Apple kommer att tillåta webbläsarmotorer från tredje part som Chromium i EU

För att följa den kommande DMA-lagen i EU, Apple idag meddelade stora förändringar i App Store-policyerna.

För det första kommer apputvecklare att kunna använda alternativa webbläsarmotorer. Fram till nu använde till och med tredjepartswebbläsare på iOS Apples eget WebKit. Med denna nya förändring kan alternativa webbläsarmotorer som Chromium användas för dedikerade webbläsarappar och appar som ger surfupplevelser i appar i EU.

Apple kommer dock endast att tillåta utvecklare att implementera alternativa webbläsarmotorer efter att ha uppfyllt specifika kriterier och åtagit sig att uppfylla ett antal pågående integritets- och säkerhetskrav, inklusive snabba säkerhetsuppdateringar för att hantera nya hot och sårbarheter. Läs om Apples krav för webbläsarmotorer från tredje part nedan.

För att kvalificera sig för rättigheten måste din app:

• Var endast tillgänglig på iOS i Europeiska unionen
• Var en separat binär från alla appar som använder den systemförsedda webbläsarmotorn
• Har standard webbläsares rättigheter
• Uppfyll följande funktionskrav för att säkerställa att din app använder en webbläsarmotor som tillhandahåller en baslinje för webbfunktionalitet:
  • Passera en minsta procentandel av tester som är tillgängliga från industristandardtestsviter:
    • 90% från Tester av webbplattformar
    • och 80% från Test262
  • Uppfyll ovanstående testsvitskrav om Just in Time (JIT) kompilering inte är tillgänglig (t.ex. om låsningsläge är aktiverat av användaren)
• Du och din app måste uppfylla följande säkerhetskrav:
  • Engagera dig för säkra utvecklingsprocesser, inklusive att övervaka din apps mjukvaruförsörjningskedja för sårbarheter och följa bästa praxis kring säker mjukvaruutveckling (som att utföra hotmodellering på nya funktioner under utveckling).
  • Ange en URL till en publicerad policy för avslöjande av sårbarheter som inkluderar kontaktinformation för rapportering av säkerhetssårbarheter och problem till dig från tredje part (vilket kan inkludera Apple), vilken information som ska tillhandahållas i en rapport och när du kan förvänta dig statusuppdateringar.
  • Förbind dig att mildra sårbarheter som utnyttjas i din app eller den alternativa webbläsarmotor som den använder i tid (t.ex. 30 dagar för de enklaste klasserna av sårbarheter som aktivt utnyttjas).
  • Ange en URL till en allmänt tillgänglig webbsida (eller sidor) som ger information om vilka rapporterade sårbarheter som har lösts i specifika versioner av webbläsarmotorn och tillhörande appversion om olika
  • Om din alternativa webbläsarmotor använder ett rotcertifikatlager som inte nås via iOS SDK, måste du göra rotcertifikatspolicyn offentligt tillgänglig och ägaren till den policyn måste delta som en webbläsare i Certification Authority/Webbrowser Forum.
  • Demonstrera stöd för moderna Transport Layer Security-protokoll för att skydda data-in-transit-kommunikation när webbläsarmotorn används.

Programsäkerhetskrav

Du måste göra följande:

• Använd minnessäkra programmeringsspråk, eller funktioner som förbättrar minnessäkerheten inom andra språk, inom den alternativa webbläsarmotorn åtminstone för all kod som bearbetar webbinnehåll;
• Använd de senaste säkerhetsbegränsningarna (till exempel Pointer Authentication Codes) som tar bort klasser av sårbarheter eller gör det mycket svårare att utveckla en exploateringskedja;
• Följ säker design och säker kodning, bästa praxis;
• Använd processseparation för att begränsa effekterna av exploatering och validera inter-process communication (IPC) inom den alternativa webbläsarmotorn;
• Övervaka för sårbarheter i eventuella tredjepartsprogramvaruberoenden och din apps bredare programvaruförsörjningskedja, migrera till nyare versioner om en sårbarhet påverkar din app;
• Använd inte ramverk eller programbibliotek som inte längre får säkerhetsuppdateringar som svar på sårbarheter; och
• Prioritera att lösa rapporterade sårbarheter på ett ändamålsenligt sätt framför utveckling av nya funktioner. Till exempel, där den alternativa webbläsarmotorn överbryggar kapacitet mellan plattformens SDK och webbinnehåll för att möjliggöra webb-API:er, måste du på begäran ta bort stödet för ett sådant webb-API om det identifieras utgöra en sårbarhet. De flesta sårbarheter bör lösas inom 30 dagar, men vissa kan vara mer komplexa och kan ta längre tid.

Program sekretesskrav

Du måste göra följande:

• Blockera cookies på flera webbplatser (dvs. tredjepartscookies) som standard om inte användaren uttryckligen väljer att tillåta sådana cookies med informerat samtycke;
• Dela upp all lagring eller tillstånd som kan observeras av webbplatser per webbplats på toppnivå, eller blockera sådan lagring eller tillstånd från användning och observerbarhet på flera webbplatser;
• Inte synkronisera cookies och status mellan webbläsaren och andra appar, inte ens andra appar från utvecklaren;
• Inte dela enhetsidentifierare med webbplatser utan informerat samtycke och användaraktivering;
• Märk nätverksanslutningar med hjälp av API:erna som tillhandahålls för att generera en appsekretessrapport på iOS; och
• Följ allmänt antagna webbstandarder om när du ska kräva informerad användaraktivering för webb-API:er (t.ex. urklipp eller helskärmsåtkomst), inklusive de som ger tillgång till PII.

Apple kommer också att ge auktoriserade utvecklare av dedikerade webbläsarappar åtkomst till säkerhetsbegränsningar och funktioner för att göra det möjligt för dem att bygga säkra webbläsarmotorer, och åtkomst till funktioner som lösenord för säker användarinloggning, multiprocesssystemfunktioner för att förbättra säkerhet och stabilitet, webbinnehållssandlådor som bekämpar utveckling säkerhetshot med mera.

Förutom att tillåta webbläsarmotorer från tredje part kommer Apple att visa en ny valskärm där användare kan välja en standardwebbläsare från en lista med alternativ. När användare i EU först öppnar Safari på iOS 3, uppmanas de att välja sin standardwebbläsare.