我目前在商店中有一个应用程序,它曾一度涉及显示模态 UIWebView。 webview 显示用户登录的特定网页,进行一些选择,然后一旦完成,webview 就会被关闭。登录网页位于 https 位置。
我在一些地方读到使用 SSL 意味着我可能需要填写 CCATS 并让我的应用程序通过出口合规性,但我认为使用 UIWebView 时情况并非如此。如果是这种情况,那么任何包含浏览器的应用程序肯定都需要通过出口合规性检查吗?
我正在考虑删除 UIWebView 以获得更好的用户体验,但我希望我将使用 SSL 进行身份验证以及网站内的任何进一步交互,因此需要填写 CCATS。
所以,我想我的问题是:
我是否更正了在当前版本中,我的应用不需要出口合规性
假设实际网站本身是安全的,我对 UIWebView/网页所做的操作当前是否安全?
如果我选择移除 UIWebView 并自己进行 SSL 交互,我可能需要填写 CCATS 吗?
【问题讨论】:
只要您不使用任何第三方安全 API(SSL、加密等),除了 Apple 的批准即可在 Appstore 上提交应用程序之外,您不需要其他额外的合规性。
Apple 的安全 API 不是我见过的最好的(如果你问我,它没有记录并且使用起来很痛苦)但如果你想要做的是一个简单的 SSL 连接,你真的不需要它的任何东西。
如果您尝试连接的服务器使用来自有效 CA 的证书(不是自签名证书),那么实施用户名/密码身份验证就像实施一种您将提供用户输入的委托方法一样简单。
-(void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge
{
NSString *username = [binding.authenticationProperties objectForKey:kClientUsername];
NSString *password = [binding.authenticationProperties objectForKey:kClientPassword];
newCredential=[NSURLCredential credentialWithUser:username
password:password
persistence:NSURLCredentialPersistenceForSession];
[[challenge sender] useCredential:newCredential forAuthenticationChallenge:challenge];
}
另一方面,自签名证书和双向 SSL 可能更狡猾,但我想这不是你想要的 :)
我希望这能回答您的问题。
问候
【讨论】:
无论您使用内置 SSL 功能还是进行自己的 SSL 调用,您仍在使用加密。要求并没有真正改变,所以第一步应该是熟悉将适用的(如果有的话)出口管制。
从 the Bureau of Industry and Security web site 开始,如果您仍有疑问,可以拨打帮助台 202-482-0707。
【讨论】: