Apple dopušta preglednike trećih strana kao što je Chromium u EU

Kako bi se uskladio s nadolazećim DMA aktom u EU, Apple danas najavio velike promjene u svojim pravilima App Storea.

Prvo, programeri aplikacija moći će koristiti alternativne motore preglednika. Do sada su čak i web preglednici trećih strana na iOS-u koristili Appleov vlastiti WebKit. Uz ovu novu promjenu, alternativni motori preglednika poput Chromiuma mogu se koristiti za namjenske aplikacije preglednika i aplikacije koje pružaju iskustvo pregledavanja unutar aplikacije u EU.

Međutim, Apple će ovlastiti programere da implementiraju alternativne motore preglednika samo nakon što ispune određene kriterije i obvežu se na niz tekućih zahtjeva za privatnošću i sigurnošću, uključujući pravovremena sigurnosna ažuriranja za rješavanje novih prijetnji i ranjivosti. U nastavku pročitajte o Appleovim zahtjevima za tražilice trećih strana.

Da biste se kvalificirali za pravo, vaša aplikacija mora:

• Biti dostupan na iOS-u samo u Europskoj uniji
• Biti zasebna binarna datoteka od bilo koje aplikacije koja koristi sustav web preglednika
• Imati zadano pravo web preglednika
• Ispunite sljedeće funkcionalne zahtjeve kako biste bili sigurni da vaša aplikacija koristi mehanizam web-preglednika koji pruža osnovnu liniju web-funkcionalnosti:
  • Položite minimalni postotak testova dostupnih iz industrijskih standardnih paketa testova:
    • 90% od Testovi web platforme
    • i 80% od Test262
  • Ispunite gornji zahtjev paketa testova ako kompilacija Just in Time (JIT) nije dostupna (npr. ako je korisnik omogućio Lockdown Mode)
• Vi i vaša aplikacija morate ispunjavati sljedeće sigurnosne zahtjeve:
  • Obvežite se na sigurne razvojne procese, uključujući praćenje ranjivosti u lancu opskrbe softvera vaše aplikacije i praćenje najboljih praksi oko sigurnog razvoja softvera (kao što je izvođenje modeliranja prijetnji na novim značajkama u razvoju).
  • Navedite URL za objavljenu politiku otkrivanja ranjivosti koja uključuje podatke za kontakt za prijavu sigurnosnih ranjivosti i problema od strane trećih strana (koje mogu uključivati ​​Apple), koje informacije navesti u izvješću i kada očekivati ​​ažuriranja statusa.
  • Obvežite se da ćete pravodobno ublažiti ranjivosti koje se iskorištavaju unutar vaše aplikacije ili alternativnog web preglednika koji koristi (npr. 30 dana za najjednostavnije klase ranjivosti koje se aktivno iskorištavaju).
  • Navedite URL do javno dostupne web-stranice (ili stranica) koje pružaju informacije o tome koje su prijavljene ranjivosti riješene u određenim verzijama tražilice preglednika i pridružene verzije aplikacije ako se razlikuju
  • Ako vaš alternativni motor web-preglednika koristi pohranu korijenskog certifikata kojem se ne pristupa putem iOS SDK-a, morate učiniti politiku korijenskog certifikata javno dostupnom, a vlasnik te politike mora sudjelovati kao preglednik u Certifikacijskom tijelu/Forumu preglednika.
  • Pokažite podršku za moderne protokole Transport Layer Security za zaštitu komunikacija podataka u prijenosu kada se koristi preglednik.

Sigurnosni zahtjevi programa

Morate učiniti sljedeće:

• Koristite programske jezike sigurne za memoriju ili značajke koje poboljšavaju sigurnost memorije unutar drugih jezika unutar alternativnog web preglednika najmanje za sav kod koji obrađuje web sadržaj;
• Usvojiti najnovija sigurnosna ublažavanja (na primjer, Pointer Authentication Codes) koja uklanjaju klase ranjivosti ili znatno otežavaju razvoj lanca iskorištavanja;
• Slijedite siguran dizajn i sigurno kodiranje, najbolju praksu;
• Koristite odvajanje procesa kako biste ograničili učinke iskorištavanja i potvrdili međuprocesnu komunikaciju (IPC) unutar alternativnog motora web preglednika;
• Pratite ranjivosti u svim ovisnostima o softveru treće strane i širem lancu nabave softvera vaše aplikacije, migrirajući na novije verzije ako ranjivost utječe na vašu aplikaciju;
• Ne koristite okvire ili softverske biblioteke koje više ne primaju sigurnosna ažuriranja kao odgovor na ranjivosti; i
• Dajte prednost brzom rješavanju prijavljenih ranjivosti u odnosu na razvoj novih značajki. Na primjer, gdje alternativni mehanizam web-preglednika premošćuje mogućnosti između SDK-a platforme i web-sadržaja kako bi omogućio web-API-je, na zahtjev morate ukloniti podršku za takav Web-API ako se utvrdi da predstavlja ranjivost. Većina ranjivosti trebala bi se riješiti za 30 dana, ali neke mogu biti složenije i mogu potrajati dulje.

Zahtjevi za privatnost programa

Morate učiniti sljedeće:

• Blokirajte kolačiće s više stranica (tj. kolačiće treće strane) prema zadanim postavkama osim ako korisnik izričito ne odluči dopustiti takve kolačiće uz informirani pristanak;
• Podijeliti bilo koju pohranu ili stanje koje web-mjesta mogu promatrati po web-mjestu najviše razine ili blokirati takvo pohranjivanje ili stanje od korištenja i promatranja s druge stranice;
• Ne sinkronizirati kolačiće i stanje između preglednika i bilo koje druge aplikacije, čak ni drugih aplikacija razvojnog programera;
• Ne dijeliti identifikatore uređaja s web stranicama bez informiranog pristanka i aktivacije korisnika;
• Označite mrežne veze pomoću API-ja danih za generiranje izvješća o privatnosti aplikacije na iOS-u; i
• Slijedite uobičajeno prihvaćene web standarde o tome kada zahtijevati informiranu korisničku aktivaciju za web API-je (npr. međuspremnik ili pristup preko cijelog zaslona), uključujući one koji pružaju pristup PII-u.

Apple će također omogućiti ovlaštenim programerima namjenskih aplikacija za preglednike pristup sigurnosnim mjerama i mogućnostima kako bi im omogućili izgradnju sigurnih mehanizama preglednika i pristup značajkama kao što su zaporke za sigurnu korisničku prijavu, mogućnosti višeprocesnog sustava za poboljšanje sigurnosti i stabilnosti, sandboxove web sadržaja koji se bore protiv evoluiranja sigurnosne prijetnje i više.

Osim što dopušta tražilice trećih strana, Apple će prikazati novi izborni zaslon na kojem korisnici mogu odabrati zadani web preglednik s popisa opcija. Kada korisnici u EU prvi put otvore Safari na iOS-u 3, od njih će se tražiti da odaberu svoj zadani preglednik.