Hoe zit dat?
Als gebruikers in Safari een gewoon telefoonnummer aanklikken, wordt eerst de vraag gesteld of ze dit nummer willen bellen.

Klikt men echter op een Skype URL, dan wordt Skype meteen opgestart en wordt het nummer gebeld.

"Security researchers" noemen dit een veiligheidslek. Eén en ander heeft te maken met de afhandeling van URL schemes in iOS.

Een tel:// URL krijgt dus wél een waarschuwing als men er op klikt, maar een skype:// niet.

Apple is van mening dat ontwikkelaars van applicaties zoals Skype zélf aan de gebruiker moeten vragen of men inderdaad het nummer wil draaien, wanneer de applicatie via een URL scheme wordt aangeroepen.

Sans.org vindt echter dat Apple meer controle over het aanroepen van de URL's zou moeten bieden, zodat reeds in Safari aan de gebruiker gevraagd kan worden of men zeker weet dat men de betreffende applicatie wil opstarten.

Er zijn echter een paar problemen met dit voorstel.

1. Niet alles wordt vanuit Safari opgestart
URL schemes worden niet alleen door Safari afgehandeld. Ook vanuit Mail kunnen mensen linkjes aanklikken die bepaalde apps opstarten.

Sterker nog, applicaties kunnen via de URL schemes elkaar opstarten, zonder dat er maar een applicatie van Apple aan te pas komt.

Elke ontwikkelaar kan zó een app bouwen die bijvoorbeeld Skype opstart zonder het eerst aan de gebruiker te vragen. De Skype applicatie zal dan toch écht zelf moeten vragen of het wel een gewenste actie is.

En niet alleen Skype; er zijn talloze applicaties die reageren op bepaalde URL schemes, zoals bijvoorbeeld Maps, SMS, YouTube, Facebook, IMDB, Navigon, Twitterific, etc.

Een waarschuwing in Safari inbouwen heeft weinig zin als applicaties elkaar rechtstreeks kunnen aanroepen.

2. De gebruiker wordt lastig gevallen
Iedereen kent wel het fenomeen dat je helemaal gek wordt als er te vaak vragen worden gesteld "weet je dit zeker?". (Vraag maar aan een gemiddelde Vista gebruiker.)

Het wegklikken van dat soort dialoogvensters wordt een gewoonte, zeker wanneer Safari bij elke soort link die je aanklikt een dergelijke vraag stelt.

De verantwoordelijkheid wordt zo weliswaar bij de gebruiker neergelegd, maar de veiligheid niet verhoogd. Je klikt toch altijd op "OK".

Dit fenomeen wordt alleen maar erger als de gebruiker meer en meer apps installeert die reageren op een URL scheme.

3. De ontwikkelaar heeft een verantwoordelijkheid
De ontwikkelaar van een applicatie heeft de verantwoordelijkheid om de app veilig te maken. Niet Apple.

Het enige dat Apple kan doen is onveilige applicaties afwijzen in de App Store. Maar dat is slechts een beperkte veiligheidslaag; Apple kan niet álles controleren in alle situaties.

Bovendien kan Apple niet oneindig bepalen wat er veilig is en wat niet. Een applicatie wil Skype opstarten. Mag dat? Een applicatie wil Facebook opstarten? Is dat gevaarlijk? Een applicatie wil de IMDB app starten? Levert dat problemen op?

Door URL schemes te voorzien van een veiligheidswaarschuwing worden ontwikkelaars alleen maar gestimuleerd om de beveiliging binnen hun eigen applicatie maar weg te laten.

Dat lijkt me geen goede ontwikkeling. De maker van de applicatie moet altijd controleren en bepalen of de handeling die de gebruiker uitvoert is toegestaan, veilig is, voldoet aan juridische en technische eisen, e.d.

Je moet er toch niet aan denken dat de ABN AMRO applicatie geen pincode meer vraagt als hij vanuit een andere applicatie wordt gestart?

Nee, je wil ALTIJD veiligheid, ingebouwd en gecontroleerd door ABN AMRO, en niet Apple.

Met twee maten meten
Sans.org meet ook nog eens met twee maten. Onder Windows en in Mac OS X wordt Skype gewoon opgestart als je op een Skype linkje klikt.

Niet alleen Skype, maar talloze andere applicaties kunnen elkaar opstarten via eenzelfde soort URL scheme. Photoshop kan Illustrator opstarten en andersom. Safari kan Skype opstarten, Mail kan Safari opstarten, etc. etc.

Dit alles zonder waarschuwingen of gezeur dat Mac OS X onveilig is.

Waarom zou het iOS dan opeens wél een waarschuwing moeten geven als applicaties elkaar opstarten?

Tot slot
Tot slot zou ik willen zeggen: een gebruiker heeft het volgens mij vast wel door als dat als hij op een link klikt er opeens een andere applicatie in beeld verschijnt.

Dat is volgens mij een nog duidelijker waarschuwing dan een stom "OK" / "Cancel" dialoogje dat er hetzelfde uitziet als alle andere waarschuwingen.

Het feit dat je opeens in Twitterific of Skype zit terwijl je lekker in Safari bezig was lijkt mij opvallend genoeg en zou bellen moeten doen rinkelen.

Dit artikel is meer dan een jaar oud en daarom gearchiveerd.
- Reacties op dit artikel worden niet meer getoond.