Apple разрешит использование сторонних браузерных движков, таких как Chromium, в ЕС

Главная » Microsoft

Значок времени чтения 5 минута. читать

Значок календаря Опубликовано

by Прадип Вишвав 

Опубликован в

Поделиться этой статьей

Читатели помогают поддержать MSpoweruser. Мы можем получить комиссию, если вы совершите покупку по нашим ссылкам. Значок подсказки

Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее

Хромовый проект

Чтобы соответствовать предстоящему закону DMA в ЕС, Apple сегодня объявило серьезные изменения в политике App Store.

Во-первых, разработчики приложений смогут использовать альтернативные браузерные движки. До сих пор даже сторонние веб-браузеры на iOS использовали собственный WebKit от Apple. Благодаря этому новому изменению альтернативные браузерные движки, такие как Chromium, можно использовать для специальных браузерных приложений и приложений, обеспечивающих просмотр контента внутри приложений в ЕС.

Однако Apple разрешит разработчикам внедрять альтернативные браузерные движки только после соответствия определенным критериям и принятия ряда постоянных требований конфиденциальности и безопасности, включая своевременные обновления безопасности для устранения возникающих угроз и уязвимостей. О требованиях Apple к сторонним браузерным движкам читайте ниже.

Чтобы претендовать на это право, ваше приложение должно:

  • Быть доступным на iOS только в Европейском Союзе.
  • Быть отдельным двоичным файлом от любого приложения, использующего системный движок веб-браузера.
  • Иметь значение по умолчанию права веб-браузера
  • Соблюдайте следующие функциональные требования, чтобы ваше приложение использовало движок веб-браузера, обеспечивающий базовые веб-функции:
    • Пройдите минимальный процент тестов, доступных из стандартных отраслевых наборов тестов:
    • Соблюдайте вышеуказанное требование к набору тестов, если компиляция «точно в срок» (JIT) недоступна (например, если пользователем включен режим блокировки).
  • Вы и ваше приложение должны соответствовать следующим требованиям безопасности:
    • Обеспечьте безопасность процессов разработки, включая мониторинг цепочки поставок программного обеспечения вашего приложения на наличие уязвимостей и следуйте передовым практикам безопасной разработки программного обеспечения (например, моделирование угроз для новых разрабатываемых функций).
    • Предоставьте URL-адрес опубликованной политики раскрытия уязвимостей, которая включает контактную информацию для сообщения вам об уязвимостях и проблемах безопасности от третьих лиц (включая Apple), какую информацию следует предоставлять в отчете и когда ожидать обновлений статуса.
    • Обязуйтесь своевременно устранять уязвимости, которые используются в вашем приложении или альтернативном движке веб-браузера (например, 30 дней для простейших классов уязвимостей, которые активно эксплуатируются).
    • Укажите URL-адрес общедоступной веб-страницы (или страниц), на которой содержится информация о том, какие обнаруженные уязвимости были устранены в конкретных версиях движка браузера, и связанной версии приложения, если они отличаются.
    • Если ваш альтернативный движок веб-браузера использует хранилище корневых сертификатов, доступ к которому отсутствует через iOS SDK, вы должны сделать политику корневых сертификатов общедоступной, а владелец этой политики должен участвовать в качестве браузера в центре сертификации/форуме браузера.
    • Продемонстрируйте поддержку современных протоколов безопасности транспортного уровня для защиты передаваемых данных при использовании механизма браузера.
Требования безопасности программы

Вы должны сделать следующее:

  • Используйте безопасные для памяти языки программирования или функции, повышающие безопасность памяти на других языках, как минимум в альтернативном движке веб-браузера для всего кода, обрабатывающего веб-контент;
  • Принять новейшие меры безопасности (например, коды аутентификации указателей), которые устраняют классы уязвимостей или значительно усложняют разработку цепочки эксплойтов;
  • Следуйте передовым практикам безопасного проектирования и безопасного кодирования;
  • Используйте разделение процессов, чтобы ограничить последствия эксплуатации и проверить межпроцессное взаимодействие (IPC) в альтернативном движке веб-браузера;
  • Отслеживайте уязвимости в любых зависимостях стороннего программного обеспечения и в более широкой цепочке поставок программного обеспечения вашего приложения, переходя на более новые версии, если уязвимость влияет на ваше приложение;
  • Не использовать платформы или библиотеки программного обеспечения, которые больше не получают обновления безопасности в ответ на уязвимости; и
  • Отдавайте приоритет оперативному устранению обнаруженных уязвимостей, а не разработке новых функций. Например, если альтернативный движок веб-браузера объединяет возможности SDK платформы и веб-контента для включения веб-API, вы должны по запросу удалить поддержку такого веб-API, если обнаружено, что он представляет уязвимость. Большинство уязвимостей должны быть устранены в течение 30 дней, но некоторые могут оказаться более сложными и занять больше времени.
Требования к конфиденциальности программы

Вы должны сделать следующее:

  • Блокировать межсайтовые файлы cookie (т. е. сторонние файлы cookie) по умолчанию, если только пользователь явно не разрешит использование таких файлов cookie с информированного согласия;
  • Разделить любое хранилище или состояние, наблюдаемое веб-сайтами, на веб-сайт верхнего уровня или заблокировать такое хранилище или состояние от межсайтового использования и наблюдения;
  • Не синхронизировать файлы cookie и состояние между браузером и любыми другими приложениями, даже другими приложениями разработчика;
  • Не передавать идентификаторы устройств веб-сайтам без информированного согласия и активации пользователя;
  • Маркируйте сетевые подключения с помощью предоставленных API-интерфейсов для создания отчета о конфиденциальности приложений на iOS; и
  • Следуйте общепринятым веб-стандартам относительно того, когда требовать от пользователя информированной активации веб-API (например, буфера обмена или полноэкранного доступа), включая те, которые обеспечивают доступ к личным данным.

Apple также предоставит авторизованным разработчикам специализированных браузерных приложений доступ к средствам защиты и возможностям, позволяющим им создавать безопасные механизмы браузера, а также доступ к таким функциям, как ключи доступа для безопасного входа в систему пользователей, возможности многопроцессной системы для повышения безопасности и стабильности, изолированные программные среды веб-контента, которые борются с развитием. угрозы безопасности и многое другое.

Помимо разрешения сторонних браузерных движков, Apple отобразит новый экран выбора, на котором пользователи смогут выбрать веб-браузер по умолчанию из списка вариантов. Когда пользователи в ЕС впервые откроют Safari на iOS 3, им будет предложено выбрать браузер по умолчанию.

Подробнее о темах: яблоко, DMA, eu, Microsoft

Прадип Вишвав

Прадип Вишвав Щит

Эксперт по программному обеспечению и услугам

Прадип — выпускник компьютерных наук и инженерии. Он также был студенческим партнером Microsoft. В настоящее время работает в ведущей IT-компании.

Оставьте комментарий

Ваш электронный адрес не будет опубликован. Обязательные поля помечены * *