Apple จะอนุญาตให้ใช้เอ็นจิ้นเบราว์เซอร์บุคคลที่สามเช่น Chromium ในสหภาพยุโรป
5 นาที. อ่าน
เผยแพร่เมื่อ
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
เพื่อให้สอดคล้องกับกฎหมาย DMA ที่กำลังจะมีขึ้นในสหภาพยุโรป Apple ในวันนี้ ประกาศ การเปลี่ยนแปลงที่สำคัญในนโยบาย App Store
ขั้นแรก นักพัฒนาแอปจะสามารถใช้กลไกเบราว์เซอร์สำรองได้ จนถึงขณะนี้แม้แต่เว็บเบราว์เซอร์ของบุคคลที่สามบน iOS ก็ใช้ WebKit ของ Apple เอง ด้วยการเปลี่ยนแปลงใหม่นี้ เอ็นจิ้นเบราว์เซอร์สำรองเช่น Chromium สามารถใช้กับแอปเบราว์เซอร์เฉพาะและแอปที่ให้ประสบการณ์การท่องเว็บในแอปในสหภาพยุโรป
อย่างไรก็ตาม Apple จะอนุญาตให้นักพัฒนาปรับใช้กลไกเบราว์เซอร์สำรองได้หลังจากมีคุณสมบัติตรงตามเกณฑ์ที่กำหนดและปฏิบัติตามข้อกำหนดด้านความเป็นส่วนตัวและความปลอดภัยหลายประการอย่างต่อเนื่อง รวมถึงการอัปเดตความปลอดภัยอย่างทันท่วงทีเพื่อจัดการกับภัยคุกคามและช่องโหว่ที่เกิดขึ้นใหม่ อ่านเกี่ยวกับข้อกำหนดของ Apple สำหรับกลไกเบราว์เซอร์บุคคลที่สามด้านล่าง
เพื่อให้มีคุณสมบัติในการรับสิทธิ์ แอปของคุณต้อง:
- ใช้งานได้บน iOS ในสหภาพยุโรปเท่านั้น
- เป็นไบนารีที่แยกจากแอปใดๆ ที่ใช้เครื่องมือเว็บเบราว์เซอร์ที่ระบบจัดเตรียมไว้ให้
- มีค่าเริ่มต้น สิทธิ์ของเว็บเบราว์เซอร์
- ปฏิบัติตามข้อกำหนดด้านการทำงานต่อไปนี้เพื่อให้แน่ใจว่าแอปของคุณใช้เครื่องมือเว็บเบราว์เซอร์ที่มีฟังก์ชันพื้นฐานของเว็บ:
- ผ่านการทดสอบเปอร์เซ็นต์ขั้นต่ำจากชุดทดสอบมาตรฐานอุตสาหกรรม:
- 90% จาก การทดสอบแพลตฟอร์มเว็บ
- และ 80% จาก Test262
- ตรงตามข้อกำหนดของชุดทดสอบข้างต้น หากการคอมไพล์ Just in Time (JIT) ไม่พร้อมใช้งาน (เช่น หากผู้ใช้เปิดใช้งานโหมดล็อคดาวน์)
- ผ่านการทดสอบเปอร์เซ็นต์ขั้นต่ำจากชุดทดสอบมาตรฐานอุตสาหกรรม:
- คุณและแอปของคุณต้องเป็นไปตามข้อกำหนดด้านความปลอดภัยต่อไปนี้:
- มุ่งมั่นที่จะรักษาความปลอดภัยกระบวนการพัฒนา รวมถึงการตรวจสอบห่วงโซ่อุปทานซอฟต์แวร์ของแอปของคุณเพื่อหาช่องโหว่ และปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดเกี่ยวกับการพัฒนาซอฟต์แวร์ที่ปลอดภัย (เช่น การสร้างแบบจำลองภัยคุกคามในคุณสมบัติใหม่ที่อยู่ระหว่างการพัฒนา)
- ระบุ URL ของนโยบายการเปิดเผยช่องโหว่ที่เผยแพร่ ซึ่งรวมถึงข้อมูลติดต่อสำหรับการรายงานช่องโหว่ด้านความปลอดภัยและปัญหาถึงคุณโดยบุคคลที่สาม (ซึ่งอาจรวมถึง Apple) ข้อมูลที่ต้องระบุในรายงาน และเวลาที่คาดว่าจะได้รับการอัปเดตสถานะ
- มุ่งมั่นที่จะลดช่องโหว่ที่กำลังถูกหาประโยชน์ภายในแอปของคุณหรือกลไกเว็บเบราว์เซอร์สำรองที่ใช้งานในเวลาที่เหมาะสม (เช่น 30 วันสำหรับประเภทช่องโหว่ที่ง่ายที่สุดที่ถูกหาประโยชน์อย่างแข็งขัน)
- ระบุ URL ไปยังหน้าเว็บ (หรือเพจ) ที่เปิดเผยต่อสาธารณะซึ่งให้ข้อมูลว่าช่องโหว่ใดที่รายงานได้รับการแก้ไขแล้วในเวอร์ชันเฉพาะของกลไกเบราว์เซอร์และเวอร์ชันของแอปที่เกี่ยวข้อง หากแตกต่างออกไป
- หากกลไกเว็บเบราว์เซอร์สำรองของคุณใช้ที่เก็บใบรับรองหลักที่ไม่สามารถเข้าถึงได้ผ่าน iOS SDK คุณต้องทำให้นโยบายใบรับรองหลักเข้าถึงได้แบบสาธารณะ และเจ้าของนโยบายนั้นจะต้องเข้าร่วมเป็นเบราว์เซอร์ในผู้ออกใบรับรอง / ฟอรัมเบราว์เซอร์
- สาธิตการสนับสนุนโปรโตคอล Transport Layer Security สมัยใหม่เพื่อปกป้องการสื่อสารข้อมูลระหว่างทางเมื่อมีการใช้งานกลไกเบราว์เซอร์
ข้อกำหนดด้านความปลอดภัยของโปรแกรม
คุณต้องทำสิ่งต่อไปนี้:
- ใช้ภาษาการเขียนโปรแกรมที่ปลอดภัยสำหรับหน่วยความจำ หรือคุณสมบัติที่ปรับปรุงความปลอดภัยของหน่วยความจำในภาษาอื่น ภายในกลไกเว็บเบราว์เซอร์สำรองเป็นอย่างน้อยสำหรับโค้ดทั้งหมดที่ประมวลผลเนื้อหาเว็บ
- ใช้มาตรการลดความปลอดภัยล่าสุด (เช่น รหัสการรับรองความถูกต้องของตัวชี้) ซึ่งจะลบคลาสของช่องโหว่หรือทำให้การพัฒนาห่วงโซ่ช่องโหว่ยากขึ้นมาก
- ปฏิบัติตามการออกแบบที่ปลอดภัย และการเขียนโค้ดที่ปลอดภัย แนวทางปฏิบัติที่ดีที่สุด
- ใช้การแยกกระบวนการเพื่อจำกัดผลกระทบของการใช้ประโยชน์และตรวจสอบการสื่อสารระหว่างกระบวนการ (IPC) ภายในกลไกเว็บเบราว์เซอร์ทางเลือก
- ตรวจสอบช่องโหว่ในการพึ่งพาซอฟต์แวร์ของบุคคลที่สามและห่วงโซ่อุปทานซอฟต์แวร์ที่กว้างขึ้นของแอปของคุณ โยกย้ายไปยังเวอร์ชันที่ใหม่กว่าหากช่องโหว่ส่งผลกระทบต่อแอปของคุณ
- ไม่ใช้เฟรมเวิร์กหรือไลบรารีซอฟต์แวร์ที่ไม่ได้รับการอัปเดตความปลอดภัยอีกต่อไปเพื่อตอบสนองต่อช่องโหว่ และ
- จัดลำดับความสำคัญในการแก้ไขช่องโหว่ที่รายงานด้วยความรวดเร็ว เหนือการพัฒนาฟีเจอร์ใหม่ๆ ตัวอย่างเช่น เมื่อกลไกเว็บเบราว์เซอร์ทางเลือกเชื่อมโยงความสามารถระหว่าง SDK ของแพลตฟอร์มและเนื้อหาเว็บเพื่อเปิดใช้งาน Web API คุณจะต้องลบการสนับสนุนสำหรับ Web API ดังกล่าวออก หากมีการระบุว่ามีช่องโหว่ เมื่อมีการร้องขอ ช่องโหว่ส่วนใหญ่ควรได้รับการแก้ไขภายใน 30 วัน แต่บางจุดอาจซับซ้อนกว่าและอาจใช้เวลานานกว่านั้น
ข้อกำหนดความเป็นส่วนตัวของโปรแกรม
คุณต้องทำสิ่งต่อไปนี้:
- บล็อกคุกกี้ข้ามไซต์ (เช่น คุกกี้ของบุคคลที่สาม) ตามค่าเริ่มต้น เว้นแต่ผู้ใช้จะเลือกที่จะอนุญาตคุกกี้ดังกล่าวโดยชัดแจ้งโดยได้รับความยินยอม
- แบ่งพาร์ติชันที่เก็บข้อมูลหรือสถานะใด ๆ ที่เว็บไซต์สามารถสังเกตได้ต่อเว็บไซต์ระดับบนสุด หรือบล็อกที่เก็บข้อมูลหรือสถานะดังกล่าวจากการใช้งานข้ามไซต์และความสามารถในการสังเกตได้
- ไม่ซิงค์คุกกี้และสถานะระหว่างเบราว์เซอร์กับแอปอื่น ๆ แม้แต่แอปอื่น ๆ ของผู้พัฒนา
- ไม่เปิดเผยตัวระบุอุปกรณ์กับเว็บไซต์โดยไม่ได้รับความยินยอมและการเปิดใช้งานผู้ใช้
- ติดป้ายกำกับการเชื่อมต่อเครือข่ายโดยใช้ API ที่ให้ไว้เพื่อสร้างรายงานความเป็นส่วนตัวของแอปบน iOS และ
- ปฏิบัติตามมาตรฐานเว็บที่นำมาใช้โดยทั่วไปว่าเมื่อใดที่ต้องเปิดใช้งานผู้ใช้โดยแจ้งให้ทราบสำหรับ API เว็บ (เช่น คลิปบอร์ดหรือการเข้าถึงแบบเต็มหน้าจอ) รวมถึงมาตรฐานที่ให้การเข้าถึง PII
นอกจากนี้ Apple ยังจะให้นักพัฒนาที่ได้รับอนุญาตของแอพเบราว์เซอร์เฉพาะสามารถเข้าถึงการลดความเสี่ยงและความสามารถด้านความปลอดภัย เพื่อช่วยให้พวกเขาสร้างกลไกเบราว์เซอร์ที่ปลอดภัย และเข้าถึงคุณสมบัติต่างๆ เช่น รหัสผ่านสำหรับการเข้าสู่ระบบของผู้ใช้อย่างปลอดภัย ความสามารถของระบบหลายกระบวนการเพื่อปรับปรุงความปลอดภัยและเสถียรภาพ แซนด์บ็อกซ์เนื้อหาเว็บที่ต่อสู้กับการพัฒนา ภัยคุกคามด้านความปลอดภัย และอื่นๆ อีกมากมาย
นอกเหนือจากการอนุญาตกลไกเบราว์เซอร์ของบุคคลที่สามแล้ว Apple จะแสดงหน้าจอตัวเลือกใหม่ที่ผู้ใช้สามารถเลือกเว็บเบราว์เซอร์เริ่มต้นจากรายการตัวเลือกได้ เมื่อผู้ใช้ในสหภาพยุโรปเปิด Safari บน iOS 3 เป็นครั้งแรก พวกเขาจะได้รับแจ้งให้เลือกเบราว์เซอร์เริ่มต้น