Mac은 앱을 시작할 때마다 Mac을 실제로 집으로 전화합니까? Apple Server가 느리고 현대적인 Mac이 앱을 열 때까지 오랜 시간이 걸렸을 때 10 월 12 일 2020 년 10 월 12 일 이후에 비행하는 주장입니다. 우리는 무슨 일이 일어나고 있는지 설명 할 것입니다.
정보 : 이것은 둘 다에 적용됩니다 MacOS Big Sur. 그리고 MacOS Catalina. ...에 둔화 및 관련 개인 정보 보호 문제는 MacOS Big Sur에서 새로운 것이 아닙니다.
Mac Apps가 개발자 인증서와 서명 한 이유입니다
Mac에서는 Mac App Store 또는 Web에서 웹에서 다운로드할지 여부를 다운로드합니다. 개발자 인증서로 서명합니다. 앱을 시작할 때마다 앱을 확인하여 합법적 인 개발자가 서명한지 확인하고 변조되지 않았 음을 확인합니다. 이렇게하면 맬웨어로부터 당신을 보호 할 수 있습니다.
예를 들어 Mozilla가 Firefox를 생성하면 Firefox 응용 프로그램 파일을 컴파일 한 다음 Mozilla의 개발자 인증서로 흔적을 표시합니다. 이것은 파일이 합법적이며 Mozilla가 생성한다는 것을 증명하는 모질라의 방식입니다. 응용 프로그램 파일이 나중에 변조되면 Mac은 차이점을 알 수 있습니다.
이 인증서는 몇 년 동안 특정 간격으로 유효합니다. 그러나 "취소"할 수 있습니다. 예를 들어 Apple이 개발자가 인증서를 사용하여 악성 응용 프로그램에 서명 한 다음 Apple이 인증서를 취소하는 것을 발견합니다. Mac은 해당 인증서가있는 앱을로드하지 않습니다.
OCSP 설명 : 왜 Mac 전화가 집에 있습니까?
그러나 대기 - Mac에서 Apple이 Mac에서 앱과 관련된 인증서를 취소했는지 어떻게 알 수 있습니까? 확인하려면 Mac은 온라인 인증서 상태 프로토콜 또는 OCSP라는 것을 사용합니다. 또한 웹 브라우저가 탐색 할 때 웹 사이트 인증서를 확인하는 데 사용됩니다.
앱을 시작하면 Mac은 인증서에 대한 정보를 OCSP.Apple.com에서 Apple 서버로 보냅니다. Mac은 인증서가 해지되었는지 여부에 관계 없이이 Apple 서버를 묻습니다. 그렇지 않으면 Mac이 앱을 시작합니다. 인증서가 취소 된 경우 Mac은 앱을 시작하지 않습니다.
앱을 시작할 때마다 일어날 수 있습니까?
Mac은 일정 기간 동안 이러한 응답을 기억합니다. 2020 년 11 월 12 일에 반응이 5 분 동안 캐시되었다; 즉, 앱을 시작한 경우 닫았으므로 4 분 후에 다시 시작했을 때 Mac은 Apple에게 인증서에 대해 두 번째로 물어볼 필요가 없습니다. 그러나 응용 프로그램을 시작한 경우 닫았으므로 6 분 후에 시작한 후 Mac은 Apple의 서버를 다시 물어야합니다.
빅 Sur-Apple의 서버의 변화로 인해 어떤 이유가 있었기 때문에 빅 Sur-Apple의 서버가 휩싸여 있었고 2020 년 11 월 12 일에 매우 느리게되었습니다. 답변은 상당히 느려졌으며 Apps는 Apple의 천천히의 반응을 기다리게 기다리고있는 MACS로서 앱이 장시간 오래 걸릴 수 있습니다. 섬기는 사람.
이 경우 Apple의 OSCP 서버는 이제 Mac을 12 시간 동안 인증서 유효성 반응을 기억하도록 지시합니다. Mac은 지난 12 시간 동안 응답을받지 않는 한 앱을 시작할 때마다 앱을 시작할 때마다 인증서에 대해 물어보십시오.이 경우에는 필요하지 않습니다. (여기서 기간에 대한 정보는 독립적 인 앱 개발자가 제공됩니다. 제프 존슨 .)
Mac이 오프라인이면 어떨까요?
OCSP 검사는 은혜로 실패하도록 설계되었습니다. 오프라인 상태 인 경우 Mac은 조용히 수표를 건너 뛰고 앱을 정상적으로 시작합니다.
서버 주소가 ocsp.apple.com 서버에 도달 할 수없는 경우에도 마찬가지입니다. 라우터 수준에서 네트워크에서 차단되었습니다 ...에 Mac에서 서버에 연락 할 수없는 경우 수표를 건너 뛰고 즉시 앱을 시작합니다.
2020 년 11 월 12 일에 문제는 Macs가 Apple의 서버에 도달 할 수 있지만 서버 자체가 느리게되었습니다. 그러나 앱을 시작하면서 조용히 실패하고 계속해서 앱을 시작하는 것이 아니라, Macs는 응답을 위해 오랜 시간을 기다렸습니다. 서버가 완전히 작동 중이 었으면 아무도 눈치 채지 못했습니다.
개인 정보 보호 위험은 무엇입니까? 애플은 무엇을 배우는가?
[삼]
사람들이 여기에서 가져온 몇 가지 개인 정보 보호 문제가 있습니다. 그들은 해커와 보안 연구원에서 철자가되었습니다 Jeffrey Paul의 물집이 상황을 차지합니다 ...에
- 인증서는 앱과 연결됩니다 : Mac이 OCSP 서버에 연락하면 하나의 앱 또는 아마도 소수의 앱과 관련된 인증서에 대해 묻습니다. 기술적으로 Mac은 당신이 출시 한 앱을 Apple에게 알리지 않습니다. 예를 들어 Firefox를 시작하면 Apple은 Mozilla가 만든 앱을 시작했음을 알게됩니다. 그것은 파이어 폭스 또는 썬더 버드가 될 수 있지만, 애플은 그것을 모른다. 그러나 Tor 프로젝트가 서명 한 앱을 시작하면 Apple은 당신이 열어 줬던 꽤 좋은 아이디어를 얻을 수 있습니다. 토르 브라우저 ...에
- 요청은 IP 주소와 시간과 연관됩니다 : 이러한 요청은 물론 날짜와 시간과 연관 될 수 있습니다. IP 주소 ...에 그것은 인터넷이 어떻게 작동하는지입니다. 귀하의 IP 주소는 특정 도시와 주와 관련이 있습니다. 각 OCSP 요청은 Apple을 시작한 앱, 일반 위치 및 앱을 시작한 날짜 및 시간을 작성한 개발자에게 알려줍니다.
- 암호화 부족은 스누핑이 가능하다는 것을 의미합니다 : OCSP 프로토콜입니다 암호화되지 않은 ...에 애플은이 정보를 얻을뿐만 아니라, 중간에있는 사람 도이 정보를 볼 수 있습니다. 인터넷 서비스 제공 업체, Workplace Network Administrator 또는 Spy Agency 인터넷 트래픽 모니터링은 사용자와 Apple 간의 OSCP 트래픽을 도청 하고이 모든 세부 사항을 배우게됩니다. 이러한 요청은 또한 타사를 통과합니다 콘텐츠 배포 네트워크 (CDN) Akamai의 이름을 지정했습니다. 이렇게하면 이들을 속도가 없지만 기술적으로 스눕 할 수있는 또 다른 중개인을 추가합니다.
정보 : Mac은 Apple을 발사하는 앱을 알려주지 않습니다. 대신 Mac은 시작중인 앱을 생성 한 개발자가 Apple을 알리고 있습니다. 물론 많은 개발자가 하나의 앱을 만듭니다. 이 기술적 인 구별은 종종 의미가 없습니다.
(기억하십시오 : 캐싱 동작이 변경되면 Mac은 더 이상 응용 프로그램을 시작할 때마다 Apple을 묻지 않습니다. 5 분마다 12 시간마다이를 수행합니다.)
당신의 맥은 왜 이것을하고 있습니까?
당신이 기대할지도 모르는 것처럼 보안에 관한 것입니다. Mac은 iPad와 iPhone보다 더 많은 열려있는 플랫폼입니다. Apple의 Mac App Store 외에도 어디서나 앱을 다운로드 할 수 있습니다.
맬웨어에서 Mac을 보호하기 위해, Mac Malware가 더 흔해 왔습니다 이 보안 검사를 구현했습니다. 앱에 서명하는 데 사용 된 인증서가 취소되면 Mac은 즉시 즉시 조치로 솟아날 수 있으며 해당 앱을 열지 않습니다. 이렇게하면 Apple은 Macs가 알려진 악성 앱을 시작하지 못하도록하는 전원을 제공합니다.
OCSP 수표를 차단할 수 있습니까?
이러한 OCSP 수표는 Mac이 오프라인이거나 OCSP.APPLE.COM 서버에 연락 할 수 없을 때 빠르고 자동으로 실패하도록 설계되었습니다.
이는 블록을 간단하게 만듭니다. Mac이 ocsp.apple.com에 연결하지 못하게하십시오. 예를 들어 라우터 에서이 주소를 차단하여 네트워크의 모든 장치가 연결되지 못하게 할 수 있습니다.
불행히도, 그것은 빅 서를 보인다 더 이상 허용하지 않습니다 Mac의 소프트웨어 수준 방화벽 차단 Mac의 내장 트러스트 프로세스가 원격 서버에 액세스하지 못하도록합니다.
경고: OCSP.APPLE.COM 서버를 차단하면 Apple이 앱의 개발자 인증서를 취소했을 때 Mac이 알지 못합니다. 보안 기능을 사용하지 않도록 설정하고 Mac을 위험에 처하게 할 수 있습니다.
Apple은 무엇을 말하고 변하기를 약속합니까?
[삼]
애플은 비판을들은 것처럼 보입니다. 1920 년 11 월 16 일, 회사는 게이트 키퍼의 "개인 정보 보호" 그 웹 사이트에서.
첫째, Apple은 이러한 인증서 또는 맬웨어 검사에서 데이터를 결합 한 적이없는 다른 데이터 Apple이 귀하에 대해 알고있는 다른 데이터와 결합 된 데이터를 결코 결합하지 않았습니다. 이 회사는이 정보를 사용하지 않는 것이 아니라 앱 개인이 Mac에서 시작하는지 추적하는 것을 약속합니다.
둘째, Apple은 이러한 인증서 검사가 Apple ID 또는 IP 주소를 초과하는 장치 별 정보와 관련이 없음을 주장합니다. Apple은 이러한 요청과 관련된 IP 주소를 중단하고 Apple의 로그에서 제거 할 것입니다.
내년에, 또 다른 말로하면, 또 다른 말로하면, 2021 년 말까지 Apple은 다음과 같은 변화를 일으킬 것이라고 말합니다.
- OCSP를 암호화 된 프로토콜로 바꿉니다 : Apple은 개발자 인증서를 확인하기 위해 암호화되지 않은 OCSP 시스템을 대체하기 위해 새로운 암호화 된 프로토콜을 생성합니다. 이렇게하면 중간에있는 사람이 스누핑에서 벗어나지 못하게합니다.
- 둔화를 멈 춥니 다 : Apple은 또한 "서버 오류에 대한 강력한 보호"- 서버가 다시 늦어 졌기 때문에 응용 프로그램이로드가 느려지지 않을 것입니다.
- 사용자에게 선택을 제공하십시오 : Apple은 Mac 사용자가 이러한 보안 보호 기능을 끄고 Mac이 취소 된 개발자 인증서를 검사하지 못하게 할 수있게합니다.
전반적으로 이러한 변경 사항은 다양한 문제를 제거합니다. 제 3자는 더 이상 중간에 스눕을 불러 일으킬 수 없습니다. Mac은 여전히 애플 정보를 보낼 수있는 Apple 정보를 보내지 만 Apple은 해당 정보를 사용자와 연결하지 않기로 약속합니다. Apple이 성능 문제를 해결함에 따라 둔화가 제거되어야합니다.
이 더 나은 의정서는 무엇입니까? 글쎄, 애플은 아직 OCSP를 대체 할 것인지 아직 말하지 않았다. 보안 연구원으로서 Scott Helme. 노트, 뭔가 크리 티 (Crlite) 바늘을 여기에서 나가는 데 도움이 될 수 있습니다. Mac이 Apple에서 단일 파일을 다운로드하고 정기적으로 업데이트 할 수 있는지 상상해보십시오. 파일에는 모든 인증서 취소의 압축 된 목록이 포함됩니다. 앱을 시작할 때마다 Mac이 파일을 확인하여 네트워크 검사 및 개인 정보 보호 문제를 제거 할 수 있습니다.
Mac은 때로는 Apple에 AppAhhhes를 보내는 경우가 있습니다
그런데 Mac에서는 Apple의 서버에 열려있는 앱의 해시를 보냅니다. 이것은 OCSP 서명 검사와 다릅니다. 대신 게이트 키퍼와 관련이 있습니다 공증자 ...에
개발자는 앱을 Apple에 업로드 할 수 있으며,이를 통해 맬웨어를 확인한 다음 안전한 것처럼 보이면 "공증"됩니다. 이 공증 티켓 정보는 앱에 "스테이플 링"될 수 있습니다. 개발자가 앱 파일에 티켓 정보를 스테이플링하지 않으면 Mac은 처음으로 해당 앱을 시작할 때 Apple의 서버로 확인합니다.
이 작업은 처음으로 앱 버전을 출시 할 때마다 가장 많이 발생하는 경우에만 발생합니다. 그리고 온라인 수표는 스테이플 링을 통해 개발자가 제거 할 수 있습니다.
맥은 여기에 고유하지 않습니다. 예를 들어, Windows 10 PC는 종종 다운로드 한 앱에 대한 데이터를 업로드합니다. 마이크로 소프트의 스마트 스크린 서비스 악성 코드를 확인합니다. 바이러스 백신 프로그램 및 기타 보안 애플리케이션도 보안 회사에 의심스러운 보이는 앱에 대한 정보를 업로드 할 수 있습니다.
