Google indique aux développeurs comment affaiblir la sécurité des applications sous iOS 9
Google à mis un post sur son blog développeur, qui propose un code pour aider à contourner une fonction de sécurité d'iOS 9 (fonction qui force les applications à utiliser le HTTPS pour crypter des données envoyées sur Internet).
Ce code met hors service cette fonction (ATS), et permet d'exécuter le code des propres serveurs d'annonce de Google.
En effet, les développeurs sous iOS 9 utilisant Xcode 7 (qui respecte la fonction ATS) verront des messages de Log indiquant qu'un contenu a été bloqué par manque de sécurité, comme par exemple un envoi HTTP en clair, chose qui pourrait bloquer les publicités.
Google indique qu'une "correction temporaire à un problème qui apparaît dans iOS 9" est d'ajouter (dans le fichier Info.plist) une exception qui met hors de service ATS, permettant aux publicités non cryptées de s'afficher dans l'application.
Le code lui-même fait juste cinq lignes et permet à l'application de contourner ATS, mais en laissant les autres applications sécurisées.
Dans son post, Google rappelle qu'il est pour l'adoption généralisée du HTTPS dans ses produits et services. Il recommande aussi que les développeurs utilisent autant que possible le HTTPS pour toute application existante ou nouvelle, et planifient de migrer le reste pour une conformité avec ATS.
RE/CODE note que, après que des experts en sécurité et des développeurs se soient plaints, Google a mis à jour le post pour clarifier sa position. Un paragraphe supplémentaire explique que le code a été fourni parce que "des développeurs nous ont demandé une solution face à la sortie prochaine d'iOS 9", et que les développeurs ne devraient mettre hors de service ATS que si "d'autres approches destinées à respecter les normes ATS échouent." Il est aussi à noter qu'Apple propose une note technique décrivant des façons d'activer ATS pour des sites HTTPS spécifiques.
Source MacNN