Má váš Mac opravdu telefon domů Apple při každém spuštění aplikace? To je tvrzení poletovat po 12. října 2020, kdy Apple serveru se stal pomalý a moderní Mac trvalo dlouho otevřených aplikací. Budeme vysvětlovat, co se děje.
Info: To platí jak pro Macos Big Sur. a MacOS Catalina . Zpomalení a související soukromí obavy nejsou ničím novým, v MacOS Big Sur.
Proč Mac Apps jsou podepsané Developer Certifikáty
Na Mac, aplikace stáhnout, ať už z Mac App Store nebo z webu, jsou podepsány pomocí certifikátu pro vývojáře. Kdykoliv, když spustíte aplikaci, zkontroluje aplikace ověřit, že byla podepsána legitimní developera a že nebylo manipulováno. To pomáhá chránit před škodlivým softwarem.
Například, když Mozilla Firefox vytváří, sestavuje soubor aplikace Firefox a poté podepíše ji developer osvědčení Mozilly. To je Mozilly způsob, jak dokázat, že soubor je legitimní a vytvořil Mozilla. Je-li soubor aplikace manipulováno později, bude váš Mac pozná rozdíl.
Tyto certifikáty jsou platné pouze pro určitý časový interval, možná pár let, ale oni mohou být „zrušeno“ brzy. Například, pokud Apple zjistí, že vývojář používá svůj certifikát podepsat škodlivých aplikací, Apple pak osvědčení zruší. Macs nenačte aplikace s tímto odvolaného certifikátu.
OCSP vysvětlil: Proč se váš Mac Phone Home?
Ale počkat, jak se váš Mac vědět, jestli Apple zrušil certifikát spojený s aplikací v počítači Mac? Chcete-li zjistit, váš Mac používá něco jako Online Certificate Status Protocol, nebo OCSP; je to také používají webové prohlížeče zkontrolovat certifikáty webových stránek při procházení.
Když spustíte aplikaci, váš Mac odešle informaci o jeho potvrzení do Apple serveru na ocsp.apple.com. Váš Mac ptá tento server Apple, zda byl certifikát odvolán. Pokud ne, váš Mac spustí aplikaci. Jestliže byl odvolán certifikát, bude váš Mac nelze spustit aplikaci.
Stává se to pokaždé, když spustíte aplikaci?
Váš Mac pamatuje tyto odpovědi na určitou dobu. Dne 12. listopadu 2020, odpovědi byly v mezipaměti po dobu pěti minut; Jinými slovy, pokud jste spustili aplikaci, zavřel a znovu vypustil ji čtyři minuty později, váš Mac by se nemusel ptát, Apple o certifikátu podruhé. Nicméně, pokud jste spustili aplikaci, zavřel ho a spustila ji o šest minut později, váš Mac bude muset znovu požádat, servery společnosti Apple.
Z nějakého byl zaplaven důvod, snad v důsledku změn v serveru MacOS Big Sur-Apple a stal se velmi pomalu 12. listopadu 2020. Odpovědi značně zpomalil, a aplikace trvalo dlouho, aby zatížení, jak je Macs trpělivě čekal na odpověď od Apple je pomalý serverů.
Po této události, OSCP serveru Apple nyní říká Macs mít na paměti odpovědi platnosti certifikátu po dobu 12 hodin. Váš Mac bude volat domů a požádat o certifikát pokaždé, když spustíte aplikaci, pokud jste obdržel odpověď v posledních 12 hodin, v tom případě, že nebude potřebovat. (Informace o časových obdobích přichází od nezávislé vývojáře aplikace Jeff Johnson .)
Co když Mac je v režimu offline?
Kontrola OCSP je navržen tak, aby se nezdaří s grácií. Pokud jste v režimu offline, bude váš Mac tiše přeskočit kontrolu a spuštění aplikace normálně.
To samé platí, pokud váš Mac nemůže dosáhnout ocsp.apple.com serveru snad proto, že adresa serveru byl blokovány ve vaší síti na routeru úrovni . Pokud váš Mac nemůže kontaktovat server, přeskočí kontrolu a okamžitě spustí aplikaci.
Problém 12. listopadu 2020 bylo, že zatímco Macy by mohla dosáhnout serveru Apple, server sám byl pomalý. Ale spíše než tiše nedaří a dostat se na spuštění aplikace, Macs dlouho čekal na odpověď. Pokud je server byl dolů úplně, nikdo by si všimli.
Jaký je Privacy riziko? Co to Apple se dozvíte?
Existuje několik soukromí obavy lidí, které vychovaly zde. Jsou vysvětleny v hacker a bezpečnostní výzkumník puchýře take Jeffrey Paul o situaci .
- Certifikáty jsou spojeny s Apps : Je-li váš Mac kontaktuje server OCSP, požádá o potvrzení, že je pravděpodobné, že v souvislosti s jedním app-nebo možná hrstka aplikací. Technicky vzato, váš Mac neříká Apple, které app jste zahájena. Například, pokud spustíte Firefox, Apple právě dozví, že jste spustili aplikaci vytvořenou Mozillou. Mohlo by to být Firefox nebo Thunderbird, ale Apple neví, které. Nicméně, pokud spustíte aplikaci podepsaný Tor Project, Apple může dostat docela dobrou představu, že jste otevfiou Tor Browser .
- Žádosti jsou spojeny s IP adresy a Times : Tyto žádosti mohou být samozřejmě spojen s datem a časem i váš IP adresa . To je jen, jak internet funguje. Vaše adresa IP je spojena s určitým města a státu. Každý požadavek OCSP říká Apple developer, který vytvořil aplikaci, kterou odpalování svou obecnou polohu, datum a čas, na kterém jste spustili aplikaci.
- Nedostatek šifrování Prostředky Snooping je možný : Protokol OCSP je nešifrované . Nejen, že Apple tyto informace získat-nikoho uprostřed lze rovněž zobrazit tuto informaci. Váš poskytovatel internetových služeb, správce sítě na pracovišti, nebo dokonce špionážní agentury monitorování internetové komunikace by mohla odposlouchávat na OSCP dopravy mezi vámi a společností Apple a naučit se všechny tyto detaily. Tyto požadavky rovněž procházejí třetí stranou Obsah distribuční sítě (CDN) pojmenovaný Akamai. Tím se urychluje jejich up, ale přidává další prostředníka, který by mohl technicky Snoop.
Info: Váš Mac neříká Apple App, která vám zavedeme. Namísto toho váš Mac je prostě říká Apple, který developer vytvořil aplikaci, kterou vzletu. Samozřejmě, mnoho vývojářů stačí vytvořit jednu aplikaci. Tento technický rozdíl často mnoho neznamená.
(Pamatujte: S přechodem na chování cache, váš Mac se již ptát Apple při každém spuštění aplikace Je to jen dělá tento každých 12 hodin namísto každých 5 minut.).
Proč je váš Mac dělá?
Jak se dalo očekávat, je to všechno o bezpečnost. Mac je víc otevřená platforma než iPad a iPhone. Zde si můžete stáhnout aplikace odkudkoliv i mimo Apple Mac App Store.
K ochraně počítače Mac od malwaru a ano, Mac malware se stává běžnější -Apple realizován tuto kontrolu zabezpečení. Pokud váš certifikát použitý k podepsání aplikace je zrušena, váš Mac může okamžitě na jaře do akce a odmítají otevřít aplikaci. To dává Apple pravomoc zastavit Maců od zahájení známo-škodlivé aplikace.
Můžete zablokovat OCSP Kontroly?
Tyto kontroly OCSP jsou navrženy tak, aby rychle a tiše selhat, když Mac je offline nebo nelze kontaktovat ocsp.apple.com server.
Která z nich dělá jednoduché bloku: Jen aby se vaše Mac v připojení k ocsp.apple.com. Například můžete často zablokovat tuto adresu na routeru, prevenci všech zařízení v síti připojit se k ní.
Bohužel, vypadá to, že Big Sur již umožňuje software na úrovni firewally na bloku Mac Mac vestavěné trustd procesu přístup ke vzdáleným serverům jako je tato.
Varování: Máte-li blokovat ocsp.apple.com server Mac nebude upozornění, když Apple zrušil certifikát vývojáře aplikace. Jste se rozhodli zakázat funkce zabezpečení a to by mohlo dát váš Mac v ohrožení.
Co to Apple Say slibují změny?
Apple se zdá, že slyšel kritiku. Dne 16. listopadu 2020 společnost přidala informaci o „Ochrana soukromí“ na Gatekeeper Na svých internetových stránkách.
Za prvé, Apple říká, že nikdy kombinovat data z těchto osvědčení nebo malware kontroly s jakýmikoli jinými daty, Apple ví o vás. Firma slibuje, že nepoužívá tyto informace sledovat, které aplikace jsou jedinci zahajuje na svých počítačích Macintosh.
Za druhé, Apple tvrdí, že tyto kontroly certifikátů nejsou spojeny s vaším Apple ID nebo jakékoliv informace pro konkrétní zařízení mimo vaši IP adresu. Apple tvrdí, že byla zastavena těžba IP adresy spojené s těmito požadavky a bude jejich odstranění z protokolů Apple.
V příštím roce - jinými slovy, do konce roku 2021 - Apple říká, že tyto změny provede:
- Vyměňte OCSP s šifrovaným protokolem : Apple říká, že vytvoří nový šifrovaný protokol nahradit nezašifrovaný systém OCSP pro kontrolu certifikátů vývojáře. To zabrání komukoli uprostřed od snoopingu.
- Zastavit zpomalení : Apple také slibuje "Silné ochrany proti selhání serveru" - jiná slova, aplikace nebudou pomalé pro načtení, protože server znovu zpomalil.
- Poskytnout volbu uživatelům : Apple říká, že uživatelé MAC budou moci tyto ochrany zabezpečení vypnout a zabránit tomu, aby jejich MAC kontrolovaly od kontroly zrušených certifikátů developerů.
Celkově tyto změny eliminují různé problémy-třetí strany již nemohou snoop uprostřed. MACS bude stále odesílat informace Apple, které mohou použít k sledování, které aplikace jste otevřeli, ale Apple slibuje, že tyto informace s vámi nepřijímají. Zpomalení by měly být odstraněny, protože Apple opravuje také problém s výkonem.
Jaký bude tento lepší protokol? Apple ještě neřekl, co nahradí OCSP. Jako bezpečnostní výzkumník Scott Helme. poznámky, něco jako Crlite. Může zde pomoci zacházet jehlu. Představte si, zda by váš Mac mohl stáhnout jeden soubor z Apple a pravidelně jej aktualizovat. Soubor by obsahoval komprimovaný seznam všech resorciací certifikátů. Kdykoliv spustíte aplikaci, váš počítač Mac mohl zkontrolovat soubor, eliminovat bezpečnostní kontroly a problémy s ochranou osobních údajů.
Váš Mac se někdy posílí aplikaci Hash
Mimochodem, váš Mac někdy posílí hash aplikace, které jste otevřeli serverům Apple. To se liší od kontrol podpisů OCSP. Místo toho má to s Gatekeeper notarizace .
Vývojáři mohou nahrávat aplikace do Apple, což je kontroluje pro malware a pak je "notarizuje", pokud se zdají být v bezpečí. Tato informace o notáření mohou být "sešité" do aplikace. Pokud vývojář se nespustí informace o vstupenkách do souboru App, váš počítač Mac zkontroluje u serverů Apple, při prvním spuštění této aplikace.
To se stane pouze poprvé spustíte danou verzi aplikace-ne pokaždé, když se otevře. A online kontrola může být odstraněna vývojářem prostřednictvím sešívání.
MACS zde nejsou jedinečné. Například Windows 10 ks často nahrávejte data o aplikacích, které stahujete Služba SmartScreen Microsoft zkontrolovat malware. Antivirové programy a další bezpečnostní aplikace mohou také nahrávat informace o podezřelých aplikacích do firmy Security Company.
