Apple erzwingt HTTPS in Apps
Ab Ende des Jahres sollen iOS-Apps grundsätzlich keine ungesicherten Verbindungen mehr aufbauen. HTTPS sei das neue HTTP, erklärte der iPhone-Hersteller.
Apple will das ungeschützte Übertragen von Daten unterbinden: Apps dürfen künftig nur noch über das HTTPS-Protokoll kommunizieren, teilte das Unternehmen auf der Entwicklerkonferenz WWDC mit. "HTTPS ist das neue HTTP", betonte eine Apple-Mitarbeiterin. Die Verwendung der im vergangenen Jahr eingeführten Technik "App Transport Security" (ATS) werde ab Ende 2016 "erzwungen".
ATS soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern, Apps müssen dabei lediglich angeben, mit welchen Domains sie kommunizieren wollen. Apples setzt für die HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung voraus sowie auch Forward Secrecy: Dies soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird.
Ausnahmen müssen beantragt werden
Um den Übergang zu erleichtern, erlaubt der iPhone-Hersteller weiterhin Ausnahmen, etwa zur Verbindungsaufnahme mit einem spezifischen Dritt-Server. Diese Ausnahmen müssen ab Jahresende aber jeweils durch den Entwickler im Detail begründet werden – die Prüfung dürfte im Rahmen der App-Store-Zulassung erfolgen.
Auch das Anzeigen von beliebigen Webseiten mit dem von Apple bereitgestellten In-App-Browser WKWebView wird als neue Ausnahme über eine unverschlüsselte Verbindung zugelassen. Auch für die Wiedergabe von Streaming-Inhalten über AVFoundation werde vorerst eine generelle Ausnahme gemacht.
Probleme für bestimmte Apps
Apps wie beispielsweise Twitter-Clients, Podcast-Player oder Feedreader könnte die angekündigte Änderung dennoch vor Probleme stellen, da sie gewöhnlich unzählige Webinhalte von Dritten integrieren. Wie bereitwillig Apple hier begründete Ausnahmen gewährt, bleibt abzuwarten – ebenso ist unklar, wie lange das Unternehmen die verschiedenen "Exceptions" überhaupt gewähren will.
Die Grundlagen für die Umstellung rein auf HTTPS-Verbindungen hatte der Konzern im vergangenen Jahr mit iOS 9 und OS X 10.11 gelegt. (lbe)
