Η Apple θα επιτρέψει μηχανές περιήγησης τρίτων κατασκευαστών όπως το Chromium στην ΕΕ

Για να συμμορφωθεί με τον επερχόμενο νόμο DMA στην ΕΕ, η Apple σήμερα ανακοίνωσε σημαντικές αλλαγές στις πολιτικές του App Store.

Πρώτον, οι προγραμματιστές εφαρμογών θα μπορούν να χρησιμοποιούν εναλλακτικές μηχανές προγράμματος περιήγησης. Μέχρι τώρα, ακόμη και προγράμματα περιήγησης ιστού τρίτων κατασκευαστών στο iOS χρησιμοποιούσαν το δικό του WebKit της Apple. Με αυτήν τη νέα αλλαγή, εναλλακτικές μηχανές προγράμματος περιήγησης, όπως το Chromium, μπορούν να χρησιμοποιηθούν για αποκλειστικές εφαρμογές προγράμματος περιήγησης και εφαρμογές που παρέχουν εμπειρίες περιήγησης εντός εφαρμογής στην ΕΕ.

Ωστόσο, η Apple θα εξουσιοδοτήσει τους προγραμματιστές να εφαρμόζουν εναλλακτικές μηχανές προγράμματος περιήγησης μόνο αφού πληρούν συγκεκριμένα κριτήρια και δεσμεύονται σε μια σειρά από συνεχείς απαιτήσεις απορρήτου και ασφάλειας, συμπεριλαμβανομένων έγκαιρων ενημερώσεων ασφαλείας για την αντιμετώπιση αναδυόμενων απειλών και τρωτών σημείων. Διαβάστε σχετικά με τις απαιτήσεις της Apple για μηχανές προγράμματος περιήγησης τρίτου κατασκευαστή παρακάτω.

Για να πληροί τις προϋποθέσεις για το δικαίωμα, η εφαρμογή σας πρέπει:

• Να είναι διαθέσιμο σε iOS μόνο στην Ευρωπαϊκή Ένωση
• Αποτελείτε ξεχωριστό δυαδικό αρχείο από οποιαδήποτε εφαρμογή που χρησιμοποιεί τη μηχανή προγράμματος περιήγησης ιστού που παρέχεται από το σύστημα
• Έχετε την προεπιλογή δικαίωμα προγράμματος περιήγησης Ιστού
• Πληρείτε τις ακόλουθες λειτουργικές απαιτήσεις για να διασφαλίσετε ότι η εφαρμογή σας χρησιμοποιεί μια μηχανή προγράμματος περιήγησης ιστού που παρέχει μια βασική γραμμή λειτουργιών ιστού:
  • Επιτυχία ενός ελάχιστου ποσοστού δοκιμών που διατίθενται από τις τυπικές σουίτες δοκιμών του κλάδου:
    • 90% από Δοκιμές διαδικτυακής πλατφόρμας
    • και 80% από Test262
  • Ικανοποιήστε την παραπάνω απαίτηση της σουίτας δοκιμών εάν η συλλογή Just in Time (JIT) δεν είναι διαθέσιμη (π.χ. εάν η λειτουργία κλειδώματος είναι ενεργοποιημένη από τον χρήστη)
• Εσείς και η εφαρμογή σας πρέπει να πληροίτε τις ακόλουθες απαιτήσεις ασφαλείας:
  • Δεσμευτείτε για ασφαλείς διαδικασίες ανάπτυξης, συμπεριλαμβανομένης της παρακολούθησης της αλυσίδας εφοδιασμού λογισμικού της εφαρμογής σας για τρωτά σημεία και της παρακολούθησης βέλτιστων πρακτικών σχετικά με την ασφαλή ανάπτυξη λογισμικού (όπως η εκτέλεση μοντελοποίησης απειλών σε νέες δυνατότητες υπό ανάπτυξη).
  • Παρέχετε μια διεύθυνση URL σε μια δημοσιευμένη πολιτική αποκάλυψης ευπάθειας που περιλαμβάνει στοιχεία επικοινωνίας για την αναφορά τρωτών σημείων και ζητημάτων ασφαλείας σε εσάς από τρίτα μέρη (που μπορεί να περιλαμβάνουν την Apple), ποιες πληροφορίες πρέπει να παρέχονται σε μια αναφορά και πότε να αναμένονται ενημερώσεις κατάστασης.
  • Δεσμευτείτε να μειώσετε έγκαιρα τα τρωτά σημεία που εκμεταλλεύονται εντός της εφαρμογής σας ή της εναλλακτικής μηχανής προγράμματος περιήγησης ιστού που χρησιμοποιεί (π.χ. 30 ημέρες για την ενεργή εκμετάλλευση των απλούστερων κατηγοριών τρωτών σημείων).
  • Παρέχετε μια διεύθυνση URL σε μια δημόσια διαθέσιμη ιστοσελίδα (ή σελίδες) που παρέχει πληροφορίες σχετικά με τις οποίες έχουν επιλυθεί αναφερόμενες ευπάθειες σε συγκεκριμένες εκδόσεις της μηχανής προγράμματος περιήγησης και της σχετικής έκδοσης της εφαρμογής, εάν διαφέρει
  • Εάν η εναλλακτική μηχανή προγράμματος περιήγησης ιστού σας χρησιμοποιεί χώρο αποθήκευσης πιστοποιητικών ρίζας που δεν είναι προσβάσιμη μέσω του iOS SDK, πρέπει να κάνετε δημόσια προσβάσιμη την πολιτική πιστοποιητικού ρίζας και ο κάτοχος αυτής της πολιτικής πρέπει να συμμετέχει ως πρόγραμμα περιήγησης στην Αρχή πιστοποίησης / Φόρουμ προγράμματος περιήγησης.
  • Αποδείξτε υποστήριξη για σύγχρονα πρωτόκολλα ασφαλείας επιπέδου μεταφοράς για την προστασία των επικοινωνιών κατά τη μεταφορά δεδομένων όταν χρησιμοποιείται η μηχανή του προγράμματος περιήγησης.

Απαιτήσεις ασφαλείας προγράμματος

Πρέπει να κάνετε τα εξής:

• Χρησιμοποιήστε γλώσσες προγραμματισμού ασφαλείς για μνήμη ή λειτουργίες που βελτιώνουν την ασφάλεια της μνήμης σε άλλες γλώσσες, εντός της εναλλακτικής μηχανής προγράμματος περιήγησης ιστού, τουλάχιστον για όλους τους κωδικούς που επεξεργάζονται περιεχόμενο ιστού.
• Υιοθετήστε τους πιο πρόσφατους μετριασμούς ασφαλείας (για παράδειγμα, Κώδικες ελέγχου ταυτότητας δείκτη) που αφαιρούν κατηγορίες τρωτών σημείων ή καθιστούν πολύ πιο δύσκολη την ανάπτυξη μιας αλυσίδας εκμετάλλευσης.
• Ακολουθήστε ασφαλή σχεδιασμό και ασφαλή κωδικοποίηση, βέλτιστες πρακτικές.
• Χρησιμοποιήστε τον διαχωρισμό διεργασιών για να περιορίσετε τις επιπτώσεις της εκμετάλλευσης και να επικυρώσετε την επικοινωνία μεταξύ διεργασιών (IPC) εντός της εναλλακτικής μηχανής προγράμματος περιήγησης ιστού.
• Παρακολουθήστε για τρωτά σημεία σε τυχόν εξαρτήσεις λογισμικού τρίτων και στην ευρύτερη αλυσίδα εφοδιασμού λογισμικού της εφαρμογής σας, μετεγκατάσταση σε νεότερες εκδόσεις εάν μια ευπάθεια επηρεάσει την εφαρμογή σας.
• Μη χρησιμοποιείτε πλαίσια ή βιβλιοθήκες λογισμικού που δεν λαμβάνουν πλέον ενημερώσεις ασφαλείας ως απόκριση σε τρωτά σημεία. και
• Δώστε προτεραιότητα στην επίλυση των αναφερόμενων τρωτών σημείων με σκοπιμότητα, έναντι της ανάπτυξης νέων χαρακτηριστικών. Για παράδειγμα, όπου η εναλλακτική μηχανή προγράμματος περιήγησης ιστού γεφυρώνει τις δυνατότητες μεταξύ του SDK της πλατφόρμας και του περιεχομένου ιστού για να ενεργοποιήσει τα API Ιστού, κατόπιν αιτήματος θα πρέπει να καταργήσετε την υποστήριξη για ένα τέτοιο Web API εάν διαπιστωθεί ότι παρουσιάζει ευπάθεια. Τα περισσότερα τρωτά σημεία θα πρέπει να επιλυθούν σε 30 ημέρες, αλλά μερικά μπορεί να είναι πιο περίπλοκα και μπορεί να διαρκέσουν περισσότερο.

Απαιτήσεις απορρήτου προγράμματος

Πρέπει να κάνετε τα εξής:

• Αποκλεισμός cookie μεταξύ ιστοτόπων (δηλαδή cookie τρίτων) από προεπιλογή, εκτός εάν ο χρήστης επιλέξει ρητά να επιτρέψει τέτοια cookie με ενημερωμένη συγκατάθεση.
• Διαχωρισμός οποιουδήποτε αποθηκευτικού χώρου ή κατάστασης που μπορεί να παρατηρηθεί από ιστοτόπους ανά ιστότοπο ανώτατου επιπέδου ή αποκλεισμός τέτοιου χώρου αποθήκευσης ή κατάστασης από χρήση και παρατηρησιμότητα μεταξύ ιστοτόπων.
• Να μην συγχρονίζει τα cookie και την κατάσταση μεταξύ του προγράμματος περιήγησης και άλλων εφαρμογών, ακόμη και άλλων εφαρμογών του προγραμματιστή.
• Να μην κοινοποιούνται αναγνωριστικά συσκευής με ιστότοπους χωρίς ενημερωμένη συγκατάθεση και ενεργοποίηση από τον χρήστη.
• Επισημάνετε τις συνδέσεις δικτύου χρησιμοποιώντας τα API που παρέχονται για τη δημιουργία μιας αναφοράς απορρήτου εφαρμογής στο iOS. και
• Ακολουθήστε τα κοινά υιοθετούμενα πρότυπα ιστού σχετικά με το πότε πρέπει να απαιτείται ενημερωμένη ενεργοποίηση χρήστη για API Ιστού (π.χ. πρόσβαση στο πρόχειρο ή σε πλήρη οθόνη), συμπεριλαμβανομένων εκείνων που παρέχουν πρόσβαση σε PII.

Η Apple θα παρέχει επίσης στους εξουσιοδοτημένους προγραμματιστές αποκλειστικών εφαρμογών προγράμματος περιήγησης πρόσβαση σε μετριασμούς και δυνατότητες ασφαλείας για να τους επιτρέψει να δημιουργήσουν ασφαλείς μηχανές προγράμματος περιήγησης και να έχουν πρόσβαση σε λειτουργίες όπως κωδικοί πρόσβασης για ασφαλή σύνδεση χρήστη, δυνατότητες συστήματος πολλαπλών διεργασιών για βελτίωση της ασφάλειας και σταθερότητας, περιβάλλοντα δοκιμών περιεχομένου ιστού που καταπολεμούν την εξέλιξη απειλές για την ασφάλεια και πολλά άλλα.

Εκτός από το να επιτρέπει μηχανές περιήγησης τρίτων κατασκευαστών, η Apple θα εμφανίσει μια νέα οθόνη επιλογής όπου οι χρήστες μπορούν να επιλέξουν ένα προεπιλεγμένο πρόγραμμα περιήγησης ιστού από μια λίστα επιλογών. Όταν οι χρήστες στην ΕΕ ανοίξουν για πρώτη φορά το Safari στο iOS 3, θα τους ζητηθεί να επιλέξουν το προεπιλεγμένο πρόγραμμα περιήγησής τους.