Tin tức và phân tích của tất cả các thiết bị di động

Apple Chậm trễ Thời hạn bảo mật truyền tải ứng dụng

Apple bị cản trở trong kế hoạch thực thi thời hạn cuối năm mà các nhà phát triển yêu cầu chuyển ứng dụng sang mô hình chỉ HTTPS trong nỗ lực ngăn chặn việc nghe trộm các kết nối HTTP không an toàn, rõ ràng. Vào thứ Tư Apple cho biết yêu cầu đối với các nhà phát triển áp dụng App Transport Security sẽ được gia hạn. Nó không đặt ra một thời hạn mới.

Sự ra đời của App Transport Security (ATS) đã được ưu tiên cho Apple. Tại Hội nghị các nhà phát triển trên toàn thế giới vào năm 2015, ATS đã giới thiệu chi tiết về tầm quan trọng của các tiêu chuẩn bảo mật truyền tải, giải thích cách tập hợp các công nghệ được thiết kế để cung cấp bảo mật cho dữ liệu được gửi giữa các ứng dụng iOS và macOS và các máy chủ back end. Tại WWDC 2016 Apple đã cảnh báo các nhà phát triển sẵn sàng cho thời hạn áp dụng vào ngày 31 tháng 12 năm 2016.

Nhưng trong một tin nhắn ngắn được phát hành hôm thứ Tư Apple hoãn lại yêu cầu ATS của nó để cho các nhà phát triển có thêm thời gian để áp dụng tiêu chuẩn.

“Tại WWDC 2016, chúng tôi đã thông báo rằng các ứng dụng được gửi đến App Store sẽ được yêu cầu hỗ trợ ATS vào cuối năm. Để bạn có thêm thời gian chuẩn bị, thời hạn này đã được kéo dài và chúng tôi sẽ cung cấp một bản cập nhật khác khi có thời hạn mới đã xác nhận,” Apple đã viết.

App Transport Security đã được giới thiệu với iOS 9 và OS X v10.11. ATS là một tập hợp các công nghệ bao gồm TLS 1.2, AES-128 và SHA-2. Nó cũng bao gồm bí mật chuyển tiếp hoàn hảo, một phương pháp trao đổi khóa để bảo vệ các phiên được mã hóa ngay cả khi chứng chỉ máy chủ bị xâm phạm vào một ngày sau đó. Vào lúc đó, Apple cho biết hỗ trợ về bảo mật chuyển tiếp sẽ được thực hiện trong ATS vào một ngày sau đó.

Apple đã không trả lời khi được hỏi bao nhiêu phần trăm các nhà phát triển đã áp dụng ATS hoặc tại sao nó lại kéo dài thời hạn. Tuy nhiên, một nghiên cứu của Appthority được phát hành vào đầu tháng này cho thấy rằng hầu hết các nhà phát triển ứng dụng chưa sẵn sàng cho AppleYêu cầu của ATS.

Là một phần của việc triển khai ATS Apple đã cung cấp cho các nhà phát triển danh sách các ngoại lệ đối với ATS mà họ có thể yêu cầu, chẳng hạn như không yêu cầu HTTPS khi các ứng dụng sử dụng luồng video được mã hóa và kết nối với một địa chỉ HTTP cụ thể. Trong số các ứng dụng iOS hàng đầu không sử dụng 100% HTTPS là Facebook, LinkedIn, CNN, Netflix, Microsoft Word và Skype, theo Appthority.

So với số lượng ứng dụng Android sử dụng 100% HTTPS, các nhà nghiên cứu nhận thấy rằng các ứng dụng iOS đang hoạt động tốt hơn rất nhiều. “Trong số 200 ứng dụng Android hàng đầu, 160 ứng dụng (80%) không sử dụng HTTPS. Việc sử dụng HTTPS của các ứng dụng iOS cao hơn đáng kể so với Android tại thời điểm này – và dự kiến ​​sẽ cải thiện hơn nữa kể từ tháng 1 năm 2017, “Appthority viết.

Nguồn: threadpost