Mises à jour d'apps en dehors de l'App Store : Rollout se défend
Rollout n'entend pas se laisser abattre par Apple. Le service, qui permet aux développeurs de « pousser » des mises à jour de leurs apps en passant outre la validation de l'App Store, est en première ligne dans la dernière croisade d'Apple. La Pomme a ainsi demandé à un éditeur de retirer le SDK de Rollout de son application (lire : Apple veut mettre un terme aux apps qui se mettent à jour en dehors de l'App Store). La pratique, sur laquelle la Pomme fermait les yeux jusqu'à présent, est en effet susceptible de modifier en profondeur le comportement et les fonctionnalités d'une application après son téléchargement.
Sans surprise, cette pratique est défendue par Erez Rusovsky, le CEO de Rollout, qui s'en explique dans un billet. Le service a permis à des centaines de développeurs d'améliorer leurs apps en leur permettant de pousser des milliers de correctifs après leur lancement, rappelle-t-il. « Cela bénéficie aux développeurs et aux utilisateurs et a empêché, selon une estimation conservatrice, des millions de crashs ».
Rollout est « sécurisé » et protégé des attaques man in the middle , assure Rusovsky qui présente son service comme un moyen d'apporter rapidement des correctifs. Il se dit déçu de la lecture plus restreinte des guidelines par Apple, avant d'avoir eu l'opportunité d'en discuter avec le constructeur. Rollout a contacté Apple pour voir ce qu'il était possible de faire.
Le service s'appuie sur une clause qui permet aux développeurs de pousser du Javascript dans leurs apps tant que les fonctions de l'application ne changent pas.
Le problème n'est pas la sécurité de Rollout, le souci c'est qu'une application validée pourrait ensuite intégrer des bugs graves ou pire devenir voleuse de données, etc. Sans que les lutins ne le voient passer. C'est un risque qu'il vaut mieux éviter.
... ou qu'une application validée puisse ensuite se voir étendue pour proposer des mécanismes d'abonnement qui échapperait au contrôle (et leurs commissions) des lutins der Cupertino.
Quand on veut tuer son chien, on dit qu'il a la rage. La volonté de contrôle d'Apple sur toute app iOS n'est pas motivée _uniquement_ par des raisons de sécurité de l'utilisateur final, ne soyez pas naïf.
Je ne dis pas que ce n'est pas une motivation, mais ce n'est pas la seule.
@byte_order
"La volonté de contrôle d'Apple sur toute app iOS n'est pas motivée _uniquement_ par des raisons de sécurité de l'utilisateur final, ne soyez pas naïf."
Je dois être naïf parce que je ne vois pas ce qui pourrait - en dehors des raisons de sécurité et de stabilité de l'écosystème - motiver Apple à emmerder les développeurs.
"Quand on veut tuer son chien on dit qu'il a la rage"
Quand on veut descendre le bon travail de quelqu'un on met en doute ses motivations.
Heureusement, l'Histoire ne retient pas les intentions mais les faits. Et de mon point de vue utilisateur le -fait- c'est que le contrôle maniaque d'Apple me garantie une meilleure sécurité/stabilité.
Heu si, Rollout peut aussi avoir des problemes de securité. Rollout ne peut pas garantir l'absence de bug ou de faille dans son systeme, et des qu'un scelerat veinal trouvera une faille, qui sait ce qu'il pourrait en faire ( un reseau de botnet par exemple).
De toutes façon le produit viole clairement les regles de l'app store autant sur la forme que sur le fond, et ça l’éditeur ne peut pas l'ignorer.
L'histoire de la clause qui discriminerait le systeme est une foutaise: Appel autorise uniquement l'usage de code javascript dans l'application et exclusivement par Webkit et cela ne doit pas permettre de modifier le comportement ou d'ajouter des fonctions au soft. En gros Apple autorise les navigateurs WEB utilisant Webkit a exécuter des scripts javascript... comme le fait n'importe quel navigateur.
Ce qui est par contre inquiétant c'est qu'Apple a laissé passer ça depuis un moment.
"De toutes façon le produit viole clairement les regles de l'app store autant sur la forme que sur le fond, et ça l’éditeur ne peut pas l'ignorer. Ce qui est par contre inquietant c'est qu'Apple a laissé passer ça depuis un moment."
+1, tout est dit.
Je rajoute qu'en tant que client de l'App Store, je n'apprécie pas du tout de savoir qu'un éditeur puisse utiliser de tels outils.
Je comprends parfaitement (& suis content) qu'Apple bloque cette possibilité: c'est un contournement complet de la sécurité induite par la validation de toute application vendue sur l'Apple Store.
Alors, certes, blah, blah, blah…ça permet à un développeur bien intentionné de corriger sans attendre un bug sur son application; mais ça permet aussi d'introduire a posteriori toute fonction à l'insu d'Apple.
Donc alors que l'on se croit à l'abri des emm… grâce au filtre de la validation obligatoire, on se retrouve avec RollOut aussi exposé que ds le monde Android; non seulement on serait "à poil" mais en plus on ne le saurait pas !
Et en cas de vérole… c'est Apple qui serait responsable; RollOut se défausserait.
> Et en cas de vérole… c'est Apple qui serait responsable; RollOut se défausserait.
Ca, c'est peu probable. Au contraire, Apple aura le beau rôle en dénonçant la faille de sécurité posée par les applications utilisant RollOut.
D'ailleurs, c'est *exactement* ce qu'elle fait là, maintenant, en se donnant le beau rôle pour rejeter les applications utilisant RollOut, une démarche accueillie positivement par les clients, dont vous.
@byte_order
Et il est tout à fait normal que cette défense d'Apple soit accueillie de manière positive, étant donné que comme dit plus haut par un autre commentateur, nous payons cette sécurité induite par le passage obligatoire par les inspecteurs de l'AppStore.
Si une App peut être modifiée sans passer par le contrôle direct d'Apple, alors on perd la principale sécurité et on se retrouve dans un monde très proche d'Android.
Pour résumé, et au moins pour ma part, et je suis sûr que je ne suis pas le seul dans ce cas, j'achète un iPhone parce que je veux un smartphone évolué qui fonctionne, sans avoir à me soucier si l'App que j'achète va aller me voler des données, ou sans l'obligation de mettre un anti-virus ou anti-spyware dessus, chose devenue obligatoire sous Android.
Autant j'ai rien à redire à votre position sur les raisons de considérer la validation obligatoire par l'AppStore de toute application comme source de sécurité pour vous, autant j'essaye de souligner que cela ne signifie pas forcément que coté Apple ce soit la seule motivation.
Par contre, sur ce point :
> sans l'obligation de mettre un anti-virus ou anti-spyware dessus, chose devenue obligatoire sous Android
Merci d'indiquer une source prouvant que :
- soit une majorité des smartphones sous Android ont un antivirus / spyware d'installé dessus
- soit que les smartphones sous Android dénoués d'antivirus/spyware sont majoritairement exposé à nettement plus de vols de données que les autres
Parce que cela me semble plus colporter un mythe ou au mieux une très grosse exagération de votre part que la réalité observable.
"pousser des milliers de correctifs"
Sans anguilles ?