Az Apple engedélyezi a harmadik féltől származó böngészőmotorokat, például a Chromiumot az EU-ban
5 perc olvas
Publikálva
Olvassa el közzétételi oldalunkat, hogy megtudja, hogyan segítheti az MSPowerusert a szerkesztői csapat fenntartásában Tovább
Az Apple ma, hogy megfeleljen a közelgő DMA-törvénynek az EU-ban bejelentés jelentős változások az App Store szabályzatában.
Először is, az alkalmazásfejlesztők alternatív böngészőmotorokat használhatnak majd. Eddig még a harmadik féltől származó webböngészők is iOS rendszeren használták az Apple saját WebKitjét. Ezzel az új változtatással az alternatív böngészőmotorok, például a Chromium használhatók a dedikált böngészőalkalmazásokhoz és az alkalmazásokon belüli böngészést biztosító alkalmazásokhoz az EU-ban.
Az Apple azonban csak akkor engedélyezi a fejlesztőknek alternatív böngészőmotorok bevezetését, ha megfelelnek bizonyos feltételeknek, és elkötelezik magukat számos folyamatos adatvédelmi és biztonsági követelmény mellett, beleértve a megfelelő időben történő biztonsági frissítéseket a felmerülő fenyegetések és sebezhetőségek kezelésére. Az alábbiakban olvashat az Apple harmadik féltől származó böngészőmotorokra vonatkozó követelményeiről.
A jogosultság megszerzéséhez az alkalmazásnak a következőket kell teljesítenie:
- Csak az Európai Unióban legyen elérhető iOS rendszeren
- Legyen különálló bináris minden olyan alkalmazástól, amely a rendszer által biztosított webböngészőmotort használja
- Legyen az alapértelmezett webböngésző jogosultság
- Meg kell felelnie a következő funkcionális követelményeknek annak biztosításához, hogy alkalmazása olyan webböngészőmotort használjon, amely a webes funkciók alapszintjét biztosítja:
- Az ipari szabványos tesztcsomagokból elérhető tesztek minimális százalékának teljesítése:
- 90% -tól Webplatform tesztek
- és 80% a Test262
- Teljesítse a fenti tesztcsomag követelményét, ha a Just in Time (JIT) fordítás nem érhető el (pl. ha a felhasználó engedélyezte a Lezárási módot)
- Az ipari szabványos tesztcsomagokból elérhető tesztek minimális százalékának teljesítése:
- Önnek és alkalmazásának meg kell felelnie a következő biztonsági követelményeknek:
- Vállalja el magát a biztonságos fejlesztési folyamatok mellett, ideértve az alkalmazás szoftverellátási láncának sebezhetőségeinek megfigyelését, valamint a biztonságos szoftverfejlesztéssel kapcsolatos bevált gyakorlatok követését (például fenyegetésmodellezés végrehajtását a fejlesztés alatt álló új funkciókon).
- Adjon meg egy URL-t a közzétett sebezhetőségre vonatkozó közzétételi szabályzathoz, amely tartalmazza a harmadik felek (beleértve az Apple-t is) által a biztonsági résekkel és problémákkal kapcsolatos bejelentésekhez szükséges elérhetőségeket, a jelentésben feltüntetendő információkat, és mikor várható állapotfrissítés.
- Vállalja magát az alkalmazásában vagy az általa használt alternatív webböngészőmotorban kihasznált sebezhetőségek időben történő csökkentése mellett (pl. 30 nap a legegyszerűbb sérülékenységi osztályok aktív kihasználása esetén).
- Adjon meg egy URL-t egy nyilvánosan elérhető weboldalhoz (vagy oldalakhoz), amely információkat tartalmaz arról, hogy mely jelentett sebezhetőségeket sikerült kijavítani a böngészőmotor adott verziójában és a kapcsolódó alkalmazásverzióban, ha eltérnek.
- Ha az alternatív webböngészőmotor olyan gyökértanúsítvány-tárolót használ, amelyhez nem az iOS SDK-n keresztül lehet hozzáférni, akkor nyilvánosan elérhetővé kell tennie a gyökértanúsítvány-házirendet, és a házirend tulajdonosának böngészőként részt kell vennie a Hitelesítés-szolgáltató/Böngészőfórumban.
- Mutassa be a modern Transport Layer Security protokollok támogatását az adatátviteli kommunikáció védelmére, amikor a böngészőmotor használatban van.
A program biztonsági követelményei
A következőket kell tennie:
- Használjon memóriabiztos programozási nyelveket vagy olyan funkciókat, amelyek javítják a memóriabiztonságot más nyelveken belül, az alternatív webböngészőmotoron belül legalább minden webtartalmat feldolgozó kódhoz;
- Alkalmazza a legújabb biztonsági csökkentéseket (például mutató hitelesítési kódokat), amelyek eltávolítják a sebezhetőségi osztályokat, vagy megnehezítik a kihasználási lánc fejlesztését;
- Kövesse a biztonságos tervezést és a biztonságos kódolást, a legjobb gyakorlatokat;
- Használja a folyamatok szétválasztását a kihasználás hatásainak korlátozására és a folyamatok közötti kommunikáció (IPC) érvényesítésére az alternatív webböngészőmotoron belül;
- Figyelemmel kísérheti a harmadik féltől származó szoftverfüggőségek és az alkalmazás szélesebb körű szoftverellátási láncának sebezhetőségét, és áttérhet az újabb verziókra, ha a biztonsági rés érinti az alkalmazást;
- Ne használjon keretrendszereket vagy szoftverkönyvtárakat, amelyek már nem kapnak biztonsági frissítéseket a biztonsági résekre válaszul; és
- Az új funkciók fejlesztésével szemben előnyben részesítse a jelentett sebezhetőségek célszerű megoldását. Például, ha az alternatív webböngészőmotor áthidalja a platform SDK-ja és a webtartalom közötti képességeket, hogy engedélyezze a webes API-kat, kérésre el kell távolítania az ilyen webes API-k támogatását, ha az azonosított sebezhetőséget okoz. A legtöbb sérülékenységet 30 napon belül meg kell oldani, de némelyik bonyolultabb lehet, és tovább tarthat.
A program adatvédelmi követelményei
A következőket kell tennie:
- Alapértelmezés szerint blokkolja a webhelyek közötti cookie-kat (azaz harmadik féltől származó cookie-kat), kivéve, ha a felhasználó kifejezetten engedélyezi az ilyen cookie-kat, tájékozott beleegyezésével;
- A webhelyek által megfigyelhető tárhely vagy állapot felosztása legfelső szintű webhelyenként, vagy blokkolja az ilyen tárhelyet vagy állapotot a helyek közötti használat és megfigyelhetőség elől;
- Nem szinkronizálja a cookie-kat és az állapotot a böngésző és más alkalmazások között, még a fejlesztő más alkalmazásai között sem;
- Ne ossza meg az eszközazonosítókat a webhelyekkel tájékozott beleegyezés és felhasználói aktiválás nélkül;
- A hálózati kapcsolatok címkézése a biztosított API-k segítségével az alkalmazás adatvédelmi jelentésének létrehozásához iOS rendszeren; és
- Kövesse az általánosan elfogadott webes szabványokat arra vonatkozóan, hogy mikor kell tájékozott felhasználói aktiválást kérni a webes API-khoz (pl. vágólaphoz vagy teljes képernyős hozzáféréshez), beleértve azokat is, amelyek hozzáférést biztosítanak a személyazonossági adatokhoz.
Az Apple emellett hozzáférést biztosít a dedikált böngészőalkalmazások felhatalmazott fejlesztői számára a biztonsági intézkedésekhez és lehetőségekhez, amelyek lehetővé teszik számukra, hogy biztonságos böngészőmotorokat építsenek, és olyan funkciókhoz férhessenek hozzá, mint például a biztonságos felhasználói bejelentkezéshez szükséges kulcsok, a biztonságot és stabilitást javító többprocesszoros rendszer-képességek, valamint a webtartalom-sandboxok, amelyek leküzdik a fejlődést. biztonsági fenyegetések és még sok más.
A harmadik féltől származó böngészőmotorok engedélyezése mellett az Apple egy új választási képernyőt is megjelenít, ahol a felhasználók választhatnak egy alapértelmezett webböngészőt a lehetőségek listájából. Amikor az EU-ban élő felhasználók először nyitják meg a Safarit iOS 3-en, a rendszer felkéri őket, hogy válasszák ki alapértelmezett böngészőjüket.