V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
bethebetter
V2EX  ›  Apple

苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

  •  
  •   bethebetter · 2020-11-15 09:58:27 +08:00 · 14678 次点击
    这是一个创建于 1477 天前的主题,其中的信息可能已经有所发展或是发生改变。

    https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours

    These OCSP requests are transmitted unencrypted.

    https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

    OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验

    但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!

    第 1 条附言  ·  2020-11-15 11:04:46 +08:00
    https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Basic_PKI_implementation

    Basic PKI implementation 这个实现确实是校验的是 End Entity 而不是 CA
    112 条回复    2020-11-17 23:47:57 +08:00
    1  2  
    bethebetter
        1
    bethebetter  
    OP
       2020-11-15 10:04:49 +08:00   ❤️ 5
    好的解决方案就是系统**定期**把你系统的软件 list 用 App Store 去云端匹配,决定是否吊销某个软件开发者的证书,而不是每个程序 hash uuid,或者你至少弄个私有协议,套个 SSL 也行啊,这么明目张胆的的走 http,这就是$$$$苹果$$$$鼓吹的用户隐私?
    NoobX
        2
    NoobX  
       2020-11-15 10:22:01 +08:00   ❤️ 1
    smart screen 了解一下
    gps949
        3
    gps949  
       2020-11-15 10:34:47 +08:00 via iPhone   ❤️ 12
    CA 行业从业人士表示被“OCSP 一般浏览器用来校验 CA 根证书状态”这句话给惊呆了。。。
    bethebetter
        4
    bethebetter  
    OP
       2020-11-15 10:41:21 +08:00
    @NoobX 这个是 Edge 浏览器和 Windows Store 里面的,可以关闭
    bethebetter
        5
    bethebetter  
    OP
       2020-11-15 10:42:30 +08:00   ❤️ 13
    @gps949 一般用户从哪里还能接触到 OCSP 的应用呢,你给大家说说看,普及下也行啊,只一句“惊呆了”这个没有意义的回复
    snachx
        6
    snachx  
       2020-11-15 10:42:37 +08:00   ❤️ 1
    发的是给程序签名的开发者证书的 hash,不是程序本身的
    bethebetter
        7
    bethebetter  
    OP
       2020-11-15 10:43:47 +08:00
    @snachx 一般开发者除了大公司也没几个 app,所以明文发送 hash 很容易猜
    bethebetter
        8
    bethebetter  
    OP
       2020-11-15 10:44:56 +08:00
    @gps949 虚心等你普及,搞快点 GKD
    atone
        9
    atone  
       2020-11-15 10:45:41 +08:00   ❤️ 1
    这篇文章对 OCSP 协议有比较详细的分析: https://blog.jacopo.io/en/post/apple-ocsp/
    Maskeney
        10
    Maskeney  
       2020-11-15 10:47:17 +08:00
    @bethebetter #8 并不是校验根证书,而是签发的最末级证书,根证书泄露私钥被吊销之类的也是操作系统层面去吊销
    icyalala
        11
    icyalala  
       2020-11-15 10:48:55 +08:00   ❤️ 18
    @bethebetter
    首先 OCSP 本身就是用于避免批量扫描列表带来的开销的,而且因为 SSL 验证也需要 OCSP 所以服务基本都是非 HTTPS 的。

    其次证书校验并不是每次启动 App 都请求的,而是首次安装或有较长时间没检测过才进行校验的,你可以自己抓包看看。

    再有,因为这是未加密的,你可以自己抓包解析内容,发送过去的 Hash 实际上是开发者证书的 ID,比如淘宝咸鱼飞猪这些 App 请求的 Hash 是相同的。

    而那篇文章却说 "每次启动 App 都会发送 App Hash 给苹果,这样苹果就能知道 Date, Time, Computer, ISP, City, State, Application Hash" 等信息了,这就是完全扯淡和恐吓了。
    wql
        12
    wql  
       2020-11-15 10:49:16 +08:00 via Android   ❤️ 4
    OCSP 是验证**末端**( End Entity )证书的。没听说过哪个系统拿 OCSP 验证 CA 的,效率太低下,那是证书吊销列表 CRL 干的事情。
    bethebetter
        13
    bethebetter  
    OP
       2020-11-15 10:56:04 +08:00
    @icyalala 就是我用了某 Porn 的 app,开发者的证书就明文发给 apple 服务器了,中间的网络服务商都知道我用了某 Porn 的 app,因为发现了其证书,这个还是没解决隐私问题,只是解决了恶意 app 的安全问题。更好的是苹果用 https 一个域名来校验,没必要用明文的 http 来发送这些东西
    coolcatha
        14
    coolcatha  
       2020-11-15 10:56:39 +08:00 via iPhone   ❤️ 2
    @icyalala 其实这个问题之前就比讨论过,这次又火了一把。确实如你所说,并不是每次都会请求,原帖完全是毫无根据的猜测,没有任何实验精神,也正是这么样的结论才让人疯狂传播。

    上次 reddit 跟人争论过这个问题,我还留着抓包的数据。如果楼主有兴趣留个联系方式我可以把整理的数据给你。

    希望下次楼主下结论前用数据说话吧。
    bethebetter
        15
    bethebetter  
    OP
       2020-11-15 10:57:25 +08:00
    @wql chrome 很早已经弃用 OCSP 了,https://www.ssl.com/article/how-do-browsers-handle-revoked-ssl-tls-certificates/
    你说这个校验 End Entity 的有好的文章推荐大家看看吗
    bethebetter
        16
    bethebetter  
    OP
       2020-11-15 10:59:05 +08:00
    @coolcatha 见#13,仍然会泄露用户隐私
    SingeeKing
        17
    SingeeKing  
       2020-11-15 11:02:26 +08:00 via iPhone   ❤️ 2
    @bethebetter OCSP 哪里被弃用了?

    OCSP 可以用来被跟踪是真的,日期时间 IP ISP 等等确实可以被记录(请求时间+IP 信息),之前国产卖证书还有的写过用境外证书因为使用 OCSP 会泄漏浏览记录给境外。

    OCSP 至今还是 HTTPS 中非常重要一环,Lets Encrypt 的 OCSP 被墙当时影响也挺大的,而且还有各种加速 OCSP 的衍生技术( OCSP Stapling )
    bethebetter
        18
    bethebetter  
    OP
       2020-11-15 11:04:08 +08:00
    @wql https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol#Basic_PKI_implementation

    Basic PKI implementation 这个实现确实是如你所说校验的是 End Entity
    natashahollyz
        19
    natashahollyz  
       2020-11-15 11:05:28 +08:00
    真以为 apple 拒绝两次米国某些部门的要求就冰清玉洁了?拒绝两次,同意 2000 次,不稀奇
    bethebetter
        20
    bethebetter  
    OP
       2020-11-15 11:07:21 +08:00
    @gps949 楼下好心网友已经替你回复了 OCSP 校验 End Entity,主题内容有误,我已经 Append 了
    icyalala
        21
    icyalala  
       2020-11-15 11:08:58 +08:00   ❤️ 2
    @bethebetter 除非你的 App 完全不联网,否则网络运营商肯定知道你干啥啊。。
    LudwigWS
        22
    LudwigWS  
       2020-11-15 11:12:31 +08:00 via iPhone   ❤️ 1
    @natashahollyz 证据呢,现在张口就来了?安卓是不是一次都不拒绝?先把通讯录权限的流氓软件搞定吧
    bethebetter
        23
    bethebetter  
    OP
       2020-11-15 11:13:50 +08:00
    @SingeeKing Chrome 根据 https://dev.chromium.org/Home/chromium-security/crlsets 来看用的是 CRLSets,自己维护 list,你有更好的说明网址可以贴下给大家看看
    natashahollyz
        24
    natashahollyz  
       2020-11-15 12:00:32 +08:00   ❤️ 1
    @LudwigWS 装什么呢?用个苹果用傻了是吗?真就精神股东了?我也用苹果,但没你这么单纯。随手搜的一个,要多的我还能给你搜。{最初,苹果接受了一项正式命令,即帮助司法部进入冯军的手机}。一个够不?不够再给你找几个出来。无脑生物不要张口就来了
    natashahollyz
        25
    natashahollyz  
       2020-11-15 12:01:49 +08:00
    @LudwigWS 别什么事都扯安卓,我只用苹果。但是不像你,用了个产品就当精神股东了
    natashahollyz
        26
    natashahollyz  
       2020-11-15 12:18:58 +08:00   ❤️ 9
    @LudwigWS 精神股东你好,来,苹果自己的数据给你了 /legal/transparency/us.html 前面网址自己加,July - December 2019 Requests Received 781 Device, Percentage of Requests where Data Provided 97%。其它的多了我就不列了,自己慢慢看吧。
    顺手再贴个新闻
    库克:XX 从未要求苹果公司解锁手机但美国要求了
    你信不?你不信是吧。那苹果说拒绝 us 的要求你就信了?
    只要是 cn 的你就不信,是 us 的你就信,说你啥好呢?
    顺手把你 b 了,用个东西用魔怔了不太好。
    nonduality
        27
    nonduality  
       2020-11-15 12:22:41 +08:00
    有段时间(现在依然如此),在 MacOS 运行程序非常慢,总得很多秒才能打开。后来有人公开其罪魁祸首就是程序运行就必须先访问 ocsp.apple.com ,但由于网络不太好,迟迟得不到服务响应,导致程序半天打不开。

    苹果越来越霸道、罪恶和垃圾了!
    hoyixi
        28
    hoyixi  
       2020-11-15 12:23:39 +08:00   ❤️ 1
    支持中国大陆封禁苹果,苹果封禁中国大陆用户。我期待这一天已经很久了。
    natashahollyz
        29
    natashahollyz  
       2020-11-15 12:23:41 +08:00
    顺手再贴个网址 /legal/transparency/account.html

    July - December 2019

    China mainland
    45 2,085 0 39 2 91%

    United States of America
    4,095 31,780 98 1,921 1,724 89%
    nonduality
        30
    nonduality  
       2020-11-15 12:25:30 +08:00   ❤️ 8
    @hoyixi 这个事情在海内外很多网站包括 HN 都在热烈讨论,跟中国大陆有啥关系?你少上蹿下跳横加挑拨了
    nonduality
        31
    nonduality  
       2020-11-15 12:30:06 +08:00   ❤️ 4
    @icyalala 网络运营商位于我的电脑的外部,我是可以想办法规避的(比如用匿名网络),而且有些软件如播放器,只要我不使用网络,网络运营商无从知道我使用。而苹果作为操作系统的提供者,它对用户做这种监控,可以作的恶远远超过网络运营商。
    hoyixi
        32
    hoyixi  
       2020-11-15 12:30:33 +08:00
    @nonduality #30
    海外讨论的事儿多了,能海内讨论的不多,所以,该封就要封,不要对美帝资本搞特殊。支持封禁苹果
    daveh
        33
    daveh  
       2020-11-15 12:35:27 +08:00 via iPhone
    @bethebetter 首先你说的这类 app 基本上上不了架,一般开发者证书签这个没什么用;其次这类 app 一般都盗用的企业证书,比如中国移动的,通过 OCSP 记录 ISP 一看好啊用我家 app 了(先假设 ISP 能通过 hash 反查到谁家证书);最后,你的 DNS 、IP 访问记录泄漏了你在干什么,这比 OCSP 有用多了。
    nonduality
        34
    nonduality  
       2020-11-15 12:38:20 +08:00   ❤️ 1
    @hoyixi 好好说话,别胡搅蛮缠
    icyalala
        35
    icyalala  
       2020-11-15 12:38:21 +08:00   ❤️ 3
    @natashahollyz 毒贩 Jun Feng 那件事后来僵持了很久,后来法庭文件说明 FBI 从灰帽黑客那里买漏洞自己破解的。

    https://www.apple.com/legal/transparency/pdf/requests-2019-H2-en.pdf
    苹果透明度调查说的是苹果服务,比如 iCloud 里的邮件、通讯录、照片。
    iMessage 或 FaceTime 这类端对端加密,还有设备本身的密码是不会提供的。
    icyalala
        36
    icyalala  
       2020-11-15 12:41:22 +08:00   ❤️ 2
    @nonduality 苹果使用 OCSP 无法对用户的进行 "监控",使用 OCSP 它甚至你是谁、什么时候用了什么 App 都监控不到。
    如果运行商对 OCSP 做了监控,那么运行商作恶远超苹果。
    reus
        37
    reus  
       2020-11-15 12:56:03 +08:00
    @natashahollyz 苹果是上市公司,谁买了苹果股票,谁就是苹果股东,“精神股东”,呵呵,说不定他真的是股东。股东维护自己投资的公司的利益,合情合理合法!不服?不服你就去呼吁抵制苹果,封杀苹果!美国都封杀华为了,中国封杀苹果才是对等制裁!
    wyfyw
        38
    wyfyw  
       2020-11-15 13:09:34 +08:00
    @icyalala 请教一下,如果打开了 iMessage on iCloud 是不是就和 iCloud 的照片一样明文存储了?
    WebKit
        39
    WebKit  
       2020-11-15 13:11:01 +08:00 via Android
    @bethebetter Google 的做法跟你说的 有点类似,不过他是把 list 分发下来
    lscho
        40
    lscho  
       2020-11-15 13:16:16 +08:00 via iPhone
    早就屏蔽这个域名了
    bethebetter
        41
    bethebetter  
    OP
       2020-11-15 13:19:40 +08:00   ❤️ 1
    @icyalala
    @wyfyw
    https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT

    ```six sources familiar with the matter told Reuters```
    库克领导下的苹果早都放弃云端加密了
    laike9m
        42
    laike9m  
       2020-11-15 13:24:37 +08:00
    所以要怎么禁用呢?
    bethebetter
        43
    bethebetter  
    OP
       2020-11-15 13:25:23 +08:00   ❤️ 1
    @reus 库克现在之对股东负责,从产品的发展趋势来看,利润优先,不在是做伟大的产品了,而是做卖钱的产品,看看 iPhone 12 为了变化而变化,瞧瞧那割手的边框,回过头看看陪着乔布斯一起复兴苹果的设计师 Ive 离职,真是应证了库克的利润优先,https://www.wsj.com/articles/jony-ive-is-departing-apple-but-he-started-leaving-years-ago-11561943376
    ```grew frustrated inside a more operations-focused company led by Chief Executive Tim Cook```
    库克这种违背产品根基的领导 apple 方式,注定不可能长久保持苹果的创新力量,一旦股东施压利润财报,苹果就只能造出二流产品
    mengyx
        44
    mengyx  
       2020-11-15 13:27:02 +08:00   ❤️ 1
    网站使用 OCSP 的方式和 Apple 使用 OCSP 的方式确实不一样。但是不是楼主所说的。

    一般的网站使用 OCSP 是通过 Staping 发送给你的,简而言之就是服务器向 CA 请求 OCSP Response 并缓存(有效期很短,一般只有几天),在客户端请求服务器证书的时候一并发送。这个过程中,和你通信的只有网站服务器。

    Apple 使用 OCSP 是客户端自己去访问 CA OCSP 服务器,于是出现各样的隐私问题。
    bethebetter
        45
    bethebetter  
    OP
       2020-11-15 13:31:52 +08:00   ❤️ 1
    @laike9m 不可能一劳永逸,苹果系统更新大改快,M1 芯片后面只会越来越封闭,可能不久以后就是讨论 macOS xxx 越狱

    看看库克领导下出了多少个 iPad,各种精准刀法,只是为了利润最大化,而不是做牛逼的产品

    库克:科技以换皮为本$$$!能卖钱就行$$$!
    bethebetter
        46
    bethebetter  
    OP
       2020-11-15 13:35:36 +08:00   ❤️ 1
    @mengyx 根据我看到的信息,Chrome 没用 OCSP 而是自己维护一个列表,期待行业专业人士 @gps949 来回答一下,OCSP 没用 https 可能因为这是现有鸡还是先有蛋的问题
    @gps949 期待 CA 行业大佬来给个精确的回答
    wyfyw
        47
    wyfyw  
       2020-11-15 13:49:47 +08:00
    hello2060
        48
    hello2060  
       2020-11-15 13:51:13 +08:00 via iPhone
    @bethebetter 怕怕,手里还有不少苹果股票,大概啥时候卖掉比较好?
    bethebetter
        49
    bethebetter  
    OP
       2020-11-15 13:58:54 +08:00
    @wyfyw
    @hello2060
    我可能被 @gps949 Block 了,后面谁个回复的时候 @下 gps949 这个 CA 行业专业人士,让他给我们讲下 CA 浏览器验证这块是怎么做的

    OCSP 去验证开发者证书,这个隐私问题极大,就拿我之前回复的用 Porn 软件,那么 http 这一路所有人都知道我在看 Porn 或者至少装了 Porn 家开发的软件

    苹果为什么一个私有系统要用明文的 OCSP 协议发这种敏感的信息,以苹果一直鼓吹的隐私,随便一个 https 子域名加上自己弄个私有协议应该也不是什么难事
    bethebetter
        50
    bethebetter  
    OP
       2020-11-15 14:17:49 +08:00
    @hello2060 什么时候卖苹果股票?

    关键几个点:
    M1 失败,没有达到预期的效果
    iphone 中国销量大幅下滑,降价也不起作用
    ios 优势尽失,安卓隐私与苹果手机没有大的区别
    国内开放 Google Play,更重要的是谷歌重返中国

    这几个点就可以卖了

    目前来看苹果的衰败迹象:
    人事变动
    iphone 品控下降,微博 iphone12 插纸,这问题已经出现有两年了,品控下降
    鼓吹环保,产品线复杂 ipad,以盈利而不是产品创新为基准
    iphone 12 的回归 iphone4 5 时代的直角边框,苹果这次宣传说这是创新,绝口不提大尺寸割手问题
    如果 iphone13 还在用闪电口,并且没有革命好的数据传输替代方案,那它利润为导向的面目就无需争辩了
    hello2060
        51
    hello2060  
       2020-11-15 14:33:19 +08:00
    @bethebetter 就是这两天先不卖? M1 怎么才算失败啊? ios 现在不是已经没有优势了吗?
    hello2060
        52
    hello2060  
       2020-11-15 14:39:37 +08:00
    @bethebetter 等这几个点到了那再卖肯定来不及了
    你来预测下
    1. M1 销量怎么样? macbook 大概销量下滑多少?利润下滑多少?
    2. iPhone 什么时候大量下滑?下滑多久后降价?降价后销量怎么样?
    3. iOS 隐私优势何在?啥时候丧失?
    4. Google play 何时开放?何时 google 重返中国?
    bethebetter
        53
    bethebetter  
    OP
       2020-11-15 14:58:42 +08:00
    @hello2060 作为苹果现股东,你为什么要买苹果股票?说说看,说不定有人能解答你现在遇到的问题
    twl007
        54
    twl007  
       2020-11-15 15:04:10 +08:00
    要是一个简单的 OCSP 就能暴露这么多隐私 我觉得大家还是别上网了 浏览器也别用了 毕竟通过 Canvas 以及 WebGL 也能追踪到你的浏览器不是?

    Apple 有完整的隐私相关的介绍 大家都不去看
    https://www.apple.com.cn/privacy/features/
    twl007
        55
    twl007  
       2020-11-15 15:09:25 +08:00
    @bethebetter 而且 Chrome 的实现看起来也没那么好吧 毕竟时效性不如 OCSP 如果你那么在意这个的话你在意不在意 Chrome CRList 更新的慢可能带来的风险?
    rosu
        56
    rosu  
       2020-11-15 15:34:34 +08:00 via Android
    苹果的 oscp 请求包含楼主个人信息了吗?
    pC0oc4EbCSsJUy4W
        57
    pC0oc4EbCSsJUy4W  
       2020-11-15 15:38:35 +08:00
    卧槽,怕什么啊

    微信聊天都能被精准广告,还是能联系上下文的(不好发截图)当时和朋友聊空调,内容有错别字,朋友矫正了,空调价格,匹数牌子,都是断行的,而且比较多,没过几个小 h,京东给我们 2 个都发了精准的广告短信,内容就是聊天内容抓取的,特别精准(上次发群里了,图片找不到了),除非立法,否则爱怎么怎么滴。
    iNaru
        58
    iNaru  
       2020-11-15 16:08:53 +08:00
    littiefish
        59
    littiefish  
       2020-11-15 16:14:32 +08:00 via iPhone
    天呢,太吓人了,楼主赶紧把 iPhone 扔了吧,50 包邮
    hello2060
        60
    hello2060  
       2020-11-15 16:18:14 +08:00 via iPhone
    @bethebetter 因为 M1 销量好的很,因为 iPhone 卖的好的很,虽然他隐私保护比 android 还差。
    justfun
        61
    justfun  
       2020-11-15 16:23:00 +08:00
    运营商不是早就可以精准的分析你所有的应用流量详情了吗 ,早就没有底裤了,怎么突然吵这么火热。
    https://s3.ax1x.com/2020/11/15/Diz5qA.png
    见怪不怪了 本来就没什么隐私可言
    mengyx
        62
    mengyx  
       2020-11-15 16:26:23 +08:00   ❤️ 4
    @bethebetter OCSP 可以不依赖于可信信道,因为 OCSP Response 是由 CA 的 PrivateKey 进行签名的,收到的人是可以通过 CA 公钥进行验证的。
    Apple 这里的问题并不是安全性的问题,而是客户和 OCSP 服务器之间直接通信引发的隐私问题
    reiji
        63
    reiji  
       2020-11-15 17:13:09 +08:00   ❤️ 1
    混在正经讨论中的阴阳怪气还挺好笑的
    EminemW
        64
    EminemW  
       2020-11-15 17:31:21 +08:00
    这也能吵,本来就没什么隐私
    cigarzh
        65
    cigarzh  
       2020-11-15 17:53:07 +08:00   ❤️ 1
    目前来看,这并不是什么非常严重的问题
    nonduality
        66
    nonduality  
       2020-11-15 18:03:56 +08:00
    @icyalala 只要你登入的 iCloud,每次连接网络都有可能向苹果的服务器发送你的身份信息,加上向 oscp 发送的程序信息(发送时必定有时间、IP 、地点),原则上你在电脑里做的任何事情苹果服务器都有能力描绘出来。

    就本身而言,我愿意把浏览器记录、Notes 等信息由苹果的服务器同步,那是因为我知道处理好哪些属于私密信息,但连我使用什么程序苹果都要追踪,甚至有时搞到我启动一个程序都慢到恼火,这就很邪恶了。
    2kCS5c0b0ITXE5k2
        67
    2kCS5c0b0ITXE5k2  
       2020-11-15 18:05:23 +08:00   ❤️ 5
    如果是国内厂商做这种事情 i2ex 会怎么骂呢
    twl007
        68
    twl007  
       2020-11-15 18:49:08 +08:00
    @nonduality 请阅读 Apple 的差分隐私技术的白皮书 https://www.apple.com/privacy/docs/Differential_Privacy_Overview.pdf
    MaybeRichard
        69
    MaybeRichard  
       2020-11-15 19:05:26 +08:00
    欢迎拿不用的 iphone mac 等设备来找我换不锈钢脸盆
    nonduality
        70
    nonduality  
       2020-11-15 19:12:57 +08:00   ❤️ 3
    @twl007 今天通过 Hack News,我已经读过一篇分析 ocsp 的技术细节的文章。说到底,我还是认为苹果的这个技术方案是有隐私泄漏风险的。而且,在网络状况不好的情况下,ocsp 会导致程序初次运行(不是刚安装从没运行过,而是程序没在内存里运行,新启动它),会出现半天都没打开的令人恼火的问题。这都充分说明苹果这个技术方案是有严重缺陷的,无论是隐私泄漏风险还是给用户带来使用体验上的困扰。
    nonduality
        71
    nonduality  
       2020-11-15 19:16:34 +08:00   ❤️ 9
    奉劝某些苹果的精神股东:我们批评苹果,是要苹果改进技术方案,减少隐私泄漏风险,避免降低使用体验,而不是叫我读什么白皮书,让中国封锁苹果,或是让我们卖掉 Mac 。希望你们的良知没被狗吃了。
    twl007
        72
    twl007  
       2020-11-15 19:46:04 +08:00
    @nonduality 然而这个风险有多大呢 就像你提到的发送时必定有时间、IP 、地点 但是实际上数据里面并没有地点 时间这些东西也都是属性自带的 通过这些来判断是某个用户装了什么的可行性有多少? 你技术上要如何实现这些?

    至于使用困扰那是应该去解决的 但是如果说泄露隐私的话还是担心下 ISP 比较好 相对于其他更大的问题 说实话我不觉得这个是个什么严重的问题 你自己去拦截一下这些请求 能从中复原出什么信息呢?

    我只是觉得大家把一个看起来很简单的问题变得很严重化 反而对真正严重的问题视而不见 如果你对 OCSP 觉得这么严重的话 name 你对 TLS1.3 以前的协议中 SNI 没有加密的问题怎么看 相对于这么费劲的才能知道你装了什么 app 这个可是会直接泄露你访问了什么网站而且 ISP 直接就能拦截到的 那是不是我们都不要用 TLS 了?
    nonduality
        73
    nonduality  
       2020-11-15 20:16:53 +08:00   ❤️ 3
    @twl007 首先,苹果作为当今星球上最牛逼的科技公司,你没资格质疑苹果的技术能力,现今大数据完全有能力描绘用户画像,而苹果集中具备了所有苹果用户的数据,因此这个能力完全是存在的,就看苹果要不要作恶,或让某些力量利用了去作恶。

    你和有些人总在把火引向网络运营商。问题是,世界上的网络运营商有很多很多,就算它们会收集数据,也永远没有苹果自家服务器收集到的数据充分和完备;其次,网络服务商向无数用户提供服务,那么针对很小比例的 Mac 用户收集数据,它就算有这个意愿,也要考虑成本是否划得来吧?再说,就算网络服务商真收集了,是谁向网络运营商提供了这个收集数据的能力,还不是使用了有缺陷有漏洞 ocsp 技术的苹果公司?

    我再次强调一点,苹果公司和我们的力量是不对称的。苹果是当今市值最高的科技公司,是 MacOS 的开发者,我们要的就是苹果改变它这个有缺陷的技术方案,而不是要求我们如何“适应”苹果有缺陷的技术方案!

    我从十年前就使用苹果的产品,从 iPod,到 iPad,iPhone,MBA,MBP,Mac Mini……,但我始终相信一点,我们使用苹果的产品,欣赏它的优点,但不要做苹果教的虔诚教徒,变着莫名其妙的法子为它的问题辩护,好像别人批评到苹果就攻击到他一样,不就几个电子产品么,有这必要吗?真这么缺信仰吗?
    zerofancy
        74
    zerofancy  
       2020-11-15 20:42:13 +08:00
    本来对这个 hash 校验没那么敏感,但它好像是我每次休眠唤醒卡几秒的元凶……

    echo "127.0.0.1 ocsp.apple.com" | sudo tee -a /etc/hosts
    icyalala
        75
    icyalala  
       2020-11-15 20:51:40 +08:00   ❤️ 1
    @nonduality 哎我都替你着急。。
    OCSP 是标准协议,OCSP 服务器收不到你的个人 ID,OCSP 无法追踪到"你",也拿不到"你"的个人信息。
    甚至 OCSP 请求的不是程序 ID 而是开发者 ID,而且也只是首次启动和长时间未启动过才会请求 OCSP 。
    看这么多资料你还不理解这东西吗?骂苹果也要讲事实好吧。。

    你使用 iCloud,苹果就能拿到你上传的全部资料,ZF 部门请求也能拿到。这是另外一回事儿。
    nonduality
        76
    nonduality  
       2020-11-15 21:00:01 +08:00   ❤️ 1
    @icyalala 苹果实施的 ocsp 的风险有两点:1 、无加密连接苹果的 ocsp 服务器; 2 、苹果知道你的 iCloud ID 。综合这两点足以让苹果知道你在使用什么程序。

    如上面有人提示的,有的公司实施的 ocsp 技术,是把一个 ID 列表下载存放到用户本地,使用时进行比对,而不是像苹果这么做,每次程序启动都要向 ocsp.apple.com 发送请求,还引发当网络状况不佳时程序僵死的问题。

    我还为你着急呢,被苹果坑了还帮它说话。
    titi14gj
        77
    titi14gj  
       2020-11-15 21:08:06 +08:00 via iPhone
    想用就用不想用就不用,有啥好吵的,不要总把自己放在道德制高点去批评别人,狗咬狗一嘴毛
    ziseyinzi
        78
    ziseyinzi  
       2020-11-15 21:12:58 +08:00 via Android
    苹果在看着你
    nonduality
        79
    nonduality  
       2020-11-15 21:19:42 +08:00
    @titi14gj 除了恶语伤人的,没有人是狗。针对这个事情,吵是为了形成一种舆论氛围,让苹果放下傲慢的姿态,主动为用户解决这个问题。

    毕竟,苹果拥有 2 万亿左右的市值,只要用一点资源做出改变,便能惠及所有的 Mac 用户,而不是继续让用户承担风险和忍受糟糕的使用体验。

    乔布斯当年说服一个员工缩短苹果电脑的启动时间,那个员工说不可能做到,乔布斯说了一句:只要你能缩短启动时间 xx 秒,那我们有上百万用户的话,就能为他们节省 xxx 年的时间,你说不值得吗?那个员工接受并做到了。

    但愿现在的苹果仍保有乔布斯的初心。
    icyalala
        80
    icyalala  
       2020-11-15 21:21:08 +08:00   ❤️ 2
    @nonduality
    OCSP 本身是标准协议,不能随意乱改。也不能用 SSL,因为 SSL 本身也需要 OCSP 。
    把证书和吊销信息下载那不是 OSCP 。
    苹果知道你的 iCloud ID,即使不用 OSCP 也能知道你在用什么程序。
    苹果的 OSCP 服务器无法把请求和你的 iCloud ID 匹配,而且 OSCP 本身不包含程序信息。
    OSCP 请求也不是 "每次" 都请求。
    singlepig
        81
    singlepig  
       2020-11-15 21:25:17 +08:00
    @nonduality 靠!!原来不是我一个人有这个问题!不知道从什么时候开始,发现如果在连接了不能上外网的 wifi 的时候,冷启动一个应用总要在 dock 上跳好久才能打开,试过好多次,只要连着外网或者禁用 wifi,打开就很快!
    nonduality
        82
    nonduality  
       2020-11-15 21:30:48 +08:00   ❤️ 1
    @icyalala 你少来用一些技术名词糊弄人了,你的苹果内部人士还是精神股东还是苹果教教徒?这么卖力给苹果辩护,真荒唐

    我使用自己下载的 IINA,每次启动都僵死半天,请问到底是怎么回事?
    nonduality
        83
    nonduality  
       2020-11-15 21:36:17 +08:00
    @singlepig 是的,去年我忽然开始发现每次冷启动一个程序,都要僵死半天,一开始以为是什么问题,但是关掉 wifi 就好了。后来搜索毛病的描述后,在老外的一篇文章看到原因,就是 Mac 软件冷启动都要连接一次 ocsp,只要网络不好,就会导致程序僵死很久。
    icyalala
        84
    icyalala  
       2020-11-15 21:45:18 +08:00   ❤️ 1
    @nonduality 技术的东西一是一二是二,连接不上导致 app hang 说明这个逻辑确实不合理,该骂就骂。
    但 OCSP 本身做了什么,做不了什么,能搞清就就一定要搞清,夸大、歪曲、错误的描述会让做技术的人感到恶心。
    jhdxr
        85
    jhdxr  
       2020-11-15 22:05:47 +08:00   ❤️ 3
    @nonduality 讨论技术就讨论技术,装出你弱你有理这种中国人惯有的陋习无助于论证你的观点。
    『你少来用一些技术名词糊弄人了』这种话只能暴露你的无知。
    zx900930
        86
    zx900930  
       2020-11-15 23:09:16 +08:00
    这样谁安装了梯子不是都不需要机器学习识别流量特征,直接扫你你不是装了客户端就行了?然后精准断网?
    DaiLan
        87
    DaiLan  
       2020-11-15 23:21:11 +08:00   ❤️ 1
    @nonduality 『你少来用一些技术名词糊弄人了』鸡毛一地
    madfishy
        88
    madfishy  
       2020-11-15 23:39:12 +08:00
    好家伙。柿子捏软的,一副忧国忧民的样子,几位哪天去静坐抗议墙啊?
    Anhedonia
        89
    Anhedonia  
       2020-11-15 23:39:13 +08:00   ❤️ 2
    @nonduality “奉劝某些苹果的精神股东:我们批评苹果,是要苹果改进技术方案,减少隐私泄漏风险,避免降低使用体验,而不是叫我读什么白皮书,让中国封锁苹果,或是让我们卖掉 Mac 。希望你们的良知没被狗吃了。”"除了恶语伤人的,没有人是狗。" "你少来用一些技术名词糊弄人了,你的苹果内部人士还是精神股东还是苹果教教徒?这么卖力给苹果辩护,真荒唐"

    人家实事求是给你讲了半天技术 最后给人家扣了个这么大帽子
    还他妈乔布斯缩短电脑启动时间
    你们这帮就看过个狗屁乔布斯传,压根没摸过老苹果的半吊子玩意能不能赶紧带着那套野史赶紧滚?
    舔了半天乔老头子,结果人家做出来的 4 及之前的机器个个硬伤拉满。一个大拇指头就能屏蔽的信号,压根就没有的软件商店,只有一个壁纸的 OS
    就一个 app store 都是联名上书给硬加进来的
    还乔布斯的初心
    要沿着乔布斯的一言堂搞苹果 苹果早他奶奶进下水道了

    你喷别人笑哈哈 别人喷你 4 个 Emoji ?


    ============
    现在的苹果就是个傻逼
    这是完全毋庸置疑的
    但是如果换乔布斯来
    以现在这样复杂且充满竞争的市场情况
    乔布斯只能再一次被踢
    z761031
        90
    z761031  
       2020-11-15 23:52:50 +08:00
    其他我不懂,但网络差会导致 mac 运行变慢,任何程序都变慢,这是实锤
    railgun
        92
    railgun  
       2020-11-16 01:43:12 +08:00   ❤️ 8
    一句话讲事实:Mac 在启动 App 的时候会用明文 HTTP 请求校验开发者证书的有效性。
    基于这个事实,路由上的窃听者可以知道某个 IP 下的用户什么时候启动了哪个开发者的 App 。=> 大多数开发者都只有一个 App => 可以知道用户启动了哪个 App
    这确实是个 bug 。解决方案楼主给了。修复起来不难。
    但也只是个 bug 。
    可是楼主,包括楼里的部分人,都情绪化了。
    这楼戾气太重。
    Yangz
        93
    Yangz  
       2020-11-16 01:56:22 +08:00 via Android
    嗯嗯,希望大家可以推进隐私和资讯方面的立法😄
    daveh
        94
    daveh  
       2020-11-16 07:50:37 +08:00 via iPhone
    @railgun 你告诉大家,一个 hash 值,怎么去找到对应的开发者?我有几个重要文件的 MD5/SHA1/SHA256 hash 值,你帮我把文件内容还原了吧。
    hash 加盐,这是一个刚入门安全编程的程序员都会的,你们觉得 Apple 的工程师不会?
    一些基本安全概念都没搞明白,还给人家出解决方法。
    另外并不是用 HTTP 就不安全,微信也用 HTTP,你们怎么不去喷?
    CommandZi
        95
    CommandZi  
       2020-11-16 09:21:28 +08:00
    用 http 而不是 https,可能是因为 https 比 http 多 4 步握手,怕影响 App 的打开速度吧
    openbsd
        96
    openbsd  
       2020-11-16 09:30:45 +08:00
    @bethebetter #43
    别的看了下,不争论。
    但是 “割手的边框” 这个梗 摸完真机后 顺便摸了下公司的玻璃门边框
    觉得自己真的智障了
    picone
        97
    picone  
       2020-11-16 09:45:09 +08:00
    只要每次请求 hash 值是唯一的,中间者就能对应确定这个 IP 启动了谁的应用
    sockpuppet9527
        98
    sockpuppet9527  
       2020-11-16 09:55:41 +08:00
    OCSP 这个玩意不是老东西了吧?这也能吹?

    前几年就在公司一个组做这个玩意,那个项目已经做了很久了。完了代码就是一坨屎。我还呆了很久。

    说白了就一个协议,没什么高大上的,要我说 OCSP 就是老太太的裹脚布

    还有 lz 发的贴,专业水平有点低下。
    aydd2004
        99
    aydd2004  
       2020-11-16 09:56:54 +08:00
    @sockpuppet9527 你看看楼主发的帖子历史
    sockpuppet9527
        100
    sockpuppet9527  
       2020-11-16 09:58:26 +08:00
    @sockpuppet9527 #98
    对了,之前 jdk1.6 还是多少,jce 有一个严重 bug,那个时候基于这个版本的 jce 有字段空的会抛出异常,应该到了 1.8 才修。
    老实说,这个东西真没啥人用
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1074 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 18:27 · PVG 02:27 · LAX 10:27 · JFK 13:27
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.