Apple tillater tredjeparts nettlesermotorer som Chromium i EU

For å overholde den kommende DMA-loven i EU, Apple i dag annonsert store endringer i App Store-retningslinjene.

For det første vil apputviklere kunne bruke alternative nettlesermotorer. Til nå har til og med tredjeparts nettlesere på iOS brukt Apples eget WebKit. Med denne nye endringen kan alternative nettlesermotorer som Chromium brukes til dedikerte nettleserapper og apper som gir nettleseropplevelser i appen i EU.

Apple vil imidlertid bare autorisere utviklere til å implementere alternative nettlesermotorer etter å ha møtt spesifikke kriterier og forpliktet seg til en rekke pågående personvern- og sikkerhetskrav, inkludert rettidige sikkerhetsoppdateringer for å håndtere nye trusler og sårbarheter. Les om Apples krav til tredjeparts nettlesermotorer nedenfor.

For å kvalifisere for rettigheten må appen din:

• Vær kun tilgjengelig på iOS i EU
• Vær en separat binær fra alle apper som bruker den systemleverte nettlesermotoren
• Har standard nettleserrettigheter
• Oppfyll følgende funksjonelle krav for å sikre at appen din bruker en nettlesermotor som gir en grunnleggende nettfunksjonalitet:
  • Bestå en minimumsprosent av tester som er tilgjengelige fra industristandard testsuiter:
    • 90% fra Nettplattformtester
    • og 80% fra Test262
  • Oppfyll testsuitekravet ovenfor hvis Just in Time (JIT) kompilering ikke er tilgjengelig (f.eks. hvis låsemodus er aktivert av brukeren)
• Du og appen din må oppfylle følgende sikkerhetskrav:
  • Forplikt deg til sikre utviklingsprosesser, inkludert overvåking av appens programvareforsyningskjede for sårbarheter, og følg beste praksis for sikker programvareutvikling (som å utføre trusselmodellering på nye funksjoner under utvikling).
  • Oppgi en URL til en publisert policy for avsløring av sårbarheter som inkluderer kontaktinformasjon for rapportering av sikkerhetssårbarheter og problemer til deg fra tredjeparter (som kan inkludere Apple), hvilken informasjon som skal oppgis i en rapport, og når du kan forvente statusoppdateringer.
  • Forplikt deg til å redusere sårbarheter som blir utnyttet i appen din eller den alternative nettlesermotoren den bruker i tide (f.eks. 30 dager for de enkleste typene av sårbarheter som blir aktivt utnyttet).
  • Oppgi en nettadresse til en offentlig tilgjengelig nettside (eller sider) som gir informasjon om hvilke rapporterte sårbarheter som er løst i spesifikke versjoner av nettlesermotoren og tilhørende appversjon hvis forskjellige
  • Hvis den alternative nettlesermotoren din bruker et rotsertifikatlager som ikke er tilgjengelig via iOS SDK, må du gjøre rotsertifikatpolicyen offentlig tilgjengelig, og eieren av denne policyen må delta som en nettleser i sertifiseringsinstansen/nettleserforumet.
  • Demonstrere støtte for moderne Transport Layer Security-protokoller for å beskytte data-in-transit-kommunikasjon når nettlesermotoren er i bruk.

Programsikkerhetskrav

Du må gjøre følgende:

• Bruk minnesikre programmeringsspråk, eller funksjoner som forbedrer minnesikkerheten på andre språk, i den alternative nettlesermotoren som et minimum for all kode som behandler nettinnhold;
• Vedta de siste sikkerhetsbegrensningene (for eksempel pekerautentiseringskoder) som fjerner klasser av sårbarheter eller gjør det mye vanskeligere å utvikle en utnyttelseskjede;
• Følg sikker design og sikker koding, beste praksis;
• Bruk prosessseparasjon for å begrense effekten av utnyttelse og validere inter-prosess kommunikasjon (IPC) i den alternative nettlesermotoren;
• Overvåk for sårbarheter i eventuelle tredjeparts programvareavhengigheter og appens bredere programvareforsyningskjede, migrér til nyere versjoner hvis en sårbarhet påvirker appen din;
• Ikke bruk rammeverk eller programvarebiblioteker som ikke lenger mottar sikkerhetsoppdateringer som svar på sårbarheter; og
• Prioriter å løse rapporterte sårbarheter med hensiktsmessighet fremfor utvikling av nye funksjoner. For eksempel, der den alternative nettlesermotoren bygger bro mellom plattformens SDK og nettinnhold for å aktivere nett-APIer, må du på forespørsel fjerne støtten for en slik nett-API hvis den er identifisert å presentere en sårbarhet. De fleste sårbarheter bør løses i løpet av 30 dager, men noen kan være mer komplekse og kan ta lengre tid.

Personvernkrav for programmet

Du må gjøre følgende:

• Blokker informasjonskapsler på tvers av nettsteder (dvs. tredjeparts informasjonskapsler) som standard med mindre brukeren uttrykkelig velger å tillate slike informasjonskapsler med informert samtykke;
• Dele opp enhver lagring eller tilstand som kan observeres av nettsteder per nettsted på toppnivå, eller blokkere slik lagring eller tilstand fra bruk og observerbarhet på tvers av nettsteder;
• Ikke synkroniser informasjonskapsler og tilstand mellom nettleseren og andre apper, heller ikke andre apper til utvikleren;
• Ikke dele enhetsidentifikatorer med nettsteder uten informert samtykke og brukeraktivering;
• Merk nettverkstilkoblinger ved hjelp av API-ene som følger med for å generere en app-personvernrapport på iOS; og
• Følg vanlige nettstandarder for når du skal kreve informert brukeraktivering for web-API-er (f.eks. utklippstavle eller fullskjermtilgang), inkludert de som gir tilgang til PII.

Apple vil også gi autoriserte utviklere av dedikerte nettleserapper tilgang til sikkerhetsreduksjoner og funksjoner for å sette dem i stand til å bygge sikre nettlesermotorer, og få tilgang til funksjoner som passord for sikker brukerpålogging, multiprosesssystemfunksjoner for å forbedre sikkerhet og stabilitet, nettinnholdssandkasser som bekjemper utvikling sikkerhetstrusler og mer.

I tillegg til å tillate tredjeparts nettlesermotorer, vil Apple vise en ny valgskjerm der brukere kan velge en standard nettleser fra en liste med alternativer. Når brukere i EU først åpner Safari på iOS 3, blir de bedt om å velge standardnettleser.