导航菜单
首页 >  沐鸣开户测速 >  » 正文

沐鸣开户测速Mac证书检查让人担心苹果会记录你运行的每个应用程序


上周四下午,各地的Mac用户开始抱怨在打开应用程序时速度严重放缓。原因:每次用户打开非从app Store下载的应用程序时,苹果都会进行在线证书检查。对大苏尔的大规模升级,似乎导致负责这些检查的苹果服务器速度慢得像爬行一样。

苹果很快解决了这一问题,但对mac瘫痪的担忧很快被一个更大的担忧所取代——用户每次打开一个非来自app Store的应用程序时,苹果(可能还有其他公司)都会从执行证书检查的mac电脑中收集大量的个人数据。

对于那些了解幕后发生的事情的人来说,没有什么理由把证书检查看作是窃取隐私的行为。不过,可以肯定的是,苹果周一发表了一篇支持性文章,应该会平息任何挥之不去的担忧。让我们回顾一下并提供一些背景知识。

满足OCSP

在苹果允许一个应用程序进入应用商店之前,它必须首先通过安全审查。用户可以配置macOS的Gatekeeper功能,只允许这些经过批准的应用程序,也可以选择一个允许安装第三方应用程序的设置,只要这些应用程序有苹果颁发的开发者证书。为了确保证书没有被撤销,macOS使用ocsp(行业标准在线证书状态协议的缩写)来检查其有效性。

检查证书(任何证书)的有效性,对网站或软件进行认证听起来很简单,但长期以来在整个行业都存在着难以解决的问题。最初的方法是使用证书撤销列表,但随着列表的增长,它们的大小使其无法有效工作。CRL让位给OCSP,后者在远程服务器上执行检查。

事实证明,OCSP也有自己的缺点。服务器有时会宕机,当它们宕机时,OCSP服务器宕机可能会让数百万试图访问网站、安装应用程序和查看邮件的用户瘫痪。为了防止这种危险,OCSP默认设置为“软故障”。OCSP不会阻止被检查的网站或软件,OCSP会在服务器没有响应的情况下假装证书是有效的。

不知为何,周四大量升级到Big Sur的用户似乎导致了ocsp.apple.com的服务器过载,但并没有完全崩溃。服务器无法提供所有清除,但也没有返回一个会触发软故障的错误。结果是大量的Mac用户陷入了进退两难的境地。

苹果通过增加服务器容量,解决了ocsp.apple.com可用性的问题。正常情况下,事情就到此为止了,但事实并非如此。很快,社交媒体上就充斥着这样的言论:macOS的应用程序审查过程正在把苹果变成一个老大哥,每当用户打开或重新打开没有从app Store下载的应用程序时,苹果都会跟踪时间和位置。

偏执罢工深

“你的电脑不是你的”这篇帖子是引发大众关注的催化剂之一。它指出OCSP执行的简单HTML get请求是未加密的。这意味着,不仅苹果能够根据我们每分钟的Mac使用情况建立个人资料,互联网服务提供商或任何其他人也可以查看通过网络的流量。(为了防止陷入无限身份验证循环,尽管响应是数字签名的,但实际上所有OCSP通信都是未加密的。)

幸运的是,没有像这样危言耸听的帖子提供了更多有用的背景。传输的哈希并不是应用程序本身独有的,而是苹果颁发的开发者证书。这仍然可以让人们推断出Tor、Signal、Firefox或雷鸟等应用程序何时被使用,但它的粒度仍然没有许多人最初设想的那么细。

更重要的一点是,在大多数情况下,沐鸣开户测速OCSP .apple.com收集的数据与我们每次访问一个网站时通过OCSP实时传输的信息并没有太大区别。可以肯定的是,它们之间存在一些差异。苹果看到了所有没有从App Store下载的Mac应用的OCSP请求,这可能是一个巨大的数字。OCSP对其他数字签名软件的请求会发送到成百上千个不同的证书颁发机构,通常只有在安装应用程序时才会发送。

简而言之,结果是一样的:OCSP可能造成的隐私损失,是我们为了检查验证我们想访问的网站或想安装的软件的证书的有效性而付出的代价。

苹果说

为了进一步向Mac用户保证,苹果公司在周一发布了这篇文章。它解释了该公司对通过Gatekeeper和一项名为公证的独立功能收集的信息做了什么,没有做什么。公证功能可以检查非应用商店应用程序的安全性。《华盛顿邮报》:

Gatekeeper执行在线检查,以验证应用程序是否包含已知的恶意软件,以及开发者的签名证书是否被撤销。我们从未将这些检查的数据与苹果用户或其设备的信息结合起来。我们不会使用这些检查的数据来了解个人用户在他们的设备上启动或运行了什么。

公证程序通过加密连接检查应用程序是否包含已知的恶意软件,沐鸣开户测速该连接可以抵御服务器故障。

这些安全检查从不包括用户的Apple ID或其设备的身份。为了进一步保护隐私,我们已经停止记录与开发者ID证书检查相关的IP地址,我们将确保从日志中删除所有收集到的IP地址。

该帖子还说,在明年,苹果将提供一种新的协议来检查开发者证书是否被撤销,提供“强有力的服务器故障保护”,并为那些想要退出这一切的用户提供一个新的操作系统设置。

macOS自从去年10月推出卡特琳娜版本以来就一直存在争议,这强调了有时会发生在安全和隐私之间的权衡。Gatekeeper的设计目的是让经验不足的用户更容易避开已知的恶意应用程序。要使用Gatekeeper,用户必须向苹果发送一定数量的信息。

并不是说苹果公司完全没有缺点。首先,开发人员还没有提供一种简单的方法来选择退出OCSP检查。这使得阻止访问ocsp.apple.com成为了唯一的方法,而对于经验较少的Mac用户来说,这太难了。

另一个错误是完全依赖OCSP。由于它的软故障设计,在某些情况下,保护可能被攻击者有意地覆盖,或者仅仅由于网络故障而被覆盖。然而,苹果并不是唯一一个依赖OCSP的公司。一种称为CRLite的撤销方法可能最终为这种失败提供一个解决方案。

不相信OCSP检查Mac应用程序的人可以通过编辑Mac主机文件来关闭它们。其他人都可以继续前进。