Verschlüsselte Verbindungen
App Transport Security: Apple legt Umstellung auf Eis
Apple legt die zur WWDC Entwickler-Konferenz angekündigte, verpflichtende Einführung der sogenannten App Transport Security (ATS) vorerst auf Eis.
Vorgestellt zur Veröffentlichung von iOS 9 und OS X 10.11 hatte Apple eigentlich angekündigt, neue iOS-Anwendungen im kommenden Jahr nur noch dann in den App Store aufzunehmen, wenn diese ihre Netzwerkzugriffe über verschlüsselte HTTPS-Verbindungen aufbauen würden. Entwickler, die ihre Server-Infrastruktur nicht entsprechend modifizieren würden, sollten zukünftig bereits an der Tür des mobilen Software-Kaufhauses abgelehnt werden.
Daraus wird nun erst mal nichts. Wie Apple auf dem hauseigenen Entwickler-Portal mitteilt, habe sich das Unternehmen nun dazu entschlossen, die ATS-Pflicht bis auf Weiteres nicht umzusetzen. Apple habe sich zu dem Schritt entschlossen, um der Entwickler-Community mehr Zeit zum Umbau ihrer Anwendungen zu geben.
App Transport Security (ATS), introduced in iOS 9 and OS X v10.11, improves user security and privacy by requiring apps to use secure network connections over HTTPS. At WWDC 2016 we announced that apps submitted to the App Store will be required to support ATS at the end of the year. To give you additional time to prepare, this deadline has been extended and we will provide another update when a new deadline is confirmed.
Schade! Das hatte ich als echt positiven Schritt gesehen.
Und woran scheitert es unter Garantie mal wieder? Der Werbung.
Ich verstehe diese Aufforderung eher so, dass man nur ATS zwingend verwenden muss, um dann noch in den App Store gelassen zu werden. Das wiederum heißt aber doch nicht gleichzeitig, dass ich zwingend allen Netzwerkverkehr über HTTPS laufen lassen muss, da die ATS doch auch Ausnahmen zulässt, oder? Ich finde diese Aufforderung auch nach wie vor nicht verständlich genug formuliert. Ist HTTPS dann nun wirklich für sämtlichen Netzwerkverkehr Pflicht oder nicht? Schließlich gibt es in den ATS Settings Exception Domains, die dann auch HTTP zulassen können…
Es sollte verpflichtend werden. Nur wird es dann nach und nach teurer für kleine Entwickler werden. Ich bin erstmal froh. Denn nicht bei jedem Netzverkehr macht es Sinn, etwas zu verschlüsseln. Und wenn es so kommen sollte, warum führen nicht alle Hostingbetreiber kostenlose Verschlüsselung ein? Einfach mal für alle und alles.
HTTPS anzubieten ist heute für niemanden mehr ein Problem. Es gibt Cloudflare und Letsencrypt.
Danke Apple! (positiv gemeint) Damit bleibt es nämlich deutlich einfacher die inoffiziellen Schnittstellen von irgendwelchen Herstellern auszuschnüffeln um das dann in eigenen Apps (Heimautomatisierung) zu verwurschteln
Auch ich glaube, dass die Spionage-Technik diese großen Datenmengen noch nicht kann.
Noch nie Fiddler benutzt? Der kann HTTPS Verbindungen auch einfach öffnen.
Na zum Glück kommt der Schwachsinn nun hoffentlich nie. Und den Vorrednern sei gesagt, wenn ihr mir erzählt wie ich auf lokale IPs (192.168.x.x) en gültiges Zertifikat zum laufen bekommen – dann immer her damit. Warum lokale IPs – lokale Kommunikation mit Geräten (vdr – zum Beispiel)