Экспорт соответствия для приложения, использующего компонент Safari в Mac App Store

Я отправляю приложение в Mac App Store, и это приложение использует компонент Safari для отображения веб-страниц. Мне задают этот вопрос:

Ваше приложение предназначено для использования криптографии или содержит или включает криптографию? (Выберите «Да», даже если ваше приложение использует только шифрование, доступное в iOS или OS X.)

Должен ли я ответить да из-за возможности HTTPS?


macos encryption mac-app-store
person pupeno    schedule 11.11.2015    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Ответ – твердое да. Я разговаривал с представителями Apple, и они подтвердили необходимость ERN, если вы просто используете стандартный SSL в форме HTTPS. Есть много сообщений в блогах и на форумах, где говорится, что вы можете просто сказать «нет», и все в порядке, но я не верю, что они соблюдают правила, их просто не уличают в проверке, и их приложения могут быть удалены из приложения. хранить. Для тех, кто прибыл сюда в прыжке, ответ был нет, извините.

Но есть надежда. У меня действительно есть ERN, и я описал все мельчайшие детали, чтобы вы тоже могли сделать это с минимумом боли в моем блоге: Как легально отправить приложение в Apple App Store, если оно использует шифрование (или как получить ERN)

person pupeno    schedule 16.12.2015
comment
Я спросил лично на WWDC 2016, и мне сказали, что вы можете ответить «нет» на этот вопрос. Частично причина в том, что вы не можете знать, будет ли сайт http перенаправлять на сайт https. - person zaph; 15.07.2016
comment
@zaph Что, если вы нажмете API, используя HTTPS? Кажется, ты бы знал тогда. - person Aaron Brager; 15.07.2016
comment
@AaronBrager Рациональное решение заключалось в том, что, поскольку вы можете неосознанно попасть на сайт HTTPS, и это нормально, посещение известного сайта HTTPS, по сути, то же самое. Я не был очень доволен ответом, но это то, что я получил. Я потребовал разъяснений, и сотрудник Apple поддержал ответ. Это был сотрудник службы безопасности, к которому меня направили по моему конкретному вопросу в лаборатории безопасности. FWIW Ранее я считал, что ответ должен быть положительным. - person zaph; 15.07.2016
comment
Да, просто кажется, что если ваше приложение включает в себя браузер, который вообще поддерживает HTTPS, то ответ на вопрос «Разработано ли ваше приложение для использования криптографии или оно содержит или включает криптографию?» Да - person Aaron Brager; 15.07.2016
comment
@AaronBrager Использование HTTPS не использует шифрование напрямую, в коде нет явных вызовов функции шифрования, код никогда не обрабатывает какие-либо зашифрованные данные, в шифровании участвует транспортный уровень Apple. Существуют и другие примеры шифрования, которые приложение может использовать прозрачно, например, сохранение данных в цепочке ключей, запись данных на диск с использованием шифрования, так как существует полное шифрование диска. Это тоже приложение, использующее шифрование? Я утверждаю, что эти виды использования не квалифицируются как приложение, использующее шифрование. - person zaph; 18.07.2016
comment
@zaph Я бы на это надеялся, но даже если ваше приложение использует только шифрование, доступное в iOS, звучит (для меня — это, очевидно, субъективно), как будто оно включает связку ключей. Может быть, я сожгу TSI и посмотрю, смогу ли я получить больше ясности в письме. - person Aaron Brager; 19.07.2016