在蘋果 全球開發者大會(WWDC)的一場安全演示會上,該公司公布了一個最後期限——2017 年 1 月 1 日——即 App Store 當中的所有應用必須在這個日期之前啟用一項名為 App Transport Security 的重要安全功能。
App Transport Security,簡稱 ATS,是蘋果在 iOS 9 當中首次推出的一項安全功能。在啟用 ATS 之後,它會強制應用通過 HTTPS(而不是 HTTP)連接網絡服務,這能夠通過加密來保障用戶數據安全。
HTTPS 當中的「S」代表的是「安全」(secure),在登錄銀行或電郵賬號時,你會常常看到它出現在瀏覽器地址欄。不過,移動應用在網絡連接安全性上面沒有那麼透明,用戶很難知道應用連接網絡時使用的是 HTTP 還是 HTTPS。
ATS 由此登場,它在 iOS 9 當中是默認開啟的。然而,開發者仍然能夠關閉 ATS,讓自己的應用通過 HTTP 連接傳輸數據——現在的情況是,這招在年底之後就行不通了。(技術人員注意:ATS 要求使用 TLS v 1.2,但那些已經經過加密的批量數據例外,比如流媒體數據。)
在今年年底時,蘋果將要求所有提交到 App Store 的應用強制開啟 ATS。現在有了明確的最終期限,那些一直 想知道 HTTP 會在什麼時候遭此重擊的應用開發者可以鬆一口氣了,而用戶也能安心地知道,他們的 iPhone 和 iPad 應用將默認使用安全連接。
通過要求開發者使用 HTTPS 連接,蘋果加入了一場範圍更廣泛的保衛數據安全運動。雖然這種安全協議在登錄頁面十分常見,但很多網站仍然在使用老舊的 HTTP 來進行大多數的連接。隨着眾多網站過渡到 HTTPS,這種情況正在緩慢發生改變(《連線》對這個過程做了 出色的記錄)。
翻譯:王燦均(@何無魚)
Apple will require HTTPS connections for iOS apps by the end of 2016