Menú principal

jueves, 1 de diciembre de 2016

Cómo afectará el cambio de las apps de iOS a ATS

En Seguridad Apple ya habíamos hablado de ello, y es que ATS está aquí para quedarse en las aplicaciones iOS. En el año 2015, Apple liberó iOS 9 e introdujo la función de seguridad ATS, App Transport Security, la cual requiere que la aplicación se conecte siempre vía HTTPS. Cuando la característica fue lanzada no era obligatoria y muchos desarrolladores utilizaron excepciones para evitar esta característica.

Lo que muchos no conocen es que el próximo 1 de enero de 2017, esta característica de seguridad será obligatoria para todos los nuevos envíos a la tienda de Apple, y será un requisito de las aplicaciones ya publicadas en la tienda. Con la aparición de iOS 10 se descubrieron algunos detalles interesantes y que traerán problemas en la adopción de ATS. Cuando un usuario, por ejemplo, utiliza la app de Facebook y navega hacia una fuente externa para reproducir un video o un audio que se entrega por HTTP, éste no se reproduce, ya que el contenido se transmite de forma insegura.

Como se puede imaginar, de aquí al 1 de enero de 2017, no todo estará migrado a HTTPS y se prevén bastantes problemas. Es sabido que se necesitan unas cuantas horas para pasar un sitio de HTTP a HTTPS: solicitud de certificado, instalación de certificador, auditar activos vinculados al sitio web para asegurarse de que se transmiten a través del nuevo protocolo, etcétera. Por ejemplo, el New York Times y Los Angeles Times no disponen del cambio a HTTPS, por lo que su contenido dejará de ser accesible, esto supone un problema importante.

Figura 1: ATS cambiará las comunicaciones de red inseguras

Algunas entidades, como las mencionadas anteriormente, podrán solicitad excepciones. Es decir, habrá algunas excepciones a los requisitos obligatorios de ATS, pero esto no significa que todas las excepciones anteriores sean válidas. Los desarrolladores tendrán que proporcionar una justificación razonable para estas excepciones, y en el caso de Apple existe poca transparencia cuando se trata de un proceso de toma de decisiones.

¿Qué se puede hacer? A continuación, enumeramos lo que se ha comenzado a indicar cómo consejos para los desarrolladores y organizaciones que tienen aplicaciones iOS:
  • Si estás desarrollando una nueva aplicación para iOS, utiliza HTTPS de primeras para toda la comunicación en red.
  • Si tienes una aplicación que ya ha sido aprobada por Apple, debes dedicar un equipo a auditar la aplicación y comprobar que todo va por HTTPS, adáptate a los cambios antes del nuevo año.
  • Si tienes una aplicación que se conecta a servicios web que no están protegidos, debes declarar sus dominios como excepciones en la aplicación a través del info.plist como una solución a corto plazo y comienza a evaluar las opciones de migrado a HTTPS.
  • Si tienes una aplicación que carga contenido de terceros a través de HTTP, debes trabajar con los proveedores de contenido para crear un endpoint con HTTPS, y evitar cualquier interrupción en la transmisión y visualización.
Tendremos un comienzo de año 2017 movido con la nueva característica ATS y, sobretodo, con las excepciones, ¿Cuál será válida y cuál no? ¿Cómo decidirá Apple?

No hay comentarios:

Publicar un comentario en la entrada

Entrada destacada

Proteger tu cuenta de Google y de Gmail con Latch Cloud TOTP #Latch #Gmail #Google

La semana pasada se liberó la nueva versión de Latch y nuestro compañero Chema Alonso hizo un repaso de todo ello en su artículo Latch ...

Otras historias relacionadas

Entradas populares