Apple разрешит использование сторонних браузерных движков, таких как Chromium, в ЕС
5 минута. читать
Опубликовано
Прочтите нашу страницу раскрытия информации, чтобы узнать, как вы можете помочь MSPoweruser поддержать редакционную команду. Читать далее
Чтобы соответствовать предстоящему закону DMA в ЕС, Apple сегодня объявило серьезные изменения в политике App Store.
Во-первых, разработчики приложений смогут использовать альтернативные браузерные движки. До сих пор даже сторонние веб-браузеры на iOS использовали собственный WebKit от Apple. Благодаря этому новому изменению альтернативные браузерные движки, такие как Chromium, можно использовать для специальных браузерных приложений и приложений, обеспечивающих просмотр контента внутри приложений в ЕС.
Однако Apple разрешит разработчикам внедрять альтернативные браузерные движки только после соответствия определенным критериям и принятия ряда постоянных требований конфиденциальности и безопасности, включая своевременные обновления безопасности для устранения возникающих угроз и уязвимостей. О требованиях Apple к сторонним браузерным движкам читайте ниже.
Чтобы претендовать на это право, ваше приложение должно:
- Быть доступным на iOS только в Европейском Союзе.
- Быть отдельным двоичным файлом от любого приложения, использующего системный движок веб-браузера.
- Иметь значение по умолчанию права веб-браузера
- Соблюдайте следующие функциональные требования, чтобы ваше приложение использовало движок веб-браузера, обеспечивающий базовые веб-функции:
- Пройдите минимальный процент тестов, доступных из стандартных отраслевых наборов тестов:
- 90% от Тесты веб-платформы
- и 80% от Test262
- Соблюдайте вышеуказанное требование к набору тестов, если компиляция «точно в срок» (JIT) недоступна (например, если пользователем включен режим блокировки).
- Пройдите минимальный процент тестов, доступных из стандартных отраслевых наборов тестов:
- Вы и ваше приложение должны соответствовать следующим требованиям безопасности:
- Обеспечьте безопасность процессов разработки, включая мониторинг цепочки поставок программного обеспечения вашего приложения на наличие уязвимостей и следуйте передовым практикам безопасной разработки программного обеспечения (например, моделирование угроз для новых разрабатываемых функций).
- Предоставьте URL-адрес опубликованной политики раскрытия уязвимостей, которая включает контактную информацию для сообщения вам об уязвимостях и проблемах безопасности от третьих лиц (включая Apple), какую информацию следует предоставлять в отчете и когда ожидать обновлений статуса.
- Обязуйтесь своевременно устранять уязвимости, которые используются в вашем приложении или альтернативном движке веб-браузера (например, 30 дней для простейших классов уязвимостей, которые активно эксплуатируются).
- Укажите URL-адрес общедоступной веб-страницы (или страниц), на которой содержится информация о том, какие обнаруженные уязвимости были устранены в конкретных версиях движка браузера, и связанной версии приложения, если они отличаются.
- Если ваш альтернативный движок веб-браузера использует хранилище корневых сертификатов, доступ к которому отсутствует через iOS SDK, вы должны сделать политику корневых сертификатов общедоступной, а владелец этой политики должен участвовать в качестве браузера в центре сертификации/форуме браузера.
- Продемонстрируйте поддержку современных протоколов безопасности транспортного уровня для защиты передаваемых данных при использовании механизма браузера.
Требования безопасности программы
Вы должны сделать следующее:
- Используйте безопасные для памяти языки программирования или функции, повышающие безопасность памяти на других языках, как минимум в альтернативном движке веб-браузера для всего кода, обрабатывающего веб-контент;
- Принять новейшие меры безопасности (например, коды аутентификации указателей), которые устраняют классы уязвимостей или значительно усложняют разработку цепочки эксплойтов;
- Следуйте передовым практикам безопасного проектирования и безопасного кодирования;
- Используйте разделение процессов, чтобы ограничить последствия эксплуатации и проверить межпроцессное взаимодействие (IPC) в альтернативном движке веб-браузера;
- Отслеживайте уязвимости в любых зависимостях стороннего программного обеспечения и в более широкой цепочке поставок программного обеспечения вашего приложения, переходя на более новые версии, если уязвимость влияет на ваше приложение;
- Не использовать платформы или библиотеки программного обеспечения, которые больше не получают обновления безопасности в ответ на уязвимости; и
- Отдавайте приоритет оперативному устранению обнаруженных уязвимостей, а не разработке новых функций. Например, если альтернативный движок веб-браузера объединяет возможности SDK платформы и веб-контента для включения веб-API, вы должны по запросу удалить поддержку такого веб-API, если обнаружено, что он представляет уязвимость. Большинство уязвимостей должны быть устранены в течение 30 дней, но некоторые могут оказаться более сложными и занять больше времени.
Требования к конфиденциальности программы
Вы должны сделать следующее:
- Блокировать межсайтовые файлы cookie (т. е. сторонние файлы cookie) по умолчанию, если только пользователь явно не разрешит использование таких файлов cookie с информированного согласия;
- Разделить любое хранилище или состояние, наблюдаемое веб-сайтами, на веб-сайт верхнего уровня или заблокировать такое хранилище или состояние от межсайтового использования и наблюдения;
- Не синхронизировать файлы cookie и состояние между браузером и любыми другими приложениями, даже другими приложениями разработчика;
- Не передавать идентификаторы устройств веб-сайтам без информированного согласия и активации пользователя;
- Маркируйте сетевые подключения с помощью предоставленных API-интерфейсов для создания отчета о конфиденциальности приложений на iOS; и
- Следуйте общепринятым веб-стандартам относительно того, когда требовать от пользователя информированной активации веб-API (например, буфера обмена или полноэкранного доступа), включая те, которые обеспечивают доступ к личным данным.
Apple также предоставит авторизованным разработчикам специализированных браузерных приложений доступ к средствам защиты и возможностям, позволяющим им создавать безопасные механизмы браузера, а также доступ к таким функциям, как ключи доступа для безопасного входа в систему пользователей, возможности многопроцессной системы для повышения безопасности и стабильности, изолированные программные среды веб-контента, которые борются с развитием. угрозы безопасности и многое другое.
Помимо разрешения сторонних браузерных движков, Apple отобразит новый экран выбора, на котором пользователи смогут выбрать веб-браузер по умолчанию из списка вариантов. Когда пользователи в ЕС впервые откроют Safari на iOS 3, им будет предложено выбрать браузер по умолчанию.