Apple erlaubt Browser-Engines von Drittanbietern wie Chromium in der EU

Startseite » Microsoft

Symbol für die Lesezeit 5 Minute. lesen

Kalendersymbol Veröffentlicht am

by Pradeep Viswav 

Veröffentlicht am

Teile diesen Artikel

Leser unterstützen MSpoweruser. Wir erhalten möglicherweise eine Provision, wenn Sie über unsere Links kaufen. Tooltip-Symbol

Lesen Sie unsere Offenlegungsseite, um herauszufinden, wie Sie MSPoweruser dabei helfen können, das Redaktionsteam zu unterstützen Lesen Sie weiter

Chrom-Projekt

Um dem bevorstehenden DMA-Gesetz in der EU nachzukommen, hat Apple heute angekündigt angekündigt große Änderungen an seinen App Store-Richtlinien.

Erstens können App-Entwickler alternative Browser-Engines verwenden. Bisher verwendeten sogar Webbrowser von Drittanbietern unter iOS Apples eigenes WebKit. Mit dieser neuen Änderung können alternative Browser-Engines wie Chromium für dedizierte Browser-Apps und Apps verwendet werden, die In-App-Browsing-Erlebnisse in der EU bieten.

Allerdings wird Apple Entwicklern die Implementierung alternativer Browser-Engines nur dann genehmigen, wenn sie bestimmte Kriterien erfüllen und sich zu einer Reihe laufender Datenschutz- und Sicherheitsanforderungen verpflichten, einschließlich zeitnaher Sicherheitsupdates zur Behebung neu auftretender Bedrohungen und Schwachstellen. Lesen Sie unten mehr über die Anforderungen von Apple an Browser-Engines von Drittanbietern.

Um sich für den Anspruch zu qualifizieren, muss Ihre App:

  • Nur in der Europäischen Union für iOS verfügbar
  • Seien Sie eine von jeder App getrennte Binärdatei, die die vom System bereitgestellte Webbrowser-Engine verwendet
  • Habe die Standardeinstellung Webbrowser-Berechtigung
  • Erfüllen Sie die folgenden funktionalen Anforderungen, um sicherzustellen, dass Ihre App eine Webbrowser-Engine verwendet, die eine grundlegende Webfunktionalität bereitstellt:
    • Bestehen Sie einen Mindestprozentsatz an Tests, die in branchenüblichen Testsuiten verfügbar sind:
    • Erfüllen Sie die oben genannten Testsuite-Anforderungen, wenn die Just-in-Time-Kompilierung (JIT) nicht verfügbar ist (z. B. wenn der Sperrmodus vom Benutzer aktiviert ist).
  • Sie und Ihre App müssen die folgenden Sicherheitsanforderungen erfüllen:
    • Setzen Sie sich für sichere Entwicklungsprozesse ein, einschließlich der Überwachung der Softwarelieferkette Ihrer App auf Schwachstellen, und befolgen Sie Best Practices für die sichere Softwareentwicklung (z. B. die Durchführung von Bedrohungsmodellen für neue Funktionen, die sich in der Entwicklung befinden).
    • Geben Sie eine URL zu einer veröffentlichten Richtlinie zur Offenlegung von Sicherheitslücken an, die Kontaktinformationen für die Meldung von Sicherheitslücken und -problemen an Sie durch Dritte (einschließlich Apple) enthält, welche Informationen in einem Bericht angegeben werden müssen und wann mit Statusaktualisierungen zu rechnen ist.
    • Verpflichten Sie sich, Schwachstellen, die in Ihrer App oder der von ihr verwendeten alternativen Webbrowser-Engine ausgenutzt werden, rechtzeitig zu beheben (z. B. 30 Tage für die einfachsten Klassen von Schwachstellen, die aktiv ausgenutzt werden).
    • Geben Sie eine URL zu einer öffentlich zugänglichen Webseite (oder Seiten) an, die Informationen darüber enthält, welche gemeldeten Schwachstellen in bestimmten Versionen der Browser-Engine und der zugehörigen App-Version, falls unterschiedlich, behoben wurden
    • Wenn Ihre alternative Webbrowser-Engine einen Stammzertifikatsspeicher verwendet, auf den nicht über das iOS SDK zugegriffen wird, müssen Sie die Stammzertifikatsrichtlinie öffentlich zugänglich machen und der Eigentümer dieser Richtlinie muss als Browser an der Zertifizierungsstelle/im Browser-Forum teilnehmen.
    • Demonstrieren Sie die Unterstützung moderner Transport Layer Security-Protokolle, um die Datenkommunikation während der Übertragung zu schützen, wenn die Browser-Engine verwendet wird.
Anforderungen an die Programmsicherheit

Sie müssen Folgendes tun:

  • Verwenden Sie speichersichere Programmiersprachen oder Funktionen, die die Speichersicherheit in anderen Sprachen verbessern, innerhalb der alternativen Webbrowser-Engine mindestens für den gesamten Code, der Webinhalte verarbeitet;
  • Führen Sie die neuesten Sicherheitsmaßnahmen ein (z. B. Pointer-Authentifizierungscodes), die Schwachstellenklassen beseitigen oder die Entwicklung einer Exploit-Kette erheblich erschweren.
  • Befolgen Sie die Best Practices für sicheres Design und sichere Codierung.
  • Nutzen Sie die Prozesstrennung, um die Auswirkungen der Ausnutzung zu begrenzen und die Interprozesskommunikation (IPC) innerhalb der alternativen Webbrowser-Engine zu validieren.
  • Überwachen Sie die Softwareabhängigkeiten von Drittanbietern und die breitere Softwarelieferkette Ihrer App auf Schwachstellen und migrieren Sie auf neuere Versionen, wenn eine Schwachstelle Ihre App beeinträchtigt.
  • Verwenden Sie keine Frameworks oder Softwarebibliotheken, die als Reaktion auf Schwachstellen keine Sicherheitsupdates mehr erhalten. Und
  • Geben Sie der zügigen Behebung gemeldeter Schwachstellen Vorrang vor der Entwicklung neuer Funktionen. Wenn beispielsweise die alternative Webbrowser-Engine Funktionen zwischen dem SDK der Plattform und Webinhalten verbindet, um Web-APIs zu ermöglichen, müssen Sie auf Anfrage die Unterstützung für eine solche Web-API entfernen, wenn festgestellt wird, dass sie eine Schwachstelle darstellt. Die meisten Schwachstellen sollten innerhalb von 30 Tagen behoben sein, einige können jedoch komplexer sein und länger dauern.
Datenschutzanforderungen des Programms

Sie müssen Folgendes tun:

  • Blockieren Sie standardmäßig Cross-Site-Cookies (d. h. Cookies von Drittanbietern), es sei denn, der Benutzer entscheidet sich ausdrücklich dafür, solche Cookies mit informierter Zustimmung zuzulassen.
  • Partitionieren Sie jeglichen Speicher oder Zustand, der von Websites beobachtbar ist, nach Websites der obersten Ebene oder blockieren Sie diesen Speicher oder Zustand für die standortübergreifende Nutzung und Beobachtbarkeit.
  • Cookies und Status werden nicht zwischen dem Browser und anderen Apps synchronisiert, auch nicht mit anderen Apps des Entwicklers.
  • Geben Sie Gerätekennungen nicht ohne informierte Einwilligung und Benutzeraktivierung an Websites weiter.
  • Kennzeichnen Sie Netzwerkverbindungen mithilfe der bereitgestellten APIs, um einen App-Datenschutzbericht für iOS zu erstellen. Und
  • Befolgen Sie allgemein anerkannte Webstandards, wann eine informierte Benutzeraktivierung für Web-APIs (z. B. Zwischenablage- oder Vollbildzugriff) erforderlich ist, einschließlich solcher, die Zugriff auf personenbezogene Daten ermöglichen.

Apple wird autorisierten Entwicklern dedizierter Browser-Apps außerdem Zugang zu Sicherheitsmaßnahmen und -funktionen bieten, die es ihnen ermöglichen, sichere Browser-Engines zu erstellen, und auf Funktionen wie Passkeys für sichere Benutzeranmeldung, Multiprozess-Systemfunktionen zur Verbesserung von Sicherheit und Stabilität sowie Sandboxes für Webinhalte zur Bekämpfung der Weiterentwicklung zugreifen Sicherheitsbedrohungen und mehr.

Apple erlaubt nicht nur Browser-Engines von Drittanbietern, sondern zeigt auch einen neuen Auswahlbildschirm an, auf dem Benutzer aus einer Liste von Optionen einen Standard-Webbrowser auswählen können. Wenn Benutzer in der EU Safari zum ersten Mal unter iOS 3 öffnen, werden sie aufgefordert, ihren Standardbrowser auszuwählen.

Mehr zu den Themen: Apfel, DMA, eu, Microsoft

Pradeep Viswav

Pradeep Viswav Schild

Experte für Software und Services

Pradeep ist Absolvent der Informatik und Ingenieurwissenschaften. Er war außerdem Microsoft Student Partner. Derzeit arbeitet er in einem führenden IT-Unternehmen.

Hinterlassen Sie uns einen Kommentar

E-Mail-Adresse wird nicht veröffentlicht. Pflichtfelder sind MIT * gekennzeichnet. *