Gesicherte Verbindungen für iOS-Apps ab 2017 Pflicht

Dieses Thema im Forum "Magazin" wurde erstellt von Philipp Schwinn, 15.06.16.

  1. Philipp Schwinn

    Philipp Schwinn Maren Nissen

    Dabei seit:
    28.10.12
    Beiträge:
    2.301
    Während der WWDC hat Apple die Deadline gesetzt, ab der die Verwendung der App Transport Security (ATS) für Entwickler verpflichtend wird. Das Sicherheits-Feature muss ab dem 1. Januar 2017 standardmäßig aktiviert sein.

    ATS wurde im vergangenen Jahr mit iOS 9 eingeführt und zwingt die App dazu, eine gesicherte HTTPS-Verbindung zu genutzten Webdiensten aufzubauen. Dadurch werden Daten zumindest durch eine verschlüsselte Verbindung übertragen. Mit der Pflicht zu gesicherten Verbindungen trägt Apple einen weiteren Teil dazu bei, den Datenverkehr im Netz sicherer zu machen.

    via TechCrunch, Bild: Michael Reimann


    zurück zum Magazin...
     
  2. Farafan

    Farafan deaktivierter Benutzer

    Dabei seit:
    16.09.12
    Beiträge:
    10.250
    Wichtige und konsequente Entscheidung.
    Manchmal muss man eben auch Entwickler zu ihrem Glück zwingen.
     
  3. Tobias Scholze

    Tobias Scholze Apfeltalk Entwicker

    Dabei seit:
    15.07.09
    Beiträge:
    1.576
    Man braucht nicht für alles eine teure https Verbindung. :/
     
  4. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Finde ich eigentlich nicht so gut. Nicht alles muss über HTTPS übertragen werden. Nutzt man öffentliche und anonyme RESTful-APIs, kann man diese nun nicht mehr nutzen, bis der Betreiber SSL anbietet.
     
  5. frostdiver

    frostdiver Rheinischer Winterrambour

    Dabei seit:
    19.06.12
    Beiträge:
    916
    Ja. Das könnte übel werden :(
     
  6. Bananenbieger

    Bananenbieger Golden Noble

    Dabei seit:
    14.08.05
    Beiträge:
    25.179
    Ist aber das kleinere Übel. Fehlt jetzt eigentlich nur noch S/MIME-Pflicht bei Mails.
     
  7. 1927AD

    1927AD Jamba

    Dabei seit:
    20.07.15
    Beiträge:
    56
    Auch hier geht Apple wieder mit gutem Beispiel voran und setzt längst überfällige Standards. Was immer verschlüsselt werden kann, sollte auch so gehandhabt werden - kenne ich auch seit Jahren schon nicht mehr anders. Wenn ein Anbieter stand heute noch immer kein SSL anbieten kann, sollte man sich ganz erntshaft fragen, ob das noch ein akzeptabler Anbieter ist. Wer heute noch kein SSL anbietet, hat schon vor Jahren den Sprung auf den Zug verpasst - und das dann sicher nicht nur in Bezug auf so eine Baustelle.
     
  8. MacApple

    MacApple Schmalzprinz

    Dabei seit:
    05.01.04
    Beiträge:
    3.578
    Hmm, wer nach Snowden immer noch auf unverschlüsselte Datenübertragung setzt, wird es wohl nie checken.
     
  9. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Was hältst du denn von der Tatsache, dass Apfeltalk kein SSL verwendet? Nichtmal beim Anmelden oder Registrieren.

    image.jpeg
     
  10. Mikael Blomkvist

    Mikael Blomkvist Normande

    Dabei seit:
    30.08.15
    Beiträge:
    574
    Als ob das auf einer solchen Internetseite wichtig wäre, beim Online Banking vielleicht, aber doch nicht hier.
     
  11. 1927AD

    1927AD Jamba

    Dabei seit:
    20.07.15
    Beiträge:
    56
    Da hast du Recht, passt aber zum allgemein nicht gut (technisch) umgesetzten Auftritt der Seite.

    @Mikael Blomkvist : abgesehen davon, dass es wirklich keinen außer mir etwas angeht, was ich irgendwo im Netz zu sagen habe, überträgst du hier bei der Anmeldung deinen Benutzernamen und Passwort im Klartext. Aber du gehörst sicher zu den Leuten, die ja auch nichts zu verbergen haben
     
  12. .holger

    .holger Borowitzky

    Dabei seit:
    13.09.04
    Beiträge:
    8.967
    Hmmm… heißt das, dass bald auch z.B. nur noch Podcasts mit HTTPS Backend heruntergeladen & gehört werden können? Das wird interessant werden.
     
  13. 1927AD

    1927AD Jamba

    Dabei seit:
    20.07.15
    Beiträge:
    56
    Was wäre daran hinderlich?
     
  14. .holger

    .holger Borowitzky

    Dabei seit:
    13.09.04
    Beiträge:
    8.967
    Es ist zu begrüßen, die Frage ist, ob alle Podcaster das mitbekommen und ihre Server soweit umstellen TLS zu unterstützen.
    Dann ist die Implementation von TLS bei Apple auch nicht so wunderbar, LetsEncrypt z.B. ist/war lange nicht unterstützt, daher mussten die Zertifikate von IdenTrust gegensigniert werden. So schön es ist überall HTTPS zu haben, gibt es doch viele Stellen an denen es blockiert werden kann.
     
  15. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Weil die Option nunmal nicht immer vorhanden ist. Für rein anonyme und öffentliche Daten ist das doch kein Problem?
     
  16. Simply1337

    Simply1337 Ingrid Marie

    Dabei seit:
    19.09.13
    Beiträge:
    273
    Der Schritt kommt eigentlich schon zu spät. Zwar geht Apple jetzt wieder mit gutem Beispiel voran, dennoch hätte man das Ganze auch früher initiieren können.

    Sicherlich ist es nicht unbedingt notwendig für alles eine gesicherte Verbindung zu nutzen. Aber was spricht gegen mehr Sicherheit?
     
  17. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Es spricht nichts dagegen, es ist aber nun einmal so, dass man als Entwickler auf externe Quellen keinen Einfluss hat. Da es nicht absolut nötig ist, ist diese Regel vielleicht etwas extrem. Gerade Apple sollte doch imstande sein um einzeln zu überprüfen welche Ausnahmen ein Entwickler in seiner App deklariert? Immerhin behalten sie sich genau das doch vor.
     
  18. Simply1337

    Simply1337 Ingrid Marie

    Dabei seit:
    19.09.13
    Beiträge:
    273
    Apple diktiert eben was die Entwickler zu tun und zu lassen haben. Dass das einigen Entwicklern nicht ganz mundet ist wohl klar. Dennoch halte ich es für einen Schritt in die richtige Richtung.
     
  19. KALLT

    KALLT deaktivierter Benutzer

    Dabei seit:
    12.11.08
    Beiträge:
    1.523
    Das ist doch wohl selbstverständlich. Das hat aber nichts damit zu tun, dass ich diese strikte Regel trotzdem für voreilig und etwas hart halte. Letztendlich kann man natürlich nichts daran ändern. Entweder Anbieter wechseln zeitig auf SSL, man fängt die Abfragen mit einem eigenen Zwischenserver ab oder man verzichtet komplett auf den Dienst.
     
  20. .holger

    .holger Borowitzky

    Dabei seit:
    13.09.04
    Beiträge:
    8.967
    Das Problem ist, wenn eine Podcast App eine Verbindung zu einem Podcastserver aufbaut, kommen App und Server nicht aus einer Hand. Der Entwickler der Podcast App gibt sich die Mühe und will die Verbindung über HTTPS aufbauen, aber der Podcaster unterstützt es nicht, weil er sich vielleicht nicht auskennt, keine Ahnung davon hat, dass er TLS unterstützen muss. Also kann der Entwickler der Podcast App nichts dafür, die Nutzer können den Podcast dann aber nicht mehr in iOS hören.