Apple ATS: Fristverlängerung zur Einführung sicherer App-Kommunikation

Mit iOS 9 und OS X 10.11 hat Apple bereits ein festgelegten Weg für die sichere Kommunikation eingeführt. Dieser sollte eigentlich zum Jahreswechsel Pflicht werden. Apple verschiebt die Frist aber, da die Entwickler App Transport Security kaum umsetzen, trotz vieler Ausnahmen im System.

Artikel veröffentlicht am ,
Apples App Stores werden auch weiterhin Apps ohne ATS akzeptieren.
Apples App Stores werden auch weiterhin Apps ohne ATS akzeptieren. (Bild: Golem.de)

Die obligatorische Umsetzung von App Transport Security (ATS) zum Jahreswechsel 2016/2017 entfällt erstmal. In einer knappen Entwickler-Mitteilung hat Apple die Pflicht zur Nutzung für Entwickler auf unbestimmte Zeit verschoben. Eigentlich hätte Apple ab 2017 in seinen App Stores für MacOS und OS X sowie iOS nur noch App-Einreichungen freigegeben, die ATS unterstützen.

Stellenmarkt
  1. System Engineer (m/w/d) KDO-Cloud-Arbeitsplatz
    KDO Service GmbH, Oldenburg
  2. SAP Junior Business Consultant - Treasury und Darlehen (m/w/d)
    Allianz Technology SE, Unterföhring
Detailsuche

Apple will den Entwicklern mehr Zeit zur Vorbereitung geben. Wann ATS Pflicht wird, sagt Apple erst einmal nicht und will eine neue Frist erst später nennen. ATS wurde bereits mit iOS 9 und OS X eingeführt, also vor etwas mehr als einem Jahr. Mit ATS wird verhindert, dass beispielsweise in offenen WLAN-Systemen der Netzwerkverkehr von weiteren Teilnehmern abgehört wird. Dass ATS keine Pflicht zum Jahreswechsel wird, bedeutet aber nicht, dass alle Apps unsichere Kommunikation durchführen. Sichere Kommunikation ist zumindest bei nahmhaften Entwicklern die Regel. Es sind eher kleinere Projekte, die damit auffallen, ihre Kommunikationskanäle nicht abzusichern, mitunter auch, weil die Daten als nicht schützenswert eingestuft werden.

Entwickler müssten sich für ATS Gedanken machen

Mit ATS schließt Apple allerdings eine Lücke. Dadurch, dass Entwickler gezwungen werden, ATS in ihre Apps zu integrieren und sich damit zu beschäftigen, müssen die Entwickler sich die Netzwerksituation genauer ansehen und bewusst damit umgehen. Sie haben keine Wahl mehr, was der Absicherung der Anwender zugutekommt. Nicht betroffen davon sind natürlich Anwendungen, die außerhalb von Apples Infrastruktur verteilt werden.

Die Entwickler kommen allerdings offenbar nicht mit. ATS soll erst bei 5 Prozent der wichtigen iOS-Apps umgesetzt worden sein, so Appthority in einer Studie. Es handelt sich allerdings um eine mit Vorsicht zu genießende Stichprobe und sie muss im Kontext anderer Zahlen gesehen werden, die Appthority ebenfalls angibt. So verwenden 45 Prozent der für Unternehmen relevanten getesteten 200 Apps eine per HTTPS abgesicherte Kommunikation. Das ist deutlich mehr als bei Android. Dort soll der Anteil nur bei 20 Prozent liegen. Appthority stellt zudem klar, dass einige Apps ATS derzeit gar nicht umsetzen können, da die Apps auf ungesicherte Infrastruktur zugreifen, was manchmal nur ein Zugriff auf Analyse-Dienste sein kann. ATS hat für solche Fälle allerdings Ausnahmen. Einige Entwickler entscheiden sich trotzdem dazu, ATS explizit abzuschalten, was vermutlich einfacher ist, als die Netzwerk-Situation im Detail zu analysieren. Ausnahmen müssen begründet werden. Es gibt aber auch globale Ausnahmen, wie etwa die Anzeige von Webinhalten per WKWebview innerhalb einer App, denn nicht jede Webseite bietet eine sichere Verbindung.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. Java EE 8 Komplettkurs: virtueller Fünf-Tage-Workshop
    22.-26.08.2022, virtuell
Weitere IT-Trainings

Einen Überblick zu ATS und den Ausnahmen bietet Apple in einer frei verfügbaren WWDC-2016-Session.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cloudsparte Stackit
"Kubernetes ist nicht das Endgame"

Doch nicht Kubernetes? Dominik Kress von Stackit betitelt so einen Vortrag - und eröffnet damit die Frage, ob man Kubernetes dort vielleicht gar nicht mag.
Ein Bericht von Boris Mayer

Cloudsparte Stackit: Kubernetes ist nicht das Endgame
Artikel
  1. Einsparverordnungen: So sollen Verwaltung, Bürger und Firmen Energie sparen
    Einsparverordnungen
    So sollen Verwaltung, Bürger und Firmen Energie sparen

    Reduzierte Raumtemperaturen und ungeheizte Swimmingpools: Die Regierung fordert eine "nationale Kraftanstrengung" wegen des Gasmangels.

  2. Tastatur: Gaming-Bereich von Cherry bricht ein
    Tastatur
    Gaming-Bereich von Cherry bricht ein

    Der Tastaturhersteller Cherry ist für seine Funktionstastaturen bekannt - die Gaming-Tastaturen scheinen es dagegen schwer zu haben.

  3. Dogwalk: Lücke in Windows-Betriebssystemen wird aktiv ausgenutzt
    Dogwalk
    Lücke in Windows-Betriebssystemen wird aktiv ausgenutzt

    Über eine Schwachstelle im Diagnostic Tool und mit Social Engineering können Windows-Kunden auf eine Lücke hereinfallen. Ein Patch ist da.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Nur bis 9:59 Uhr: Best of Gamesplanet Summer Sale • Günstig wie nie: SSD 1TB/2TB (PS5), Curved Monitor UWQHD LG 38"/BenQ 32" • Razer-Aktion • MindStar (AMD Ryzen 7 5800X3D 455€, MSI RTX 3070 599€) • Lego Star Wars Neuheiten • Bester Gaming-PC für 2.000€ [Werbung]
    •  /