En Seguridad Apple ya habíamos hablado de ello, y es que ATS está aquí para quedarse en las aplicaciones iOS. En el año 2015, Apple liberó iOS 9 e introdujo la función de seguridad ATS, App Transport Security, la cual requiere que la aplicación se conecte siempre vía HTTPS. Cuando la característica fue lanzada no era obligatoria y muchos desarrolladores utilizaron excepciones para evitar esta característica.
Lo que muchos no conocen es que el próximo 1 de enero de 2017, esta característica de seguridad será obligatoria para todos los nuevos envíos a la tienda de Apple, y será un requisito de las aplicaciones ya publicadas en la tienda. Con la aparición de iOS 10 se descubrieron algunos detalles interesantes y que traerán problemas en la adopción de ATS. Cuando un usuario, por ejemplo, utiliza la app de Facebook y navega hacia una fuente externa para reproducir un video o un audio que se entrega por HTTP, éste no se reproduce, ya que el contenido se transmite de forma insegura.
Como se puede imaginar, de aquí al 1 de enero de 2017, no todo estará migrado a HTTPS y se prevén bastantes problemas. Es sabido que se necesitan unas cuantas horas para pasar un sitio de HTTP a HTTPS: solicitud de certificado, instalación de certificador, auditar activos vinculados al sitio web para asegurarse de que se transmiten a través del nuevo protocolo, etcétera. Por ejemplo, el New York Times y Los Angeles Times no disponen del cambio a HTTPS, por lo que su contenido dejará de ser accesible, esto supone un problema importante.
Lo que muchos no conocen es que el próximo 1 de enero de 2017, esta característica de seguridad será obligatoria para todos los nuevos envíos a la tienda de Apple, y será un requisito de las aplicaciones ya publicadas en la tienda. Con la aparición de iOS 10 se descubrieron algunos detalles interesantes y que traerán problemas en la adopción de ATS. Cuando un usuario, por ejemplo, utiliza la app de Facebook y navega hacia una fuente externa para reproducir un video o un audio que se entrega por HTTP, éste no se reproduce, ya que el contenido se transmite de forma insegura.
Como se puede imaginar, de aquí al 1 de enero de 2017, no todo estará migrado a HTTPS y se prevén bastantes problemas. Es sabido que se necesitan unas cuantas horas para pasar un sitio de HTTP a HTTPS: solicitud de certificado, instalación de certificador, auditar activos vinculados al sitio web para asegurarse de que se transmiten a través del nuevo protocolo, etcétera. Por ejemplo, el New York Times y Los Angeles Times no disponen del cambio a HTTPS, por lo que su contenido dejará de ser accesible, esto supone un problema importante.
 |
| Figura 1: ATS cambiará las comunicaciones de red inseguras |
Algunas entidades, como las mencionadas anteriormente, podrán solicitad excepciones. Es decir, habrá algunas excepciones a los requisitos obligatorios de ATS, pero esto no significa que todas las excepciones anteriores sean válidas. Los desarrolladores tendrán que proporcionar una justificación razonable para estas excepciones, y en el caso de Apple existe poca transparencia cuando se trata de un proceso de toma de decisiones.
¿Qué se puede hacer? A continuación, enumeramos lo que se ha comenzado a indicar cómo consejos para los desarrolladores y organizaciones que tienen aplicaciones iOS:
¿Qué se puede hacer? A continuación, enumeramos lo que se ha comenzado a indicar cómo consejos para los desarrolladores y organizaciones que tienen aplicaciones iOS:
- Si estás desarrollando una nueva aplicación para iOS, utiliza HTTPS de primeras para toda la comunicación en red.
- Si tienes una aplicación que ya ha sido aprobada por Apple, debes dedicar un equipo a auditar la aplicación y comprobar que todo va por HTTPS, adáptate a los cambios antes del nuevo año.
- Si tienes una aplicación que se conecta a servicios web que no están protegidos, debes declarar sus dominios como excepciones en la aplicación a través del info.plist como una solución a corto plazo y comienza a evaluar las opciones de migrado a HTTPS.
- Si tienes una aplicación que carga contenido de terceros a través de HTTP, debes trabajar con los proveedores de contenido para crear un endpoint con HTTPS, y evitar cualquier interrupción en la transmisión y visualización.
Great post. I found your website perfect for my needs
ResponderEliminar