Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Apple zwingt Entwickler zu sicheren HTTPS-Verbindungen ab 2017

Apple forciert die Ansprüche an Entwickler von Dritthersteller-Apps in puncto Sicherheit. Bereits mit iOS 9 führte der Konzern den »App Transport Security«-Standard (ATS) ein. Dieser verhindert die Datenübertragung über HTTP, sondern erzwingt die Nutzung des sichereren HTTPS-Verfahrens. Bisher war die Nutzung für Entwickler aber freiwillig, zum Stichtag 1. Januar 2017 soll sie aber verpflichtend werden. Das gab der Konzern während der laufenden einwöchigen Entwicklerkonferenz WWDC bekannt.


HTTPS wird vor allem auf Anmeldeseiten für Nutzerkonten verwendet, wenn also besonders sensible Daten über das Netz geschickt werden. Im Browser lässt sich über die Web-Adresse leicht herausfinden, ob man gerade via HTTP und HTTPS verbunden ist. Innerhalb von Apps ist es nicht ganz so leicht, dies zu erkennen. Das sollte sich aber ab 2017 ändern. Die Vorgabe gilt für Apps für alle vier Apple-Betriebssysteme: iOS, macOS, watchOS und tvOS.

Kommentare

PheysX
PheysX15.06.16 10:24
Ich frage mich was mit Apps geschieht die zwar auf http Verbindungen setzen, jedoch nicht geupdated werden. Apple wird ja kaum alle sperren. Das wären zu viele. Vermutlich wird es nur Apps betreffen die ein gewisses Ansehen haben oder neu erstellt / geupdated werden.
0
dan@mac
dan@mac15.06.16 10:26
Denke es gilt nur für Updates oder neue Apss ab 2017. so war es auch mit Sandboxing.
0
void
void15.06.16 10:27
Ich hab keine Ahnung, wie die das erzwingen wollen. Gibts dann keine Browser mehr auf iOS? Es steht ner App dochwohl frei eine TCP-Verbindung aufzumachen, ohne iOS mitzuteilen, welches Protokoll darüber gesprochen wird.
Bezieht sich vmtl. ausschließlich auf NSURLConnection und sorgt dann nur dafür, dass es neue Libs geben wird, die nicht darauf setzen.
Developer of the Day 11. Februar 2013
0
Duck Dodgers15.06.16 10:28
Was für ein mist! An sich eine gute Sache, aber nicht für alle Apps wirklich Sinnvoll
0
Windwusel
Windwusel15.06.16 10:30
Dann wird es für die MTN-App wohl erstmal keine Updates mehr geben.
@void so wie man im Router HTTP Verbindungen gänzlich blockieren kann geht das bestimmt auch in iOS. Womöglich wird aber auch mit Zertifikaten gearbeitet die vorhanden sein müssen um eine Verbindung nach außen herzustellen.
MacBook Pro mit Touch Bar (15-inch, 2018), iPhone 12 Pro Max und iPhone X, AirPods (1. Gen) & AirPods Pro (1. Gen), Apple TV 4K (1. Gen) und HomePod (1. Gen)
0
Duck Dodgers15.06.16 10:30
void
Ich hab keine Ahnung, wie die das erzwingen wollen.
Die App kann keine HTTP Verbindungen mehr aufbauen! Bis jetzt konnte man das durch einen Eintrag wieder freischalten, aber der fällt dann vermutlich weg und du bist auf HTTPS angewiesen. Im geschlossenen/privaten Netz total sinnlos.
0
Kovu
Kovu15.06.16 10:34
Duck Dodgers
void
Ich hab keine Ahnung, wie die das erzwingen wollen.
Die App kann keine HTTP Verbindungen mehr aufbauen! Bis jetzt konnte man das durch einen Eintrag wieder freischalten, aber der fällt dann vermutlich weg und du bist auf HTTPS angewiesen. Im geschlossenen/privaten Netz total sinnlos.

HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.
0
matt.ludwig15.06.16 10:47
Kovu
Duck Dodgers
void
Ich hab keine Ahnung, wie die das erzwingen wollen.
Die App kann keine HTTP Verbindungen mehr aufbauen! Bis jetzt konnte man das durch einen Eintrag wieder freischalten, aber der fällt dann vermutlich weg und du bist auf HTTPS angewiesen. Im geschlossenen/privaten Netz total sinnlos.

HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.
Wenn ich hier im Haus mit meinem Raspberry PI rumspiele brauche ich definitiv kein HTTPS.

Gleiches gilt für ne API die ich hier lokal entwickle.
0
Raziel115.06.16 10:47
Gilt das auch dann wenn eine App wiederum eine Webview integriert? Da muss es ja gehen denn was passiert sonst mit Browsern wie Chrome etc?
0
sierkb15.06.16 10:48
Kovu
HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.

+1

Verschiedene Hersteller, allen voran die Browser-Hersteller erzwingen das mittlerweile bzw. forcieren das undziehen da die Daumenschrauben an im Sinne allgemeiner höherer Sicherheit, allen voran auch Google, Firefox ebenso. Google belohnt in seinem Index und im Ranking https-Seiten, straft http-Seiten ab. Es geht sogar soweit, dass ab einem bestimmten Zeitpunkt aus allgemeinen Sicherheitsgründen im öffentlichen Netz gar keine http-Seiten mehr angezeigt werden bzw. deren Anzeige blockiert werden soll, sodass die Leute gezwungen werden, auf HTTPS zu gehen.
Wenn Apple da jetzt auf diesen allgemeinen Zug und Konsens aufspringt, ist das nur gut und sehr zu begrüßen.
Nicht zuletzt NSA & Co. und den Snowden-Veröffentlichungen sei Dank. Die haben das ganz erheblich beschleunigt bzw. die Notwenigkeit zum diesbzgl. Handeln in den allgemeinen Fokus gerückt.
0
Raziel115.06.16 10:50
matt.ludwig
Kovu
Duck Dodgers
void
Ich hab keine Ahnung, wie die das erzwingen wollen.
Die App kann keine HTTP Verbindungen mehr aufbauen! Bis jetzt konnte man das durch einen Eintrag wieder freischalten, aber der fällt dann vermutlich weg und du bist auf HTTPS angewiesen. Im geschlossenen/privaten Netz total sinnlos.

HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.
Wenn ich hier im Haus mit meinem Raspberry PI rumspiele brauche ich definitiv kein HTTPS.

Gleiches gilt für ne API die ich hier lokal entwickle.


Es wird halt einfach zum Standard und derzeit auch gefördert das an sich jede Seite bzw/ Verbindung in Zukunft nur noch HTTPS verwendet. Wenn es um Websites geht ranked google schon seit kurzem alles höher was HTTPS verwendet und auf ein reines HTTPS web wird derzeit auch abgezielt. (ob das dann überhaupt so schnell gehen wird ist natürlich eine andere Sache, aber durch Services wie Let'sEnrcypt ist es ja quasi super einfach geworden das umzusetzen)
0
Duck Dodgers15.06.16 11:20
Kovu
HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.
Das habe ich auch nicht gesagt Nur macht es für mich absolut keinen Sinn, für jede Anwendung zwanghaft HTTPS einsetzen zu müssen!
0
sierkb15.06.16 11:24
Duck Dodgers:

Das Bessere ist halt des Guten Feind.
Du wirst es überleben, wirst Dich dran gewöhnen, irgendwann ist es für Dich normal, und Du kennst es nicht anders, weil eine Selbstverständlichkeit geworden. Alles reine Gewöhnungssache.
0
LoCal
LoCal15.06.16 11:32
Duck Dodgers
Kovu
HTTPS ist niemals sinnlos, sondern hätte schon viel früher allgemeingültige Praxis sein sollen.
Das habe ich auch nicht gesagt Nur macht es für mich absolut keinen Sinn, für jede Anwendung zwanghaft HTTPS einsetzen zu müssen!

Doch, weil manchmal hilft eben nur noch Zwang
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
MikeMuc15.06.16 11:36
matt.ludwig
Wenn ich hier im Haus mit meinem Raspberry PI rumspiele brauche ich definitiv kein HTTPS.

Gleiches gilt für ne API die ich hier lokal entwickle.

Für ersteres mag ich das gelten lassen, Bei letzterem nicht. Denn geanu so haben viele gedacht. Dann sollte auf einmal alles von außen erreichbar sein, keiner hat sich um irgendwas Gedanken gemacht und auf einmal waren alle internen Verbindungen die nicht "geschützt" waren angreifbar.
In deinem Heimnetz magst du das ja noch kontrollieren könne aber wenn es größer wird und viele Köche dran rum kochen dann... ist es besser wenn man gleich alles immer sicher macht.
0
sierkb15.06.16 11:38
LoCal
Doch, weil manchmal hilft eben nur noch Zwang

👍

Wie mit der Gurtpflicht beim Autofahren. Freiwillig wollte das ursprüngl. auch keiner machen. Obwohl's zu seinem ureigenen Schutz ist. Also muss so mancher zu seinem Glück und Schutz gezwungen werden. Im Sinne seiner eigenen und im Sinne anderer Leute Sicherheit.
0
matt.ludwig15.06.16 11:52
MikeMuc
matt.ludwig
Wenn ich hier im Haus mit meinem Raspberry PI rumspiele brauche ich definitiv kein HTTPS.

Gleiches gilt für ne API die ich hier lokal entwickle.

Für ersteres mag ich das gelten lassen, Bei letzterem nicht. Denn geanu so haben viele gedacht. Dann sollte auf einmal alles von außen erreichbar sein, keiner hat sich um irgendwas Gedanken gemacht und auf einmal waren alle internen Verbindungen die nicht "geschützt" waren angreifbar.
In deinem Heimnetz magst du das ja noch kontrollieren könne aber wenn es größer wird und viele Köche dran rum kochen dann... ist es besser wenn man gleich alles immer sicher macht.
Ich rede auch nur von mir wo ich weiß was ich tue

Prinzipiell finde ich es ja sehr förderlich.
0
void
void15.06.16 16:34
Duck Dodgers
Die App kann keine HTTP Verbindungen mehr aufbauen! Bis jetzt konnte man das durch einen Eintrag wieder freischalten, aber der fällt dann vermutlich weg und du bist auf HTTPS angewiesen. Im geschlossenen/privaten Netz total sinnlos.

Mir ist die Einstellung bekannt, die Frage bleibt aber bestehen: Wie will Apple das technisch erzwingen? Das ist nicht möglich ohne DPI auf TCP.

Apple kann einen solchen Zwang nur auf High-Level -APIs umsetzen, aber keine App daran hindern "manuell" HTTP über eine Socket-Verbindung zu sprechen.

Die Frage ist somit: Zwingt Apple somit Browser-Apps (die es offensichtlich gibt) auf andere Bibliotheken zu wechseln, welche diesem Zwang nicht ausgesetzt sind? Dann wäre die gut gemeinte Absicht, TLS zu fördern, sehr schnell vergebens, da schnell viele unsichere Apps dann auch der Bequemlichkeit halber auf Libs ohne TLS-Zwang wechseln.

Und WENN Apple tatsächlich mit DPI anfängt, wird demnächst sehr viel Traffic (u.a. aus Browsern) über Proxies laufen (ok, das wäre dann zumindest bis zum Termination Server verschlüsselt, danach aber unsicher wie eh und je...)
Developer of the Day 11. Februar 2013
0
vMief15.06.16 18:06
Das mit dem Erzwingen ist ganz einfach und es gibt nur zwei Möglichkeiten:
1. Die erfinden irgendwas, was tatsächlich einen absoluten SSL-Zwang einführt kann ich mir nur schwer vorstellen.
2. Der "Zwang" lässt sich relativ "einfach" durch ThirdParty-Libs umgehen. Aber: Wie viele Entwickler werden sich die Mühe machen, irgendwelche möglicherweise komplizierten Librarys einzubinden, nur um wieder HTTP zu nutzen? Da ist es einfacher, sich per Let's Encrypt einfach ein SSL-Zertifikat zu generieren und kann dann auch System-Librarys nutzen, die offiziell Supporten werden.

Beispiel aus dem Rechts-Bereich: Wer kennt in Klamotten-Läden den Spruch "Keine Rückgabe bei reduzierter Ware"? Rechtlich ist das hochgradig ungültig und schlichtweg falsch (wenn es sich um Neuware handelt)! Aber wer beschwert sich schon?
0
maczock15.06.16 23:58
Es wird weiterhin Ausnahmen geben, die nun aber begründet werden müssen:
0
sierkb16.06.16 02:03
Abgesehen vom bereits von meinem Vorredner genannten und verlinkten Apple Developer-Video mehr Infos und Details in der Berichterstattung dazu z.B. dort (die sich ebenfalls auf das betreffende Session-Video der WWDC 2016 berufen, das aber weiter ausführen):

heise (15.06.2016): Apple erzwingt HTTPS in Apps
Ab Ende des Jahres sollen iOS-Apps grundsätzlich keine ungesicherten Verbindungen mehr aufbauen. HTTPS sei das neue HTTP, erklärte der iPhone-Hersteller.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.