没开启 ATS 的 iOS 应用就不能上架?你应该了解的都在这里

在今年6月15日的 WWDC 2016 开发者大会上,苹果宣布了一个最后期限:到 2017年1月1日 App Store 中的所有应用都必须启用 ATS 安全功能。

解析 ATS 安全功能

ATS,全称 App Transport Security(应用程序安全传输),是苹果在 iOS 9 中首次推出的一项隐私安全保护功能,当启用 ATS 时,它会屏蔽明文 HTTP 资源加载,强制应用程序通过 HTTPS 而不是 HTTP 连接到 Web 服务,通过加密来保障用户数据在传输过程中的安全。

苹果的 ATS(App Transport Security) 对服务器有 3 点硬性要求:

  • ATS 要求 TLS1.2 或者更高,TLS 是 SSL 新的别称。
  • 通讯中的加密套件配置要求支持列出的正向保密。
  • 数字证书必须使用 sha256 或者更高级的签名哈希算法,并且保证密钥是 2048 位及以上的 RSA 密钥或者 256 位及以上的 ECC 密钥。

苹果 ATS 通过强制 HTTPS 来达到加密要求, HTTPS 当中的“S”即是代表“安全”。比如在登录银行网银页面时, HTTPS  就会出现在浏览器地址栏中,而通过移动设备访问网页时,移动应用在网络连接安全性上面没有那么透明,用户很难知道应用连接网络时使用的是 HTTP 还是 HTTPS,这时 ATS 的作用就凸显出来。

为什么要强制开启 ATS?

对于一向重视安全问题的苹果,非常不安全的 HTTP 明文传输协议,无疑会成为其关注重点。任何的 HTTP 传输方式都相当于让数据在网络中「裸奔」,被窃听、篡改、冒充的风险非常之大。一旦被恶意攻击,就能直接获取传输信息,且 HTTP 并不验证服务器身份真实性,非常容易被篡改或假冒,用户根本无法察觉,在一些敏感信息传输上有巨大弊端。HTTPS 方式是 HTTP 的安全版本,在 HTTP 基础上增加 SSL/TLS 加密传输协议,通过加密传输和身份认证确保传输信息的安全性。ATS 开启后要求服务器必须支持 TLS 等安全协议,强制 HTTPS 方式连接网络,不满足即会拒绝连接,从而保护用户数据传输的安全。

强制开启对 App 开发者有哪些影响?

虽然之前 ATS 在 iOS 9 中默认开启,但开发者可选择关闭 ATS ,让自己的应用通过 HTTP  连接传输数据。但在 2016 WWDC 大会上,Apple 表示将继续在 iOS 10 和 macOS 10.12 里收紧对普通 HTTP 的访问限制。并宣布从 2017 年1月1日起,所有新提交 App 默认是不允许使用 NSAllowsArbitraryLoads 来绕过 ATS 限制的,也就是说,我们最好保证 App 的所有网络请求都是 HTTPS 加密的,否则可能会在应用审核时遇到麻烦。
眼看时间节点一步步逼近,所有 App 开发者和管理者都应谨慎对待,如果你的 App 还是采用 HTTP 方式传输,那么,在 App Store 中将不再能被用户下载使用!提醒开发者及时改造应用,完善安全部署,重新提交发布应用,并且所有改造均需在2017年1月1日之前完成!

 

如何在年底顺利过审上线?

近期需要提交 App 上线的开发者,更应足够重视此次安全新规,防止不必要的耽误和延迟带来致命麻烦!

另外临近圣诞、元旦等假期,以专家测试以往经验,iOS App 提交上线在这一时期均会存在严重积压,且恰逢此次安全新规正式施行,审核严度与等待时间都会增强与拖长,开发者需严格把控时间,重视审核规则,及时更改完善应用,确保一次性过审上线!

蒲公英专家测试针对此次新规实施及假期节点,以资深经验准备充足,「iOS 上线预审」可对 App 应对审核规则进行全面检查,避免 App 因审核规则被拒,确保一次性顺利过审。「iOS 审核加速」可让 App 审核缩短到最快 3 小时,大大减少等待审核时间。

如果你害怕对审核规则有所遗漏,对假期节点上线时间心生忐忑,建议「iOS 上线预审」与「iOS 审核加速」同时服务,确保 App 第一时间顺利上线!

点击查看组合服务详情

 

深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞

由于移动互联网行业的发展,目前大量服务已从传统的PC端扩展到移动端,但是几乎所有数据还是通过连接服务端来进行处理的,服务端其实就是给客户端提供了处理数据的接口,所以还需要对进入服务端的数据进行强有效的安全校验,来保证服务端数据的安全。另外,现在很常见的运作方式是移动端由APP来处理业务,PC端由网站来处理业务,这就更增加了业务所面临的风险。

继续阅读深入浅出Android应用服务端安全漏洞之SQL注入漏洞与文件上传漏洞

深入浅出Android应用服务端安全漏洞之越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞

本次将会继续为大家带来服务端的漏洞,本次介绍的有:越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞。

继续阅读深入浅出Android应用服务端安全漏洞之越权漏洞、XSS漏洞、业务逻辑漏洞与接口未限制导致撞库漏洞

深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞

上一篇文章为大家介绍到了APP端的备份功能开启漏洞及本地拒绝服务漏洞,本周会为大家介绍完毕最后三个常见的App端漏洞:任意调试漏洞、中间人劫持漏洞及加密算法漏洞。

继续阅读深入浅出 App 端安全漏洞之任意调试漏洞、中间人劫持漏洞及加密算法漏洞

大选尘埃落定,邮件门阴霾仍未散去,每个人都该检查自己的邮箱和APP

2009年至2013年,希拉里在任国务卿期间利用私人电子邮箱和位于家中的私人服务器收发公务邮件,其中包括一些涉及国家机密的绝密邮件。这批邮件一共月6万封,在调查开启之前,其中3万多封已经被希拉里团队以涉及私人生活为由删除了,只剩下另外约3万封邮件可供调查。

继续阅读大选尘埃落定,邮件门阴霾仍未散去,每个人都该检查自己的邮箱和APP

Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞

众所周知,Android系统由于其开源、开放、灵活的特征让智能手机产业有了飞速的进步,截止2015年第四季度,Android 在智能手机市场的占有率达到了80.7%,但与此同时,Android开放、开源优势从另一个角度来看也许正是其最大的弱点——系统的安全问题。

继续阅读Android 开发 APP 端常见安全漏洞解读——敏感信息泄露漏洞

可能比炸机还恐怖,Android系统APP的那些安全隐患你了解吗

前些天有关三星 NOTE 7 炸机事件的讨论层出不穷,大家在挑选一款手机时已经要考虑到人身安全的因素了,简直不要太恐怖。在保证人身安全的情况下,多数用户挑选的手机依然是物美价廉的Android手机,但Android系统因为其开源的特性,使用过程中的不确定性和系统漏洞导致用户在使用Android手机时可能会产生隐私泄露、经济损失、敏感信息泄露等安全问题,新闻报道中的那些手机安全事件也大多是因为如此。 继续阅读可能比炸机还恐怖,Android系统APP的那些安全隐患你了解吗

从 App 的全世界「测过」,绝不遗留任何一个安全漏洞

随着科技发展,在我们不断进行更多高技术产品开发的时候,同样越来越多的安全漏洞也会暴露甚至被攻破,从而影响用户最切身利益,也对科技产品的推广使用有了一定的负面限制。

据一份权威报告显示:2016年第三季度共在全网监测到 1.7 万个恶意应用、7264 个仿冒伪造应用、53.48 万个高危应用,危险应用占全网应用的比例为 26.54%,生活服务类 App 高危漏洞最多。而位列前三位的恶意应用依然是资费消耗、隐私窃取、流氓行为。

用户对自身隐私和财产安全的愈来愈关注,值得 App 开发者们高度重视,在开发 App 过程中,如何避免此类漏洞,如何提高 App 本身的安全保障,App 安全测试环节不容或缺。 继续阅读从 App 的全世界「测过」,绝不遗留任何一个安全漏洞

不做 ASO 优化,难道等着 App 无人问津吗?

人生之路没有绝对的安逸,需要不断闯关勇敢接受每一次挑战。对 App 开发者来说,一款 App 的诞生、发展仿佛也是一道道绵延不绝的关卡,历经艰难险阻终于过了测试、审核、上线关,却无奈精心开发的 App 鲜为人知,无人问津。 继续阅读不做 ASO 优化,难道等着 App 无人问津吗?