News DMA: Apple deaktiviert Progressive Web Apps mit iOS 17.4 nicht

[DrFreaK666]

Ich bin mir nicht so sicher, ob es richtig ist das OS zu öffnen. Genau hier waren doch die Stärken von Apple.

Das war keine Stärke. Das hat mich tierisch genervt. Zu Apple zurückkehren werde ich deswegen trotzdem nicht

 

[Seven2758]

Und ehe jetzt wieder die Leier kommt „Ja aber dann nutzt doch Sideloading einfach nicht“, dann ist hoffentlich das Ein- und Ausschalten ausreichend gegen Fehlverhalten geschützt. Also so richtig mit mindestens Warnhinweis, Passworteingabe und mindestens zweimaliger Bestätigung. Sonst gibt es nachher wieder zahlreiche Anrufe beim Support, weil etwas nicht stimmt und wieder Aussagen wie „Na das habe ich doch gar nicht selbst eingeschaltet, dass war ich definitiv nicht.“

Es würde mich wundern, wenn solch eine Einstellung nicht mindestens die PIN oder besser das ID-Passwort verlangt. Hinsichtlich Deiner Frage bzgl. des Warnhinweises kommt wohl bei jeder Installation einer "Fremdapp" ein Warnhinweisfenster. Erst wenn man den alternativen Appstore als default einstellt, werden die Warnhinweise weggelassen.
Quelle

Da die Eröffnung von weiteren Appstores für große Verwirrung sorgte, haben sich wohl viele Leute an Apple gewandt. Laut Heise werden die Apps aus anderen Appstore nicht ungeprüft zur Verfügung gestellt.
Diese werden auch weiterhin überprüft und vor allem auf Malware. In meinen Augen verstehe ich jetzt die Gebühr für Fremdapps, wenn Apple auch bei den Fremdapps so streng prüft.
So gesehen ändert sich nur, dass Apple nicht mehr inhaltlich prüft. Sprich Apps wie ReVanced, Porno oder illegale Streamingapps werden möglich sein, aber Launcherapps sicherlich nicht.
Natürlich besteht die Gefahr, dass sich die Stores mit Scamapps voll müllen.

Vollkommen freies Sideloading wird es in iOS aber gar nicht geben: Auch künftig müssen Entwickler ihre Apps bei Apple zu einer Prüfung einreichen und dürfen diese ausschließlich in von Apple zugelassenen Marktplätzen vertreiben. Ähnlich wie bei der Notarisierung in macOS will der Apple eingereichte Apps automatisiert auf Malware prüfen. Zusätzlich sollen Apple-Mitarbeiter die Apps auf Basisfunktionalität und richtige Beschreibungstexte hin kontrollieren – und unter anderem auch betrügerische Software aufspüren, betonte der Konzern in einem Dokument.

Im Unterschied zur App-Store-Prüfung greift Apple nicht länger inhaltlich ein. Dinge, die im App Store untersagt sind, können also in anderen App-Marktplätzen erscheinen, warnt das Unternehmen – darunter Pornografie oder Apps, die etwa Trunkenheit und Vaping propagieren. Auch "Piraterie" respektive den Diebstahl geistigen Eigentums anderer Entwickler sieht Apple als mögliches Problem in den alternativen App-Läden. Anbieter der Marktplätze sind zugleich verpflichtet, ihr Angebot ebenfalls auf schädliche Apps hin zu überprüfen und unsichere Software zu entfernen.
Quelle

 

[Aquilid]

--Bitte die Zitierregeln beachten--

Also ich habe da den DAU vor Augen: meine Mutter. Deren Android Handy ist auch grundsätzlich unordentlich, Daten werden willkürlich angeordnet, Browserfenster nicht geschlossen und Benachrichtigungen nicht Bestätigt. Wenn "das Internet nicht geht" ruft sie erstmal mich an, anstelle des ISPs und falls sie doch mal einfach den Router neustartet, legt sie entweder die Hauptsicherung um oder zieht willkürlich irgendwelche Kabel raus. Als sie es mal nicht geschafft hat, sich auf ner Webseite zu registrieren, bin ich extra hin und habe mir das angeschaut: sie hatte schlicht nicht gelesen, was am Bildschirm stand ("geben Sie ihr Passwort ein" -> gibt E-Mail ein) - und das ist meiner Erfahrung nach (IT-Support) eines der häufigsten Probleme. Und das sind nur die Highlights, die mir so auf die Schnelle eingefallen sind.

Und trotzdem läuft auf ihrem (inzwischen über vier Jahre alten) Android Handy alles einwandfrei. Da ruckelt nichts, es ist noch genug Speicherplatz frei und sie kennt sich aus (ich würde wahnsinnig werden, aber das ist was anderes). Sie hat auch noch nie irgendwo ne App aus nem anderen Store runtergeladen und ist auch nicht zufällig auf die Entwickleroptionen gestoßen.
Also nein: nur weil es die Option gibt, wird nicht gleich jeder ein Müll- und Virenverseuchtes Handy in der Tasche haben - und wer wirklich mehrere Warnhinweise ignoriert, PIN-Bestätigungen akzeptiert und Kreditkartendaten auf ner unseriösen Webseite eingibt...ja, gut, da wäre digitale Abstinenz vielleicht eher ne Idee, als alle anderen einzuschränken.

 

[Sherman789]

Sehe ich genau anders. Wie viele Leute wollen denn wirklich Sideloading? Sind wir da als Techies nicht eher die absolute Minderheit? Ich habe, in meiner kleinen Bubble, noch nie jemanden danach fragen hören.

Bin ich in Teilen auch bei dir. Auf meinem iPhone brauch ich das auch nicht.

Aber ein iPad mit M-Chip wäre die ideale Portable Workstation mit Sideloading, und wir alle wissen dass diese künstliche Beschneidung nur stattfindet, um weiter dutzende Konfigurationsebenen bei Macs und iPads zu rechtfertigen, anstatt einem Gerät zusätzliche Werte/Funktionen zu verpassen womit man diese Kaufoptionen eben kannibalisieren würde.

Und mMn schadet Apple sich langfristig damit selbst, denn richtig angepackt könnten sie mit einer neuen Geräteklasse nicht nur eigene Produktlinien obsolet machen, sondern auch viele der Konkurrenz und damit bedeutende Marktanteile gewinnen. Das ist allerdings riskant und kann nach hinten losgehen, und Tim Cook ist eher ein Verwalter als ein Visionär.

 

[Skidrow1988]

Bin ich in Teilen auch bei dir. Auf meinem iPhone brauch ich das auch nicht.

Du hat meinen Einwand nicht verstanden. Es geht sich nicht darum ob ich etwas möchte oder nicht. Es geht sich darum, das wenn wir auf die User hören, wir das nicht bekommen würden. Viele schreiben hier, das Apple das mal machen sollte.

 

[Sherman789]

Um das objektiv zu beurteilen bräuchte man die Zahlen von Google dazu, wie viele Android User tatsächlich Sideloading verwenden. Dazu lässt sich im Netz aber nichts verlässliches finden.

Es bleibt also beim subjektiven Meinungsaustausch, auch wenn du mir dann unterstellst, es nicht verstanden zu haben.

 

[tiga05]

Dafür wiederum brauche ich ein iPhone und zumindest für einen Git-Runner einen Mac bzw Zugriff auf einen.

Kann ich nur zustimmen. Ich entwickle u.a. hybride Apps und da ist Apple mit den Sonderlocken immer ein Thema.
Man braucht einen Mac zun bauen (wozu?!). Und bei der Einrichtung des Builders muss man auch einmal ein iPhone anschließen. Sonst baut er nicht(wozu???!).
Wir lagen lachend auf dem Boden.

Wie muss das erst sein, wenn man ein iPhone sein Eigen nennt?

Apple möchte dies nicht. Apple möchte das nicht. Man kann das nicht machen, weil Apple das nicht möchte. Gott sei Dank gibt's Alternativen und jeder kann sich das wählen, was er möchte.

 

[MaverickM]

Ein offenes System ist auf jeden Fall unsicherer, als ein geschlossenes. Das liegt doch in der Natur der Sache.

Nein. Open-Source beweist das Gegenteil.

 

[Kalsarikännit]

Na dann mal her mit den Beweisen!

 

[pseudopseudonym]

Ganz ehrlich wenn man mit iOS richtig viel Umsatz generieren könnte sollte ein lumpiger MacMini, eine Entwicklerlizenz sowie ein bis zwei Devices zum testen wohl drin sein.

Dagegen habe ich nichts gesagt, aber damit ist die platte Aussage
"Wenn mir was an ein Produkt nicht gefällt, dann nutze ich es einfach nicht"
nicht richtig.

Na dann mal her mit den Beweisen!

Das das hier keine Uni-Veranstaltung ist, sollte Wikipedia als erster Ansatz der Recherche dazu reichen:
https://de.wikipedia.org/wiki/Security_through_obscurity

Interessant ist dabei dieser Satz:

Das Prinzip security through obscurity ist sehr umstritten. So rät das National Institute of Standards and Technology (NIST), Sicherheitssysteme nicht auf dieser Basis zu konzipieren: “System security should not depend on the secrecy of the implementation or its components.”

(https://csrc.nist.gov/pubs/sp/800/123/final)

 

[Boimler]

Na dann mal her mit den Beweisen!

Ist doch relativ einfach: Open Source ist für jedermann nachvollziehbar und jeder kann den Code auf Schwachstellen prüfen. Das zwingt den Entwickler einerseits zu schnellen Nachbesserungen, weil sonst niemand mehr die Software nutzen möchte und andererseits macht es die Software tendenziell schlanker, damit weniger Angriffsfläche geboten wird.
Bei closed-source besteht dieser Selektionsdruck nicht und gerade bei Apple lebt die Sicherheit viel vom schon zitierten Prinzip: Sicherheit durch Obskurität. Das funktioniert nur solange, bis jemand eingebrochen ist. iOS ist in dem Sinne ein wenig die Enigma des 21. Jahrhunderts. Wenn der Code mal öffentlich werden sollte, wars das.

 

[DevPandi]

Nein. Open-Source beweist das Gegenteil.

Leider Nein, Open-Source beweißt da nicht wirklich das Gegenteil. Es werden immer wieder auch schwerwiegende Sicherheitslücken gefunden und diese auch teilweise erst nach Jahren oder auch Jahrzehnten.

Auch wenn man prinzipiell den Source-Code einsehen kann, muss der Source-Code auch eingesehen werden, nur passiert eben nicht. Dazu kommt, dass in vielen OpenSource-Projekten überhaupt kein Bountyhunter-Programm hinterlegt ist und daher auch für "Spezialisten" nicht so interessant ist - man muss ja von etwas leben. Die "Forscher" beschränken sich daher in der Regel auf Software, wo Firmen dahinter stehe, die auch entsprechende Belohnungen ausschütten und sehen sich Software im Open-Source-Bereich eher in der Freizeit mal an.

Open-Source-Software ist nocht pauschal sicherere oder unsicherere als Closed-Source-Software.

Das das hier keine Uni-Veranstaltung ist, sollte Wikipedia als erster Ansatz der Recherche dazu reichen

Der entscheiden Satz, den du zitiert hast, ist aber weder ein Beleg dafür, das Open-Source-Systeme und offene Systeme sichere sind, noch dass geschlossene Systeme sicherer oder eben umgekehrt sind.

In diesem Bereich wird sich seit Jahren massiv gestritten und Verfechter beider Seiten bringen immer wieder sowohl gute als auch schlechte Argumetne dagegen an.

Ist doch relativ einfach: Open Source ist für jedermann nachvollziehbar und jeder kann den Code auf Schwachstellen prüfen.

Nein, so einfach ist es eben nicht. Es ist - mal die offensichtliches Sicherheitslücken wie nicht maskierte Parameter, XSS und Co ausgelassen - leider eben nicht so trivial Sicherheitslücken im Quelltext einer Software zu finden. Dafür benötig es einiges an Know-How und ebenso auch Zeit.

Je nach Komplexität der Software braucht man für die Prüfung einer Software nicht nur einfach ein paar Minuiten oder Stunden, sondern eher Tage und Wochen um den Quelltext wirklich abzuklopfen und selbst dann findet man häuftig nicht alle Lücken.

Dazu kommt eben, dass viele Sicherheitsforscher, die das selbstständig machen, auf die "Kopfgelder" für Sicherheitslücken angweisen sind oder auf Aufträge durch Kunden. Man benötigt auch Geld zum Leben. Die, die angestellt sind bei Firmen, werden da oft auf die eigene Software oder auf die verwendete Software angesetzt und andere Software wird dann eher in der Freizeit mal durchsucht und dann auch da oft eher das, was die Experten selbst verwenden.

Prinzipiell ist die Software für jeden nachvollziehbar, gleichzeitig muss das aber auch gemacht werden. Und genau hier liegt der Knackpunkt und warum eben es auch Leute gibt, die behaupten, dass Open-Source-Software und offene Systeme "unsicherer" sind - und diese Sichtweise ist eben auch nicht falsch: Auch die Angreifer können die Software auf Lücken prüfen oder die Systeme und diese dann auch ausnutzen und je mehr Informationen sie haben, um so leichter wird es für sie.

Wenn jetzt - es geht nur im die Veranschaulichung - ein Angreifer das System untersucht und entsprechende Lücken findet, kann dieser diese Lücken solange ausnutzen, bis ein andere diese Lücke findet und meldet.

Es kann nun sein, dass jemand die Lücke sehr schnell findet und meldet, dann hatte der Angreifer Pech. Es kann aber eben auch sein, dass die Lücke sehr lange nich gefunden wird und der Angreifer hat glück.

Es gibt hier also keine einfache Antwort auf die Frage ob offene oder geschlossene Ansätze sicherer oder unsicherer sind und auch kein Richtig oder Falsch. Es kommt darauf an.

 

[Kalsarikännit]

@DevPandis Antwort kann ich nicht ms mehr hinzufügen, Danke :-)

 

[Boimler]

Leider Nein, Open-Source beweißt da nicht wirklich das Gegenteil.

Deine Betrachtung bezieht sich vor allem auf den Prozess des Aufdeckens von Lücken. Dieser unterliegt den von den dir richtigerweise genannten Umständen und Problemen. Es hängt von ökonomischen Randbedingungen ab, ob ein offenes oder geschlossenes System angegriffen/getestet und dort etwas gefunden wird. Das lässt aber nicht den Schluss zu, dass beide Ansätze gleich (un-)sicher wären.
Ich komme eher von der Kryptografie: Ein System ist immer dann sicherer im Vergleich zu anderen Systemen, wenn die Funktionsweise des Systems aus Sicherheitsgründen nicht geheimgehalten werden muss. Das ist keine Behauptung sondern kryptografische Gewissheit. Es mag uns also heutzutage so scheinen, dass beide Ansätze gleichauf liegen. Langfristig gesehen wird aber nur ein offener Ansatz Sicherheit auf Code-Ebene zu einem annehmbaren Grad gewährleisten.

 

[pseudopseudonym]

Der entscheiden Satz, den du zitiert hast, ist aber weder ein Beleg dafür, das Open-Source-Systeme und offene Systeme sichere sind, noch dass geschlossene Systeme sicherer oder eben umgekehrt sind.

Du hast mich durch einen kleinen Logikfehler falsch verstanden.

Das war die ursprüngliche Aussage von @t3chn0 :

Ein offenes System ist auf jeden Fall unsicherer, als ein geschlossenes. Das liegt doch in der Natur der Sache.

und darauf hat @MaverickM geantwortet:

Nein. Open-Source beweist das Gegenteil.

Was ist das Gegenteil von "Geschlossene Systeme sind sicherer"? Richtig, "geschlossene Systeme sind nicht sicherer". Diese Menge schließt aber eben auch einen Gleichstand ein. Und genau das, dass geschlossene Systeme eben nicht per se sicherer sind, sagt meine Quelle aus.

 

[SubNatural]

Nur mal für alle, die immer meinen "Apple Nutzer wollen sowas nicht".

Deleted

 

[DevPandi]

Ich komme eher von der Kryptografie

Kryptografie ist an der Stelle aber doch etwas anderes als Software-Quelcode und später auch Sicherheitskonzepte im Ganzen. Geh da aber gleich noch mal darauf an.

Deine Betrachtung bezieht sich vor allem auf den Prozess des Aufdeckens von Lücken.

Genau das ist aber bei Software der entscheidende Punkt: Wer findet eine Sicherheitslücke zu erst und kann diese dann ausnutzen. Bevor ich jetzt aber weiter schreibe will ich nur kurz anmerken, dass das, was ich hier geschrieben habe, nicht meine Betrachtung der Thematik ist, sondern dass ich explizit die Argumentation der Verfechter von "geschlossenen Systemen" hier aufgeführt habe.

Ich selbst mag geschlossene Systeme in der Regel absolut nicht bin für Open-Source und offene Systeme. Im Weiteren:

Es mag uns also heutzutage so scheinen, dass beide Ansätze gleichauf liegen. Langfristig gesehen wird aber nur ein offener Ansatz Sicherheit auf Code-Ebene zu einem annehmbaren Grad gewährleisten.

Zu erst: Prinzipiell stimme ich dir dazu und würde auch lieber weitgehend auf offene Ansätze setzten. Gleichzeitig finde ich deine Übertragung aus der Kryptografie auf die Software- und Hardwareentwicklung durchaus gewagt.

Sehe ich mir jetzt die meisten Themen in der Kryptografie an, dann ist die "Komplexität" gegenüber einem Programm überschaubar und auch endlich. Bei einem Verschlüsselungsalgorithmus "theoretisch" die Sicherheit mathematisch zu beweisen ist möglich. In der Kryptorgrafie werde ich - und da stimm ich dir dann voll zu - eher stutzig, wenn mir Informationen "verschwiegen" werden, weil ich dann davon ausgehen muss, dass da Backdors und Co im Algorithmus schlummern. Entweder ich hab einen absolut sicheren Algorithmus, dann kann ich da auch alles raus geben, oder ich versuch etwas zu verbergen.

Bei Software und Sicherheitskonzepten ist das dann schon wieder anders. Hier am Ende Fehlerfreiheit und Sicherheit zu belegen ist fast nicht möglich.

Es ist halt am Ende aktuell eine Frage der eigenen Überzeugung und Ansichten und welche Argumente man dann anbringt und wie man diese bewertet. Ich persönlich sehe auch Open-Source und auch offene Protokolle und Systeme als besser an, auch stabiler. Ob jetzt aber sicherer, das mag ich nicht zu beurteilen.

 

[Kuristina]

Du glaubst auch alles, was Apple sagt oder?

Hä? 😊 Ich meinte CB User, die das hier in einem anderen Thread zum gleichen Thema geäußert haben.

 

[SubNatural]

@Kuristina Sorry, keine Ahnung, was ich gelesen habe. Du hast recht.

 

[BorstiNumberOne]

Und trotzdem läuft auf ihrem (inzwischen über vier Jahre alten) Android Handy alles einwandfrei. Da ruckelt nichts, es ist noch genug Speicherplatz frei und sie kennt sich aus (ich würde wahnsinnig werden, aber das ist was anderes). Sie hat auch noch nie irgendwo ne App aus nem anderen Store runtergeladen und ist auch nicht zufällig auf die Entwickleroptionen gestoßen.

Naja aber Du pflügst sicher trotzdem ab und an mal durch die Einstellungen oder? Also wenn Du da bist? Den DAU habe ich an der Stelle vor Augen, weil es nach den 2000ern zur DotCom Zeit ein PC der heiße Scheiss war und es dann soviele zugemüllte Systeme gab. Keiner hat sich so richtig um sein Gerät gekümmert. Und solchen konnte man gut ein iPhone in die Hand drücken und es hat gepasst.