Google, к сожалению, говорит разработчикам рекламы, как отключить безопасность транспорта Apple |

Google рассказывает разработчикам рекламы, как отключить Apple's transport security

Безопасность транспорта приложений — это перспективный способ Apple обеспечить связь между приложением и веб-сервером с использованием TLS 1.2 и SHA256 или более высокого уровня безопасности. Таким образом, никто не сможет подслушать или вмешаться в ваши личные данные. Вчера Google не только сказал разработчикам, как отключить его, в том числе дал им код, чтобы сделать это. Из блога Google Ads Developer:

Хотя Google по-прежнему привержен общеотраслевому внедрению HTTPS, не всегда существует полное соответствие сторонним рекламным сетям и пользовательскому креативному коду, предоставляемому через наши системы. Чтобы гарантировать, что объявления продолжают показываться на устройствах iOS9 для разработчиков, переходящих на HTTPS, рекомендуется в качестве краткосрочного исправления добавить исключение, позволяющее успешно выполнять запросы HTTP и загружать небезопасный контент.

Не удивительно, что это вызвало негативную реакцию в сообществе безопасности.

То, что Google мог бы сделать, и, возможно, следовало бы сделать, это помочь разработчикам настроить вещи таким образом, чтобы трафик приложений оставался безопасным, одновременно работая над обеспечением безопасности рекламы. Вместо этого Google просто сказал им, как отключить все это. Личные данные подключения и реклама, все это. Это самый простой и одновременно самый ленивый и худший подход для пользователей.

Google обновил статью позже в тот же день:

Мы получили важные отзывы об этом посте и хотели уточнить несколько моментов. Мы написали это потому, что разработчики спросили нас о ресурсах, доступных им для предстоящего выпуска iOS 9, и мы хотели наметить некоторые варианты. Чтобы было ясно, разработчики должны рассмотреть вопрос об отключении ОВД только в том случае, если другие подходы к соблюдению стандартов ОВД не увенчались успехом. Apple предоставила техническую заметку {.nofollow}, описывающую различные подходы, включая возможность выборочного включения ATS для списка предоставляемых сайтов HTTPS.

Наш собственный Ник Арнотт написал об ATS после того, как Apple объявил об этом на WWDC 2015, и порекомендовал несколько вариантов, третий из которых мог бы стать лучшим решением как для разработчиков, так и для пользователей. От забытого потенциала:

И наоборот, вы можете захотеть, чтобы ATS работал только в тех доменах, которые, как вы знаете, могут его поддерживать. Например, если вы разрабатываете клиент Twitter, вы можете захотеть загрузить бесчисленное множество URL-адресов, которые могут не поддерживать ATS, хотя вам могут потребоваться такие вещи, как входящие вызовы и другие запросы в Twitter для использования ATS. В этом случае вы можете отключить ATS по умолчанию, а затем указать URL-адрес, который вы хотите использовать ATS.

В этом случае вам следует установить для NSAllowsArbitraryLoads значение true, а затем определить URL-адреса, которые вы хотите защитить, в словаре NSExceptionDomains. Каждый домен, который вы хотите защитить, должен иметь свой собственный словарь, а для NSExceptionAllowsInsecureHTTPLoads для этого словаря должно быть установлено значение false.

App Transport Security — новинка с iOS 9, и начнутся некоторые проблемы, особенно для людей с таким контентом, как реклама. Но это не значит, что ребенка нужно усыпить водой и уединением. Все испытывают стресс и спешку, что приводит к запуску, поэтому, если такая компания, как Google, рекомендует просто выйти из системы, просто отключив систему безопасности, это скорее всего будет принято.

Перекодировать это так:

Обе компании говорят, что они движутся к одной цели в области мобильной безопасности. Разница: при столкновении рекламы и безопасности Google хочет найти компромисс, потому что Google является рекламной компанией. Apple нет.

Все, включая владельцев платформ и разработчиков, могут быть склонны к серьезным переменам. Однако я настроен оптимистично, что Google может собрать все это и помочь разработчикам достичь лучших результатов на данный момент, а лучшие — в будущем.

Потому что, как только безопасность и конфиденциальность отключены, есть большая вероятность, что они останутся такими.

Ник Арнотт способствовал этой статье.

Ссылка на основную публикацию