- 论坛徽章:
- 0
|
OK,ATS全称是Apple Transport Security,实际上就是从iOS 9开始默认开启的一项功能,旨在让App发起的到服务端的请求都走HTTPS。最近各App、CDN的vendor们都比较关注这个事情,并且积极的准备应对,主要是因为在2016年6月的WWDC上Apple宣布从2017年1月开始强制执行ATS(之前是可以关闭的)。
然后ATS有这么几个细节,技术方面的:
- ATS只作用于high level的API,比如NSURLSession, NSURLConnection。。。socket层面不受ATS影响
- iOS 10之后SSL方面有这么几个变化:RC4默认禁用、SSL 3默认禁用,新增了针对本地网络不强制应用ATS的功能,新增了对CT(certificate transparency)的支持。。。
如果App已经支持了HTTPS,或者正在计划支持,那强制ATS影响不大,皆大欢喜。
但是如果因为某些原因无法实现HTTPS,那可能就比较麻烦了,因为明年开始不能像之前那样直接把ATS全局关闭来绕过,现在的手段主要是依赖于苹果的App Review,需要提出合理的理由(reasonable justification)给审核人员,但是这个就已经不是技术层面的问题,审核人员界定的理由的标准也不好判断。
其实Apple这次释放的信号已经很明显了,就是要增强安全,包括之前Google在搜索结果中会更偏向HTTPS网站的行为,其实都已经说明HTTPS已经是大势所趋,假以时日,待HTTP/2全面铺开,加密流量也会随之无处不在。
结论就是,如果你的App还在裸跑HTTP,也许真到该考虑使用HTTPS的时候了。
|
|