Експортиране на съответствие за приложение, което използва компонента Safari в Mac App Store

Изпращам приложение в Mac App Store и това приложение използва компонента Safari за показване на уеб страници. Задават ми този въпрос:

Приложението ви създадено ли е да използва криптография или съдържа или включва криптография? (Изберете Да, дори ако приложението ви използва само криптирането, налично в iOS или OS X.)

Трябва ли да отговоря с „да“ поради възможността за HTTPS?


macos encryption mac-app-store
person pupeno    schedule 11.11.2015    source източник

Отговори (1)


arrow_upward
1
arrow_downward

Отговорът е категорично да. Говорих с представители на Apple и те потвърдиха необходимостта от ERN, ако просто използвате стандартен SSL под формата на HTTPS. Има много публикации в блогове и форуми, в които се казва, че можете просто да кажете „не“ и всичко е наред, но не вярвам, че спазват правилата, просто не са хванати при одит, може приложенията им да бъдат изтеглени от приложението магазин. За тези, които пристигнаха тук с надскачане, отговорът беше не, съжалявам.

Но има надежда. Всъщност получих ERN и описах всички дребни подробности, така че и вие да можете да го направите с минимална болка в моята публикация в блога: Как законно да изпратите приложение в App Store на Apple, когато използва криптиране (или как да получите ERN)

person pupeno    schedule 16.12.2015
comment
Попитах лично на WWDC 2016 и ми казаха, че можете да отговорите с не на този въпрос. Част от причината е, че не можете да знаете дали http сайт ще пренасочи към https сайт. - person zaph; 15.07.2016
comment
@zaph Какво става, ако ударите API, използвайки HTTPS? Изглежда, че ще разберете тогава. - person Aaron Brager; 15.07.2016
comment
@AaronBrager Обосновката беше, че тъй като може несъзнателно да посетите HTTPS сайт и това е ОК, попадането на известен HTTPS сайт е по същество същото. Не бях много доволен от отговора, но това получих. Поисках разяснение и служителят на Apple остана с отговора. Това беше лице по сигурността, към което бях насочен за моя конкретен въпрос в лаборатория за сигурност. FWIW Преди това вярвах, че отговорът трябва да е да. - person zaph; 15.07.2016
comment
Да, просто изглежда, че ако вашето приложение включва браузър, който изобщо поддържа HTTPS, тогава отговорът на вашето приложение създадено ли е да използва криптография или съдържа или включва криптография? е да - person Aaron Brager; 15.07.2016
comment
@AaronBrager Използването на HTTPS не е директно използване на криптиране, няма изрични извиквания на функция за криптиране в кода, кодът никога не обработва никакви криптирани данни, това е транспортният слой на Apple, който участва в криптирането. Има и други примери за криптиране, които приложението може да използва прозрачно, като запазване на данни в Keychain, записването на данни на диск използва криптиране, тъй като има пълно криптиране на диска, това приложение също ли използва криптиране? Твърдя, че тези употреби не се квалифицират като приложение, използващо криптиране. - person zaph; 18.07.2016
comment
@zaph Това би било моята надежда, но дори приложението ви да използва само криптирането, налично в iOS звучи (за мен — очевидно е субективно), сякаш ще включва ключодържателя. Може би ще запиша TSI и ще видя дали мога да получа малко повече яснота в писмен вид - person Aaron Brager; 19.07.2016