Mac-ul dvs. într-adevăr telefonul acasă la Apple de fiecare dată când lansați o aplicație? Aceasta este afirmația care zbura după 12 octombrie 2020, când un server Apple a devenit lent și Mac-urile moderne au avut o lungă perioadă de timp pentru a deschide aplicații. Vom explica ce se întâmplă.
Info: Acest lucru se aplică atât pentru ambele Macos Big Sur. și Macos Catalina. . Preocupările de încetinire și confidențialitate asociate nu sunt noi în MacOS Big Sur.
De ce sunt semnate aplicațiile MAC cu certificatele de dezvoltator
Pe un Mac, aplicațiile pe care le descărcați - fie de la Mac App Store sau din Web-Web, sunt semnate cu un certificat de dezvoltatori. Ori de câte ori lansați o aplicație, acesta verifică aplicația pentru a verifica dacă acesta a fost semnat de un dezvoltator legitim și că nu a fost manipulat. Acest lucru vă ajută să vă protejați de malware.
De exemplu, când Mozilla creează Firefox, compilează un fișier de aplicație Firefox și apoi îl semnează cu certificatul de dezvoltatori al lui Mozilla. Aceasta este modul lui Mozilla de a dovedi că fișierul este legitim și creat de Mozilla. Dacă fișierul de aplicație este manipulat după aceea, MAC dvs. va observa diferența.
Aceste certificate sunt valabile doar pentru un anumit interval de timp - probabil câțiva ani - dar pot fi "revocați" devreme. De exemplu, dacă Apple descoperă că un dezvoltator folosește certificatul său pentru a semna aplicații rău intenționate, Apple revocă certificatul. Mac-urile nu vor încărca aplicații cu certificatul revocat.
OCSP a explicat: De ce telefonul dvs. Mac Home?
Dar așteptați - Cum știe Mac dvs. dacă Apple a revocat un certificat asociat cu o aplicație pe Mac? Pentru a verifica, Macul dvs. utilizează ceva numit protocolul de stare al certificatului online sau OCSP; Este, de asemenea, utilizat de browserele web pentru a verifica certificatele site-ului pe măsură ce navigați.
Când lansați o aplicație, Mac-ul dvs. trimite informații despre certificatul său la un server Apple la Ocsp.Apple.com. Mac-ul dvs. solicită acest server Apple dacă certificatul a fost revocat. Dacă nu, Macul dvs. lansează aplicația. Dacă certificatul a fost revocat, MAC dvs. nu va lansa aplicația.
Se întâmplă acest lucru de fiecare dată când lansați o aplicație?
Mac-ul dvs. își amintește aceste răspunsuri pentru o perioadă de timp. La 12 noiembrie 2020, răspunsurile au fost cacheze timp de cinci minute; Cu alte cuvinte, dacă ați lansat o aplicație, ați închis-o și l-ați lansat din nou patru minute mai târziu, Macul dvs. nu ar trebui să-l întrebe pe Apple despre certificat a doua oară. Cu toate acestea, dacă ați lansat o aplicație, ați închis-o și l-ați lansat șase minute mai târziu, Mac dvs. ar trebui să solicite din nou serverele Apple.
Din orice motiv - poate datorită schimbărilor în MacOS Big Sur-Apple a fost înghițit și a devenit foarte lent la 12 noiembrie 2020. Răspunsurile au încetinit considerabil, iar aplicațiile au durat mult timp să se încarce ca MacS așteptau cu răbdare un răspuns din partea lui Apple lentă Server.
După acel eveniment, Serverul OSCP al Apple spune acum Mac-uri să-și amintească răspunsurile de valabilitate a certificatelor timp de 12 ore. Mac-ul dvs. va telefon acasă și va întreba despre un certificat de fiecare dată când lansați o aplicație - cu excepția cazului în care ați primit un răspuns în ultimele 12 ore, caz în care nu va trebui să fie nevoie. (Informațiile despre perioadele de timp de aici provin de la Dezvoltator independent de aplicații Jeff Johnson. .)
Ce se întâmplă dacă un Mac este offline?
Verificarea OCSP este concepută pentru a eșua cu harul. Dacă sunteți offline, Mac dvs. va trece în mod tăcut verificarea și va lansa aplicații în mod normal.
Același lucru este valabil dacă MAC nu poate ajunge la serverul OCSP.Apple.com - poate pentru că adresa serverului a fost blocat în rețeaua dvs. la nivelul routerului . Dacă Mac-ul dvs. nu poate contacta serverul, acesta elimină verificarea și lansează imediat aplicația.
Problema din 12 noiembrie 2020 a fost că, în timp ce Mac-urile ar putea ajunge la serverul Apple, serverul în sine era lent. Dar, mai degrabă decât în mod silențios, care nu reușește și continuând cu lansarea unei aplicații, Macs a așteptat mult timp pentru un răspuns. Dacă serverul a fost complet în jos, nimeni nu ar fi observat.
Care este riscul de confidențialitate? Ce înseamnă Apple?
Există mai multe privințe de confidențialitate pe care oamenii l-au adus aici. Acestea sunt scrise în cercetător de hacker și de securitate Blisterul lui Jeffrey Pavel iau situația .
- Certificatele sunt asociate cu aplicațiile : Când Macul dvs. contactează serverul OCSP, întreabă un certificat care este probabil asociat cu o aplicație sau, probabil, o mână de aplicații. Din punct de vedere tehnic, Mac dvs. nu spune Apple la ce aplicație ați lansat. De exemplu, dacă lansați Firefox, Apple învață doar că ați lansat o aplicație creată de Mozilla. Ar putea fi Firefox sau Thunderbird, dar Apple nu știe care. Cu toate acestea, dacă lansați o aplicație semnată de proiectul TOR, Apple poate obține o idee destul de bună că ați deschis TOR Browser. .
- Solicitările sunt asociate cu adresele și orele IP : Aceste cereri pot fi, desigur, asociate cu o dată și o dată și cu dvs. adresa IP . Așa funcționează Internetul. Adresa dvs. IP este asociată cu un anumit oraș și stat. Fiecare solicitare OCSP îi spune Apple dezvoltatorului care a creat aplicația pe care o lansezi, locația dvs. generală și data și ora pe care ați lansat aplicația.
- Lipsa de criptare înseamnă că snoopingul este posibil : Protocolul OCSP este necriptat . Nu numai că Apple obține aceste informații - oricine din mijloc poate vedea și aceste informații. Furnizorul dvs. de servicii de internet, administratorul de rețea la locul de muncă sau chiar o agenție de spionaj care monitorizează traficul pe Internet ar putea asculta pe traficul OSCP între dvs. și Apple și să aflați toate aceste detalii. Aceste solicitări trec, de asemenea, printr-o terță parte Rețeaua de distribuție a conținutului (CDN) numit Akamai. Acest lucru le accelerează - dar adaugă un alt intermediar care ar putea fi în mod tehnic.
Info: Mac-ul dvs. nu spune Apple la care ați lansat. În schimb, Mac dvs. este doar spune Apple pe care dezvoltator a creat aplicația pe care o lansezi. Desigur, mulți dezvoltatori creează doar o aplicație. Această distincție tehnică nu înseamnă prea mult.
(Amintiți-vă: Cu schimbarea la comportamentul cache-ului, Mac dvs. nu mai cere Apple de fiecare dată când lansați o aplicație. Fac numai la fiecare 12 ore în loc de 5 minute.)
De ce face acest lucru acest lucru?
După cum vă puteți aștepta, acest lucru este vorba despre securitate. Mac este o platformă mai deschisă decât iPad și iPhone. Puteți descărca aplicații de oriunde, chiar și în afara magazinului App Apple Mac.
Pentru a proteja Mac de la malware - și da, Mac Malware a devenit mai frecventă -Apple a implementat această verificare de securitate. Dacă un certificat folosit pentru a semna o aplicație este revocat, Macul dvs. poate să vă aprindă imediat în acțiune și să refuze să deschidă această aplicație. Acest lucru oferă Apple puterea de a opri Mac-urile de la lansarea aplicațiilor cunoscute rău intenționate.
Puteți bloca cecurile OCSP?
Aceste cecuri OCSP sunt proiectate pentru a eșua rapid și silențios atunci când un Mac este fie offline, fie nu poate contacta serverul OCSP.Apple.com.
Acest lucru le face simplu să blocheze: Doar împiedicați-vă Mac să vă conectați la ocsp.apple.com. De exemplu, puteți bloca adesea această adresă pe router, împiedicând toate dispozitivele din rețeaua dvs. să le conecteze la acesta.
Din păcate, se pare că Big Sur nu mai lasă Firewall-urile la nivel de software pe Mac blochează procesul încorporat al Mac-ului de la accesarea serverelor la distanță ca aceasta.
Avertizare: Dacă blocați serverul OCSP.Apple.com, Macul dvs. nu va observa când Apple a revocat certificatul de dezvoltator al aplicației. Alegeți să dezactivați o caracteristică de securitate și acest lucru ar putea pune mac-ul la risc.
Ce spune Apple și promite să se schimbe?
Apple pare să fi auzit critici. La 16 noiembrie 2020, compania a adăugat informații despre "Protecția confidențialității" pentru gatekeeper pe site-ul său web.
În primul rând, Apple spune că nu a combinat niciodată datele din aceste verificări de certificat sau malware cu alte date Apple știe despre dvs. Compania promite că nu utilizează aceste informații pentru a urmări ce aplicații indivizi lansează pe Mac-urile lor.
În al doilea rând, Apple insistă asupra faptului că aceste verificări ale certificatului nu sunt asociate cu ID-ul dvs. Apple sau cu informațiile specifice dispozitivului dincolo de adresa IP. Apple spune că a încetat să înregistreze adresele IP asociate cu aceste cereri și le va elimina de la jurnalele Apple.
În anul următor - cu alte cuvinte, până la sfârșitul anului 2021 - Apple spune că va face aceste schimbări:
- Înlocuiți OCSP cu un protocol criptat : Apple spune că va crea un nou protocol criptat pentru a înlocui sistemul OCSP necriptat pentru verificarea certificatelor de dezvoltare. Acest lucru va împiedica pe nimeni în mijloc de la Snooping.
- Opriți încetinirea : Apple promite, de asemenea, "protecții puternice împotriva eșecului serverului" - la alte cuvinte, aplicațiile nu vor fi lent pentru încărcare deoarece un server a încetinit din nou.
- Asigurați alegerea utilizatorilor : Apple spune că utilizatorii Mac vor putea transforma aceste protecții de securitate și vor împiedica verificarea certificatelor de dezvoltator revocate.
În ansamblu, aceste schimbări vor elimina diverse probleme - terțe părți nu mai pot să-și sune în mijloc. Mac-urile vor trimite în continuare informații Apple pe care le poate folosi pentru a urmări aplicațiile pe care le deschideți, dar Apple promite să nu asociați aceste informații cu dvs. Încetinile ar trebui eliminate, deoarece Apple fixează și problema de performanță.
Care va fi acest protocol mai bun? Ei bine, Apple nu a spus încă ce va înlocui OCSP. Ca cercetător de securitate Scott Helme. Note, ceva de genul ăsta CrLite. ar putea ajuta la intrarea acului aici. Imaginați-vă dacă Macul dvs. ar putea descărca un singur fișier de la Apple și îl actualizați în mod regulat. Fișierul ar conține o listă comprimată a tuturor revocațiilor certificatelor. Ori de câte ori lansați o aplicație, Macul dvs. ar putea verifica fișierul, eliminând verificările de rețea și problemele de confidențialitate.
Mac-ul dvs. trimite uneori hashes Apple la Apple
Apropo, Mac dvs. trimite uneori hashes despre aplicațiile pe care le deschideți la serverele Apple. Acest lucru este diferit de verificările de semnături OCSP. În schimb, are de-a face cu gatekeeper Notarizare .
Dezvoltatorii pot încărca aplicații la Apple, care le verifică pentru malware și apoi "notarizează" dacă par în siguranță. Această informație de bilete de notarizare poate fi "capsată" la aplicație. Dacă un dezvoltator nu captează informațiile biletului la fișierul App, Mac dvs. va verifica cu serverele Apple prima dată când lansați aplicația respectivă.
Acest lucru se întâmplă doar pentru prima dată când lansați o versiune dată a unei aplicații - nu de fiecare dată când se deschide. Iar verificarea online poate fi eliminată de către dezvoltator prin capsare.
Mac-urile nu sunt unice aici. De exemplu, Windows 10 PCS încărcați adesea date despre aplicațiile pe care le descărcați la Serviciul Smartscreen al Microsoft pentru a verifica programul malware. Programele antivirus și alte aplicații de securitate pot încărca informații despre aplicațiile suspecte la compania de securitate.
