Apple, EU에서 Chromium과 같은 타사 브라우저 엔진 허용
5 분. 읽다
에 게시됨
이 기사 공유
이 가이드를 개선하세요
공개 페이지를 읽고 MSPoweruser가 편집팀을 유지하는 데 어떻게 도움을 줄 수 있는지 알아보세요. 자세히 보기
Apple은 EU에서 곧 제정될 DMA 법안을 준수하기 위해 오늘 발표 App Store 정책이 크게 변경되었습니다.
첫째, 앱 개발자는 대체 브라우저 엔진을 사용할 수 있습니다. 지금까지는 iOS의 타사 웹 브라우저도 Apple의 자체 WebKit을 사용하고 있었습니다. 이 새로운 변경 사항을 통해 Chromium과 같은 대체 브라우저 엔진을 전용 브라우저 앱 및 EU에서 인앱 탐색 환경을 제공하는 앱에 사용할 수 있습니다.
그러나 Apple은 새로운 위협과 취약성을 해결하기 위한 적시 보안 업데이트를 포함하여 특정 기준을 충족하고 지속적인 개인 정보 보호 및 보안 요구 사항을 준수한 후에만 개발자에게 대체 브라우저 엔진을 구현할 수 있는 권한을 부여합니다. 아래에서 타사 브라우저 엔진에 대한 Apple의 요구 사항을 읽어보세요.
자격을 얻으려면 앱이 다음을 수행해야 합니다.
- 유럽 연합의 iOS에서만 사용 가능
- 시스템 제공 웹 브라우저 엔진을 사용하는 모든 앱과 별도의 바이너리여야 합니다.
- 기본값을 갖습니다 웹 브라우저 자격
- 앱이 웹 기능의 기준을 제공하는 웹 브라우저 엔진을 사용하는지 확인하려면 다음 기능 요구 사항을 충족하십시오.
- 귀하와 귀하의 앱은 다음 보안 요구 사항을 충족해야 합니다.
- 앱의 소프트웨어 공급망 취약성을 모니터링하고 보안 소프트웨어 개발에 관한 모범 사례를 따르는 등 보안 개발 프로세스에 전념합니다(예: 개발 중인 새로운 기능에 대한 위협 모델링 수행).
- 제3자(Apple을 포함할 수 있음)가 귀하에게 보안 취약점 및 문제를 보고하기 위한 연락처 정보, 보고서에 제공할 정보 및 상태 업데이트 예상 시기가 포함된 게시된 취약점 공개 정책의 URL을 제공하십시오.
- 귀하의 앱이나 앱이 사용하고 있는 대체 웹 브라우저 엔진 내에서 악용되고 있는 취약점을 적시에 완화하기 위해 노력하십시오(예: 적극적으로 악용되는 가장 간단한 취약점 클래스의 경우 30일).
- 보고된 취약점이 특정 버전의 브라우저 엔진 및 관련 앱 버전(다른 경우)에서 해결되었는지에 대한 정보를 제공하는 공개적으로 사용 가능한 웹 페이지(또는 페이지)의 URL을 제공하세요.
- 대체 웹 브라우저 엔진이 iOS SDK를 통해 액세스되지 않는 루트 인증서 저장소를 사용하는 경우 루트 인증서 정책을 공개적으로 액세스할 수 있도록 해야 하며 해당 정책의 소유자는 인증 기관/브라우저 포럼에 브라우저로 참여해야 합니다.
- 브라우저 엔진이 사용 중일 때 전송 중인 데이터 통신을 보호하기 위해 최신 전송 계층 보안 프로토콜에 대한 지원을 보여줍니다.
프로그램 보안 요구 사항
다음을 수행해야 합니다.
- 웹 콘텐츠를 처리하는 모든 코드에 대해 최소한 대체 웹 브라우저 엔진 내에서 메모리 안전 프로그래밍 언어 또는 다른 언어 내에서 메모리 안전을 향상시키는 기능을 사용합니다.
- 취약점 클래스를 제거하거나 익스플로잇 체인 개발을 훨씬 어렵게 만드는 최신 보안 완화(예: 포인터 인증 코드)를 채택합니다.
- 보안 설계, 보안 코딩, 모범 사례를 따릅니다.
- 프로세스 분리를 사용하여 악용 영향을 제한하고 대체 웹 브라우저 엔진 내에서 프로세스 간 통신(IPC)을 검증합니다.
- 타사 소프트웨어 종속성 및 앱의 광범위한 소프트웨어 공급망의 취약성을 모니터링하고 취약성이 앱에 영향을 미치는 경우 최신 버전으로 마이그레이션합니다.
- 취약점에 대한 대응으로 더 이상 보안 업데이트를 받지 않는 프레임워크나 소프트웨어 라이브러리를 사용하지 마십시오. 그리고
- 새로운 기능 개발보다 보고된 취약점을 편리하게 해결하는 데 우선순위를 둡니다. 예를 들어, 대체 웹 브라우저 엔진이 플랫폼의 SDK와 웹 콘텐츠 간의 기능을 연결하여 웹 API를 활성화하는 경우, 요청 시 해당 웹 API가 취약성을 나타내는 것으로 식별되면 해당 웹 API에 대한 지원을 제거해야 합니다. 대부분의 취약점은 30일 이내에 해결되지만 일부는 더 복잡하고 더 오래 걸릴 수 있습니다.
프로그램 개인 정보 보호 요구 사항
다음을 수행해야 합니다.
- 사용자가 사전 동의를 받아 그러한 쿠키를 명시적으로 허용하지 않는 한 기본적으로 크로스 사이트 쿠키(예: 제3자 쿠키)를 차단합니다.
- 웹사이트에서 관찰할 수 있는 저장소나 상태를 최상위 웹 사이트별로 분할하거나 해당 저장소나 상태를 사이트 간 사용 및 관찰 가능성에서 차단합니다.
- 브라우저와 다른 앱, 심지어 개발자의 다른 앱 간에 쿠키와 상태를 동기화하지 않습니다.
- 사전 동의 및 사용자 활성화 없이 장치 식별자를 웹사이트와 공유하지 마십시오.
- iOS에서 앱 개인 정보 보호 보고서를 생성하기 위해 제공된 API를 사용하여 네트워크 연결에 레이블을 지정합니다. 그리고
- PII에 대한 액세스를 제공하는 API를 포함하여 웹 API(예: 클립보드 또는 전체 화면 액세스)에 대한 사용자 활성화가 필요한 경우 일반적으로 채택되는 웹 표준을 따르십시오.
Apple은 또한 승인된 전용 브라우저 앱 개발자에게 안전한 브라우저 엔진을 구축할 수 있는 보안 완화 및 기능에 대한 액세스를 제공하고, 보안 사용자 로그인을 위한 패스키, 보안 및 안정성을 향상시키는 다중 프로세스 시스템 기능, 발전하는 웹 콘텐츠 샌드박스와 같은 기능에 대한 액세스를 제공할 것입니다. 보안 위협 등.
타사 브라우저 엔진을 허용하는 것 외에도 Apple은 사용자가 옵션 목록에서 기본 웹 브라우저를 선택할 수 있는 새로운 선택 화면을 표시합니다. EU 사용자가 iOS 3에서 Safari를 처음 열면 기본 브라우저를 선택하라는 메시지가 표시됩니다.
