Trabajar con App Transport Security (ATS)

Resumen

Con el lanzamiento de iOS 9, Apple introdujo una nueva función llamada Seguridad de transporte de aplicaciones (ATS) que impone conexiones seguras entre una aplicación y servicios web. En un futuro próximo, se requerirá que todas las aplicaciones de la tienda de aplicaciones tengan ATS habilitado, a menos que proporcione una justificación razonable para las excepciones de ATS, como parte del proceso de revisión de la aplicación.

Las restricciones de ATS se aplican a las aplicaciones destinadas a iOS 9.0 y posterior. Las aplicaciones existentes en la tienda de aplicaciones no se verán afectadas, pero deberá aplicar restricciones ATS cuando publique nuevas aplicaciones o actualice sus aplicaciones existentes.

El ecosistema de Brightcove admite restricciones ATS. En la mayoría de los casos, debe crear sus aplicaciones con ATS habilitado. Si necesita conectarse a URL no seguras, puede enviar sus excepciones ATS junto con la justificación a la revisión de la App Store de Apple.

Elija entre:

Creación de aplicaciones con ATS habilitado
Usar excepciones ATS

Como último recurso, puede desactivar los requisitos de ATS. Tenga en cuenta que esta opción desaparecerá pronto.

Deshabilitar los requisitos de ATS

Creación de aplicaciones con ATS habilitado

Si usa conexiones seguras a través de HTTPS entre su aplicación y los servicios web, puede habilitar App Transport Security para su aplicación.

Para crear sus aplicaciones con ATS habilitado, haga lo siguiente:

Habilite su CDN para una comunicación segura.
- Los clientes de Video Cloud (ya sea que utilicen la CDN propia o una CDN con nombre) deben comunicarse con sus administradores de cuentas de Brightcove para asegurarse de que las cuentas estén configuradas para entregar a través de HTTPS.
- Para aquellos que usan activos remotos, es posible que deba configurar su CDN de manera adecuada.
Utilice una comunicación segura para entregar su contenido multimedia. Esto incluye videos, anuncios, subtítulos, imágenes de carteles, miniaturas y otras conexiones API de terceros.
- Clientes de Video Cloud: Utilice la API de reproducción para recuperar el protocolo seguro para cada uno de sus activos.
  
  De forma predeterminada, Brightcove Native SDK para iOS utiliza una política de selección de fuente para elegir HTTPS sobre fuentes HTTP, por lo que puede crear sus aplicaciones con ATS habilitado.
- Clientes de Brightcove Player: Asegúrese de que su contenido multimedia se entregue a través de HTTPS.

Usar excepciones ATS

Si necesita utilizar conexiones no seguras entre su aplicación y los servicios web, puede intentar utilizar las excepciones ATS. Tenga en cuenta que el motivo de los requisitos de ATS es garantizar que los usuarios tengan un buen nivel de seguridad al usar su aplicación. Por lo tanto, asegúrese de que su aplicación no pueda usar conexiones seguras antes de investigar las excepciones ATS.

Hay claves específicas que puede utilizar para eludir los requisitos de ATS. Estas excepciones activarán una revisión adicional de la App Store y requerirán que proporcione una justificación razonable. Para obtener más detalles, consulte la Revisión de App Store para ATS documento.

Tenga en cuenta que es posible que pueda obtener una justificación para una excepción para el contenido que ya está encriptado (es decir, FairPlay), pero tenga en cuenta que es una buena práctica usar HTTPS cuando sea posible.

Deshabilitar los requisitos de ATS

Al crear aplicaciones destinadas al SDK de iOS 9 o posterior, puede optar por desactivar ATS. Siga estos pasos para deshabilitar los requisitos de ATS en su aplicación:

En Xcode, haga clic derecho en el Info.plist archivar y abrirlo como Código fuente.

Código fuente info.plist

Copie el siguiente código:

<key>NSAppTransportSecurity</key>
<dict>
    <key>NSAllowsArbitraryLoads</key>
    <true/>
</dict>

En el Info.plist archivo, antes del cierre </dict> etiqueta, pegue el código de arriba.

Permitir cargas arbitrarias
En Xcode, cuando abres el Info.plist archivar como Lista de propiedades , ahora debería ver esta entrada en el diccionario plist.

ATS deshabilitado

La desactivación de ATS no altera las conexiones HTTPS existentes. Simplemente evita que iOS aplique requisitos de seguridad adicionales en su comunicación http.

Recursos adicionales

Foro de desarrolladores de Apple: Seguridad de transporte de aplicaciones requerida enero de 2017
Foro de desarrolladores de Apple: Actualización de seguridad de transporte de aplicaciones