蘋果允許歐盟使用 Chromium 等第三方瀏覽器引擎
5分鐘讀
發表於
分享此文章
改進本指南
為了遵守歐盟即將頒布的 DMA 法案,Apple 今天 宣布 應用商店政策發生重大變化。
首先,應用程式開發人員將能夠使用替代瀏覽器引擎。到目前為止,即使是 iOS 上的第三方 Web 瀏覽器也使用 Apple 自己的 WebKit。透過這項新的變化,Chromium 等替代瀏覽器引擎可用於專用瀏覽器應用程式和在歐盟提供應用程式內瀏覽體驗的應用程式。
然而,蘋果只會在滿足特定標準並承諾一系列持續的隱私和安全要求(包括及時的安全更新以解決新出現的威脅和漏洞)後,才會授權開發人員實施替代瀏覽器引擎。請閱讀以下 Apple 對第三方瀏覽器引擎的要求。
為了獲得該權利,您的應用程式必須:
- 僅適用於歐盟地區的 iOS
- 與使用系統提供的 Web 瀏覽器引擎的任何應用程式分開的二進位文件
- 有預設的就好 網路瀏覽器權利
- 符合以下功能要求,以確保您的應用程式使用提供 Web 功能基線的 Web 瀏覽器引擎:
- 您和您的應用程式必須符合以下安全要求:
- 致力於安全的開發流程,包括監控應用程式的軟體供應鍊是否存在漏洞,並遵循安全軟體開發的最佳實踐(例如對正在開發的新功能執行威脅建模)。
- 提供已發佈的漏洞揭露政策的 URL,其中包括第三方(可能包括 Apple)向您報告安全漏洞和問題的聯絡資訊、在報告中提供的資訊以及預計狀態更新的時間。
- 承諾及時緩解您的應用程式或其正在使用的替代 Web 瀏覽器引擎中被利用的漏洞(例如,對於被主動利用的最簡單類別的漏洞,需要 30 天)。
- 提供公開網頁(或多個頁面)的 URL,該網頁提供有關特定版本的瀏覽器引擎和相關應用程式版本(如果不同)中報告的漏洞已解決的信息
- 如果您的替代 Web 瀏覽器引擎使用不透過 iOS SDK 訪問的根證書存儲,您必須使根證書策略可公開訪問,並且該策略的所有者必須作為瀏覽器參與證書頒發機構/瀏覽器論壇。
- 展現對現代傳輸層安全協定的支持,以在使用瀏覽器引擎時保護傳輸中的資料通訊。
程序安全要求
您必須執行以下操作:
- 至少在替代 Web 瀏覽器引擎中,對處理 Web 內容的所有程式碼使用記憶體安全的程式語言或提高其他語言記憶體安全性的功能;
- 採用最新的安全緩解措施(例如,指標驗證程式碼),消除漏洞類別或使開發漏洞利用鏈變得更加困難;
- 遵循安全設計、安全編碼、最佳實務;
- 使用進程分離來限制利用的影響並驗證替代 Web 瀏覽器引擎內的進程間通訊 (IPC);
- 監控任何第三方軟體依賴項和應用程式更廣泛的軟體供應鏈中的漏洞,如果漏洞影響您的應用程序,則遷移到更新版本;
- 不使用不再接收安全性更新來應對漏洞的框架或軟體庫;和
- 優先解決報告的漏洞,而不是新功能開發。例如,當替代 Web 瀏覽器引擎在平台的 SDK 和 Web 內容之間橋接功能以啟用 Web API 時,如果發現此類 Web API 存在漏洞,您必須根據請求刪除對此類 Web API 的支援。大多數漏洞應在 30 天內解決,但有些漏洞可能更複雜,可能需要更長。
程序隱私要求
您必須執行以下操作:
- 預設情況下封鎖跨網站 Cookie(即第三方 Cookie),除非使用者在知情同意的情況下明確選擇允許此類 Cookie;
- 對每個頂級網站的網站可觀察到的任何儲存或狀態進行分區,或阻止此類儲存或狀態的跨站點使用和可觀察性;
- 不在瀏覽器和任何其他應用程式(甚至開發者的其他應用程式)之間同步 Cookie 和狀態;
- 未經知情同意及使用者激活,不得與網站共享裝置識別碼;
- 使用提供的 API 標記網路連接,以在 iOS 上產生應用程式隱私報告;和
- 遵循普遍採用的 Web 標準,了解何時需要通知使用者啟動 Web API(例如剪貼簿或全螢幕存取),包括那些提供 PII 存取權限的 API。
蘋果還將為專用瀏覽器應用程式的授權開發人員提供安全緩解措施和功能的存取權限,使他們能夠建立安全的瀏覽器引擎,並存取諸如用於安全用戶登入的金鑰、用於提高安全性和穩定性的多進程系統功能、可應對不斷發展的網路內容沙箱等功能。安全威脅等等。
除了允許第三方瀏覽器引擎外,蘋果還將顯示一個新的選擇螢幕,用戶可以從選項清單中選擇預設的網頁瀏覽器。當歐盟用戶首次在 iOS 3 上開啟 Safari 時,系統會提示他們選擇預設瀏覽器。
