Gesicherte Verbindungen für iOS-Apps ab 2017 Pflicht

Philipp Schwinn

Herrenhut
Registriert
28.10.12
Beiträge
2.300
Während der WWDC hat Apple die Deadline gesetzt, ab der die Verwendung der App Transport Security (ATS) für Entwickler verpflichtend wird. Das Sicherheits-Feature muss ab dem 1. Januar 2017 standardmäßig aktiviert sein.

ATS wurde im vergangenen Jahr mit iOS 9 eingeführt und zwingt die App dazu, eine gesicherte HTTPS-Verbindung zu genutzten Webdiensten aufzubauen. Dadurch werden Daten zumindest durch eine verschlüsselte Verbindung übertragen. Mit der Pflicht zu gesicherten Verbindungen trägt Apple einen weiteren Teil dazu bei, den Datenverkehr im Netz sicherer zu machen.

via TechCrunch, Bild: Michael Reimann


zurück zum Magazin...
 

Farafan

deaktivierter Benutzer
Registriert
16.09.12
Beiträge
10.250
Wichtige und konsequente Entscheidung.
Manchmal muss man eben auch Entwickler zu ihrem Glück zwingen.
 

Tobias Scholze

Apfeltalk Entwicker
AT Redaktion
Registriert
15.07.09
Beiträge
1.581
Man braucht nicht für alles eine teure https Verbindung. :/
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Finde ich eigentlich nicht so gut. Nicht alles muss über HTTPS übertragen werden. Nutzt man öffentliche und anonyme RESTful-APIs, kann man diese nun nicht mehr nutzen, bis der Betreiber SSL anbietet.
 

Bananenbieger

Golden Noble
Registriert
14.08.05
Beiträge
25.515
Ist aber das kleinere Übel. Fehlt jetzt eigentlich nur noch S/MIME-Pflicht bei Mails.
 

1927AD

Jamba
Registriert
20.07.15
Beiträge
56
Auch hier geht Apple wieder mit gutem Beispiel voran und setzt längst überfällige Standards. Was immer verschlüsselt werden kann, sollte auch so gehandhabt werden - kenne ich auch seit Jahren schon nicht mehr anders. Wenn ein Anbieter stand heute noch immer kein SSL anbieten kann, sollte man sich ganz erntshaft fragen, ob das noch ein akzeptabler Anbieter ist. Wer heute noch kein SSL anbietet, hat schon vor Jahren den Sprung auf den Zug verpasst - und das dann sicher nicht nur in Bezug auf so eine Baustelle.
 

MacApple

Schöner von Bath
Registriert
05.01.04
Beiträge
3.652
Hmm, wer nach Snowden immer noch auf unverschlüsselte Datenübertragung setzt, wird es wohl nie checken.
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Wenn ein Anbieter stand heute noch immer kein SSL anbieten kann, sollte man sich ganz erntshaft fragen, ob das noch ein akzeptabler Anbieter ist. Wer heute noch kein SSL anbietet, hat schon vor Jahren den Sprung auf den Zug verpasst - und das dann sicher nicht nur in Bezug auf so eine Baustelle.

Was hältst du denn von der Tatsache, dass Apfeltalk kein SSL verwendet? Nichtmal beim Anmelden oder Registrieren.

image.jpeg
 

Mikael Blomkvist

Normande
Registriert
30.08.15
Beiträge
574
Als ob das auf einer solchen Internetseite wichtig wäre, beim Online Banking vielleicht, aber doch nicht hier.
 

1927AD

Jamba
Registriert
20.07.15
Beiträge
56
Was hältst du denn von der Tatsache, dass Apfeltalk kein SSL verwendet? Nichtmal beim Anmelden oder Registrieren.

Anhang anzeigen 135932

Da hast du Recht, passt aber zum allgemein nicht gut (technisch) umgesetzten Auftritt der Seite.

@Mikael Blomkvist : abgesehen davon, dass es wirklich keinen außer mir etwas angeht, was ich irgendwo im Netz zu sagen habe, überträgst du hier bei der Anmeldung deinen Benutzernamen und Passwort im Klartext. Aber du gehörst sicher zu den Leuten, die ja auch nichts zu verbergen haben
 

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Hmmm… heißt das, dass bald auch z.B. nur noch Podcasts mit HTTPS Backend heruntergeladen & gehört werden können? Das wird interessant werden.
 

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Was wäre daran hinderlich?
Es ist zu begrüßen, die Frage ist, ob alle Podcaster das mitbekommen und ihre Server soweit umstellen TLS zu unterstützen.
Dann ist die Implementation von TLS bei Apple auch nicht so wunderbar, LetsEncrypt z.B. ist/war lange nicht unterstützt, daher mussten die Zertifikate von IdenTrust gegensigniert werden. So schön es ist überall HTTPS zu haben, gibt es doch viele Stellen an denen es blockiert werden kann.
 

Simply1337

Ingrid Marie
Registriert
19.09.13
Beiträge
273
Der Schritt kommt eigentlich schon zu spät. Zwar geht Apple jetzt wieder mit gutem Beispiel voran, dennoch hätte man das Ganze auch früher initiieren können.

Sicherlich ist es nicht unbedingt notwendig für alles eine gesicherte Verbindung zu nutzen. Aber was spricht gegen mehr Sicherheit?
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Sicherlich ist es nicht unbedingt notwendig für alles eine gesicherte Verbindung zu nutzen. Aber was spricht gegen mehr Sicherheit?

Es spricht nichts dagegen, es ist aber nun einmal so, dass man als Entwickler auf externe Quellen keinen Einfluss hat. Da es nicht absolut nötig ist, ist diese Regel vielleicht etwas extrem. Gerade Apple sollte doch imstande sein um einzeln zu überprüfen welche Ausnahmen ein Entwickler in seiner App deklariert? Immerhin behalten sie sich genau das doch vor.
 

Simply1337

Ingrid Marie
Registriert
19.09.13
Beiträge
273
Es spricht nichts dagegen, es ist aber nun einmal so, dass man als Entwickler auf externe Quellen keinen Einfluss hat. Da es nicht absolut nötig ist, ist diese Regel vielleicht etwas extrem. Gerade Apple sollte doch imstande sein um einzeln zu überprüfen welche Ausnahmen ein Entwickler in seiner App deklariert? Immerhin behalten sie sich genau das doch vor.

Apple diktiert eben was die Entwickler zu tun und zu lassen haben. Dass das einigen Entwicklern nicht ganz mundet ist wohl klar. Dennoch halte ich es für einen Schritt in die richtige Richtung.
 

KALLT

deaktivierter Benutzer
Registriert
12.11.08
Beiträge
1.523
Apple diktiert eben was die Entwickler zu tun und zu lassen haben. Dass das einigen Entwicklern nicht ganz mundet ist wohl klar.

Das ist doch wohl selbstverständlich. Das hat aber nichts damit zu tun, dass ich diese strikte Regel trotzdem für voreilig und etwas hart halte. Letztendlich kann man natürlich nichts daran ändern. Entweder Anbieter wechseln zeitig auf SSL, man fängt die Abfragen mit einem eigenen Zwischenserver ab oder man verzichtet komplett auf den Dienst.
 

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Apple diktiert eben was die Entwickler zu tun und zu lassen haben. Dass das einigen Entwicklern nicht ganz mundet ist wohl klar. Dennoch halte ich es für einen Schritt in die richtige Richtung.
Das Problem ist, wenn eine Podcast App eine Verbindung zu einem Podcastserver aufbaut, kommen App und Server nicht aus einer Hand. Der Entwickler der Podcast App gibt sich die Mühe und will die Verbindung über HTTPS aufbauen, aber der Podcaster unterstützt es nicht, weil er sich vielleicht nicht auskennt, keine Ahnung davon hat, dass er TLS unterstützen muss. Also kann der Entwickler der Podcast App nichts dafür, die Nutzer können den Podcast dann aber nicht mehr in iOS hören.