Это не столько прорыв, сколько нарушение правил. После того, как Apple опозорила Google и Facebook за злоупотребление сертификатами корпоративных разработчиков, теперь стало ясно, что такая практика стала довольно распространенной.
Вы можете кричать заголовок «неряшливые программисты установить вредоносные программы, порно и пиратские приложения на невинных айфонах», которая является то, что другие источники новостей делали, но … Это так гораздо более сложным. Это правда, что люди использовали сертификаты разработчиков для продажи приложений за пределами App Store, и это плохо, но плохо, потому что код плохой, вредоносный и пиратский, а не распространение программного обеспечения за пределами центра. контроль плохой — как такое могло быть?
У Apple проблема. Он блокирует iPhone с помощью криптографии с открытым ключом, поэтому могут работать только программы, загруженные из App Store. Это нормально, но не все хотят делать приложения доступными через App Store. Компании хотят разрабатывать приложения для собственного использования. Они даже не хотят отправлять приложения в Apple, чтобы они проверили их до того, как они будут размещены в App Store. Приложение может иметь настолько большую коммерческую ценность для компании, что становится критически важным.
Таким образом, Apple позволяет компаниям присоединяться к программе Developer Enterprise Program за 299 долларов в год. Для этого вы получаете ряд сертификатов, в том числе сертификат, позволяющий распространять ваши приложения среди сотрудников. Конечно, у Apple нет возможности проверить, кому вы распространяете приложения, и это черный ход в App Store, который используется.
Обратите внимание, что это не технологический взлом. Никому не удалось подделать сертификат Apple, а если у них есть, то они об этом умалчивают. Люди выдают себя за компании и получают сертификаты, а затем используют их для чего-то другого, кроме внутреннего распространения. Это похоже на большую дыру в безопасности Apple, и не похоже, что можно сделать слишком много, кроме как наказать любого, кто ползет через эту дыру.
Apple сделала двухфакторную аутентификацию обязательной для входа любого разработчика. Конечно, только устройства Apple могут использоваться для получения кода, который Apple отправляет разработчику, но чего еще вы могли ожидать? Какая польза от двухфакторной аутентификации? Немного. Это доказывает, что соответствующий разработчик действительно подписал код, распространяемый за пределами App Store. Нельзя так легко утверждать, что кто-то украл детали журнала.
Вторая, возможно, более эффективная защита заключается в том, что компании, подающие заявку на создание любой учетной записи разработчика, теперь должны иметь номер DUNS. По сути, это означает, что Apple использует Dun & Bradstreet, чтобы проверить, являются ли компании тем, кем они являются. В качестве более технологической проверки теперь они также требуют, чтобы у вас был веб-сайт и чтобы его доменное имя было связано с организацией.
Интересно, сколько времени потребуется, чтобы найти способы обойти эти две незначительные проверки.
По сути, Apple пытается сделать невозможное — обезопасить устройства и предоставить компаниям свободный доступ к ним.
Более того, нам нужно рассмотреть идею «бесплатного доступа» к любому устройству Apple. Если приложение является критически важным для вашей компании, действительно ли вы хотите предоставить третьей стороне — Dun & Bradstreet или Apple — возможность отключить его? Мне кажется, что это корпоративное безумие и, как выяснили Google и Facebook, лицензию можно отозвать. .