iOS mulai mengizinkan mesin browser alternatif di Jepang

 (developer.apple.com)
8 poin oleh GN⁺ 2026-01-02 | 3 komentar | Bagikan ke WhatsApp
  • Pada iOS 26.2 atau lebih baru, aplikasi untuk pengguna di Jepang dapat menggunakan mesin browser selain WebKit, dan ada dua jenis yang diizinkan: aplikasi browser penuh serta aplikasi yang menggunakan mesin browser tertanam
  • Apple memberi pengembang yang disetujui akses ke teknologi sistem untuk mewujudkan mesin browser berperforma tinggi, termasuk kompilasi JIT dan dukungan multiproses
  • Dengan alasan risiko keamanan, Apple hanya memberikan hak ini kepada pengembang yang memenuhi persyaratan keamanan dan privasi yang ketat serta berkomitmen menyediakan pembaruan keamanan berkelanjutan
  • Baik aplikasi browser maupun aplikasi penjelajahan dalam aplikasi harus memenuhi kriteria rinci seperti tingkat kelulusan pengujian, keamanan memori, respons terhadap kerentanan, dan kebijakan pemblokiran cookie
  • Langkah ini dinilai sebagai perubahan kebijakan untuk memperluas pilihan mesin browser di pasar Jepang sambil tetap menjaga keamanan pengguna

Gambaran umum izin mesin browser alternatif di iOS 26.2

  • Pada iOS 26.2 atau yang lebih baru, penggunaan mesin browser selain WebKit diizinkan untuk pengguna di Jepang
    • Ada dua jenis aplikasi yang diizinkan:
      1. Aplikasi browser khusus (menyediakan pengalaman penjelajahan web penuh)
      2. Aplikasi penjelajahan dalam aplikasi yang disediakan oleh pengelola mesin browser (menggunakan mesin tertanam)
  • Apple memberikan pengembang yang disetujui akses ke teknologi sistem inti seperti kompilasi JIT dan dukungan multiproses
  • Karena mesin browser terekspos pada konten berbahaya dan data pengguna yang sensitif, Apple hanya menyetujui pengembang yang memenuhi kriteria tertentu dan menjalankan persyaratan keamanan berkelanjutan

Web Browser Engine Entitlement (untuk aplikasi browser khusus)

  • Hak ini memungkinkan pengembangan aplikasi browser yang menggunakan mesin browser alternatif
    • Sebelum mengajukan, persyaratan harus ditinjau lalu permintaan diajukan ke Apple
    • Materi referensi teknis yang disediakan meliputi BrowserEngineKit, BrowserEngineCore, dan panduan pengaturan browser default

Persyaratan kelayakan

  • Aplikasi harus didistribusikan khusus untuk iOS di Jepang dan disusun sebagai biner terpisah dari aplikasi lain yang menggunakan mesin bawaan sistem
  • Harus memiliki Default Browser Entitlement
  • Persyaratan fungsional:
    • Lulus Web Platform Tests minimal 90% dan Test262 minimal 80%
    • Memenuhi standar yang sama meski JIT dinonaktifkan, misalnya dalam Lockdown Mode

Persyaratan keamanan

  • Mengadopsi proses pengembangan keamanan dan memantau kerentanan rantai pasok
  • Menyediakan URL kebijakan pengungkapan kerentanan dan kanal pelaporan pihak ketiga
  • Wajib merespons cepat, termasuk langkah mitigasi kerentanan dalam 30 hari
  • Mengoperasikan halaman publik untuk kerentanan yang telah diperbaiki
  • Mempublikasikan kebijakan sertifikat root dan berpartisipasi dalam CA/Browser Forum
  • Wajib mendukung protokol TLS terbaru

Persyaratan keamanan program

  • Menggunakan bahasa yang aman terhadap memori atau fitur keamanan setara
  • Menerapkan teknologi mitigasi terbaru seperti Pointer Authentication Codes (PAC) dan Memory Integrity Enforcement (MIE)
  • Menjalankan pemisahan proses dan verifikasi IPC, serta memprioritaskan penyelesaian kerentanan
  • Dilarang menggunakan library yang pembaruan keamanannya telah dihentikan

Persyaratan privasi

  • Cookie pihak ketiga diblokir secara default dan hanya diizinkan dengan persetujuan pengguna
  • Pemisahan penyimpanan per situs dan pemblokiran akses lintas situs
  • Dilarang menyinkronkan status antar aplikasi, kecuali dengan izin pengguna yang eksplisit
  • Dilarang membagikan pengenal perangkat, dan pelabelan App Privacy Report wajib
  • API untuk akses PII memerlukan aktivasi dan persetujuan pengguna

Embedded Browser Engine Entitlement (untuk penjelajahan dalam aplikasi)

  • Memungkinkan aplikasi menanamkan mesin browser alternatif untuk menampilkan konten web di dalam aplikasi
    • Penjelajahan dalam aplikasi dibatasi pada tujuan menampilkan konten yang dapat diakses lewat browser web
    • UI harus mengisi sebagian besar layar, memiliki tombol buka di browser default, dan menampilkan domain/URL

Persyaratan kelayakan

  • Pemohon harus merupakan browser engine steward
    • Organisasi yang secara langsung bertanggung jawab atas operasi dan respons keamanan mesin tersebut
    • Mesin harus berupa mesin terpisah dengan arsitektur independen dan dukungan Web API

Persyaratan aplikasi

  • Didistribusikan khusus untuk iOS di Jepang, dan tidak boleh memiliki hak browser default
  • Lulus Web Platform Tests 90% dan Test262 80% atau lebih
  • Harus memenuhi standar yang sama saat JIT dinonaktifkan

Persyaratan keamanan dan program

  • Proses pengembangan keamanan, kebijakan pengungkapan kerentanan, respons dalam 30 hari, dan dukungan TLS sama seperti pada aplikasi browser khusus
  • Wajib menggunakan bahasa yang aman terhadap memori, menerapkan teknologi mitigasi keamanan terbaru, dan memprioritaskan penyelesaian kerentanan
  • Dilarang menggunakan library yang pembaruan keamanannya telah dihentikan

Persyaratan privasi

  • Memblokir cookie pihak ketiga, memisahkan penyimpanan per situs, dan melarang pembagian pengenal perangkat
  • Memerlukan pelabelan App Privacy Report dan persetujuan pengguna saat mengakses PII

Persyaratan tambahan

  • Saat mengirim aplikasi, harus mencantumkan nama dan versi mesin tertanam
  • Setelah versi baru mesin dirilis, pembaruan aplikasi harus diajukan dalam 15 hari

Referensi pengembang dan panduan keamanan

  • Secure SDLC: merekomendasikan pengembangan berfokus keamanan seperti threat modeling, audit kode, dan pengujian fuzzing
  • Memory Safety: memanfaatkan keamanan memori bawaan Swift, std::span di C/C++, serta opsi -fbounds-safety
  • Vulnerability Management: perlu pengelolaan kerentanan publik berbasis CVE-ID dan distribusi patch yang cepat
  • Network Security: disarankan menggunakan Network framework dan SecTrust API dari iOS SDK
    • Dukungan TLS 1.2 dan 1.3 wajib, dan pengguna harus diperingatkan bila memakai protokol lama

Dokumen dan perjanjian terkait

  • Embedded Browser Engine Entitlement Addendum for Apps in Japan
  • Web Browser Engine Entitlement Addendum for Apps in Japan

Bacaan terkait

3 komentar

 
wedding 2026-01-05

Bukan menyindir sih, tapi Safari pasti mematuhi semua persyaratan yang begitu banyak itu... kan?
 
kimjoin2 2026-01-03

Wow, menarik juga kalau mulainya dari Jepang. Kukira hal seperti ini bakal lebih dulu terjadi di Eropa atau Amerika Serikat.
 
GN⁺ 2026-01-02
Komentar Hacker News

  • Saya tidak berpikir Apple akan memblokir browser pesaing, tetapi saya tahu itu akan terjadi
    Saya menganggap iPhone pada praktiknya adalah benteng terakhir yang mencegah monopoli Chrome/Chromium
    Google mungkin tidak akan membiarkannya terbengkalai seperti Microsoft dulu, tetapi mereka akan memiliki pengaruh sebesar itu
    Saya benar-benar tidak ingin kebanyakan situs hanya berfungsi dengan baik di Chrome
    Pada akhirnya, keras kepala Apple, meskipun tidak disengaja, justru menahan arus ini

    • Saya berharap regulator membatasi sepenuhnya kontrol diktatorial Apple
      Kekhawatiran bahwa Chrome menguasai web menurut saya dibesar-besarkan. Hanya karena API baru ditambahkan bukan berarti semua situs web akan memakainya
      Firefox menyelamatkan web bahkan pada era IE dengan pangsa 95%, jadi saya tidak mengerti kenapa sekarang kita harus bergantung pada Apple saja
      Ini terasa seperti ketidakberdayaan yang dipelajari
    • Selama Safari ditetapkan sebagai aplikasi bawaan, saya tidak melihat Chrome sebagai ancaman besar di iOS
      Lagi pula, web mobile sendiri makin menyusut dan berpusat pada aplikasi
      Ada juga arus bahwa pencarian AI akan menggantikan pencarian web, jadi pengaruh web tampaknya akan makin menurun
    • Kapal itu sudah berlayar. Apple juga bagian dari masalah
      Misalnya, karena FaceTime tidak mendukung Firefox, saya memakai Edge, dan pada akhirnya harus pindah ke Google Meet
    • Dulu saat IE menambahkan fitur baru dan menguasai pasar, orang-orang justru menyukainya
      Masalahnya dimulai ketika mereka berhenti berinovasi
      Teknologi seperti ActiveX, Flash, dan Silverlight merusak web sambil menimbulkan masalah keamanan, dan pada akhirnya IE menjadi neraka bagi developer maupun pengguna
      Saya rasa Mobile Safari sekarang mengambil peran itu
      Saya memakai Firefox di PC dan Android, tetapi di mobile saya menganggap browser berbasis Chromium adalah pilihan yang lebih baik
    • Safari terlalu buruk, jadi saya ingin merasakan pengalaman Chrome yang sesungguhnya di iOS

  • Menurut saya, persyaratan “menggunakan bahasa yang aman terhadap memori” dalam aturan baru Jepang itu menarik
    Namun apakah Apple sendiri memenuhinya? WebKit ditulis dalam C++
    Juga tidak jelas apa yang secara spesifik dimaksud dengan “fitur yang meningkatkan keamanan memori”

    • Anda bisa merujuk ke dokumen Safer C++ Guidelines milik WebKit
    • Saya juga penasaran apakah suatu hari Apple akan mengganti WebKit dengan engine berbasis Swift atau beralih ke sana secara bertahap

  • Mengejutkan bahwa Apple masih belum membukanya secara global
    Mempertahankan sistem yang dibuka di satu negara dan diblokir di negara lain pada akhirnya akan menimbulkan kebingungan dan biaya

    • Namun Apple akan terus mempertahankan cara ini selama pendapatannya tetap terjaga
      Bagi perusahaan multinasional, menangani regulasi rumit seperti ini adalah hal yang biasa
    • Secara teknis memang mungkin, tetapi biaya mental dan operasional untuk mengelola aturan per wilayah serta mendidik karyawan dan pelanggan akan besar
      Kontrol atas engine browser tampaknya lebih merupakan soal mempertahankan kendali daripada pendapatan
    • Saya berharap bisa segera memakai Firefox dan uBlock Origin dengan benar
    • “FeatureToggles.swift”, terdengar seperti lelucon tetapi juga seperti sindiran terhadap kebijakan Apple
    • Apple sangat tidak suka diperintah
      Negosiasi dengan Jepang memang lebih baik daripada dengan UE, tetapi mereka tetap sangat tidak puas
      Karena itu, mereka tidak akan mudah menyerah secara global

  • Tampaknya Apple menerapkan aturan izin engine browser pihak ketiga yang dibuat di UE juga ke Jepang
    Namun syaratnya terlalu berat, sehingga bahkan di UE pun belum pernah ada browser dengan engine alternatif yang dirilis
    Aplikasi harus dibuat sebagai biner yang sepenuhnya terpisah, jadi browser besar seperti Chrome sulit beralih

    • Selain itu, di UE ada batasan tambahan bahwa developer harus berada di UE

  • Saya berharap hukum di Jepang dan UE akan mendorong perubahan global, tetapi perusahaan besar mampu menanggung inefisiensi per negara

    • Dari sisi perangkat keras, penyatuan memang terjadi seperti USB-C, tetapi perangkat lunak masih tetap terpisah
      Misalnya, iPhone membatasi akses ke app store alternatif berdasarkan lokasi
      Lihat artikel terkait
    • Bagaimana jika hukum mewajibkan Apple menghapus fitur seperti pop-up transparansi pelacakan mereka?
      Apple sudah didenda di dua negara karena pop-up itu
    • Banyak kebijakan Apple bersifat antikompetitif, tetapi saya rasa pembatasan engine browser lebih didorong tujuan keamanan, baterai, dan standardisasi

  • Jika melihat persyaratan “manajer engine browser”, tampaknya pada praktiknya hanya Google dan Mozilla yang memenuhi syarat
    Bahkan Microsoft dikecualikan karena berbasis Blink
    Engine kecil akan sulit memenuhi persyaratan fungsi dasar, jadi secara efektif terlihat mustahil untuk masuk

  • Sekarang saya penasaran apakah kita akhirnya bisa memakai Firefox sungguhan + uBlock Origin di iOS

    • Apple hanya akan mematuhi bunyi hukum secara literal, dan tetap melawan dengan segala cara
      Persyaratan yang rumit, API yang terbatas, bug yang dibiarkan, dan sebagainya akan menyulitkan developer
      Sepertinya tidak ada perusahaan yang akan menginvestasikan sumber daya hukum dan pengembangan untuk mem-porting engine penuh hanya demi pasar Jepang
    • Mozilla juga kemungkinan tidak akan ikut karena beban memelihara aplikasi per wilayah
      Artikel terkait
    • Untuk sementara, Anda bisa memakai uBlock Origin Lite untuk Safari
      Cukup bagus
    • Aturan yang sama juga diterapkan di UE, tetapi browser dengan engine alternatif tidak muncul
      Untuk saat ini Anda bisa memakai uBlock Origin Lite untuk Safari atau pemblokir iklan lainnya
    • Sebagai referensi, Safari di iOS memang sudah mendukung uBlock Origin Lite
      Firefox juga punya fitur pemblokiran pelacak sendiri

  • Saya sering melihat orang khawatir bahwa jika Apple membuka ekosistemnya, citra mereka yang ramah konsumen akan hilang
    Namun logika “jika Apple tidak mengontrolnya maka akan kacau” hanyalah pilihan yang terlalu ekstrem
    Kita membutuhkan titik tengah antara kontrol total Apple dan pembiaran pengguna
    Jika pasar tidak bekerja secara kompetitif, regulasi harus melindungi pengguna dan developer
    Mengunci perangkat keras oleh Apple adalah preseden berbahaya, dan saya khawatir perusahaan lain akan menirunya

    • Apple secara langsung mengontrol kecepatan dan arah inovasi di iOS
      Fitur atau aplikasi baru tidak bisa ada tanpa izin Apple
      Layanan seperti Dropbox dan GDrive juga kehilangan fungsi karena harus menyesuaikan dengan backend Apple yang penuh bug
      Struktur seperti ini tidak normal
    • Apakah pada akhirnya satu-satunya alternatif hanyalah Android?

  • Persyaratan biner terpisah dari Apple pada praktiknya nyaris setara dengan pelanggaran hukum
    Larangan berbagi status login dan pemaksaan pemblokiran cookie bukanlah hal yang seharusnya dilakukan OS
    Bahkan Apple sendiri tidak mematuhi aturan patch keamanan dalam 30 hari

  • Mengejutkan melihat Apple melakukan upaya ekstrem hanya untuk membuat pengecualian di negara tertentu