אפל תאפשר למנועי דפדפן של צד שלישי כמו Chromium באיחוד האירופי
5 דקות לקרוא
פורסם ב
שתף את המאמר הזה
שפר את המדריך הזה
קרא את דף הגילויים שלנו כדי לגלות כיצד תוכל לעזור ל-MSPoweruser לקיים את צוות העריכה קראו עוד
כדי לציית לחוק ה-DMA הקרוב באיחוד האירופי, אפל היום הודיע שינויים גדולים במדיניות ה-App Store שלה.
ראשית, מפתחי אפליקציות יוכלו להשתמש במנועי דפדפן חלופיים. עד עכשיו, אפילו דפדפני אינטרנט של צד שלישי ב-iOS השתמשו ב-WebKit של אפל. עם השינוי החדש הזה, ניתן להשתמש במנועי דפדפן חלופיים כמו Chromium עבור אפליקציות דפדפן ייעודיות ואפליקציות המספקות חוויות גלישה בתוך האפליקציה באיחוד האירופי.
עם זאת, אפל תאשר למפתחים להטמיע מנועי דפדפן חלופיים רק לאחר עמידה בקריטריונים ספציפיים והתחייבות למספר דרישות פרטיות ואבטחה מתמשכות, כולל עדכוני אבטחה בזמן כדי לטפל באיומים ופגיעויות מתעוררות. קרא על הדרישות של אפל עבור מנועי דפדפן צד שלישי להלן.
כדי להיות זכאי לזכאות, האפליקציה שלך חייבת:
- היה זמין ב-iOS באיחוד האירופי בלבד
- היה בינארי נפרד מכל אפליקציה שמשתמשת במנוע דפדפן האינטרנט המסופק על ידי המערכת
- יש את ברירת המחדל זכאות לדפדפן אינטרנט
- עמוד בדרישות הפונקציונליות הבאות כדי להבטיח שהאפליקציה שלך משתמשת במנוע דפדפן אינטרנט המספק קו בסיס של פונקציונליות האינטרנט:
- לעבור אחוז מינימלי של בדיקות זמינות מחבילות בדיקה סטנדרטיות בתעשייה:
- 90% מ מבחני פלטפורמת אינטרנט
- ו 80% מ Test262
- עמוד בדרישת חבילת הבדיקה לעיל אם הידור Just in Time (JIT) אינו זמין (למשל, אם מצב הנעילה מופעל על ידי המשתמש)
- לעבור אחוז מינימלי של בדיקות זמינות מחבילות בדיקה סטנדרטיות בתעשייה:
- אתה והאפליקציה שלך חייבים לעמוד בדרישות האבטחה הבאות:
- התחייבו לתהליכי פיתוח מאובטחים, כולל מעקב אחר שרשרת אספקת התוכנה של האפליקציה שלכם לאיתור נקודות תורפה, וביצוע שיטות עבודה מומלצות לגבי פיתוח תוכנה מאובטח (כגון ביצוע מודלים של איומים על תכונות חדשות בפיתוח).
- ספק כתובת URL למדיניות גילוי פגיעות שפורסמה הכוללת מידע ליצירת קשר לדיווח על פרצות ובעיות אבטחה אליך על ידי צדדים שלישיים (שעשויים לכלול את Apple), איזה מידע לספק בדוח ומתי לצפות לעדכוני סטטוס.
- התחייבו לצמצם את הפגיעויות המנוצלות בתוך האפליקציה שלכם או במנוע הדפדפן החלופי שבו היא משתמשת בזמן (למשל, 30 יום עבור הקבוצות הפשוטות ביותר של פגיעויות המנוצלות באופן פעיל).
- ספק כתובת אתר לדף אינטרנט (או דפים) הזמינים לציבור המספק מידע שעליו נפתרו פגיעויות שדווחו בגרסאות ספציפיות של מנוע הדפדפן וגרסת האפליקציה המשויכת אם שונה
- אם מנוע דפדפן האינטרנט החלופי שלך משתמש במאגר אישורי בסיס שאין גישה אליו דרך iOS SDK, עליך להפוך את מדיניות אישורי הבסיס לנגישה לציבור והבעלים של מדיניות זו חייב להשתתף כדפדפן בפורום רשות האישורים / הדפדפנים.
- הפגינו תמיכה בפרוטוקולים מודרניים של Transport Layer Security כדי להגן על תקשורת נתונים במעבר כאשר מנוע הדפדפן בשימוש.
דרישות אבטחה של התוכנית
עליך לבצע את הפעולות הבאות:
- השתמש בשפות תכנות בטוחות בזיכרון, או בתכונות המשפרות את בטיחות הזיכרון בשפות אחרות, בתוך מנוע הדפדפן החלופי לכל הפחות עבור כל הקוד המעבד תוכן אינטרנט;
- אמצו את אמצעי האבטחה העדכניים ביותר (לדוגמה, קודי אימות מצביע) שמסירים מחלקות של פגיעויות או מקשות בהרבה על פיתוח שרשרת ניצול;
- עקוב אחר שיטות עבודה מומלצות של עיצוב מאובטח וקידוד מאובטח;
- השתמש בהפרדת תהליכים כדי להגביל את ההשפעות של ניצול ולאמת תקשורת בין תהליכים (IPC) בתוך מנוע דפדפן האינטרנט החלופי;
- עקוב אחר נקודות תורפה בכל תלות בתוכנה של צד שלישי ובשרשרת אספקת התוכנה הרחבה יותר של האפליקציה שלך, מעבר לגרסאות חדשות יותר אם פגיעות משפיעה על האפליקציה שלך;
- אין להשתמש במסגרות או בספריות תוכנה שאינן מקבלות עוד עדכוני אבטחה בתגובה לפרצות; ו
- תעדוף פתרון פגיעויות שדווחו בצורה נוחה, על פני פיתוח תכונות חדשות. לדוגמה, כאשר מנוע דפדפן האינטרנט החלופי מגשר בין יכולות בין SDK של הפלטפורמה לתוכן האינטרנט כדי לאפשר ממשקי API של אינטרנט, על פי בקשה, עליך להסיר את התמיכה ב-API אינטרנט כזה אם הוא מזוהה כמציג פגיעות. רוב הפגיעות אמורות להיפתר תוך 30 יום, אך חלקן עשויות להיות מורכבות יותר ועשויות להימשך זמן רב יותר.
דרישות הפרטיות של התוכנית
עליך לבצע את הפעולות הבאות:
- חסום עוגיות חוצות אתרים (כלומר, עוגיות של צד שלישי) כברירת מחדל, אלא אם המשתמש יבחר במפורש לאפשר עוגיות כאלה בהסכמה מדעת;
- לחלק כל אחסון או מצב הניתן לצפייה על ידי אתרי אינטרנט לכל אתר ברמה העליונה, או לחסום אחסון או מצב כזה מפני שימוש וצפייה חוצה אתרים;
- לא לסנכרן קובצי Cookie ומצב בין הדפדפן לכל אפליקציות אחרות, אפילו אפליקציות אחרות של המפתח;
- לא לשתף מזהי מכשירים עם אתרים ללא הסכמה מדעת והפעלת משתמש;
- תווית חיבורי רשת באמצעות ממשקי ה-API שסופקו כדי ליצור דוח פרטיות של אפליקציה ב-iOS; ו
- עקוב אחר תקני אינטרנט מקובלים לגבי מתי לדרוש הפעלת משתמש מושכלת עבור ממשקי API באינטרנט (למשל, גישה ללוח או למסך מלא), כולל אלה המספקים גישה ל-PII.
אפל גם תספק למפתחים מורשים של אפליקציות דפדפן ייעודיות גישה להפחתות אבטחה ויכולות כדי לאפשר להם לבנות מנועי דפדפן מאובטחים, ולגשת לתכונות כמו מפתחות כניסה מאובטחת למשתמש, יכולות מערכת ריבוי תהליכים לשיפור האבטחה והיציבות, ארגזי חול של תוכן אינטרנט הנלחמים בהתפתחויות איומי אבטחה ועוד.
בנוסף לאפשר מנועי דפדפן של צד שלישי, אפל תציג מסך בחירה חדש שבו המשתמשים יכולים לבחור דפדפן אינטרנט ברירת מחדל מתוך רשימה של אפשרויות. כאשר משתמשים באיחוד האירופי יפתחו לראשונה את Safari ב-iOS 3, הם יתבקשו לבחור את דפדפן ברירת המחדל שלהם.
