Apple blokkeert toegang tot sensordata Safari in iOS 12.2

Safari 12.1 in iOS 12.2 geeft sites niet langer toestemming tot sensordata. Daardoor kunnen sites niet langer zonder toestemming zien of gebruikers de telefoon bewegen als zij de pagina op de voorgrond hebben staan.

De wijziging stond in de releasenotes van Safari 12.1 die Apple vorige week online zette, maar viel pas op na een artikel van Digiday. Toegang tot sensordata staat standaard uit, terwijl gebruikers die aan kunnen zetten in de instellingen op iOS.

De wijziging lijkt een reactie op een paper die vorig jaar verscheen, waaruit bleek dat van de topsites op internet een klein deel de sensordata gebruikt voor browser fingerprinting. Apple heeft de functie onder 'Beveiliging en Privacy' gezet, wat erop wijst dat het gaat om een wijziging die dat mogelijk moet maken.

Het artikel van Digiday zoomt in op de gevolgen voor advertentiebedrijven en ontwikkelaars van ar-toepassingen in de browser. Het is nog onduidelijk of site-eigenaren gebruikers een pop-up kunnen laten zien met het verzoek om toestemming, zoals dat nu met de locatie of de camera het geval is.

Apple heeft nog geen publiekelijke uitleg gegeven over de functie, zoals een toelichting waar het precies voor bedoeld is en hoe site-eigenaren hun code erop kunnen aanpassen. Apple heeft iOS 12.2 met Safari 12.1 uitgebracht als testversie voor ontwikkelaars. De stabiele versie volgt vermoedelijk binnen een paar maanden.

iOS 12.2 - Motion and Orientation — De toggle (links) en het effect op data die de site krijgt. Bron: 9to5Mac

Reacties (58)

jaenster

5 februari 2019 14:06

En terrecht. Het is een webpagina, geen applicatie.

Blokker_1999

Privacy
Browsers
Apple

@jaenster • 5 februari 2019 14:24

De grens tussen app en webpagines is al jaren aan het vervagen. Je wil niet weten hoeveel apps er bestaan die in de achtergrond gewoon een website raadplegen. En aan de andere kant bouwen we ondertussen hele versies van Office in de browser of spelen we er 3D spellen in. Zomaar stellen dat het geen applicatie is, is dus al lang niet meer van toepassing. Heel het idee van Chrome OS was trouwens net toegespitst op het brengen van apps naar de browser.

Verwijderd @Blokker_1999 • 5 februari 2019 14:35

“Website raadplegen”

Alle en geen. Alle apps zullen een API aanspreken, wat een URL heeft, maar niet echt een website zal zijn in de traditionele zin. Een app haalt data op en plaatst dit op de ontworpen plekken binnen de app.

vosManz @Verwijderd • 5 februari 2019 14:53

Zoals MadEgg al aangeeft zijn er voldoende apps die je als 'native' app via de store kan downloaden, maar van binnen eigenlijk gewoon een browser zijn. Zie bijvoorbeeld:
https://electronjs.org/
https://ionicframework.com/
https://cordova.apache.org/
https://phonegap.com/

HyperioN @vosManz • 5 februari 2019 17:39

Helemaal waar.
En als mensen denken: "ja, dat zijn vast alleen amateuristische, kleine apps", nou dat is dus niet waar.
Bijvoorbeeld Rabobank zet ook in op Ionic:

In 2019 Rabobank will start working on a brand new Frontend Platform. It will leverage Angular 7, Nx, Ionic 4, Ngrx and Web Components

Bron: https://tweakers.net/part...mmit2019/646/joukevisser/

Het grote voordeel van ontwikkelen met behulp van (bijv.) Cordova/Ionic is dat je maar één codebase nodig hebt en dat die app dan te builden is voor zowel iOS, Android, Windows en het web zelf.
Dus in plaats van dat je een app moet ontwikkelen in Swift/Objective-C voor iOS, in Java voor Android, in C#/C++ (UWP) voor Windows en in Javascript voor het web, heb je gewoon één codebase in Javascript (met evt gebruik van hulpmiddelen zoals Angular, React, Typescript) voor je app.
Cordova (of Capacitor) zorgt ervoor dat de JS-app in een webview van het betreffende platform wordt geladen, voegt bindings toe voor APIs om bijv. hardware aan te spreken en bouwt er een package van dat de platform vendor nodig heeft (.apk bij Android, .ipa voor iOS).

Het nadeel van deze werkwijze is dat de performance soms minder is dan native apps en dat de "look and feel" kan afwijken. Maar tooling zoals Ionic wordt steeds beter daarin.. het verschil wordt steeds kleiner waardoor de voordelen steeds meer opwegen tegen de nadelen.

Naast bovengenoemde werkwijze is er een ontwikkeling gaande wat "Progessive Web App" genoemd wordt.
Kortgezegd zijn dit web-apps (Javascript-apps) die installeerbaar zijn op je device. Omdat er al ontzettend veel Web APIs zijn om allerlei "native" taken uit te voeren (bijv. camera access, storage), is een tussenlaag als Cordova dan helemaal niet meer nodig.

De mobiele site van Twitter is een voorbeeld van een PWA. Op zowel iOS (12) als Android kun je deze app ook al installeren door "Add to homescreen" te doen. PWA's zijn zelfs al te uploaden naar de Microsoft Store. Voor Google Play en Apple App Store is dat nog niet zo, maar het kan haast niet anders of dat gaat in de toekomst ook gebeuren.

Er zijn ook nog wat andere kinks in de kabel op de diverse platformen (bijv. op iOS) maar het is m.i. een kwestie van tijd voordat deze gladgestreken worden.
Een web-app doet dan echt bijna niet meer onder voor een native app. (Uitzonderingen daargelaten zoals bijv. games).

Lang verhaal kort: het verschil tussen "app" en "website" is inderdaad al lange tijd aan het vervagen en zal op den duur zelfs helemaal verdwijnen.

[Reactie gewijzigd door HyperioN op 23 juli 2024 00:13]

Herko_ter_Horst

@vosManz • 5 februari 2019 18:04

Dergelijke (Electron/Cordova/Ionic) apps zijn normale, zelfstandige apps die toevallig intern met "web"-technologie gebouwd zijn. Dus een UI o.b.v. HTML/CSS/JavaScript en een back-end o.b.v. (meestal) NodeJS. E.e.a. draait echter lokaal. Toegang tot lokale resources (zoals camera/sensors e.d.) loopt via de wrapper/native bindings van het gebruikte framework. Op OS-niveau geef je permissies aan elk van deze individuele apps.

Dat type app heeft in feite niks te maken met de browser, die zelf als enkele app toegang geeft tot de hele wereld aan websites én -applicaties. Toegang tot lokale resources loopt via web-standaarden die door de browser geïmplementeerd moeten worden. Permissies stel je in via de browser, die zelf weer permissies moet krijgen van het OS.

Dus dit is in feite off-topic. PWA's zijn uiteraard wel on-topic

[Reactie gewijzigd door Herko_ter_Horst op 23 juli 2024 00:13]

Sicco2 @Herko_ter_Horst • 6 februari 2019 09:55

Deze apps draaien toch echt in een webview, die gewoon een browser opstart. In Ios is dat per definitie safari. En als safari niet meer toestaat dat je sensor data opvraagt ... kan je app dat ook niet meer.

de wrappers waar je het over hebt zijn gewoon javascript wrappers die draaien in de browser.

En je kan permissies geven wat je wilt: als dit niet meer van je browser mag heeft dit geen enkele zin. Best wel on-topic wat mij betreft, en zeker een issue.

Apple heeft dit soort apps nooit heel fijn gevonden: je kan updaten buiten de store om bijv. Ik heb het gevoel dat het apple ook meer hierom te doen is. (maar dat is slechts mijn gevoel)

ThomasG @Sicco2 • 6 februari 2019 10:11

De WebViews die je in een App kunt gebruiken staat volledig los van de Safari browser app. Dit artikel gaat over Safari als browser, en niet de WebKit views die je kunt gebruiken in een eigen App. Ofwel: apps die intern een webview en sensordata gebruiken blijven gewoon werken.

MadEgg @Verwijderd • 5 februari 2019 14:43

Nee, er zijn ook zat apps die gewoon een browser-component inschakelen en data én layout van een website trekken. Als je de juiste URL onderschept kun je deze "app" vervolgens ook gewoon in je browser openen. Electron doet dit ook, bijvoorbeeld.

Verwijderd @MadEgg • 5 februari 2019 15:21

alleen hebben die geen toegang tot bepaalde native functies, waar xamarin wel overall toegang tot heeft (qua UI kan het een en ander wel eens verschillend uitgevoerd worden tussen IOS/Android maar het meeste word gewoon door de designer opgevangen.) Jetbrains Resharper + Linqpad 5 & Automapper kunnen helpen om een volledige crossplatform applicatie binnen een paar uur voor 3 platformen klaar te hebben.

cornedor @Verwijderd • 5 februari 2019 17:04

Doormiddel van bijv. electronjs krijg je wel toegaing tot native functies. Electronjs levert dan een api aan de webview om die native functies aan te roepen.

Verwijderd @cornedor • 5 februari 2019 17:24

Ja alleen ram gebruik is niet echt van een native applicatie helaas. Electron gebruikt bijna het dubbele van C# (xamarin) dus echt viable en native zou ik het ook niet echt noemen. Je zal Electron alleen als
MPV (minimal viable product) tegenkomen, en niet als een "Instagram", "messenger" of "snapchat". Dan zouden de apparaten waar het op zou kunnen draaien een stuk minder zijn.

Jantje2000 @Verwijderd • 5 februari 2019 18:47

Het spijt me, maar dat is volgens mij niet helemaal waar, want als ik hier kijk dan zijn er best bekende programma's, zoals Skype, Github Desktop, Git Kraken, Discord, Slack en VS Code gebouwd op basis van ElectronJs. Dit zijn dus zeker niet uitsluitend MVP's.

Verwijderd @Jantje2000 • 5 februari 2019 20:22

Dat zijn allemaal simpele applicaties die niet echt 3d acceleration gebruiken om beelden te tekenen. De applicaties die ik opnoemde hebben dat wel. En zijn een stuk uitgebreider. Al zijn het wel bekende applicaties.

mjz2cool @Verwijderd • 5 februari 2019 20:21

Of de app laat alleen maar de website zien wat dus effectief gewoon een website is.

Verwijderd @mjz2cool • 6 februari 2019 00:56

Dat is wat mij betreft geen app, maar een webbrowser.

mjz2cool @Verwijderd • 6 februari 2019 13:38

Kun je dan browsen met een pwa? Nee, maar een pwa is wel gewoon een applicatie die je ook in een webbrowser kunt openen. Een webbrowser is veel meer dan alleen een webview.

Zezura @Blokker_1999 • 5 februari 2019 15:53

Apps zijn relatief betrouwbaar & veiliger.
Dan browser applicaties.

ZwolschBalletje @jaenster • 5 februari 2019 16:51

Het is al weer heel wat jaar geleden dat een gerenommeerde Nederlandse techwebsite (iets met t.net) zijn app killde omdat de website voldoende responsive was geworden om de functies uit te voeren die voorheen aan apps waren voorbehouden.

Eigenlijk mooi dat ontwikkelaars zo steeds meer vrijheid krijgen om platform-onafhankelijk te bouwen.

Wat dat betreft een goede keuze om restrictieve te worden met permissies in de browser. In "echte" apps wordt immers ook onderscheid gemaakt tussen de permissies van verschillende apps.

RangedNeedles @jaenster • 5 februari 2019 14:15

Ik bookmark liever 10 websites (webapps) dan dat ik 10 verschillende native apps uit de App Store moet gaan trekken..

Wat is anders het punt van PWA's en alle API's die de laatste jaren voor het web beschikbaar worden gesteld?

MadEgg @RangedNeedles • 5 februari 2019 14:34

Tja. Het moge duidelijk zijn dat Apple niet zo'n fan is van PWA's, aangezien Safari aardig achterloopt op dat front.

PWA's zijn op zich prima, maar ze zouden niet méér rechten moeten hebben dan native apps - toegang tot sensordata kan best zolang je er maar wel expliciet toestemming voor moet geven.

faim @MadEgg • 5 februari 2019 14:45

Ik vind het prima dat een webapp net zoveel rechten heeft als een native-app. Juist omdat Safari voor iOS zover achterligt op dit gebied t.o.v. bijvoorbeeld Chrome voor Android, moeten wij native app's blijven ontwikkelen, terwijl een browser prima zou kunnen voldoen.

_Thanatos_ @RangedNeedles • 5 februari 2019 15:33

Nog steeds hebben (native) apps een diepere integratie met het OS. Voor genoeg apps is dat een duidelijk voordeel.

Dat nog los van het performance-voordeel van native apps.

[Reactie gewijzigd door _Thanatos_ op 23 juli 2024 00:13]

ro4sho @RangedNeedles • 5 februari 2019 19:17

Die kunnen mooi door Apps worden gebruikt?

w3news @jaenster • 5 februari 2019 14:38

Web applicatie is wel degelijk een applicatie.

Laatst nog met een spel bezig geweest waarmee door je telefoon te bewegen kon sturen.
https://github.com/Way2Web/tunnelvue

Dit gebruikt de oriëntatie van je apparaat, welke je dan uit kan zetten.
Het uit kunnen zetten, of expliciet toestemming geven net als je gps locatie is niet zo gek, vooral als het voor advertentie doeleinden gebruikt wordt.

Maar waarom zou zoiets wel mogen in een native applicatie en niet in een web applicatie?

jleijdekkers @w3news • 5 februari 2019 17:24

Bij een Native Applicatie heb je nu de controle over waar je de app toegang toe wil geven. Bij een Web Applicatie is het natuurlijk mogelijk dat je direct alle toestemmingen van Safari overneemt, maar daar zitten gebruikers niet echt op te wachten.

Als ze web applicaties nu expliciet om toestemming laten vragen, trek je het eigenlijk juist meer gelijk.

Steyn_E @jleijdekkers • 5 februari 2019 18:24

Dan is toch hetgeen wat hier niet goed gaat een probleem met Safari? Ik kan in Edge al een eeuwigheid machtigingen per website aanpassen, dat zouden ze moeten aanbieden. Dit is pure armoe, of een methode om zoveel mogelijk de store te vullen. Maar de hele functie eruit slopen is een vreemde actie in ieder geval.

Olaf van der Spek @jaenster • 5 februari 2019 14:07

Waarom zou een willekeurige app wel zomaar sensor-data mogen uitlezen?

jaenster

@Olaf van der Spek • 5 februari 2019 14:08

Omdat je minder snel door re-direct van app naar app.
edit: (oftewel je maakt de keuze voor een app)

[Reactie gewijzigd door jaenster op 23 juli 2024 00:11]

air2

@jaenster • 5 februari 2019 14:13

Valt tegen, zon app kan (en dat gebeurt vaker dan je denkt) die data weer doorgeven aan adverteerders, dus dat redirecten gebeurt nog steeds maar op een technisch iets andere manier.

Aan de andere kant waarom zou een app de tel willen fingerprinten? De app kan dat al door gewoon een guid te genereren en die steeds mee te sturen. Dan kun je vrij simpel sessies van apps fingerprinten. Dus een app heeft deze data nodig voor fingerprinting en voor de rest lijkt deze data niet zo privacy gevoeig dat een app er verder iets mee kan

Olaf van der Spek @air2 • 5 februari 2019 14:15

De app kan dat al door gewoon een guid te genereren en die steeds mee te sturen.

Dat ID kun je niet linken aan andere IDs van dezelfde telefoon / persoon.

Mr. Awesome @Olaf van der Spek • 5 februari 2019 14:27

Oh, de naïviteit.

pepsiblik @Mr. Awesome • 5 februari 2019 14:35

Leg eens uit hoe dan? Ik ben benieuwd.

batjes

Browsers

@pepsiblik • 5 februari 2019 15:18

Theoretisch is het niet zo moeilijk data te koppelen van 'verschillende' users. Een ID is echt niet genoeg om gebruikers daadwerkelijk uniek te maken. Men kan al snel patronen herkennen om met enige zekerheid jou ene ID aan jou andere ID te koppelen. Vaak kan 1 bepaalde handeling al genoeg zijn.

Google en Facebook hebben dit al lang en breed goed onder de knie. Zodra ze een user goed genoeg kennen, kunnen ze vrij simpel en zonder al te veel moeite zo'n beetje al de data die ze van je hebben aan elkaar koppelen.

Nu is het een kwestie van vertrouwen of Apple dit wel of niet mogelijk maakt of zelfs toelaat.

mae-t.net @Verwijderd • 5 februari 2019 20:45

Ik min jou niet, want ik ben niet van de herenliefde en bovendien ken ik je niet. Maar verkeerd gebruik van ouderwetse woorden terzijde...

Ik zou zelf geen Apple kopen, maar ik heb net als jij wel respect voor de manier waarop ze hun marktsegment bedienen en vasthouden. Ook denk ik dat je deels gelijk hebt dat Apple veel verzamelt, maar in tegenstelling tot bijvoorbeeld Google en Facebook, is er veel minder "officieel misbruik" van deze data. Dat er vorig jaar een gat in de cloud heeft gezeten (de eerdere lekken waren op wachtwoordbasis) kan bij andere clouds ook gebeuren, en dat weten de slachtoffers ook wel. Op het moment dat Apple zelf misbruik mogelijk maakt of gaat maken van klantendata, zijn ze waarschijnlijk een groot deel van hun klanten kwijt en dat weten ze ook.

Verder zijn zowel Apple als nVidia echte techbedrijven geweest en altijd gebleven, in tegenstelling tot bijvoorbeeld Google dat begonnen is als search engine en al snel een van de grootste advertentie- en mediabedrijven is geworden.

Cartoon @BikkelZ • 5 februari 2019 17:35

https://www.nasa.gov/miss...ckets/tracers/metals.html

_Thanatos_ @air2 • 5 februari 2019 15:39

Aan de andere kant waarom zou een app de tel willen fingerprinten? De app kan dat al door gewoon een guid te genereren en die steeds mee te sturen.

Zo'n GUID heb je niets aan, omdat die random is. De truuk is juist om een ID te verkrijgen die uniek is, maar ook vast is voor de levensduur van een telefoon of account.

Apps "lossen dit op" door toegang tot je IMEI oid te vereisen, en zonder die toegang domweg weigeren te functioneren. Enige twee uitwegen is dan de maker van die app helemaal afblaffen, of je IMEI (of wat het ook precies is dat de app eist) te spoofen.

Deido @jaenster • 5 februari 2019 14:12

Met ontwikkelingen als progressive web application en het gigantische traffic op het web, is het inmiddels niet meer vreemd om meer uit een website te halen dan een artikel of iets dergelijks

Ed Vertijsment @jaenster • 5 februari 2019 15:07

Maar die grens bestaat al lang niet zo hard meer. Je typed via een editor een reactie op een artikel. Is dat niet deel van een applicatie?

Overigens snap ik deze move wel. Runtime permissies voor alles wat privacygevoelig is. Iets wat Apple op iOS sinds de komst van apps al gedaan heeft.

thePiett

@jaenster • 5 februari 2019 14:35

Echter gaan we naar een wereld toe zonder apps, met alleen maar webpagina's. En ik kan niet wachten tot het zover is. Al die apps op je telefoon... Weg ermee. Check reviews: Progressive web apps - Tussen web en app maar eens

Dreamvoid

Smartphones

@thePiett • 6 februari 2019 12:06

Webapps waren tien jaar geleden al de toekomst met de eerste generatie iPhone, en twintig jaar daarvoor met Windows 98 Active Desktop, en over tien jaar zullen webapps ongetwijfeld ook nog ‘de toekomst’ zijn.

MadEgg @thePiett • 5 februari 2019 15:05

Zou leuk zijn! Maar als het zover komt is de "app gap" een ding van het verleden. Lijkt mij heerlijk, daarmee kunnen alternatieve platforms fatsoenlijk concurreren met Android en iOS. Google en Android krijgen hier nachtmerries van natuurlijk. Vooral Apple overigens. Dus die gaan alles doen wat ze kunnen om dat zo veel mogelijk te vermijden.

Fab1Man @thePiett • 5 februari 2019 15:21

Probleem is echter wel de perceptie van mensen. Men is juist in het afgelopen decennium gewend geraakt aan het downloaden en updaten van apps in een centrale store, dus de overstap naar PWA's geeft zeker in het begin ook weer frictie. Daarnaast blijft het een "ongereguleerd wereldje" en kan Apple zo weer de stekker uit PWA support trekken.
PWA's zijn ideaal voor bedrijfsapps waarbij je veel interne apps gebruikt en deze beschikbaar moeten zijn voor verscheidene platformen. Customer face wise zie ik nog niet zo veel heil in PWA's. Ook al bestaan ze, het gebruik is relatief gewoon laag.

_Thanatos_ @jaenster • 5 februari 2019 15:31

Wat is het verschil tegenwoordig nog?

supersnathan94

Apple iPhone
Apple
Apple iPhone 6s
Apple iPhone 8
Smartphones
Apple iPhone X

@jaenster • 5 februari 2019 14:09

Opzich geen gekke gedachtegang overigens. Het feit alleen al dat je dan zelf kunt bepalen wat je deelt aan sensor gegevens is al een pluspunt.

Het artikel van Digiday zoomt in op de gevolgen voor advertentiebedrijven

Hmm. Ik vraag me dan af van welk perspectief ze daar dan inzoomen. Ik hoop dat van de gebruiker cq website bezoeker.

retep69 5 februari 2019 14:37

Hoe is dit met andere browsers / android geregeld? Heeft private mode van de browsers nog invloed hierop?

Ed Vertijsment @retep69 • 5 februari 2019 15:09

Volgens mij kan je op Chrome achtingen deze API gewoon altijd raadplegen mits js aanstaat en je device dit ondersteund.

_Thanatos_ 5 februari 2019 15:35

Weer een mooie feature die door privacyvergarende (vermoedelijk) advertentie-eikels wordt verkracht, zodat het een opt-in feature wordt.

Als ik het artikel goed lees, lijkt het ook geen per-website feature te worden, waar de browser automatisch aan de gebruiker eenmalig vraagt om de feature te mogen gebruiken. Zoals bij geolocation of notifications.

iAR 5 februari 2019 15:59

Ik ben dan benieuwd: kun je dit ook per site aan of uitzetten? Je hebt al wel meer geavanceerde instellingen in Safari op de Mac voor site specific instellingen.
Zou een mooie zijn voor iOS 13: desktop class browsers op iOS.

Menhir 7 februari 2019 08:54

De Electronic Frontier Foundation heeft hier een leuke tool voor gemaakt om te testen hoe uniek je eigen apparaat&browser is: https://panopticlick.eff.org/

AW_Bos

@icegodd • 5 februari 2019 15:18

Je kan het ook melden in dit topic, wat ik zojuist heb gedaan.

bozk @icegodd • 5 februari 2019 15:52

Ik denk dat het: https://sensor-js.xyz/webs-sixth-sense-ccs18.pdf moet zijn

Srry, was al gefixed

[Reactie gewijzigd door bozk op 23 juli 2024 00:13]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (58)

Sorteer op:

Weergave: