

1、 网络钓鱼：通过电子邮件、微信或浏览器劫持、DNS欺骗等方式诱导用户访问山寨网站，并通过后台截获用户输入的个人信息（支付账号、密码等）。

2、自动记录功能：使用浏览器访问网站页面这个过程，系统默认开启历史浏览记录，很多信息会被浏览器自动记录下来。例如访问的关键词记录、地址栏记录、缓存文件、Cookies、历史访问记录等。

3、限制插件安装：浏览器过去有很多的插件，如果不需要了，可以删除过时的插件，养成不使用插件时删除插件的习惯。

4、网页木马：如果恶意代码被激活后，后台会自动将木马植入用户端，从而控制用户计算机，这样子用户的账号、密码、口令等可能会被连接窃取。

5、浏览器劫持：浏览器被恶意篡改，引导用户访问“山寨网站”，并窃取用户信息，诈骗用户财物。

后App时代，承载人机交互软件载体不断变化

人机交互、人机互动（英文：Human–Computer Interaction或Human–Machine Interaction，简称HCI或HMI），是一门研究系统与用户之间的交互关系的学问。

系统可以是各种各样的机器，也可以是计算机化的系统和软件。人机交互界面通常是指用户可见的部分。用户通过人机交互界面与系统交流，并进行操作。

小如收音机的播放按键，大至飞机上的仪表板，或发电厂的控制室。

交互技术正在逐步改变人们的生产及生活方式。人机交互产品通过将用户意图转化为机器可以理解的内容，可协助用户解答问题或帮助用户完成特定任务。

据统计,2020年中国人机交互核心产品市场规模为58.5亿元，同比上涨59.84%，预计2025年，将达到237亿元。

人机交互方式这几十年不断发展、优化、突破，承载人机交互的软件载体也在不断变化 - PC软件、网站、App...

下一个技术形态会是什么呢？会不会是“类小程序”的形态？

安全运行沙箱类技术的崛起

安全沙箱不是浏览器独有的，它是指利用操作系统提供的技术，对外所建立的一道屏蔽『墙』，墙内屏蔽系统权限只做具体的处理，并通过IPC(进程间通讯协议)传递消息。

本质上它是一种安全隔离机制，通过构建一个封闭的软件环境，隔离了它所在的“宿主”的资源包括内存、文件系统、网络等等的访问权限。

浏览器的安全沙箱内存放的是渲染线程，实际所有涉及I/O操作、文件读取、资源请求、用户交互等操作都是先通过主线程通知给渲染线程，渲染线程对应多出的渲染反应。

沙箱类技术以各种形态出现：在BSD等操作系统里就提供直接叫做“Jail”的虚拟化隔离；在JVM里为了支持Java Applet这里网络加载的代码的运行，实现了sandbox机制；浏览器里的HTML渲染引擎。

一定程度上也可以视为一种在用户态的基于安全能力模型（Capability-based）的沙箱技术。

FinClip：前端安全沙箱技术

FinClip是一种新型的轻应用技术，在FinClip安全沙箱中运行的轻应用，选择了兼容互联网主流的小程序规范。

FinClip的嵌入式安全沙箱，又被称之为小程序容器，它的本质其实是建立在Security Capability model基础上的浏览器内核的扩展，其沙箱的特点，体现在三个方面：

1、 沙箱隔离了宿主对于沙箱中运行的小程序所产生的数据。

2、沙箱内小程序之间的隔离。
3、沙箱对运行其中的小程序代码，隔离其对宿主环境的资源访问。以一家银行与它的合作生态为例，银行在自己的App上引入了衣食住行各类消费场景的小程序，这些小程序均非本行开发，也不能访问到当前宿主App的任何数据资源。

换句话说，FinClip试图构建一个Zero Trust（“零信任”）环境，不管小程序的“供应商”是谁，它们的代码都被隔离、同时也被保护在沙箱环境中。

FinClip安全沙箱还配备了云端的管控后台，让任何小程序可以被关联到指定的App宿主所嵌的沙箱实例中，从而能且仅能运行在某一款App或者某一个终端上。

像互联网小程序一样，FinClip的小程序也可以被实时上下架，对于金融机构来说，起到“实时风控”的效果，因为上下架的管理工具和权限，都由企业私有化运行、自行负责。

任何有潜在安全风险的前端代码，一经发现即可瞬间下架，用户端再也无法打开使用。
这些安全管控的能力，可以说是企业尤其是金融机构数字化转型所必须。

对于企业而言，内部IT、外部合作伙伴，均可以作为“供应商”以小程序方式实现、提供数字化场景，从而形成数字生态。

终末

智能终端的浏览器安全，小程序容器技术提供了新的安全保护视角。

FinClip 小程序 SDK 保证了业务应用所需要的运行环境，宿主应用如果想与小程序进行数据交互，必须要通过 SDK 主动暴露的接口来启动，此外基于沙箱环境，也能保证小程序的网络通信不被干扰或拦截。

小程序容器技术可以让企业快速获得生态引入的能力，以生态小程序应用夯实自身的业务护城河。而finclip是数字化时代下小容器技术的不二之选。