“App Store 2.0”是今年 WWDC 前的一项预期,尽管变革不多,不过除了一些比较公开的政策变化,例如缩短了 App 上架的审核时间,更改订阅的拆帐比例,并提供搜寻广告,苹果其实还新增了其他不是那么台面化的改变。
App Transport Security(ATS)是苹果在去年跟着 iOS 9 与 OS X El Capitan 一起发表的安全标准,可以在 App 与网络服务之间连接资料时进行额外加密,保护使用者资料,并要求装置在进行网络对接时,必须改采 HTTPS 安全协议。
不过,这项服务并没有要求开发者强制启用。事实上,除了开发者可以自行选择要开启或关闭,就连 Google 也曾提供程式码,帮助开发者暂停 ATS,以避免 App 无法正常地呈现广告联播──因为不是所有线上广告都使用 HTTPS。此外,尽管有许多网站都已经支援这项协议,在 App 界却还不是那么盛行。
然而从 2017 年 1 月开始,所有登上苹果 App Store 的新 App 或更新,都必须强制启用 ATS 标准,尽管这项政策将只先适用于 iOS。苹果的安全工程与架构部门的主管 Ivan Krstic 表示,这将在苹果用户传送资料时得到更好的安全性,毕竟用户并不会知道现在在使用的网络协议是否为 HTTPS。
只不过,这项协议当然并不保证全然的安全。事实上,在 2015 年便曾因为 HTTPS 的 bug,导致有高达 1,500 个 iOS App 曝露在中间人攻击(Man-in-the-middle attack,MITM)的风险。
- Apple tells developers all apps must connect securely to servers by January 1st, 2017
- Apple will require HTTPS connections for iOS apps by the end of 2016
(首图来源:Flickr/YunHo LEE CC BY 2.0)
