Apple povolí v EU prohlížeče prohlížečů třetích stran, jako je Chromium

Aby Apple splnil nadcházející zákon DMA v EU, dnes oznámila, zásadní změny v jeho zásadách App Store.

Za prvé, vývojáři aplikací budou moci používat alternativní prohlížeče. Až dosud dokonce i webové prohlížeče třetích stran na iOS používaly vlastní WebKit společnosti Apple. Díky této nové změně mohou být alternativní prohlížeče, jako je Chromium, použity pro specializované aplikace prohlížeče a aplikace poskytující možnosti procházení v aplikacích v EU.

Apple však vývojářům povolí implementaci alternativních prohlížečů až poté, co splní konkrétní kritéria a zaváže se k řadě průběžných požadavků na ochranu soukromí a zabezpečení, včetně včasných aktualizací zabezpečení, které budou řešit vznikající hrozby a zranitelnosti. Níže si přečtěte o požadavcích společnosti Apple na prohlížeče třetích stran.

Chcete-li získat nárok, vaše aplikace musí:

• Být k dispozici pro iOS pouze v Evropské unii
• Být oddělený od jakékoli aplikace, která používá systém webového prohlížeče
• Mít výchozí oprávnění webového prohlížeče
• Chcete-li zajistit, aby vaše aplikace používala modul webového prohlížeče, který poskytuje základní webové funkce, splňte následující funkční požadavky:
  • Absolvujte minimální procento testů dostupných ze standardních testovacích sad:
    • 90% z Testy webové platformy
    • a 80% z Test262
  • Splňte výše uvedený požadavek testovací sady, pokud není k dispozici kompilace Just in Time (JIT) (např. pokud je uživatelem povolen režim uzamčení)
• Vy a vaše aplikace musíte splňovat následující bezpečnostní požadavky:
  • Zavázat se k zabezpečení vývojových procesů, včetně sledování zranitelností dodavatelského řetězce softwaru vaší aplikace a dodržování osvědčených postupů pro bezpečný vývoj softwaru (jako je modelování hrozeb na nových funkcích ve vývoji).
  • Poskytněte adresu URL zveřejněné zásady zpřístupnění zranitelnosti, která obsahuje kontaktní informace pro hlášení bezpečnostních zranitelností a problémů třetími stranami (které mohou zahrnovat Apple), jaké informace uvést ve zprávě a kdy očekávat aktualizace stavu.
  • Zavázat se včas zmírnit zranitelnosti, které jsou zneužívány ve vaší aplikaci nebo v alternativním enginu webového prohlížeče, který používá (např. 30 dní pro ty nejjednodušší třídy zranitelnosti, které jsou aktivně využívány).
  • Poskytněte adresu URL veřejně dostupné webové stránky (nebo stránek), která poskytuje informace o tom, které nahlášené chyby zabezpečení byly vyřešeny v konkrétních verzích enginu prohlížeče a související verzi aplikace, pokud se liší
  • Pokud váš alternativní modul webového prohlížeče používá kořenové úložiště certifikátů, ke kterému není přístup prostřednictvím sady iOS SDK, musíte zásadu kořenových certifikátů zpřístupnit veřejnosti a vlastník této zásady se musí jako prohlížeč účastnit certifikační autority / fóra prohlížeče.
  • Ukažte podporu moderních protokolů Transport Layer Security k ochraně přenosových dat, když se používá engine prohlížeče.

Požadavky na zabezpečení programu

Musíte provést následující:

• Používat paměťově bezpečné programovací jazyky nebo funkce, které zlepšují bezpečnost paměti v rámci jiných jazyků, v rámci alternativního enginu webového prohlížeče minimálně pro veškerý kód, který zpracovává webový obsah;
• Přijměte nejnovější bezpečnostní opatření (například ověřovací kódy ukazatele), která odstraňují třídy zranitelnosti nebo výrazně ztěžují vývoj řetězce exploitů;
• Dodržujte osvědčené postupy pro bezpečný design a bezpečné kódování;
• Použijte oddělení procesů k omezení účinků využívání a ověření meziprocesové komunikace (IPC) v rámci alternativního enginu webového prohlížeče;
• Sledujte zranitelnosti jakýchkoli softwarových závislostí třetích stran a širší dodavatelský řetězec softwaru vaší aplikace a v případě, že zranitelnost ovlivní vaši aplikaci, migrujte na novější verze;
• Nepoužívejte rámce nebo softwarové knihovny, které již nedostávají aktualizace zabezpečení v reakci na zranitelnosti; a
• Upřednostněte rychlé řešení hlášených zranitelností před vývojem nových funkcí. Například tam, kde alternativní modul webového prohlížeče přemosťuje schopnosti mezi sadou SDK platformy a webovým obsahem, aby povolil webová rozhraní API, musíte na požádání odebrat podporu pro takové webové rozhraní API, pokud je identifikováno jako zranitelnost. Většina zranitelností by měla být vyřešena do 30 dnů, ale některé mohou být složitější a mohou trvat déle.

Požadavky na soukromí programu

Musíte provést následující:

• Blokovat cookies mezi stránkami (tj. cookies třetích stran) ve výchozím nastavení, pokud uživatel výslovně nerozhodne povolit takové cookies s informovaným souhlasem;
• Rozdělit jakékoli úložiště nebo stav pozorovatelný weby na web nejvyšší úrovně nebo zablokovat takové úložiště nebo stav před použitím a pozorovatelností mezi weby;
• Nesynchronizovat soubory cookie a stav mezi prohlížečem a jinými aplikacemi, dokonce ani jinými aplikacemi vývojáře;
• Nesdílet identifikátory zařízení s webovými stránkami bez informovaného souhlasu a aktivace uživatele;
• Označení síťových připojení pomocí poskytovaných rozhraní API za účelem generování zprávy o ochraně osobních údajů aplikace v systému iOS; a
• Dodržujte běžně přijímané webové standardy o tom, kdy vyžadovat informovanou aktivaci webových rozhraní API (např. přístup do schránky nebo na celou obrazovku), včetně těch, která poskytují přístup k PII.

Apple také poskytne autorizovaným vývojářům specializovaných prohlížečových aplikací přístup k bezpečnostním zmírněním a možnostem, které jim umožní budovat zabezpečené prohlížeče prohlížeče, a přístup k funkcím, jako jsou přístupové klíče pro bezpečné přihlášení uživatelů, víceprocesové systémové funkce pro zlepšení bezpečnosti a stability, sandboxy webového obsahu, které bojují s vývojem. bezpečnostní hrozby a další.

Kromě povolení prohlížečů třetích stran Apple zobrazí novou obrazovku výběru, kde si uživatelé mohou vybrat výchozí webový prohlížeč ze seznamu možností. Když uživatelé v EU poprvé otevřou Safari na iOS 3, budou vyzváni k výběru výchozího prohlížeče.