Apple、EUでChromiumなどのサードパーティブラウザエンジンを許可へ
5分。 読んだ
上で公開
この記事を共有する
このガイドを改善する
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
EU における今後の DMA 法に準拠するため、Apple は本日 発表の App Store のポリシーに大きな変更が加えられました。
まず、アプリ開発者は代替ブラウザ エンジンを使用できるようになります。これまでは、iOS 上のサードパーティ Web ブラウザでも Apple 独自の WebKit を使用していました。この新しい変更により、Chromium などの代替ブラウザ エンジンを、EU 内で専用ブラウザ アプリやアプリ内ブラウジング エクスペリエンスを提供するアプリに使用できるようになります。
ただし、Apple は、特定の基準を満たし、新たな脅威や脆弱性に対処するためのタイムリーなセキュリティ更新を含む、多くの継続的なプライバシーおよびセキュリティ要件に取り組んだ場合にのみ、開発者に代替ブラウザ エンジンの実装を許可します。サードパーティのブラウザ エンジンに対する Apple の要件については、以下をお読みください。
資格を得るには、アプリは次のことを行う必要があります。
- 欧州連合内の iOS でのみ利用可能です
- システムが提供する Web ブラウザ エンジンを使用するアプリとは別のバイナリであること
- デフォルトを持っている Webブラウザの権利
- アプリが Web 機能のベースラインを提供する Web ブラウザ エンジンを使用していることを確認するには、次の機能要件を満たします。
- 業界標準のテスト スイートから利用可能なテストの最小割合に合格します。
- 90%から Web プラットフォームのテスト
- および80%から Test262
- Just in Time (JIT) コンパイルが利用できない場合 (例: ユーザーがロックダウン モードを有効にしている場合)、上記のテスト スイート要件を満たす
- 業界標準のテスト スイートから利用可能なテストの最小割合に合格します。
- あなたとあなたのアプリは次のセキュリティ要件を満たしている必要があります。
- アプリのソフトウェア サプライ チェーンの脆弱性の監視や、安全なソフトウェア開発に関するベスト プラクティス (開発中の新機能に対する脅威モデリングの実行など) の遵守など、安全な開発プロセスに取り組みます。
- 公開されている脆弱性開示ポリシーへの URL を提供します。このポリシーには、セキュリティの脆弱性や問題を第三者 (Apple を含む場合もある) から報告するための連絡先情報、レポートで提供する情報、ステータス更新の時期が含まれます。
- アプリ内で悪用されている脆弱性、またはアプリが使用している代替 Web ブラウザ エンジンをタイムリーに軽減することに取り組んでください (たとえば、積極的に悪用されている最も単純なクラスの脆弱性については 30 日)。
- 報告された脆弱性がブラウザ エンジンの特定のバージョンで解決されているか、関連するアプリのバージョンが異なる場合は解決されているかに関する情報を提供する、公開されている Web ページへの URL を提供します。
- 代替 Web ブラウザ エンジンが iOS SDK を介してアクセスされないルート証明書ストアを使用している場合は、ルート証明書ポリシーをパブリックにアクセスできるようにし、そのポリシーの所有者がブラウザとして認証局 / ブラウザ フォーラムに参加する必要があります。
- ブラウザ エンジンの使用時に転送中のデータ通信を保護する、最新のトランスポート層セキュリティ プロトコルのサポートを実証します。
プログラムのセキュリティ要件
次のことを行う必要があります。
- Web コンテンツを処理するすべてのコードに対して、少なくとも代替 Web ブラウザ エンジン内のメモリ セーフ プログラミング言語、または他の言語内でメモリの安全性を向上させる機能を使用します。
- 脆弱性のクラスを削除するか、エクスプロイト チェーンの開発をはるかに困難にする最新のセキュリティ緩和策 (ポインター認証コードなど) を採用します。
- 安全な設計と安全なコーディングのベスト プラクティスに従ってください。
- プロセス分離を使用して悪用の影響を制限し、代替 Web ブラウザ エンジン内のプロセス間通信 (IPC) を検証します。
- サードパーティ ソフトウェアの依存関係とアプリのより広範なソフトウェア サプライ チェーンの脆弱性を監視し、脆弱性がアプリに影響を与える場合は新しいバージョンに移行します。
- 脆弱性に対応するセキュリティ更新プログラムを受け取っていないフレームワークやソフトウェア ライブラリは使用しないでください。そして
- 新機能の開発よりも、報告された脆弱性を迅速に解決することを優先します。たとえば、代替 Web ブラウザ エンジンがプラットフォームの SDK と Web コンテンツ間の機能を橋渡しして Web API を有効にしている場合、脆弱性があることが判明した場合は、要求に応じてそのような Web API のサポートを削除する必要があります。ほとんどの脆弱性は 30 日以内に解決されるはずですが、一部の脆弱性はより複雑で、さらに時間がかかる場合があります。
プログラムのプライバシー要件
次のことを行う必要があります。
- ユーザーがインフォームド・コンセントを得てクロスサイト Cookie (つまり、サードパーティ Cookie) を許可することを明示的に選択しない限り、デフォルトでブロックします。
- Web サイトによって監視可能なストレージまたは状態をトップレベル Web サイトごとに分割するか、そのようなストレージまたは状態をサイト間での使用および可観測性からブロックします。
- ブラウザと他のアプリ(開発者の他のアプリであっても)の間で Cookie と状態を同期しないでください。
- インフォームド・コンセントとユーザーのアクティベーションなしにデバイス識別子を Web サイトと共有しないでください。
- iOS でアプリのプライバシー レポートを生成するために提供されている API を使用して、ネットワーク接続にラベルを付けます。そして
- PII へのアクセスを提供する Web API (クリップボードやフルスクリーン アクセスなど) について、情報に基づいたユーザーのアクティベーションをいつ要求するかについては、一般に採用されている Web 標準に従ってください。
Apple はまた、専用ブラウザ アプリの認定開発者に、安全なブラウザ エンジンを構築できるようにするセキュリティの緩和策と機能へのアクセスを提供し、安全なユーザー ログインのためのパスキー、セキュリティと安定性を向上させるマルチプロセス システム機能、進化する Web コンテンツ サンドボックスなどの機能にアクセスできるようにします。セキュリティ上の脅威など。
サードパーティのブラウザ エンジンを許可することに加えて、Apple はユーザーがオプションのリストからデフォルトの Web ブラウザを選択できる新しい選択画面を表示します。 EU 内のユーザーが初めて iOS 3 で Safari を開くと、デフォルトのブラウザを選択するよう求められます。
