Conformité à UIWebView, SSL et exportation

Question

J'ai actuellement une application dans le magasin qui consiste à afficher un UIWebView modal. La vue Web affiche une page Web spécifique sur laquelle l'utilisateur se connecte, effectue certaines sélections et, une fois l'opération terminée, la vue Web est supprimée. La page Web de connexion est située à un emplacement https. J'ai lu dans quelques endroits que l'utilisation de SSL signifie que je dois probablement remplir un CCATS et que mon application est transmise pour la conformité à l'exportation, mais je suppose que ce n'est pas le cas lorsque j'utilise un UIWebView. Si c'était le cas, alors n'importe quelle application qui inclut un navigateur devrait passer la conformité d'exportation? J'envisage de supprimer l'UIWebView pour une expérience utilisateur plus agréable, mais je m'attends à ce que comme je vais utiliser le protocole SSL pour l'authentification ainsi que toute autre interaction au sein du site Web, il faudra remplir un CCATS.

Donc, je suppose que mes questions sont les suivantes:

• Ai-je raison que, dans sa version actuelle, mon application ne nécessite pas la conformité des exportations

• Est-ce que je fais avec le UIWebView/page web actuellement sécurisé, en supposant que le site Web lui-même est sécurisé?

• Si je choisis de supprimer l'UIWebView et de faire moi-même les interactions SSL, est-ce que je devrai probablement remplir un CCATS?

Answer 1

Tant que vous n'utilisez pas l'API de sécurité tiers (SSL, le cryptage, ...) vous n'avez pas besoin d'autres conformité supplémentaire que l'approbation de l'Apple pour soumettre la demande sur l'Appstore. L'API de sécurité d'Apple n'est pas la meilleure que j'ai vue (pas très documentée et pénible à utiliser si vous me le demandez) mais vous n'en avez pas vraiment besoin si ce que vous essayez de faire est une simple connexion SSL. Si le serveur auquel vous essayez de vous connecter utilise un certificat d'une autorité de certification valide (et non un certificat auto-signé), l'authentification par nom d'utilisateur/mot de passe est aussi simple que l'implémentation d'une méthode déléguée.

-(void)connection:(NSURLConnection *)connection didReceiveAuthenticationChallenge:(NSURLAuthenticationChallenge *)challenge 
{ 
    NSString *username = [binding.authenticationProperties objectForKey:kClientUsername]; 
    NSString *password = [binding.authenticationProperties objectForKey:kClientPassword]; 
    newCredential=[NSURLCredential credentialWithUser:username 
               password:password 
              persistence:NSURLCredentialPersistenceForSession]; 
    [[challenge sender] useCredential:newCredential forAuthenticationChallenge:challenge]; 
} 

certificats auto-signés et deux voies SSL pourrait être Tricker d'autre part, mais je suppose que ce n'est pas ce que vous demandez :)

J'espère que cela répond à votre question.
salutations

Answer 2

Que vous utilisiez la fonctionnalité SSL intégrée ou que vous fassiez vos propres appels SSL, vous utilisez toujours le cryptage. Les exigences ne changent pas vraiment, donc le premier arrêt devrait être de se familiariser avec ce que (le cas échéant) les contrôles d'exportation s'appliqueraient.

Commencer par the Bureau of Industry and Security web site et si vous avez encore des questions, vous pouvez appeler le service d'assistance au 202-482-0707.