Apple permitirá mecanismos de navegador de terceiros, como o Chromium, na UE

Início » Microsoft

Ícone de tempo de leitura 5 minutos. ler

Ícone do calendário Publicado em

by Pradeep Viswav 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

Projeto cromo

Para cumprir a próxima lei DMA na UE, a Apple hoje anunciou grandes mudanças nas políticas da App Store.

Primeiro, os desenvolvedores de aplicativos poderão usar mecanismos de navegador alternativos. Até agora, até mesmo navegadores de terceiros no iOS usavam o próprio WebKit da Apple. Com esta nova mudança, mecanismos de navegador alternativos, como o Chromium, podem ser usados ​​para aplicativos de navegador dedicados e aplicativos que fornecem experiências de navegação no aplicativo na UE.

No entanto, a Apple só autorizará os desenvolvedores a implementar mecanismos de navegador alternativos depois de atender a critérios específicos e se comprometer com uma série de requisitos contínuos de privacidade e segurança, incluindo atualizações de segurança oportunas para lidar com ameaças e vulnerabilidades emergentes. Leia abaixo os requisitos da Apple para mecanismos de navegador de terceiros.

Para se qualificar para o direito, seu aplicativo deve:

  • Estar disponível para iOS apenas na União Europeia
  • Ser um binário separado de qualquer aplicativo que use o mecanismo de navegador fornecido pelo sistema
  • Tenha o padrão direito do navegador da web
  • Atenda aos seguintes requisitos funcionais para garantir que seu aplicativo esteja usando um mecanismo de navegador da Web que forneça uma linha de base de funcionalidade da Web:
    • Passe em uma porcentagem mínima de testes disponíveis em conjuntos de testes padrão do setor:
    • Atenda ao requisito do conjunto de testes acima se a compilação Just in Time (JIT) não estiver disponível (por exemplo, se o Modo Lockdown estiver habilitado pelo usuário)
  • Você e seu aplicativo devem atender aos seguintes requisitos de segurança:
    • Comprometa-se com processos de desenvolvimento seguros, incluindo o monitoramento de vulnerabilidades na cadeia de fornecimento de software do seu aplicativo e siga as práticas recomendadas em relação ao desenvolvimento seguro de software (como realizar modelagem de ameaças em novos recursos em desenvolvimento).
    • Forneça um URL para uma política de divulgação de vulnerabilidades publicada que inclua informações de contato para relatar vulnerabilidades e problemas de segurança a você por terceiros (que podem incluir a Apple), quais informações fornecer em um relatório e quando esperar atualizações de status.
    • Comprometa-se a mitigar as vulnerabilidades que estão sendo exploradas em seu aplicativo ou no mecanismo de navegador alternativo que ele está usando em tempo hábil (por exemplo, 30 dias para as classes mais simples de vulnerabilidades que estão sendo exploradas ativamente).
    • Forneça um URL para uma página (ou páginas) disponível publicamente que forneça informações sobre quais vulnerabilidades relatadas foram resolvidas em versões específicas do mecanismo do navegador e na versão do aplicativo associado, se for diferente
    • Se o seu mecanismo de navegador alternativo usar um armazenamento de certificados raiz que não é acessado por meio do SDK do iOS, você deverá tornar a política de certificado raiz acessível publicamente e o proprietário dessa política deverá participar como navegador na Autoridade de Certificação/Fórum do Navegador.
    • Demonstre suporte para protocolos modernos de Transport Layer Security para proteger comunicações de dados em trânsito quando o mecanismo do navegador estiver em uso.
Requisitos de segurança do programa

Você deve fazer o seguinte:

  • Use linguagens de programação com segurança de memória ou recursos que melhorem a segurança de memória em outras linguagens, no mínimo no mecanismo de navegador alternativo para todos os códigos que processam conteúdo da web;
  • Adote as mais recentes mitigações de segurança (por exemplo, códigos de autenticação de ponteiro) que removem classes de vulnerabilidades ou dificultam muito o desenvolvimento de uma cadeia de exploração;
  • Siga design seguro e codificação segura, práticas recomendadas;
  • Use a separação de processos para limitar os efeitos da exploração e validar a comunicação entre processos (IPC) dentro do mecanismo alternativo do navegador da web;
  • Monitore vulnerabilidades em quaisquer dependências de software de terceiros e na cadeia de fornecimento de software mais ampla do seu aplicativo, migrando para versões mais recentes se uma vulnerabilidade afetar seu aplicativo;
  • Não utilizar estruturas ou bibliotecas de software que não recebam mais atualizações de segurança em resposta a vulnerabilidades; e
  • Priorize a resolução de vulnerabilidades relatadas com rapidez, em vez do desenvolvimento de novos recursos. Por exemplo, onde o mecanismo de navegador da Web alternativo conecta recursos entre o SDK da plataforma e o conteúdo da Web para ativar APIs da Web, mediante solicitação, você deverá remover o suporte para tal API da Web se ela for identificada como apresentando uma vulnerabilidade. A maioria das vulnerabilidades deve ser resolvida em 30 dias, mas algumas podem ser mais complexas e demorar mais.
Requisitos de privacidade do programa

Você deve fazer o seguinte:

  • Bloquear cookies entre sites (ou seja, cookies de terceiros) por padrão, a menos que o usuário opte expressamente por permitir tais cookies com consentimento informado;
  • Particionar qualquer armazenamento ou estado observável por sites por site de nível superior ou bloquear tal armazenamento ou estado de uso e observabilidade entre sites;
  • Não sincronizar cookies e estado entre o navegador e quaisquer outros aplicativos, mesmo outros aplicativos do desenvolvedor;
  • Não compartilhar identificadores de dispositivos com sites sem consentimento informado e ativação do usuário;
  • Rotular conexões de rede usando as APIs fornecidas para gerar um relatório de privacidade de aplicativos no iOS; e
  • Siga os padrões da web comumente adotados sobre quando exigir a ativação informada do usuário para APIs da web (por exemplo, área de transferência ou acesso em tela cheia), incluindo aquelas que fornecem acesso a PII.

A Apple também fornecerá aos desenvolvedores autorizados de aplicativos de navegador dedicados acesso a mitigações e recursos de segurança que lhes permitam criar mecanismos de navegador seguros e recursos de acesso como chaves de acesso para login seguro de usuário, recursos de sistema multiprocessos para melhorar a segurança e a estabilidade, sandboxes de conteúdo da web que combatem a evolução ameaças à segurança e muito mais.

Além de permitir mecanismos de navegador de terceiros, a Apple exibirá uma nova tela de escolha onde os usuários poderão escolher um navegador padrão em uma lista de opções. Quando os usuários na UE abrirem o Safari no iOS 3 pela primeira vez, eles serão solicitados a escolher seu navegador padrão.

Mais sobre os tópicos: maçã, DMA, eu, microsoft

Pradeep Viswav

Pradeep Viswav Proteger

Especialista em Software e Serviços

Pradeep é graduado em Ciência da Computação e Engenharia. Ele também foi um parceiro estudantil da Microsoft. Atualmente, ele trabalha em uma empresa líder de TI.

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *