6
| 本文作者: 謝幺 | 2016-12-22 14:32 |
“蘋果爸爸一張嘴,程序員們跑斷腿”,看來此話挺有道理。
電梯里,宅客頻道編輯聽到兩位程序員在聊天:
甲:“ 新聞說元旦之后,沒上 HTTPS 的應用就不能提交AppStore了,元旦前得趕緊了!”
乙:“ 你早說啊,年底事這么多,離元旦就剩幾天了。”
甲:“ Deadline是第一生產力,我這是給你增加工作動力。”
乙:“ 嗯,似乎很有道理的樣子……謝謝哥。”
宅客頻道編輯回去一搜索,發現確實有許多相關新聞。
正當雷鋒網宅客頻道打算寫一篇有關蘋果ATS安全功能的科普文時,卻發現一個奇怪之處:
外面“傳聞遍地”,但蘋果商店官方并沒有給開發者下發郵件通知,全面禁用HTTP這可是件大事,按照蘋果的行事風格,不可能到現在還下發公告。
宅客頻道預感:此事必有蹊蹺!
根據雷鋒網宅客頻道的調查,事情還得從幾個月前說起……
這一消息的最初來源于今天6月份,蘋果開發者大會WWDC 2016 上,蘋果首席安全架構師 Ivan 在會上演講中提到(只是提到):
今天,我可以自豪的說,至2016年末ATS將成為所有應用程序上傳到AppStore 的要求,這可以為用戶和應用程序的網絡通訊大大提升安全性。
然后外媒就將其解讀為:蘋果將對所有 AppStore上的 iOS 應用強制開啟HTTP時代,最終期限就是2017年1月1日。(詳見當時雷鋒網翻譯的外媒報道:《蘋果要求所有 iOS 應用在年底前默認使用 HTTPS 連接》)
先來簡單科普一下蘋果ATS安全功能和HTTPS的關系,懂技術的童鞋可以跳過這一段。
HTTPS 就是 HTTP + SSL ,也就是在原本無加密的 HTTP 連接上開啟了一層SSL加密,讓原本近乎“裸奔”的數據能夠以密文傳輸,從而提升數據在傳輸過程中的安全性。
ATS 則是蘋果在 iOS 9 當中首次推出的一項安全功能,全稱為App Transport Security 。在啟用 ATS 之后,它會強制應用通過 HTTPS 連接網絡服務, HTTP 連接會被過濾掉。
ATS功能是默認開啟的,在實際情況當中,開發者們通常會圖方便而將其關閉,然后繼續使用不太安全的 HTTP 鏈接。
這大概和宅男們瀏覽大人網站時,殺毒軟件跳出來說該網站不安全,90%的人都會毅然決然關掉殺毒軟件繼續欣賞的道理一樣。
不過不可否認,HTTPS對于移動應用是很重要的安全措施,2015年就有相關報道稱,高達九成的移動應用未使用HTTPS加密鏈接,存在巨大的安全隱患,關于ATS和HTTPS對于移動應用的作用,可參閱雷鋒網此前報道:《 iOS 提高安全“門檻”:HTTPS,該升了嗎?》
借機營銷讓消息迅速傳播
由于使用HTTPS加密鏈接本身可以為用戶的安全帶來提升,因此當該消息被解讀為“元旦節是最后期限”后,大多數聲音都是為蘋果這一措施點贊的,并沒有太多人質疑消息本身的真實性。
隨后,網上便開始出現大量的借機營銷的軟文,文章不但未考究消息真實性,甚至在其之上自我發揮,于是乎出現了“元旦過后沒上HTTPS的應用無法使用”、“新應用無法提交”等字眼,文章套路大抵如下:
蘋果要強制用HTTPS了,我家證書符合審核標準!
蘋果要強制用HTTPS了,我家的證書便宜又好用!
蘋果強制HTTPS倒計時!走過路過,千萬別錯過!
即使文章充滿了營銷氣息,但依然有大量的網友信以為真,雷鋒網宅客頻道詢問了幾位開發者朋友,對方均對元旦之后全面強制HTTPS的消息深信不疑:
【來自微信聊天截圖】
雖然這位 iOS 工程師也在納悶,為何蘋果這次沒有公告和通知,但出于“寧可信其有,不可信其無”的考慮,他還是計劃在元旦之前將 HTTP 連接全部改成 HTTPS。
按照常理,如果蘋果真的在元旦之后全面強制使用HTTPS,那么好歹也應該告訴開發者,如果沒用HTTPS會產生怎樣的后果,然而事實并沒有。
為了探尋事實的真相宅客頻道來到了開發者論壇,發現已經有不少人開始討論這個問題,而蘋果官方人員給出的解釋則是:
那么到底是什么變化:我們會收緊審核政策,即對于開發者添加的ATS例外(即http接口),要求提供一個“合理的解釋”。之所以要增加這么一個“麻煩”,是為了避免開發者們都無腦地全局關閉ATS,使得ATS偏離其初衷,形同虛設。開發者將無法再無腦地全局關閉ATS,并且添加例外時需要提供合理的解釋。
英文原文:What has changed is that App Review will require “reasonable justification” for most ATS exceptions. The goal here is to flush out those folks who, when ATS was first released, simply turned it off globally and moved on. That will no longer be allowed.
簡單來說就是:開發者們將不能再無腦地關掉ATS功能,好歹你也要說兩句理由。
然而當被問及什么才算是一個“合理的解釋”時,對方卻強調自己并不負責 App 審核,但是據他所知,目前蘋果并沒有就該問題發表過任何指導。
【截取自蘋果開發者官方論壇】
于是,雷鋒網宅客頻道聯系蘋果開發者官方進行了電話咨詢:
問:我在網上看到說2017年開始蘋果會強制應用開啟ATS,使用HTTPS鏈接,請問是真的碼?
答:我們在WWDC蘋果開發者大會上確實有提到該項安全措施,但是目前開發者中心并沒有下發任何相關的具體規定。
問:意思就是說,如果我公司的APP沒來得及在元旦上HTTPS,暫時也不會有任何影響?
答:是的,相關的標準建議您以蘋果官方發布的公告或指導為準,如果有政策調整,我們會第一時間告知所有開發者……
掛斷電話后,宅客頻道收到了來自蘋果官方的郵件,被告知蘋果今天就此問題發布了最新公告:
iOS 9和 OS X v10.11的ATS功能要求應用程序在使用安全的HTTPS連接,提高網絡用戶的安全和隱私。在WWDC 2016我們宣布應用提交到App Store將需要支持ATS在今年年底。為了給你們更多的時間來準備,這個最終期限已經延長,當最新的截止日期確認后,我們會發布更新。
【截取自蘋果開發者官網】
至此,真相大白,
元旦之后還沒上HTTPS會發生什么? 答:什么也不會發生。
媒體有沒有過度解讀?答:也不算是,因為蘋果他們自己承認說過這件事。
不過作者個人大膽猜測,當初 WWDC會上那個“最后期限”也許只是隨口一說,不料遭遇媒體過度解讀后才不得不承認,不然也不至于此前一直沒有相關官方公告,直到今天(蘋果全體員工23日就開始放圣誕長假了)才臨時發出一個延期通知。
也不知道正火急火燎趕著在元旦之前上HTTPS的程序員們,看到這條消息后作何感想。
聊天記錄再貼一遍:
文/謝幺(微信ID:Dexter0,一個好奇者)
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
