Enkele uren nadat de nieuwe webinterface van de App Store werd gelanceerd, front-end broncode Het circuleerde uiteindelijk online door een fout in de configuratie van de gepubliceerde versie. Het nieuwe ontwerp bevatte platformspecifieke pagina's, categorieën en een krachtigere zoekmachine, maar de lancering werd ontsierd door een ongebruikelijke technische storing.
De ontwikkelaar, bekend als rxliuli, maakte gebruik van het feit dat de site de sourcemaps in productie voor de originele bestanden reconstrueren en upload ze naar een GitHub-repository. Volgens de verklaring is het materiaal afkomstig van bronnen die toegankelijk zijn via browsertools en wordt het gedeeld voor educatieve doeleinden, hoewel de beschikbaarheid ervan beperkt kan zijn... tijdelijk.
Hoe de technische misstap plaatsvond
In webontwikkeling zijn sourcemaps bestanden die de voor mensen leesbare code van het project koppelen aan het geminimaliseerde pakket dat aan de gebruiker wordt geleverd. In openbare omgevingen worden ze meestal uit voorzorg uitgeschakeld om de intellectueel eigendom en om reverse engineering te voorkomen. In dit geval werden ze ingeschakeld in de productieversie.
Met deze kaarten actief, kon via een Chrome-extensie de bron worden gedownload en het klantenbestand opnieuw worden opgebouwd. Het resultaat is een momentopname van de front-end, geschreven met moderne technologieën zoals Svelte en TypeScript, inclusief interne onderdelen die gebruikelijk zijn in dit soort toepassingen.
- Klantcode en componentstructuren
- Logica van staatsbeheer gebruikt door de interface
- Elementen van UI en herbruikbare weergaven
- Integraties met APIs en routeringsconfiguratie
Wat is het huidige bereik van de getroffenen?
Alles wijst erop dat de blootstelling beperkt is tot de front-end en geen interne systemen of inloggegevens in gevaar brengt. Dit is geen datalek en geeft geen persoonlijke informatie vrij van gebruikers, ontwikkelaars of werknemers.
Voor degenen die de App Store vanuit Spanje of de rest van Europa bezoeken, blijft de gebruikerservaring ongewijzigd: de nieuwe website fungeert als een showcase en is voorlopig U kunt er niet mee inloggen of aankopen doen. noch toegang tot accountgegevens, waardoor de praktische impact op dagelijkse basis nihil is.
Waar interesse zou kunnen zijn, is in de technische gemeenschap: het lezen van de code onthult architecturale patronenconventies en ontwerpbeslissingen. Toch is die kennis op zichzelf geen toegangspoort tot kritieke kwetsbaarheden.
Reactie en voorzienbare volgende stappen
Het is redelijk om aan te nemen dat de repository lange tijd niet toegankelijk zal zijn. Apple zou een beroep kunnen doen op zijn intellectuele eigendomsrechten en verwijdering ervan kunnen eisen. verwijdering uit de repository van GitHub, naast het regenereren van pakketten zonder codemaps.
Tegelijkertijd wordt een correctie van de implementatiepijplijn verwacht: het uitschakelen van sourcemaps in productie, het herzien van verpakkingsvlaggen en het versterken van de publicatiecontroles zodat de voor zuivering bestemde apparaten niet meer door de mazen van het net glippen.
Afgezien van de angst blijft het standpunt over beveiliging en privacy intact. Het is een misstap procedureel, dat door de zichtbaarheid van het merk de aandacht trekt, maar geen gevoelige gegevens in gevaar brengt.
De nieuwe App Store-website is binnenkort beschikbaar.
Het nieuwe ontwerp omvat speciale pagina's voor iPadOSiOS en macOS, categoriebrowsing en een verbeterde zoekfunctie Dit maakt het bladeren door de catalogus eenvoudiger. Het is een overzichtelijkere ervaring om boekvermeldingen en redactionele content vanuit uw browser te bekijken.
Voor gebruikers en professionals in Spanje en Europa biedt het een handige manier om nieuwe releases te bekijken en links te delen, hoewel de browse-ervaring De website blijft zich onderscheiden van de native app op het gebied van account- en aankoopfuncties.
Wat er gebeurde illustreert hoe een configuratiedetail de code van een openbare interface kan blootleggen: actieve sourcemaps hebben de extractie gefaciliteerd, de impact is beperkt tot de client en het materiaal circuleert al op GitHub, met de mogelijkheid van onmiddellijke verwijdering en een duidelijke les over inzethygiëne.
