Apple tillader 3. parts browser-motorer som Chromium i EU

For at overholde den kommende DMA-lov i EU, Apple i dag annoncerede store ændringer i App Store-politikkerne.

For det første vil appudviklere være i stand til at bruge alternative browsermotorer. Indtil nu brugte selv tredjeparts webbrowsere på iOS Apples eget WebKit. Med denne nye ændring kan alternative browsermotorer som Chromium bruges til dedikerede browser-apps og apps, der giver browseroplevelser i appen i EU.

Apple vil dog kun give udviklere tilladelse til at implementere alternative browsermotorer efter at have opfyldt specifikke kriterier og forpligtet sig til en række løbende krav til beskyttelse af personlige oplysninger og sikkerhed, herunder rettidige sikkerhedsopdateringer for at imødegå nye trusler og sårbarheder. Læs om Apples krav til 3. parts browsermotorer nedenfor.

For at kvalificere sig til berettigelsen skal din app:

• Vær kun tilgængelig på iOS i EU
• Vær en adskilt binær fra enhver app, der bruger den systemleverede webbrowsermotor
• Har standard ret til webbrowser
• Opfyld følgende funktionelle krav for at sikre, at din app bruger en webbrowsermotor, der giver en baseline af webfunktionalitet:
  • Bestå en minimumsprocentdel af test tilgængelige fra industristandard testsuiter:
    • 90% fra Webplatformstest
    • og 80% fra Test262
  • Opfyld ovenstående testsuite-krav, hvis Just in Time (JIT) kompilering ikke er tilgængelig (f.eks. hvis Lockdown Mode er aktiveret af brugeren)
• Du og din app skal opfylde følgende sikkerhedskrav:
  • Forpligt dig til sikre udviklingsprocesser, herunder overvågning af din apps softwareforsyningskæde for sårbarheder og følg bedste praksis omkring sikker softwareudvikling (såsom at udføre trusselsmodellering på nye funktioner under udvikling).
  • Angiv en URL til en offentliggjort politik for afsløring af sårbarheder, der omfatter kontaktoplysninger til rapportering af sikkerhedssårbarheder og problemer til dig fra tredjeparter (som kan omfatte Apple), hvilke oplysninger der skal angives i en rapport, og hvornår du kan forvente statusopdateringer.
  • Forpligt dig til at afhjælpe sårbarheder, der bliver udnyttet i din app eller den alternative webbrowsermotor, den bruger, rettidigt (f.eks. 30 dage for de enkleste klasser af sårbarheder, der udnyttes aktivt).
  • Angiv en URL til en offentligt tilgængelig webside (eller sider), der giver oplysninger om, hvilke rapporterede sårbarheder der er blevet løst i specifikke versioner af browsermotoren og tilhørende appversion, hvis forskellige
  • Hvis din alternative webbrowser-motor bruger et rodcertifikatlager, som der ikke er adgang til via iOS SDK, skal du gøre rodcertifikatpolitikken offentligt tilgængelig, og ejeren af ​​denne politik skal deltage som browser i certificeringsmyndigheden/browserforum.
  • Demonstrer understøttelse af moderne Transport Layer Security-protokoller for at beskytte data-in-transit-kommunikation, når browsermotoren er i brug.

Programsikkerhedskrav

Du skal gøre følgende:

• Brug hukommelsessikre programmeringssprog eller funktioner, der forbedrer hukommelsessikkerheden på andre sprog, i den alternative webbrowsermotor som minimum for al kode, der behandler webindhold;
• Vedtag de seneste sikkerhedsbegrænsninger (f.eks. Pointer Authentication Codes), der fjerner klasser af sårbarheder eller gør det meget sværere at udvikle en udnyttelseskæde;
• Følg sikkert design og sikker kodning, bedste praksis;
• Brug procesadskillelse til at begrænse virkningerne af udnyttelse og validere interproceskommunikation (IPC) i den alternative webbrowsermotor;
• Overvåg for sårbarheder i eventuelle tredjepartssoftwareafhængigheder og din apps bredere softwareforsyningskæde, migrér til nyere versioner, hvis en sårbarhed påvirker din app;
• Brug ikke rammer eller softwarebiblioteker, der ikke længere modtager sikkerhedsopdateringer som reaktion på sårbarheder; og
• Prioriter løsning af rapporterede sårbarheder på en hensigtsmæssig måde frem for udvikling af nye funktioner. For eksempel, hvor den alternative webbrowser-motor slår bro mellem platformens SDK og webindhold for at aktivere web-API'er, skal du efter anmodning fjerne understøttelsen af ​​en sådan web-API, hvis den identificeres at udgøre en sårbarhed. De fleste sårbarheder burde være løst på 30 dage, men nogle kan være mere komplekse og kan tage længere tid.

Krav til beskyttelse af personlige oplysninger i programmet

Du skal gøre følgende:

• Bloker cookies på tværs af websteder (dvs. tredjepartscookies) som standard, medmindre brugeren udtrykkeligt vælger at tillade sådanne cookies med informeret samtykke;
• Opdele enhver lagring eller tilstand, der kan observeres af websteder, pr. websted på øverste niveau, eller blokere sådan lagring eller tilstand fra brug og observerbarhed på tværs af websteder;
• Synkroniser ikke cookies og tilstand mellem browseren og andre apps, selv andre apps fra udvikleren;
• Ikke dele enhedsidentifikatorer med websteder uden informeret samtykke og brugeraktivering;
• Mærk netværksforbindelser ved hjælp af de API'er, der leveres til at generere en app-privatlivsrapport på iOS; og
• Følg almindeligt vedtagne webstandarder for, hvornår der skal kræves informeret brugeraktivering for web-API'er (f.eks. udklipsholder eller fuldskærmsadgang), inklusive dem, der giver adgang til PII.

Apple vil også give autoriserede udviklere af dedikerede browser-apps adgang til sikkerhedsbegrænsninger og -funktioner for at sætte dem i stand til at bygge sikre browsermotorer og få adgang til funktioner som adgangsnøgler til sikkert brugerlogin, multiproces-systemfunktioner til at forbedre sikkerhed og stabilitet, webindholdssandkasser, der bekæmper udvikling sikkerhedstrusler og meget mere.

Ud over at tillade 3. parts browsermotorer vil Apple vise en ny valgskærm, hvor brugere kan vælge en standard webbrowser fra en liste over muligheder. Når brugere i EU første gang åbner Safari på iOS 17.4, bliver de bedt om at vælge deres standardbrowser.