关注

《苹果真的记录妳运行的每个应用吗》

blog.jacopo.io/en/post/apple-o

@dimlau 没有发送应用的hash,发送的是开发者的证书的hash。但是在很多情况下,知道了开发者证书,就能唯一确定应用。

其实这都不是事。问题在于没有加密。2020年了,没有加密。

我愿意相信这一次苹果是蠢,不是坏,但是无论动机,这个失误都能被国家级的监控利用。

又一次证明,如果用户用隐私和自由换取安全,最终的结果可能是安全也得不到。

@wsb

的确加密且有开关选项更好。

但是我猜按照苹果的风格,所谓选项,如果有的话,就是回到之前版本的那个默认显示可选信任第三方软件的选项吧。

另外在 Wikipedia 上找到这条,协议本身不要求加密:

OCSP does not mandate encryption, so other parties may intercept this information

en.wikipedia.org/wiki/Online_C

具体研究不透了,大概就是早该更新或者抛弃的协议了吧。

@dimlau @wsb 连接不加密内容也是可以加密的嘛

@i @dimlau 我突然懂了,我断句的问题……对啊,内容是可以加密的。苹果可以在系统里装一个OCSP专用的证书,用这个公钥来加密。

@dimlau 其实我不大知道之前是怎么样的,但是这个OCSP验证似乎是在比较近的版本才引进的……

@wsb @dimlau ocsp 协议本身确实不加密…不然就会有鸡生蛋的问题,但苹果可以选择不用ocsp来发送这些信息

@Vigilante @dimlau 我觉得鸡生蛋是个伪问题,建立任何信任都需要基点,这也是为什么操作系统会安装那么多根证书。

OCSP也一样,其传输过程中的加密,可以通过安装一个长效、专用的证书来解决。

@Vigilante @dimlau 我刚刚又看了下苹果OCSP服务器的回复,回复没有加密,但是签名过了,而为了validate这个签名,就需要信任苹果的一个CA——既然信任链条已经建立了,为什么不加密呢?

@wsb @dimlau 个人认为问题不是apple到底有没有收集,更大的问题是明文中间人能拿到。

登录以加入对话
TzCafe

一个畅所欲言的网上咖啡馆,欢迎在这里交流,就像在现实中的咖啡馆里那样。