Το Mac σας πραγματικά τηλέφωνο στο σπίτι στην Apple κάθε φορά που ξεκινάτε μια εφαρμογή; Αυτός είναι ο ισχυρισμός που πετάει γύρω από τις 12 Οκτωβρίου 2020, όταν ένας Server Apple έγινε αργός και οι σύγχρονοι Mac πήρε πολύ χρόνο για να ανοίξουν εφαρμογές. Θα εξηγήσουμε τι συμβαίνει.
Πληροφορίες: Αυτό ισχύει και για τα δύο Μακός μεγάλος sur και Μακός Καταλίνα . Η επιβράδυνση και οι συναφείς ανησυχίες της ιδιωτικής ζωής δεν είναι νέες στο Macos Big Sur.
Γιατί οι εφαρμογές Mac υπογράφονται με πιστοποιητικά προγραμματιστή
Σε Mac, εφαρμογές που κατεβάζετε - είτε από το κατάστημα Mac App είτε από το Web-υπογράφονται με πιστοποιητικό προγραμματιστή. Κάθε φορά που ξεκινάτε μια εφαρμογή, ελέγχει την εφαρμογή για να επαληθεύσει ότι υπογράφηκε από έναν νόμιμο προγραμματιστή και ότι δεν έχει παραβιαστεί. Αυτό σας βοηθά να σας προστατεύσει από κακόβουλο λογισμικό.
Για παράδειγμα, όταν ο Mozilla δημιουργεί τον Firefox, καταρτίζει ένα αρχείο εφαρμογής Firefox και στη συνέχεια υπογράφεί το με το πιστοποιητικό προγραμματιστών του Mozilla. Αυτός είναι ο τρόπος της απόδειξης του Mozilla ότι το αρχείο είναι νόμιμο και δημιουργείται από τον Mozilla. Εάν το αρχείο εφαρμογής έχει παραβιαστεί μετά, ο Mac θα παρατηρήσει τη διαφορά.
Αυτά τα πιστοποιητικά ισχύουν μόνο για ένα συγκεκριμένο χρονικό διάστημα - ίσως λίγα χρόνια - αλλά μπορούν να «ανακληθούν» νωρίς. Για παράδειγμα, εάν η Apple ανακαλύψει ότι ένας προγραμματιστής χρησιμοποιεί το πιστοποιητικό του για να υπογράψει κακόβουλες εφαρμογές, η Apple ανακαλεί το πιστοποιητικό. Οι Mac δεν θα φορτώσουν εφαρμογές με αυτό το ανακληθεμένο πιστοποιητικό.
OCSP εξήγησε: Γιατί το τηλέφωνο Mac στο σπίτι σας;
Αλλά περιμένετε - πώς γνωρίζει ο Mac εάν η Apple έχει ανακληθεί ένα πιστοποιητικό που σχετίζεται με μια εφαρμογή στο Mac σας; Για να ελέγξετε, ο Mac σας χρησιμοποιεί κάτι που ονομάζεται το πρωτόκολλο κατάστασης του πιστοποιητικού στο διαδίκτυο ή το OCSP · Χρησιμοποιείται επίσης από τα προγράμματα περιήγησης στο Web για να ελέγξετε τα πιστοποιητικά ιστοτόπου καθώς περιηγηθείτε.
Όταν ξεκινάτε μια εφαρμογή, το MAC σας στέλνει πληροφορίες σχετικά με το πιστοποιητικό του σε ένα διακομιστή Apple στο OCSP.Apple.com. Το Mac σας ζητά αυτό το διακομιστή της Apple αν το πιστοποιητικό έχει ανακληθεί. Εάν δεν έχει, το MAC σας εγκαινιάζει την εφαρμογή. Εάν το πιστοποιητικό έχει ανακληθεί, ο Mac δεν θα ξεκινήσει την εφαρμογή.
Αυτό συμβαίνει κάθε φορά που ξεκινάτε μια εφαρμογή;
Ο Mac σας θυμάται αυτές τις απαντήσεις για μια χρονική περίοδο. Στις 12 Νοεμβρίου 2020, οι απαντήσεις αποθηκεύτηκαν για πέντε λεπτά. Με άλλα λόγια, αν ξεκινήσατε μια εφαρμογή, το έκλεισε και το ξεκίνησε και πάλι τέσσερα λεπτά αργότερα, ο Mac δεν θα έπρεπε να ζητήσει από την Apple σχετικά με το πιστοποιητικό για δεύτερη φορά. Ωστόσο, εάν ξεκινήσατε μια εφαρμογή, το έκλεισε και ξεκίνησε έξι λεπτά αργότερα, ο Mac θα πρέπει να ζητήσει και πάλι τους διακομιστές της Apple.
Για οποιονδήποτε λόγο - ίσως λόγω των αλλαγών στο MacOS Big Sur-Apple του διακομιστή ήταν κατακλυσμένη και έγινε πολύ αργή στις 12 Νοεμβρίου 2020. Οι απαντήσεις επιβραδύνθηκαν σημαντικά και οι εφαρμογές χρειάστηκαν πολύ χρόνο για να φορτώσουν καθώς οι Mac περίμεναν υπομονετικά την ανταπόκριση από το αργό υπηρέτης.
Μετά από αυτό το συμβάν, ο διακομιστής OSCP της Apple λέει τώρα Mac να θυμάται τις αποκρίσεις ισχύος πιστοποιητικού για 12 ώρες. Το Mac θα τηλεφωνήσει στο σπίτι και θα ρωτήσει για ένα πιστοποιητικό κάθε φορά που θα ξεκινήσετε μια εφαρμογή - εκτός αν λάβετε μια απάντηση τις τελευταίες 12 ώρες, οπότε δεν θα χρειαστεί. (Οι πληροφορίες σχετικά με τις χρονικές περιόδους προέρχονται από ανεξάρτητο προγραμματιστή εφαρμογών Jeff Johnson .).
Τι γίνεται αν ένας Mac είναι εκτός σύνδεσης;
Ο έλεγχος OCSP έχει σχεδιαστεί για να αποτυγχάνει με χάρη. Εάν είστε εκτός σύνδεσης, ο Mac σας θα παραλείψει σιωπηλά τις εφαρμογές ελέγχου και εκκίνησης κανονικά.
Το ίδιο ισχύει και αν το Mac δεν μπορεί να φτάσει στο διακομιστή OCSP.Apple.com - ίσως επειδή η διεύθυνση του διακομιστή ήταν μπλοκαριστεί στο δίκτυό σας στο επίπεδο του δρομολογητή . Εάν ο Mac δεν μπορεί να επικοινωνήσει με το διακομιστή, παραλείπει την επιταγή και ξεκινάει αμέσως την εφαρμογή.
Το πρόβλημα στις 12 Νοεμβρίου 2020 ήταν ότι ενώ οι Macs θα μπορούσαν να φτάσουν στον διακομιστή της Apple, ο ίδιος ο διακομιστής ήταν αργός. Αλλά παρά να αποτύχει σιωπηλά και να συνεχίσει να ξεκινά μια εφαρμογή, οι Mac περίμεναν πολύ χρόνο για μια απάντηση. Εάν ο διακομιστής είχε υποβληθεί εντελώς, κανείς δεν θα είχε παρατηρήσει.
Ποιος είναι ο κίνδυνος απορρήτου; Τι μαθαίνουν η Apple;
Υπάρχουν πολλές ανησυχίες προστασία της ιδιωτικής ζωής άνθρωποι έχουν μεγαλώσει εδώ. Έχουν ενταχθεί στο χάκερ και ερευνητής ασφάλειας φουσκάλες αναλάβει Jeffrey Παύλου σχετικά με την κατάσταση .
- Πιστοποιητικά συνδέονται με Εφαρμογές : Όταν το Mac επαφές σας στο διακομιστή OCSP, ζητά για ένα πιστοποιητικό που είναι πιθανόν σχετίζεται με μία εφαρμογή-ή, ίσως, μια χούφτα των εφαρμογών. Τεχνικά, το Mac σας δεν λέει την Apple που app που έχετε ξεκινήσει. Για παράδειγμα, αν έχετε ξεκινήσει το Firefox, η Apple μόλις μαθαίνει ότι έχετε ξεκινήσει μια εφαρμογή που δημιουργήθηκε από την ομάδα του Mozilla. Θα μπορούσε να είναι το Firefox ή το Thunderbird, αλλά η Apple δεν ξέρει ποια. Ωστόσο, αν έχετε ξεκινήσει μια εφαρμογή την υπογραφή του έργου Tor, η Apple μπορεί να πάρει μια αρκετά καλή ιδέα για ότι έχετε ανοίξει το Tor Browser .
- Αιτήσεις οι διευθύνσεις που συνδέονται με IP και την Times : Τα αιτήματα αυτά μπορούν, φυσικά, να συνδέεται με την ημερομηνία και την ώρα και σας διεύθυνση IP . Αυτό είναι ακριβώς πώς λειτουργεί το internet. Η διεύθυνση IP σας συσχετίζεται με ένα συγκεκριμένο πόλη και την πολιτεία. Κάθε αίτηση OCSP λέει η Apple ο κύριος του έργου που δημιούργησε την εφαρμογή που δρομολόγηση είστε, γενική τοποθεσία σας, καθώς και την ημερομηνία και την ώρα κατά την οποία θα ξεκινήσει η εφαρμογή.
- Η έλλειψη κρυπτογράφησης Μέσα είναι δυνατή η υποκλοπή : Το πρωτόκολλο OCSP είναι χωρίς κρυπτογράφηση . Δεν είναι μόνο η Apple να πάρει αυτές τις πληροφορίες, ο καθένας στη μέση μπορείτε να δείτε αυτές τις πληροφορίες. Σας παροχέα υπηρεσιών διαδικτύου, διαχειριστής δικτύου στο χώρο εργασίας, ή ακόμα και ένα γραφείο κατάσκοπος παρακολούθηση της κίνησης στο διαδίκτυο θα μπορούσε να παρακολουθούν την κίνηση OSCP ανάμεσα σε εσάς και την Apple και να μάθουν όλα αυτά τα στοιχεία. Τα αιτήματα αυτά πάνε και μέσω τρίτων κατασκευαστών περιεχόμενο δίκτυο διανομής (CDN) το όνομα Akamai. Αυτό τους επιταχύνει, αλλά προσθέτει άλλο ένα μεσάζοντα που θα μπορούσε τεχνικά κατασκοπεύει.
Πληροφορίες: Mac σας δεν λέει την Apple που μπορείτε app έναρξη είστε. Αντ 'αυτού, το Mac σας έχει ακριβώς λέει η Apple η οποία προγραμματιστής δημιούργησε την εφαρμογή που έναρξη είστε. Φυσικά, πολλοί προγραμματιστές απλά να δημιουργήσει μία εφαρμογή. Αυτή η τεχνική διάκριση συχνά δεν σημαίνει και πολλά.
(Θυμηθείτε: Με την αλλαγή στη συμπεριφορά caching, το Mac σας δεν είναι πλέον ζητά η Apple κάθε φορά που θα ξεκινήσει μια εφαρμογή Δεν κάνει μόνο αυτό κάθε 12 ώρες αντί για κάθε 5 λεπτά..)
Γιατί είναι το Mac σας κάνει αυτό;
Όπως μπορείτε να φανταστείτε, αυτό είναι το θέμα της ασφάλειας. Το Mac είναι μια πιο ανοιχτή πλατφόρμα από το iPad και το iPhone. Μπορείτε να κατεβάσετε εφαρμογές από οπουδήποτε, ακόμη και εκτός του Mac App Store της Apple.
Για την προστασία του Mac από κακόβουλο λογισμικό, και ναι, Mac malware έχει γίνει πιο συχνές -Apple υλοποιηθεί αυτό το έλεγχο ασφαλείας. Εάν ένα πιστοποιητικό που χρησιμοποιείται για την υπογραφή μιας εφαρμογής ανακληθεί, το Mac σας μπορεί αμέσως να την άνοιξη σε δράση και να αρνηθεί να ανοίξει αυτό το app. Αυτό δίνει η Apple τη δύναμη να σταματήσει Mac από την έναρξη γνωστό-κακόβουλες εφαρμογές.
Μπορείτε να Μπλόκαρε τα OCSP Έλεγχοι;
Αυτοί οι έλεγχοι OCSP σχεδιαστεί για γρήγορα και αθόρυβα να αποτύχει, όταν ένα Mac είναι είτε offline ή δεν μπορεί να επικοινωνήσει με το διακομιστή ocsp.apple.com.
Αυτό καθιστά απλό να μπλοκ: Απλά εμποδίζουν το Mac σας από τη σύνδεση με ocsp.apple.com. Για παράδειγμα, μπορείτε συχνά να εμποδίσουν αυτή τη διεύθυνση στο δρομολογητή σας, αποτρέποντας όλες τις συσκευές του δικτύου σας από τη σύνδεση με αυτό.
Δυστυχώς, φαίνεται σαν Big Sur δεν επιτρέπει πλέον τείχη προστασίας λογισμικού επίπεδο για το μπλοκ Mac το Mac ενσωματωμένο στη διαδικασία trustd από την πρόσβαση σε απομακρυσμένους διακομιστές όπως αυτό.
Προειδοποίηση: Αν μπλοκάρει το διακομιστή ocsp.apple.com, το Mac σας δεν θα προειδοποίηση όταν η Apple έχει ανακληθεί το πιστοποιητικό για την ανάπτυξη μιας εφαρμογής. Είσαι επιλέγοντας να απενεργοποιήσετε μια δυνατότητα ασφαλείας και αυτό θα μπορούσε να θέσει το Mac σας σε κίνδυνο.
Τι κάνει η Apple Say και Υπόσχεση για αλλαγή;
Η Apple φαίνεται να έχει ακούσει την κριτική. Στις 16 Νοεμβρίου, το 2020, η εταιρεία πρόσθεσε πληροφορίες σχετικά με «Προστασία της ιδιωτικής ζωής» για Gatekeeper στην ιστοσελίδα της.
Κατ 'αρχάς, η Apple λέει ότι ποτέ δεν έχει συνδυάσει στοιχεία από αυτά πιστοποιητικού ή malware ελέγχους με οποιαδήποτε άλλα δεδομένα της Apple ξέρει για σένα. Η εταιρεία υπόσχεται ότι δεν χρησιμοποιεί αυτές τις πληροφορίες για να παρακολουθείτε ποιες εφαρμογές είναι άτομα ξεκινήσει σε υπολογιστές Mac τους.
Δεύτερον, η Apple επιμένει ότι οι έλεγχοι αυτοί πιστοποιητικό δεν συνδέεται με την Apple ID σας ή οποιαδήποτε συσκευή-συγκεκριμένες πληροφορίες πέρα από την IP διεύθυνσή σας. Η Apple λέει ότι έχει σταματήσει τις διευθύνσεις IP υλοτομία που σχετίζονται με αυτά τα αιτήματα και θα τα αφαιρέσετε από τα αρχεία της Apple.
Κατά τη διάρκεια του επόμενου έτους, με άλλα λόγια, μέχρι το τέλος του 2021 - η Apple λέει ότι θα κάνει αυτές τις αλλαγές:
- Αντικαταστήστε το OCSP με ένα κρυπτογραφημένο πρωτόκολλο : Η Apple αναφέρει ότι θα δημιουργήσει ένα νέο κρυπτογραφημένο πρωτόκολλο για να αντικαταστήσει το μη κρυπτογραφημένο σύστημα OCSP για τον έλεγχο πιστοποιητικών προγραμματιστών. Αυτό θα αποτρέψει οποιονδήποτε στη μέση από το snooping.
- Σταματήστε τις επιβράδυνες : Η Apple υπόσχεται επίσης "ισχυρές προστασίες κατά αποτυχία διακομιστή" - άλλες λέξεις, οι εφαρμογές δεν θα επιβραδύνουν, επειδή ένας διακομιστής επιβραδύνθηκε ξανά.
- Παρέχει επιλογή στους χρήστες : Η Apple λέει ότι οι χρήστες Mac θα μπορούν να μετατρέψουν αυτές τις προστατευτικές ασφαλίσεις και να αποτρέψουν το MAC να ελέγχουν για ανακυκλωμένα πιστοποιητικά προγραμματιστή.
Συνολικά, αυτές οι αλλαγές θα εξαλείψουν διάφορα προβλήματα - τα τρίτα μέρη δεν μπορούν πλέον να χτυπήσουν στη μέση. Οι Macs εξακολουθούν να στέλνουν πληροφορίες της Apple, μπορεί να χρησιμοποιήσει για να παρακολουθεί τις εφαρμογές που ανοίγετε, αλλά η Apple υπόσχεται να μην συσχετίσει αυτές τις πληροφορίες μαζί σας. Οι επιβράδυνες θα πρέπει να εξαλειφθούν καθώς η Apple καθορίζει το πρόβλημα της απόδοσης.
Τι θα είναι αυτό το καλύτερο πρωτόκολλο; Λοιπόν, η Apple δεν έχει ακόμη πει τι θα αντικαταστήσει το OCSP με. Ως ερευνητής ασφαλείας Scott Helme Σημειώσεις, κάτι σαν Κηλίδα θα μπορούσε να βοηθήσει να νιώσει τη βελόνα εδώ. Φανταστείτε εάν το Mac σας θα μπορούσε να κατεβάσει ένα μόνο αρχείο από την Apple και να το ενημερώσει τακτικά. Ο φάκελος θα περιέχει μια συμπιεσμένη λίστα όλων των ανακλήσεων πιστοποιητικών. Κάθε φορά που ξεκινάτε μια εφαρμογή, ο Mac θα μπορούσε να ελέγξει το αρχείο, να εξαλείψει τους ελέγχους δικτύου και των προβλημάτων απορρήτου.
Το Mac σας κάνει μερικές φορές να στείλει app δίχτυα στην Apple
Με την ευκαιρία, ο Mac σας κάνει μερικές φορές να στείλει τις απόψεις των εφαρμογών που ανοίγετε στους διακομιστές της Apple. Αυτό είναι διαφορετικό από τους ελέγχους υπογραφής OCSP. Αντ 'αυτού, έχει να κάνει με τον Gatekeeper Συμβολαιογραφική πράξη .
Οι προγραμματιστές μπορούν να ανεβάσουν εφαρμογές στην Apple, τα οποία τα ελέγχουν για κακόβουλο λογισμικό και στη συνέχεια "συμβιβάστε" αν φαίνονται ασφαλείς. Αυτές οι πληροφορίες εισιτηρίων συμβολαιογράφησης μπορούν να "συρρικνωθούν" στην εφαρμογή. Εάν ένας προγραμματιστής δεν συρραφή των πληροφοριών του εισιτηρίου στο αρχείο εφαρμογών, ο Mac θα ελέγξει με τους διακομιστές της Apple την πρώτη φορά που ξεκινάτε αυτή την εφαρμογή.
Αυτό συμβαίνει μόνο την πρώτη φορά που ξεκινάτε μια δεδομένη έκδοση μιας εφαρμογής - όχι κάθε φορά που ανοίγει. Και ο ηλεκτρονικός έλεγχος μπορεί να εξαλειφθεί από τον προγραμματιστή μέσω συρραφής.
Οι Mac δεν είναι μοναδικοί εδώ. Για παράδειγμα, οι υπολογιστές των Windows 10 συχνά μεταφορτώνουν δεδομένα σχετικά με τις εφαρμογές που κατεβάζετε σε υπηρεσία SmartScreen της Microsoft για να ελέγξει για κακόβουλο λογισμικό. προγράμματα προστασίας από ιούς και άλλες εφαρμογές ασφαλείας να ανεβάσετε πληροφορίες για ύποπτες-αναζητούν εφαρμογές με την εταιρεία ασφαλείας, πάρα πολύ.
