Apple erzwingt HTTPS in Apps
Ab Ende des Jahres sollen iOS-Apps grundsätzlich keine ungesicherten Verbindungen mehr aufbauen. HTTPS sei das neue HTTP, erklärte der iPhone-Hersteller.
Apple will das ungeschĂĽtzte Ăśbertragen von Daten unterbinden: Apps dĂĽrfen kĂĽnftig nur noch ĂĽber das HTTPS-Protokoll kommunizieren, teilte das Unternehmen auf der Entwicklerkonferenz WWDC mit. "HTTPS ist das neue HTTP", betonte eine Apple-Mitarbeiterin. Die Verwendung der im vergangenen Jahr eingefĂĽhrten Technik "App Transport Security" (ATS) werde ab Ende 2016 "erzwungen".
ATS soll für eine sichere Standardkonfiguration sorgen sowie die versehentliche Preisgabe von Daten verhindern, Apps müssen dabei lediglich angeben, mit welchen Domains sie kommunizieren wollen. Apples setzt für die HTTPS-Verbindungen nun TLS v1.2, AES-128 und SHA-2 zur Verschlüsselung voraus sowie auch Forward Secrecy: Dies soll verhindern, dass eine bereits abgeschlossene, verschlüsselte Kommunikation zu einem späteren Zeitpunkt mit Kenntnis des geheimen Schlüssels geknackt wird.
Ausnahmen mĂĽssen beantragt werden
Um den Übergang zu erleichtern, erlaubt der iPhone-Hersteller weiterhin Ausnahmen, etwa zur Verbindungsaufnahme mit einem spezifischen Dritt-Server. Diese Ausnahmen müssen ab Jahresende aber jeweils durch den Entwickler im Detail begründet werden – die Prüfung dürfte im Rahmen der App-Store-Zulassung erfolgen.
Auch das Anzeigen von beliebigen Webseiten mit dem von Apple bereitgestellten In-App-Browser WKWebView wird als neue Ausnahme ĂĽber eine unverschlĂĽsselte Verbindung zugelassen. Auch fĂĽr die Wiedergabe von Streaming-Inhalten ĂĽber AVFoundation werde vorerst eine generelle Ausnahme gemacht.
Probleme fĂĽr bestimmte Apps
Apps wie beispielsweise Twitter-Clients, Podcast-Player oder Feedreader könnte die angekündigte Änderung dennoch vor Probleme stellen, da sie gewöhnlich unzählige Webinhalte von Dritten integrieren. Wie bereitwillig Apple hier begründete Ausnahmen gewährt, bleibt abzuwarten – ebenso ist unklar, wie lange das Unternehmen die verschiedenen "Exceptions" überhaupt gewähren will.
Die Grundlagen fĂĽr die Umstellung rein auf HTTPS-Verbindungen hatte der Konzern im vergangenen Jahr mit iOS 9 und OS X 10.11 gelegt. (lbe)
