Вот как Apple планирует сделать iOS и macOS более безопасными |

Во время сеанса безопасности на WWDC 2016 Apple подчеркнула шаги по усилению безопасности iOS и macOS. К концу 2016 года все приложения, представленные в App Store, должны применять протокол App Transport Security (ATS), который передает данные между приложением и веб-сервером по протоколу HTTPS.

Кроме того, Safari 10 — который дебютирует на macOS Sierra — будет блокировать плагины Adobe Flash, Java, Silverlight и QuickTime, переключаясь на HTML5 в качестве движка рендеринга по умолчанию. Если вы захотите использовать любой из вышеупомянутых плагинов, вы сможете это сделать.

Применение HTTPS-соединений гарантирует безопасность всех данных, передаваемых из приложения на сервер. ATS встроена в iOS 9, но Apple разрешила разработчикам вернуться к HTTP-соединениям. В связи с тем, что к концу года ОВД станет обязательным, это изменится:

App Transport Security (ATS) применяет лучшие практики в безопасных соединениях между приложением и его бэкэндом. ATS предотвращает случайное раскрытие, обеспечивает безопасное поведение по умолчанию и проста в применении; он также включен по умолчанию в iOS 9 и OS X v10.11. Вы должны принять ATS как можно скорее, независимо от того, создаете ли вы новое приложение или обновляете существующее.

Если вы разрабатываете новое приложение, вы должны использовать исключительно HTTPS. Если у вас есть существующее приложение, вы должны использовать HTTPS настолько, насколько вы можете прямо сейчас, и составить план миграции остальной части вашего приложения как можно скорее. Кроме того, ваше общение через высокоуровневые API должно быть зашифровано с использованием TLS версии 1.2 с прямой секретностью. Если вы попытаетесь установить соединение, которое не соответствует этому требованию, выдается сообщение об ошибке. Если вашему приложению нужно отправить запрос в небезопасный домен, вы должны указать этот домен в файле Info.plist вашего приложения.

Прочтите:  Как использовать новые настройки веб-браузера Safari в macOS High Sierra

В блоге WebKit разработчик Apple Рики Монделло подробно рассказал об изменениях в Safari 10:

По умолчанию Safari больше не сообщает веб-сайтам, что установлены общие подключаемые модули. Он делает это, не включая информацию о Flash, Java, Silverlight и QuickTime в navigator.plugins и navigator.mimeTypes. Это убеждает веб-сайты, использующие как плагины, так и реализации на основе HTML5, использовать свою реализацию HTML5.

Из этих плагинов наиболее широко используется Flash. Большинство веб-сайтов, которые обнаруживают, что Flash недоступен, но не имеют запасного варианта HTML5, отображают сообщение «Flash не установлен» со ссылкой для загрузки Flash из Adobe. Если пользователь нажимает на одну из этих ссылок, Safari сообщит им, что плагин уже установлен, и предложит активировать его только один раз или при каждом посещении веб-сайта. По умолчанию опция активируется только один раз. У нас аналогичная обработка для других распространенных плагинов.

Когда веб-сайт непосредственно встраивает видимый подключаемый объект, Safari вместо этого представляет элемент-заполнитель с кнопкой «Нажмите, чтобы использовать». После этого Safari предлагает пользователю варианты активации подключаемого модуля только один раз или каждый раз, когда пользователь посещает этот веб-сайт. Здесь также по умолчанию активируется плагин только один раз.

Safari 10 также включает команду меню для перезагрузки страницы с активированными установленными плагинами; оно находится в меню «Вид» Safari и контекстном меню для кнопки перезагрузки поля интеллектуального поиска. Все настройки, определяющие, какие плагины видны веб-страницам, а какие автоматически активируются, можно найти в настройках безопасности Safari.

Safari 10

Ссылка на основную публикацию