Apple autorise les moteurs de navigateur tiers comme Chromium dans l'UE
5 minute. lis
Publié le
Partagez cet article
Améliorer ce guide
Lisez notre page de divulgation pour savoir comment vous pouvez aider MSPoweruser à soutenir l'équipe éditoriale En savoir plus
Pour se conformer à la prochaine loi DMA dans l'UE, Apple aujourd'hui annoncé des changements majeurs dans ses politiques App Store.
Premièrement, les développeurs d’applications pourront utiliser des moteurs de navigation alternatifs. Jusqu'à présent, même les navigateurs Web tiers sur iOS utilisaient le WebKit d'Apple. Avec ce nouveau changement, des moteurs de navigateur alternatifs tels que Chromium peuvent être utilisés pour des applications de navigateur dédiées et des applications offrant des expériences de navigation intégrées aux applications dans l'UE.
Cependant, Apple n'autorisera les développeurs à mettre en œuvre des moteurs de navigateur alternatifs qu'après avoir satisfait à des critères spécifiques et s'être engagés à respecter un certain nombre d'exigences continues en matière de confidentialité et de sécurité, y compris des mises à jour de sécurité en temps opportun pour faire face aux menaces et vulnérabilités émergentes. Découvrez ci-dessous les exigences d'Apple pour les moteurs de navigateur tiers.
Pour bénéficier de ce droit, votre application doit :
- Être disponible sur iOS dans l'Union européenne uniquement
- Être un binaire distinct de toute application utilisant le moteur de navigateur Web fourni par le système
- Avoir la valeur par défaut droit du navigateur Web
- Répondez aux exigences fonctionnelles suivantes pour garantir que votre application utilise un moteur de navigateur Web qui fournit une base de fonctionnalités Web :
- Réussissez un pourcentage minimum de tests disponibles dans les suites de tests standard de l'industrie :
- 90% à partir de Tests de plateforme Web
- et 80% de Test262
- Répondez aux exigences de la suite de tests ci-dessus si la compilation Juste à Temps (JIT) n'est pas disponible (par exemple, si le mode de verrouillage est activé par l'utilisateur)
- Réussissez un pourcentage minimum de tests disponibles dans les suites de tests standard de l'industrie :
- Vous et votre application devez répondre aux exigences de sécurité suivantes :
- Engagez-vous à sécuriser les processus de développement, notamment en surveillant la chaîne d'approvisionnement logicielle de votre application pour détecter les vulnérabilités, et en suivant les bonnes pratiques en matière de développement logiciel sécurisé (telles que la modélisation des menaces sur les nouvelles fonctionnalités en cours de développement).
- Fournissez une URL vers une politique de divulgation de vulnérabilité publiée qui comprend des informations de contact pour vous signaler des vulnérabilités et des problèmes de sécurité par des tiers (qui peuvent inclure Apple), les informations à fournir dans un rapport et quand s'attendre à des mises à jour de statut.
- Engagez-vous à atténuer les vulnérabilités exploitées dans votre application ou dans le moteur de navigateur Web alternatif qu'elle utilise en temps opportun (par exemple, 30 jours pour les classes de vulnérabilités les plus simples activement exploitées).
- Fournissez une URL vers une ou plusieurs pages Web accessibles au public qui fournissent des informations sur les vulnérabilités signalées qui ont été résolues dans des versions spécifiques du moteur de navigateur et la version de l'application associée si elle est différente.
- Si votre moteur de navigateur Web alternatif utilise un magasin de certificats racine qui n'est pas accessible via le SDK iOS, vous devez rendre la politique de certificat racine accessible au public et le propriétaire de cette politique doit participer en tant que navigateur à l'autorité de certification/au forum des navigateurs.
- Démontrer la prise en charge des protocoles modernes de Transport Layer Security pour protéger les communications de données en transit lorsque le moteur du navigateur est utilisé.
Exigences de sécurité du programme
Vous devez effectuer les opérations suivantes :
- Utiliser des langages de programmation sécurisés en mémoire, ou des fonctionnalités qui améliorent la sécurité de la mémoire dans d'autres langages, dans le moteur de navigateur Web alternatif, au minimum pour tout le code qui traite le contenu Web ;
- Adopter les dernières mesures d'atténuation de sécurité (par exemple, les codes d'authentification de pointeur) qui suppriment des classes de vulnérabilités ou rendent beaucoup plus difficile le développement d'une chaîne d'exploitation ;
- Suivre les meilleures pratiques en matière de conception sécurisée et de codage sécurisé ;
- Utiliser la séparation des processus pour limiter les effets de l'exploitation et valider la communication inter-processus (IPC) au sein du moteur de navigateur Web alternatif ;
- Surveillez les vulnérabilités dans les dépendances de logiciels tiers et dans la chaîne d'approvisionnement logicielle plus large de votre application, en migrant vers des versions plus récentes si une vulnérabilité affecte votre application ;
- Ne pas utiliser de frameworks ou de bibliothèques logicielles qui ne reçoivent plus de mises à jour de sécurité en réponse à des vulnérabilités ; et
- Donnez la priorité à la résolution rapide des vulnérabilités signalées plutôt qu’au développement de nouvelles fonctionnalités. Par exemple, lorsque le moteur de navigateur Web alternatif relie les capacités entre le SDK de la plateforme et le contenu Web pour activer les API Web, vous devez, sur demande, supprimer la prise en charge d'une telle API Web si elle est identifiée comme présentant une vulnérabilité. La plupart des vulnérabilités devraient être résolues dans un délai de 30 jours, mais certaines peuvent être plus complexes et prendre plus de temps.
Exigences de confidentialité du programme
Vous devez effectuer les opérations suivantes :
- Bloquer les cookies intersites (c'est-à-dire les cookies tiers) par défaut, sauf si l'utilisateur choisit expressément d'autoriser ces cookies avec son consentement éclairé ;
- Partitionner tout stockage ou état observable par les sites Web par site Web de niveau supérieur, ou bloquer ce stockage ou cet état de l'utilisation et de l'observabilité sur plusieurs sites ;
- Ne pas synchroniser les cookies et l'état entre le navigateur et d'autres applications, même d'autres applications du développeur ;
- Ne pas partager les identifiants d'appareil avec des sites Web sans le consentement éclairé et l'activation de l'utilisateur ;
- Étiquetez les connexions réseau à l'aide des API fournies pour générer un rapport de confidentialité des applications sur iOS ; et
- Suivez les normes Web communément adoptées pour savoir quand exiger une activation utilisateur informée pour les API Web (par exemple, accès au presse-papiers ou en plein écran), y compris celles qui donnent accès aux informations personnelles.
Apple fournira également aux développeurs autorisés d'applications de navigateur dédiées un accès aux mesures d'atténuation et aux fonctionnalités de sécurité pour leur permettre de créer des moteurs de navigateur sécurisés, ainsi qu'à des fonctionnalités telles que des mots de passe pour une connexion sécurisée des utilisateurs, des capacités de système multiprocessus pour améliorer la sécurité et la stabilité, des bacs à sable de contenu Web qui luttent contre l'évolution. menaces de sécurité, et plus encore.
En plus d'autoriser les moteurs de navigateur tiers, Apple affichera un nouvel écran de choix où les utilisateurs pourront choisir un navigateur Web par défaut parmi une liste d'options. Lorsque les utilisateurs de l’UE ouvrent Safari pour la première fois sur iOS 3, ils seront invités à choisir leur navigateur par défaut.
