Az Ön Mac tényleg hazatelefonálásért az Apple minden egyes alkalommal, amikor elindítja az alkalmazást? Ez az állítás a röpködő október 12. után, 2020, amikor az Apple szerver lett lassú és modern Mac sokáig tartott a nyitott alkalmazásokat. Majd elmagyarázza, mi folyik itt.
Info: Ez vonatkozik mind a Macos Big Sur és MacOS Catalina . A lassulás és a kapcsolódó adatvédelmi aggályok nem új MacOS Big Sur.
Miért Mac alkalmazások vannak aláírva Fejlesztő tanúsítások
A Mac alkalmazásokat tölt le, hogy a Mac App Store-ban vagy a web-szerződésed van egy fejlesztő tanúsítványt. Amikor elindítja az alkalmazást, akkor ellenőrzi, hogy az alkalmazás ellenőrzi, hogy írta alá a jogos fejlesztő és hogy nem nyúltak hozzá. Ez megvédi a felhasználót a rosszindulatú programok.
Például, amikor a Mozilla Firefox teremt, lefordítja a Firefox alkalmazás fájlt, majd aláírja a Mozilla fejlesztői tanúsítványt. Az a Mozilla lehet bizonyítani, hogy a fájl nem jogos, és létrehozta a Mozilla. Ha az alkalmazás fájl manipulálják utána a Mac észre fogja venni a különbséget.
Ezeket az igazolásokat csak akkor érvényesek, egy bizonyos idő telik el, talán néhány év, de ők is „visszavont” korai. Például, ha az Apple észreveszi, hogy egy fejlesztő használja a tanúsítvány aláírására a rosszindulatú alkalmazások, az Apple, majd visszavonja a tanúsítványt. Mac nem fogja betölteni apps, hogy visszavont tanúsítvány.
OCSP magyarázata: Miért van Mac Phone Home?
De várjunk hogyan Mac tudja, ha az Apple visszavont tanúsítvány társított alkalmazást Mac? Hogy ellenőrizze, Mac használ valamit az úgynevezett Online Certificate Status Protocol, vagy OCSP; ez által is használt böngészők megtekintéséhez weboldal tanúsítványokat a böngészés.
Amikor elindítja az alkalmazást, a Mac információkat küld a tanúsítvány egy Apple szerver ocsp.apple.com. A Mac kéri ezt az Apple szerver, hogy a tanúsítvány visszavonásra került. Ha ez nem történt meg, a Mac elindítja az alkalmazást. Ha a tanúsítvány visszavonásra került, a Mac nem indul az alkalmazás.
Történik ez minden alkalommal, amikor elindítja az App?
A Mac emlékszik ezeket a válaszokat egy ideig. November 12, 2020, válaszokat cache öt percig; Más szóval, ha elindított egy alkalmazást, bezárta, és elindította ismét négy perccel később, a Mac nem kell kérni az Apple a tanúsítvány egy másik alkalommal. Azonban, ha elindított egy alkalmazást, zárt, és elindította azt a hat perccel később a Mac kellene kérni az Apple szerverei újra.
Bármilyen okból talán változása miatt MacOS Big Sur-Apple szerver elárasztották lett nagyon lassú november 12, 2020 Válasz jelentősen lelassult, és az alkalmazások hosszú időt vett igénybe, hogy a terhelési Mac türelmesen várta a választ az Apple lassú szerver.
Miután az esetben az Apple OSCP szerver most megmondja Mac emlékezni tanúsítvány érvényességi válaszok 12 órán át. A Mac telefon haza, és kérje a tanúsítványt minden alkalommal, amikor elindítja az alkalmazást, kivéve, ha már kapott választ az elmúlt 12 órában, és ebben az esetben nem kell. (A tájékoztatás időszakok itt jön a független alkalmazás fejlesztő Jeff Johnson .)
Mi történik, ha egy Mac offline állapotban van?
Az OCSP ellenőrzés célja, hogy nem kegyelem. Ha offline állapotban van, a Mac csendben hagyja ki az ellenőrzést és az alkalmazások indítása normálisan.
Ugyanez igaz, ha a Mac nem tudja elérni a ocsp.apple.com szerver talán azért, mert a szerver címét már zárolásra hálózat a router szinten . Ha a Mac nem tud kapcsolatba lépni a szerver, akkor kihagyja a csekket, és azonnal elindítja az alkalmazást.
A probléma november 12, 2020 volt, hogy miközben a Mac elérheti az Apple szerver, a szerver is lassú volt. De ahelyett, hogy csendben nem, és kezd az elindításával egy alkalmazást, a Mac várt sokáig a választ. Ha a szerver már le teljesen, senki sem vette észre.
Mi az adatvédelmi kockázat? Mit jelent az Apple tanulni?
Számos adatvédelem vonatkozik az emberekre. Ezek a hacker és a biztonsági kutatóban vannak kitéve Jeffrey Paul hólyagja veszi a helyzetet .
- A tanúsítványok az alkalmazásokhoz kapcsolódnak : Ha a Mac kapcsolatok OCSP szerver kér egy igazolást, ami valószínűleg társítható egy app-, vagy esetleg egy marék alkalmazásokat. Technikailag a Mac nem mondja el az Apple-t, amit elindított. Például, ha elindítja a Firefoxot, az Apple csak megtudja, hogy elindította a Mozilla által létrehozott alkalmazást. Lehet, hogy Firefox vagy Thunderbird, de az Apple nem tudja, hogy melyik. Ha azonban a Tor projekt által aláírt alkalmazást indít, az Apple nagyon jó ötletet kaphat, hogy kinyitotta a Tor böngésző .
- A kérések IP-címekkel és időkkel járnak : Ezek a kérések természetesen egy dátummal és idővel és az Ön számára társulhatnak IP-cím . Ez az, hogy az internet működik. Az IP-címe egy adott városhoz és állapothoz tartozik. Minden OCSP kérelmet közli az Apple a fejlesztő, amely megteremtette az alkalmazást elindítjuk, tartózkodási helyét, a dátumot és az időt, amit elindított az alkalmazást.
- A titkosítás hiánya azt jelenti, hogy a snooping lehetséges : Az OCSP protokoll titkosítatlan . Nem csak az Apple megkapja ezt az információt - bárki a közepén is láthatja ezt az információt. Az internetszolgáltató, a munkahelyi hálózati adminisztrátor, vagy akár egy kémnökség, amely az internetes forgalmat felügyelheti az OSCP-forgalmat az Ön és az Apple között, és megtanulhatja ezeket a részleteket. Ezek a kérések egy harmadik féltől is áthaladnak Tartalom elosztóhálózat (CDN) Megnevezett akamai. Ez felgyorsítja őket - de hozzáteszi egy másik middlement, amely technikailag snoop.
Info: A Mac nem mondja el az Apple melyiket, amit elindít. Ehelyett a Mac csak azt mondja, hogy az Apple melyik fejlesztő létrehozta az elindító alkalmazást. Természetesen sok fejlesztő csak egy alkalmazást hoz létre. Ez a technikai megkülönböztetés gyakran nem jelent sok.
(Emlékezzünk: A változás caching viselkedést, a Mac már nem kér az Apple minden alkalommal, amikor elindítja az alkalmazást. Ez csak azért teszi ezt minden 12 óra helyett 5 percenként).
Miért csinálja ezt a Mac?
Amint elvárhatja, ez a biztonságról szól. A Mac egy nyitottabb platform, mint az iPad és az iPhone. Az Apps-t bárhonnan letöltheti, még az Apple Mac App Store-on kívül is.
A MAC védelme a rosszindulatú programoktól és igen, A Mac Malware gyakoribbá vált - A biztonsági ellenőrzés végrehajtotta. Ha egy alkalmazás aláírására használt tanúsítvány visszavonásra kerül, akkor a Mac azonnal felléphet, és megtagadhatja az alkalmazás megnyitását. Ez megadja az Apple-t, hogy a Mac-ek megakadályozzák az ismert rosszindulatú alkalmazások elindítását.
Blokkolhatja az OCSP-ellenőrzéseket?
Ezek OCSP ellenőrzések célja, hogy gyorsan és csendben nem, ha egy Mac nélkül vagy nem tud kapcsolódni az ocsp.apple.com szerver.
Ez teszi őket egyszerű mondat: Csak megakadályozzák a Mac csatlakozzon ocsp.apple.com. Például, akkor gyakran blokkolják ezt a címet a router, megakadályozva minden eszköz a hálózaton lévő kapcsolódunk.
Sajnos, úgy tűnik, mint nagy sur már nem hagyja szoftverek tűzfalak a Mac blokk a Mac beépített trustd folyamat hozzáférését a távoli szerverrel, mint ez.
Figyelem: Ha blokkolja az OCSP.Apple.com kiszolgálót, akkor a Mac nem fogja észrevenni, ha az Apple visszavonta az App fejlesztői tanúsítványát. Ön kiválasztja a biztonsági funkció letiltását, és ez veszélyeztetheti a Mac-t.
Mit mond az Apple és ígéretet változtatni?
Úgy tűnik, az Apple hallotta a kritikát. 2020. november 16-án a vállalat hozzáadott információt "Adatvédelmi védelem" a Gatekeeper számára honlapján.
Először is, az Apple azt mondja, hogy soha összesített adatai alapján ezen igazolás vagy malware ellenőrzés egyéb adatokkal Apple tud rólad. A cég azt ígéri, hogy nem használja ezt az információt, hogy nyomon, hogy mely alkalmazások egyének indít saját Mac.
Másodszor, az Apple ragaszkodik ahhoz, hogy ezek a tanúsítvány ellenőrzés nem jár az Apple ID, vagy bármilyen eszköz-specifikus információk túl az IP-címét. Az Apple azt mondja, hogy leállította az e kérésekhez kapcsolódó IP-címek naplózását, és eltávolítja őket az Apple rönkjéből.
A következő évben, más szóval, a végén 2021 - Az Apple azt mondja, hogy ezeket a változtatásokat:
- Cserélje OCSP A titkosított protokollt : Apple azt mondja, hogy hozzon létre egy új titkosított protokoll helyett a titkosítatlan OCSP ellenőrző rendszer fejlesztői tanúsítványokat. Ez megakadályozza, hogy bárki a középső származó bepillantás.
- Állítsa le a lassulás : Apple is ígér „erős védelmet szerver meghibásodása ellen” vagyis más szavakkal, alkalmazások nem lesz lassú a terhelés, mert a szerver lelassult újra.
- Adjon Choice felhasználókhoz : Az Apple szerint a Mac felhasználók képesek lesznek, hogy ezeket a biztonsági védelem ki- és megakadályozzák a Mac figyelje a visszavont tanúsítványok fejlesztő.
Összességében ezek a változások kiküszöbölésére különböző problémák, harmadik fél már nem szaglászni a közepén. Mac továbbra is küldi az Apple információk követésére használható, hogy mely alkalmazások megnyitásakor, de az Apple azt ígéri, nem asszociál, hogy veled adatokat. Lassulások fel kell számolni az Apple megoldja a teljesítmény probléma is.
Mit fog ez jobban protokoll lesz? Nos, az Apple még nem mondta, hogy mit fog cserélni OCSP az. Mivel a biztonsági kutató Scott Helme megjegyzi, olyasmi, mint CRLite segíthet menet a tűt itt. Képzeld el, ha a Mac lehet letölteni egy fájlt az Apple és rendszeresen frissítik azt. A fájl tartalmazna egy tömörített listája bizonyítvány visszavonások. Amikor elindítja az alkalmazást, a Mac tudta ellenőrizni a fájl, így a hálózati ellenőrzések és adatvédelmi problémákat.
A Mac-e néha küld App hash-ek az Apple
By the way, a Mac-nak néha küld hash az alkalmazások megnyitásakor az Apple szerverein. Ez eltér a OCSP aláírás ellenőrzést. Ehelyett van köze Gatekeeper közokiratba .
A fejlesztők fel alkalmazásokat a Apple, amely ellenőrzi azokat a rosszindulatú programok, majd a „notarizes” őket, ha úgy tűnik biztonságosnak. Ez közokiratba jegy információt lehet „tűzve”, hogy a kb. Ha a fejlesztő nem tűzi a jegy információt az alkalmazás fájlt, a Mac ellenőrzi az Apple szerverei az első alkalommal, amikor elindítja az adott alkalmazás.
Ez csak akkor történik meg, amikor először indít egy adott változata egy app-nem minden alkalommal nyitja. És az online check ki lehet küszöbölni a fejlesztővel a tűzést.
Mac nem egyedülálló itt. Például a Windows 10 PC gyakran adatokat feltölteni alkalmazásokkal letöltött A Microsoft SmartScreen szolgáltatás hogy ellenőrizze a malware. Víruskereső és egyéb biztonsági alkalmazásokat tölthet fel információit gyanús alkalmazásokat, hogy a biztonsági cég is.
