Apple verplicht https bij apps eind 2016

Door: Raymon Mens - 18 reacties

Apple gaat het gebruik van https in iOS-apps eind dit jaar verplichten. Apps die via een onversleutelde verbinding met de buitenwereld praten zijn dan niet meer welkom in App Store. Apps mogen bovendien alleen het nieuwste en veilige TLS 1.2-protocol gebruiken.

Dit wil zeggen dat al alle communicatie van apps via een beveiligde verbinding zal verlopen. Nu is dit voor gebruikers moeilijk te checken en kan communicatie van onbeveiligde apps door derden worden onderschept.

Minder uitzonderingen

Apple zette vorig jaar al de eerste stap naar volledig versleutelde app-communicatie. De iPhone-maker noemt dit App Transport Security, oftewel ATS. Het gebruik hiervan was niet verplicht, waardoor ontwikkelaars met één vinkje bij het bouwen van hun app gegevens onbeveiligd konden versturen. Dit jaar is het gebruik van ATS wél verplicht en zijn er slechts enkele uitzonderingen.

Uitzonderingen moeten per domeinnaam vastgelegd worden. Dit kan nodig zijn bij bijvoorbeeld een cdn-server die plaatjes, audio en video centraal opslaat. Een ontwikkelaar moet dat domein dan specifiek whitelisten. Ook is er een uitzondering mogelijk voor links naar externe websites die met in-app Safari weergeven worden. Anders zouden browsers als Chrome en Firefox uit de App Store alleen maar https-sites kunnen laden.
wwdc2016-https
OMT is toegankelijk via https, maar gebruikt http als primaire communicatie­methode. Momenteel wordt er gewerkt aan het omzetten van de gehele site en app naar de beveiligde verbinding. Voor ontwikkelaars die hier nog niet aan begonnen zijn, is er werk aan de winkel.

Reacties

18 reacties
  • Profielfoto
    jamiepeeters

    meeste gebruikers weten niet eens het verschil tussen http en https denk ik

  • Profielfoto
    MrHammond

    Precies! En aangezien het nu gewoon niet duidelijk is wat allemaal onversleuteld verstuurd wordt, vind ik dit een goede zet van Apple!

  • Profielfoto
    Shmoo

    De meeste gebruikers hebben ook geen idee hoe hun auto, telefoon of cv-ketel functioneert maar verwachten wel dat het gewoon goed werkt.

    Ik vind het best wel erg dat Apple hier richtlijnen voor moet opzetten en developers schijnbaar forceren om dit aan te passen en hier op te letten terwijl dit soort dingen gewoon standaard horen te zijn wanneer je met je tijd mee gaat en je verdiept in wat je doet. Ik bedoel als je leert apps ontwikkelen dan neem ik toch aan dat ze je hier ook allemaal op wijzen tijdens de lessen.

  • Profielfoto
    Afroman

    Is dat HTTPS niet te hacken? Want bijna alles loopt nu via HTTPS.

  • Profielfoto
    computer space

    Zeker wel, het werkt met certificaten niet met 2 sleutels zoals bij online bankieren. Betrouwbaarheid certificaat bepaalt de boel.
    Zitten ook nadelen aan https. Als bedrijf kun je nog slecht deep-packet inspection doen. Dat kan soms prettig zijn om bepaalde zaken te blokkeren op netwerk niveau. Ook is de hele referrer naar de galemiezen. Soms wel jammer, nu moet je maar raden waar bezoekers van je site vandaan komen.
    Bij een weer-app de buienradarbeelden zonder HTTPS ophalen is natuurlijk prima. HTTPS is daar complete onzin.

    Maar het grootste nadeel van HTTPS is dat je jezelf bijna niet meer kunt sniffen. Eens meekijken welke data er nu je telefoon verlaat is best wel eens handig.

  • Profielfoto
    pippen2

    Prima dat het gedaan wordt, maar een whitelist is nog zeker wel nodig. Ik ben het er niet mee eens dat https altijd standaard zou moeten zijn. Wil je https gebruiken dan moet je je hostingpakket upgraden (wat in de meeste gevallen extra geld kost). Het heeft voor apps die alleen informatie tonen (zoals een nieuws-app) op dit moment nog totaal geen meerwaarde om https te gebruiken.

  • Profielfoto
    Pietje

    @computer space en alle anderen.

    Graag geen onzin praten wanneer je totaal geen idee hebt hoe TLS (ssl) en dus data over HTTPS werkt. Je hebt een private key en een public key (sleutel) dat zorgt voor de encryptie.

    Meer over SSL kan je vinden wanneer je Google gebruikt.
    Of kijk eens naar deze duidelijke video, dat meer vertelt waarom je TLS wel altijd moet inzetten: https://www.youtube.com/watch?v=cBhZ6S0PFCY

    Ook data die naar je toekomt (hoe onschuldig dit voor jou ook lijkt) wil je encrypten. Want wanneer dat niet het geval is, kan men deze gegevens onderweg aanpassen => denk aan censuur, etc.

  • Profielfoto
    Pietje

    Of kijk eens hier:
    https://www.youtube.com/watch?v=iQsKdtjwtYI

    Kortom app developers die niet via HTTPS werken, zouden al lang van het internet geweerd moeten worden;-)

  • Profielfoto
    apple-man

    Dat er nog altijd apps bestaan die niet via https werken is gewoon te wijten aan luiheid van de ontwikkelaar het is gewoon diep triest dat er nog altijd apps zijn die dit niet standaard hebben. Het is de morele plicht van een ontwikkelaar mensen te beschermen tegen mogelijke hackers. Ik vind dat ontwikkelaars die niet standaard https gebruiken veiligheid niet serieus genoeg nemen en dat vind ik een zeer kwalijke zaak. Het is dus een zeer goede zet van apple om https voor ontwikkelaars verplicht te maken. Dat hadden ze al veel eerder moeten doen.

  • Profielfoto
    Martink

    @pippen2: langzaam gaat hele web over naar https. Er zijn ook al bedrijven die gratis ssl certificaten weggeven die Apple ook gewoon accepteert zonder waarschuwing. Je bent verplicht https te gebruiken zodra je op de website persoonlijke gegevens kan invullen. Denk hieraan aan bijvoorbeeld e-mailadres

  • Profielfoto
    computer space

    https blijft maar halfbakken tussenpaus. Er moet eigenlijk een protocol komen met auteursignatuur en micropaymentoptie. Dan kan internet pas echt vooruit.

  • Profielfoto
    pippen2

    @Martink, ik heb het juist over apps die géén persoonlijke gegevens gebruiken. Informatieve apps hoeven echt geen HTTPS te gebruiken. Dat is volkomen nutteloos. De reactie van Apple-man vind ik daarom ook wel vrij overtrokken (je hebt immers ook een account op onemorething.nl wat ook geen HTTPS is). Nu “Let’s encrypt” met gratis certificaten is gekomen is de stap een stuk kleiner om alles om te zetten naar HTTPS, maar feit is dat dit tijd nodig heeft. HTTPS was tot nu toe namelijk vooral iets voor webshops en grote bedrijven. De rest staat allemaal op HTTP. Daar komt nu door “Let’s encrypt” verandering in, maar vandaag de dag zijn de meeste websites nog gewoon HTTP (ik heb het niet over de meestgebruikte sites, want die draaien uiteraard wel op HTTPS). Het is daarom niet gek dat veel apps ook nog op die manier data ophalen.

  • Profielfoto
    Milt

    @Pietje Zeg dan zelf ook geen onzin! De private en public key zorgen niet voor de encryptie. Ze dienen voor authenticatie en voor het uitwisselen van een tijdelijke key welke wordt gebruikt voor de encryptie.

  • Profielfoto
    goldoni

    Wat een onzin commentaar hier. Beter eerst theorie lezen over verschillende soorten encryptie en type certificaten!

  • Profielfoto
    apple-man

    pippen2 dat jij mijn reactie vrij overtrokken vind dat mag jij vinden. Maar dan moet je mij eens uitleggen hoe het dan mogelijk is. Dat een site zoals http://rtlxl.nl als ik een abo neem op RTL XL Premium voor € 3,99 en afreken via ideal de bevestiging mail hiervan onversleuteld word verzonden. Ik vind gewoon schandalig dat dit soort dingen nog altijd niet zijn mee beveiligt in het totaal.

  • Profielfoto
    pippen2

    @apple-man, ik zeg dus dat apps die géén persoonsgegevens vragen geen gebruik hoeven te maken van HTTPS. Als ze wel persoonsgegevens vragen is het wel beter om dat te gebruiken. Dus je RTL XL voorbeeld is niet van toepassing op mijn reactie. Een bevestigingsmail staat overigens los van de echte betaling. De betaling zelf gebeurd wel via HTTPS. Verder zou RTL de mailserver moeten beveiligen met een certificaat om het helemaal 100% beveiligd te hebben.

  • Profielfoto
    apple-man

    pippen2

    IK ben van menig dat https altijd beter is dus ik deel jou menig niet dat apps die géén persoonsgegevens vragen geen gebruik hoeven te maken van https. Het maakt niet uit of een app nu persoonsgegevens vraagt of niet. Als een app gebruik maakt van een internet verbinding moet hij gewoon goed zijn beveiligt. Je weet maar nooit wat voor manieren hackers tegenwoordig hebben om binnen te komen op een idevice. En wie zegt mij dat als een hacker een app hackt die gebruik maakt van een internet verbinding maar geen persoonsgegevens uitwisselt niet even goed bij mijn persoonlijke gegevens kan. Nee geef mij maar Https bij alle apps dan weet ik 100% zeker dat ik goed zit. Alhoewel niets 100% hack proef is en Https ook niet vind ik het een goede zet van apple om het verplicht te maken.

  • Profielfoto
    pippen2

    @apple-man, HTTPS heeft helemaal niets met hacken te maken. Zonder HTTPS kan alleen de informatie tussen jou en de server uitgelezen worden. Als je dat kunt lezen kan je nog echt niet in jouw device. Dus als er geen HTTPS is, kan iemand die op jouw netwerk zit zien dat iemand op dat netwerk een bepaalde informatieve pagina oproept. Heel spannend is dat dus niet. En nogmaals, heel veel websites gebruiken nog geen HTTPS. Het is dus niet zo dat je kunt zeggen “geef mij maar HTTPS”. Ja natuurlijk is HTTPS altijd beter, maar dat wil niet zeggen dat het ook direct altijd gebruikt kan worden. Er moeten verschillende dingen voor aangepast worden en het kost nu eenmaal meer geld. Dus het gaat er in dit geval niet om wat jij wil. Het zou ook voor de veiligheid beter zijn dat iedereen met een zelf rijdende auto rijdt. Maar ook dat gaat de komende 20 jaar niet gebeuren. Dat heeft tijd nodig. Zo gaat dat nu eenmaal.