我要提交一个应用到Mac App Store,这个应用使用了Safari组件来显示网页。我被问到了这个问题:
你的应用程序是否设计使用密码学或包含或结合密码学?(即使您的应用程序仅利用iOS或OS X中提供的加密,请选择“是”)
由于可能使用HTTPS,我应该回答“是”吗?
在 Mac App Store 中使用 Safari 组件的应用程序出口合规性
3
- pupeno
1个回答
1
答案是肯定的。我与苹果代表交谈,他们确认如果您只使用标准SSL(即HTTPS)则需要ERN。有许多博客文章和论坛声称您可以拒绝并且一切都没问题,但我不相信他们遵循规则,他们只是没有被审计发现,可能会导致他们的应用程序从应用商店中删除。对于那些希望得到否定答案的人,我很抱歉。
但还有希望。我实际上获得了ERN,并在我的博客文章中描述了所有细节,以便您也可以在最小的痛苦下完成:如何在使用加密时合法地向苹果应用商店提交应用程序(或如何获取ERN)。
- pupeno
6
我在2016年的WWDC现场亲自询问过,被告知你可以回答“否”来回应那个问题。部分原因是因为你无法确定一个HTTP网站是否会重定向到HTTPS网站。 - zaph
@zaph 如果您使用HTTPS调用API会怎样?看起来您应该知道。 - Aaron Brager
@AaronBrager 的理由是,因为你可能无意中访问到一个 HTTPS 网站,而这是可以接受的,所以访问已知的 HTTPS 网站本质上是相同的。我对这个答案并不是很满意,但这就是我得到的答案。我确实请求了澄清,但苹果员工坚持这个答案。这是一个安全人员,我是针对我的特定安全问题被引导到他们的“实验室”的。顺便说一下,我之前认为答案应该是肯定的。 - zaph
是的,如果您的应用程序包括支持HTTPS的浏览器,则“您的应用程序是否设计用于使用密码学或是否包含或合并了密码学?”的答案是肯定的。 - Aaron Brager
@AaronBrager 使用 HTTPS 不是直接使用加密,代码中没有明确调用加密函数,代码也从未处理任何加密数据,实际上是苹果传输层涉及了加密。应用程序可能会在后台透明地使用其他加密方式,例如将数据保存到 Keychain 中,将数据写入磁盘也使用了加密,因为存在全盘加密,但这些用法并不符合应用程序使用加密的资格。 - zaph
@zaph 这是我的希望,但即使您的应用程序仅利用iOS中可用的加密,对我来说似乎(显然是主观的)也会包括钥匙串。也许我会提交一个TSI并看看是否能获得更多的书面说明。 - Aaron Brager
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接