Abo
  • Services:

iOS und OS X: Apple könnte HTTPS für Apps erzwingen

Entwickler von Apps für iOS und OS X sollten "so schnell wie möglich" auf sichere Verbindungen per HTTPS wechseln, empfiehlt Apple. Das Unternehmen könnte die Verschlüsselung gar für die Aufnahme im App Store erzwingen.

Artikel veröffentlicht am ,
Das in iOS 9 enthaltene ATS soll HTTPS-Verbindungen vereinfachen.
Das in iOS 9 enthaltene ATS soll HTTPS-Verbindungen vereinfachen. (Bild: Apple)

Die auf der WWDC 2015 vorgestellte Technik App Transport Security (ATS) soll es Programmierern erleichtern, eine sichere Kommunikation für ihre Apps bereitzustellen. Doch in der Beschreibung von ATS drängt Apple die Entwickler von iOS-Apps geradezu zum Wechsel, was auf eine womöglich schon bald umgesetzte HTTPS-Pflicht hinweisen könnte.

Stellenmarkt
  1. Robert Bosch GmbH, Böblingen
  2. Bremer Rechenzentrum GmbH, Bremen

So empfiehlt das Unternehmen, für neue Anwendungen ausschließlich auf die verschlüsselte Übertragung zu setzen. Auch bestehende Software solle schon jetzt möglichst HTTPS verwenden. Darüber hinaus sollen die Entwickler so schnell wie möglich einen Migrationsplan für die noch unsicheren Verbindungen erstellen. Mit ATS soll es ausreichen, lediglich die benötigten URLs anzugeben, um die eigentliche Absicherung kümmert sich das Framework.

Vorgaben zu TLS-Version und -Verfahren in OS X

Das erstmals in iOS 9 enthaltene ATS wird auch in Apples neuem Desktop-System OS X 10.11 alias El Capitan bereitstehen. ATS unterbindet dabei standardmäßig die komplette Kommunikation über das unverschlüsselte HTTP. Um dies dennoch benutzen zu können, muss die entsprechende Verbindung explizit angegeben werden.

Um bei dem Einsatz der Verschlüsselungsverfahren nichts falsch zu machen, fordert Apple zudem die Umsetzung bestimmter Vorgaben. Dazu gehören die TLS-Version oder die eingesetzten Chiffren, um für eine möglichst hohe Sicherheit zu sorgen. Details dazu sollen in einer weiteren Session auf Apples Entwicklerkonferenz bekanntgegeben werden.

In welchem Umfang das Unternehmen selbst auf ATS setzen wird, ist derzeit nicht bekannt.



Anzeige
Top-Angebote
  1. (aktuell u. a. Crucial MX300 525 GB für 111€ und SanDisk Ultra 128-GB-microSDXC für 29€)
  2. (heute u. a. Destiny 2 Digital Deluxe für 44,99€, AC Origins für 28,99€, ANNO 2205 Ultimate...
  3. 111€
  4. 111€ (nur bis 20 Uhr)

newyear 12. Jun 2015

TLS ist von der Exportkontrolle ausgenommen: https://epic.org/crypto/export_controls...

/mecki78 11. Jun 2015

Ein NSMutableURLRequest alleine nützen ja noch nichts. Irgendwas muss man ja damit...

jokey2k 10. Jun 2015

Definiere doch mal "scheiß teuer"... Kostenlos bei startssl.com 6,99 US$ bei positive ssl


Folgen Sie uns
       


Golem.de ist Kratos - God of War (Live, keine Spoiler)

Die Handlung verraten wir nicht, trotzdem wollen wir das andersartige neue God of War besprechen. Zu diesem Zweck haben wir eine stellvertretende Mission herausgesucht, in der es nicht um die primäre Handlung geht. Ziel ist es, den Open-World-Ansatz zu zeigen, das Kampfsystem zu erklären und die Spielmechaniken zu verdeutlichen.

Golem.de ist Kratos - God of War (Live, keine Spoiler) Video aufrufen
HTC Vive Pro im Test: Das beste VR-Headset ist nicht der beste Kauf
HTC Vive Pro im Test
Das beste VR-Headset ist nicht der beste Kauf

Höhere Auflösung, integrierter Kopfhörer und ein sehr bequemer Kopfbügel: Das HTC Vive Pro macht alles besser und gilt für uns als das beste VR-Headset, das wir bisher ausprobiert haben. Allerdings ist der Preis dafür so hoch, dass kaufen meist keine clevere Entscheidung ist.
Ein Test von Oliver Nickel

  1. VR-Headset HTCs Vive Pro kostet 880 Euro
  2. HTC Vive Pro ausprobiert VR-Headset hat mehr Pixel und Komfort
  3. Vive Focus HTC stellt autarkes VR-Headset vor

Datenverkauf bei Kommunen: Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen
Datenverkauf bei Kommunen
Öffentliche Daten nicht verhökern, sondern sinnvoll nutzen

Der Städte- und Gemeindebund hat vorgeschlagen, Kommunen sollten ihre Daten verkaufen. Wie man es auch dreht und wendet: Es bleibt eine schlechte Idee.
Ein IMHO von Michael Peters und Walter Palmetshofer

  1. Gerichtsurteil Kein Recht auf anonyme IFG-Anfrage in Rheinland-Pfalz
  2. CDLA Linux Foundation veröffentlicht Open-Data-Lizenzen
  3. Deutscher Wetterdienst Wetterdaten sind jetzt Open Data

BeA: Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet
BeA
Rechtsanwaltsregister wegen Sicherheitslücke abgeschaltet

Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck

  1. BeA Secunet findet noch mehr Lücken im Anwaltspostfach
  2. EGVP Empfangsbestätigungen einer Klage sind verwertbar
  3. BeA Anwälte wollen Ende-zu-Ende-Verschlüsselung einklagen

    •  /