App Transport Security Pflicht

App Transport Security (kurz ATS), vor kurzer Zeit habe ich dazu noch eine umfassende Anleitung geschrieben. Abgekürzt geht es um die erzwungene Nutzung sicherer Verbindungen. Zum einen verlangt Apple HTTPS-Verbindungen zu nutzen. Gleichzeitig muss auch die sich an sicheren Standards orientieren. Das wird ab 2017 Pflicht.

App Transport Security wird Pflicht

Bislang ist das optional und kann deaktiviert werden. Das ist selbst dann kein Problem wenn die App in den Store übermittelt wird. Ab 2017 ändert sich das jedoch. Auf der Entwicklungsumgebung funktioniert alles wie bisher. Wird die App aber in den Store übermittelt, muss ATS aktiviert sein. Der Stichtag für Apps ist der 1.1.2017.

Im Endeffekt war dieser Schritt eigentlich zu erwarten, zumal er für produktive Lösungen auch wirklich nicht schwer zu erreichen ist. Gerade auch nach den letzten Diskussionen rund um die Entschlüsselung von iPhones für das FBI hat Apple sich Datenschutz und Privatsphäre öffentlich auf die Fahnen geschrieben. Das zieht sich quer durch die verschiedenen Sessions der WWDC, bei denen dies an gegebener Stelle immer wieder betont wird.

Was bedeutet das für Entwickler?

Eigentlich ist das nun der letzte Schubs in die richtige Richtung. Wenn Du Daten abrufst, nutz einfach https-Verbindungen. Zusätzlich muss das SSL-Zertifikat von einem bekannten Aussteller (Certification Authority) unterzeichnet werden. Auch die Parameter der Verbindung müssen als sicher gelten. Aktuell wird z.B. mindestens TLS-Version 1.2 gefordert.

Bis zum 31.12.2016 hast Du genug Vorbereitungszeit um Deine APIs und Ressourcen im Web vorzubereiten. Am Ende profitieren alle, denn es werden nun ohne zu hinterfragen verschlüsselte Verbindungen verwendet. Vereinzelt mag dies übertrieben wirken. Aber selbst bei dem Abruf von XML Feeds, Artikeln im Web oder ähnlichem wäre zumindest theoretisch das Interesse an bestimmten Themen erkennbar. Insofern wird nun wirklich die Privatsphäre umfassend gesichert.

Kommentare (8)

  • Daniel Bocksteger

    1 Jahr ago

    Wird damit die bisherige Möglichkeit, https für bestimmte Domains auszuklammern, gekippt? Damit würden Entwickler/Firmen ja dazu gezwungen, SSL Zertifikate von bestimmten Autoritäten zu erwerben…

    • Jan Brinkmann

      1 Jahr ago

      Genau. Apps im Store können nicht mehr ohne sichere Verbindung arbeiten. Sind allerdings schon recht günstig mittlerweile. Bspw. bei Domainfactory (um 20 Euro oder so pro Jahr)

    • Jan Brinkmann

      1 Jahr ago

      Die Funktion verschwindet aber scheinbar nicht, Entwicklung geht also weiterhin wie bisher. Nur die Live-Version später im Store muss https verwenden.

  • conectas

    1 Jahr ago

    Ich hoffe das dieser Blödsinn nochmal überdacht wird.
    Weil: Was mach ich mit Geräten die in internen Netzen laufen (.local) und/oder wo ich kein Zertifikat installieren kann.

    • Jan Brinkmann

      1 Jahr ago

      Du kannst intern ja weiterhin debuggen und arbeiten. Nur wenn die App in den Store geht klappt das nicht. Da hast Du dann aber ja auch keine .local Adresse mehr 🙂

      • conectas

        1 Jahr ago

        Habe ich mich falsch ausgedrückt? Oder habe ich was falsch verstanden?
        Meine Projekte kommunizieren mit internen Geräten (digitalen Video Recordern, etc.), die haben immer nur eine interne Adresse und sind Geräte wo kein Zertifikat installiert werden kann. Mach dem sie im AppStore eingereicht sind geht das nicht mehr…?

        • Jan Brinkmann

          1 Jahr ago

          Aber eine App mit einer “.local” Adresse geht ja nicht in den Store, oder? Macht ja quasi für andere Benutzer keinen Sinn. Oder ist da einfach eine Konfigurationsmaske? Das wird vermutlich früher oder später auch beim Einreichen schwierig, da Apple vielfach gerne den eigentlich Funktionsumfang testen möchte. Da kommen sie dann ja gar nicht dran. Ich hab es ja im Artikel erwähnt, es gibt sicherlich ein paar Szenarien wo es nicht unbedingt wichtig ist. Aber das ist ja wirklich eher die Ausnahme.

          • Jörg

            1 Jahr ago

            Ich antworte einfach mal hier…
            Ich versuche mich auch an der Datensteuerung von Geräten inhouse (Beispiel DVR) Der integrierte Webserver des Recorders kann einfach kein HTTPS….

            Ich bin nur Nutzer der API und diese stellt kein HTTPS zur Verfügung. Bei eigenen Daten sieht das definitiv anders aus ;-)…..
            Wäre es eine (im Netz offen verfügbare api) könne man den passenden Wrapper selbst schreiben. Aber gut im Einzelfall sollte das sicherlich kein Problem darstellen, in welcher Form man Apple dann jedoch Zugriff gewähren kann, oder aber einen eigene vergleichbare API zum teste anbietet, muss man dann mal sehen

Leave a Comment to Daniel Bocksteger Cancel reply

Your email address will not be published.