苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

2020-11-15 09:58:27 +08:00
 bethebetter

https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours

These OCSP requests are transmitted unencrypted.

https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验

但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!

14756 次点击
所在节点    Apple
112 条回复
icyalala
2020-11-15 11:08:58 +08:00
@bethebetter 除非你的 App 完全不联网,否则网络运营商肯定知道你干啥啊。。
LudwigWS
2020-11-15 11:12:31 +08:00
@natashahollyz 证据呢,现在张口就来了?安卓是不是一次都不拒绝?先把通讯录权限的流氓软件搞定吧
bethebetter
2020-11-15 11:13:50 +08:00
@SingeeKing Chrome 根据 https://dev.chromium.org/Home/chromium-security/crlsets 来看用的是 CRLSets,自己维护 list,你有更好的说明网址可以贴下给大家看看
natashahollyz
2020-11-15 12:00:32 +08:00
@LudwigWS 装什么呢?用个苹果用傻了是吗?真就精神股东了?我也用苹果,但没你这么单纯。随手搜的一个,要多的我还能给你搜。{最初,苹果接受了一项正式命令,即帮助司法部进入冯军的手机}。一个够不?不够再给你找几个出来。无脑生物不要张口就来了
natashahollyz
2020-11-15 12:01:49 +08:00
@LudwigWS 别什么事都扯安卓,我只用苹果。但是不像你,用了个产品就当精神股东了
natashahollyz
2020-11-15 12:18:58 +08:00
@LudwigWS 精神股东你好,来,苹果自己的数据给你了 /legal/transparency/us.html 前面网址自己加,July - December 2019 Requests Received 781 Device, Percentage of Requests where Data Provided 97%。其它的多了我就不列了,自己慢慢看吧。
顺手再贴个新闻
库克:XX 从未要求苹果公司解锁手机但美国要求了
你信不?你不信是吧。那苹果说拒绝 us 的要求你就信了?
只要是 cn 的你就不信,是 us 的你就信,说你啥好呢?
顺手把你 b 了,用个东西用魔怔了不太好。
nonduality
2020-11-15 12:22:41 +08:00
有段时间(现在依然如此),在 MacOS 运行程序非常慢,总得很多秒才能打开。后来有人公开其罪魁祸首就是程序运行就必须先访问 ocsp.apple.com ,但由于网络不太好,迟迟得不到服务响应,导致程序半天打不开。

苹果越来越霸道、罪恶和垃圾了!
hoyixi
2020-11-15 12:23:39 +08:00
支持中国大陆封禁苹果,苹果封禁中国大陆用户。我期待这一天已经很久了。
natashahollyz
2020-11-15 12:23:41 +08:00
顺手再贴个网址 /legal/transparency/account.html

July - December 2019

China mainland
45 2,085 0 39 2 91%

United States of America
4,095 31,780 98 1,921 1,724 89%
nonduality
2020-11-15 12:25:30 +08:00
@hoyixi 这个事情在海内外很多网站包括 HN 都在热烈讨论,跟中国大陆有啥关系?你少上蹿下跳横加挑拨了
nonduality
2020-11-15 12:30:06 +08:00
@icyalala 网络运营商位于我的电脑的外部,我是可以想办法规避的(比如用匿名网络),而且有些软件如播放器,只要我不使用网络,网络运营商无从知道我使用。而苹果作为操作系统的提供者,它对用户做这种监控,可以作的恶远远超过网络运营商。
hoyixi
2020-11-15 12:30:33 +08:00
@nonduality #30
海外讨论的事儿多了,能海内讨论的不多,所以,该封就要封,不要对美帝资本搞特殊。支持封禁苹果
daveh
2020-11-15 12:35:27 +08:00
@bethebetter 首先你说的这类 app 基本上上不了架,一般开发者证书签这个没什么用;其次这类 app 一般都盗用的企业证书,比如中国移动的,通过 OCSP 记录 ISP 一看好啊用我家 app 了(先假设 ISP 能通过 hash 反查到谁家证书);最后,你的 DNS 、IP 访问记录泄漏了你在干什么,这比 OCSP 有用多了。
nonduality
2020-11-15 12:38:20 +08:00
@hoyixi 好好说话,别胡搅蛮缠
icyalala
2020-11-15 12:38:21 +08:00
@natashahollyz 毒贩 Jun Feng 那件事后来僵持了很久,后来法庭文件说明 FBI 从灰帽黑客那里买漏洞自己破解的。

https://www.apple.com/legal/transparency/pdf/requests-2019-H2-en.pdf
苹果透明度调查说的是苹果服务,比如 iCloud 里的邮件、通讯录、照片。
iMessage 或 FaceTime 这类端对端加密,还有设备本身的密码是不会提供的。
icyalala
2020-11-15 12:41:22 +08:00
@nonduality 苹果使用 OCSP 无法对用户的进行 "监控",使用 OCSP 它甚至你是谁、什么时候用了什么 App 都监控不到。
如果运行商对 OCSP 做了监控,那么运行商作恶远超苹果。
reus
2020-11-15 12:56:03 +08:00
@natashahollyz 苹果是上市公司,谁买了苹果股票,谁就是苹果股东,“精神股东”,呵呵,说不定他真的是股东。股东维护自己投资的公司的利益,合情合理合法!不服?不服你就去呼吁抵制苹果,封杀苹果!美国都封杀华为了,中国封杀苹果才是对等制裁!
wyfyw
2020-11-15 13:09:34 +08:00
@icyalala 请教一下,如果打开了 iMessage on iCloud 是不是就和 iCloud 的照片一样明文存储了?
WebKit
2020-11-15 13:11:01 +08:00
@bethebetter Google 的做法跟你说的 有点类似,不过他是把 list 分发下来
lscho
2020-11-15 13:16:16 +08:00
早就屏蔽这个域名了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/725369

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX