苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

2020-11-15 09:58:27 +08:00
 bethebetter

https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours

These OCSP requests are transmitted unencrypted.

https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验

但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!

14756 次点击
所在节点    Apple
112 条回复
bethebetter
2020-11-15 13:19:40 +08:00
@icyalala
@wyfyw
https://www.reuters.com/article/us-apple-fbi-icloud-exclusive-idUSKBN1ZK1CT

```six sources familiar with the matter told Reuters```
库克领导下的苹果早都放弃云端加密了
laike9m
2020-11-15 13:24:37 +08:00
所以要怎么禁用呢?
bethebetter
2020-11-15 13:25:23 +08:00
@reus 库克现在之对股东负责,从产品的发展趋势来看,利润优先,不在是做伟大的产品了,而是做卖钱的产品,看看 iPhone 12 为了变化而变化,瞧瞧那割手的边框,回过头看看陪着乔布斯一起复兴苹果的设计师 Ive 离职,真是应证了库克的利润优先,https://www.wsj.com/articles/jony-ive-is-departing-apple-but-he-started-leaving-years-ago-11561943376
```grew frustrated inside a more operations-focused company led by Chief Executive Tim Cook```
库克这种违背产品根基的领导 apple 方式,注定不可能长久保持苹果的创新力量,一旦股东施压利润财报,苹果就只能造出二流产品
mengyx
2020-11-15 13:27:02 +08:00
网站使用 OCSP 的方式和 Apple 使用 OCSP 的方式确实不一样。但是不是楼主所说的。

一般的网站使用 OCSP 是通过 Staping 发送给你的,简而言之就是服务器向 CA 请求 OCSP Response 并缓存(有效期很短,一般只有几天),在客户端请求服务器证书的时候一并发送。这个过程中,和你通信的只有网站服务器。

Apple 使用 OCSP 是客户端自己去访问 CA OCSP 服务器,于是出现各样的隐私问题。
bethebetter
2020-11-15 13:31:52 +08:00
@laike9m 不可能一劳永逸,苹果系统更新大改快,M1 芯片后面只会越来越封闭,可能不久以后就是讨论 macOS xxx 越狱

看看库克领导下出了多少个 iPad,各种精准刀法,只是为了利润最大化,而不是做牛逼的产品

库克:科技以换皮为本$$$!能卖钱就行$$$!
bethebetter
2020-11-15 13:35:36 +08:00
@mengyx 根据我看到的信息,Chrome 没用 OCSP 而是自己维护一个列表,期待行业专业人士 @gps949 来回答一下,OCSP 没用 https 可能因为这是现有鸡还是先有蛋的问题
@gps949 期待 CA 行业大佬来给个精确的回答
wyfyw
2020-11-15 13:49:47 +08:00
hello2060
2020-11-15 13:51:13 +08:00
@bethebetter 怕怕,手里还有不少苹果股票,大概啥时候卖掉比较好?
bethebetter
2020-11-15 13:58:54 +08:00
@wyfyw
@hello2060
我可能被 @gps949 Block 了,后面谁个回复的时候 @下 gps949 这个 CA 行业专业人士,让他给我们讲下 CA 浏览器验证这块是怎么做的

OCSP 去验证开发者证书,这个隐私问题极大,就拿我之前回复的用 Porn 软件,那么 http 这一路所有人都知道我在看 Porn 或者至少装了 Porn 家开发的软件

苹果为什么一个私有系统要用明文的 OCSP 协议发这种敏感的信息,以苹果一直鼓吹的隐私,随便一个 https 子域名加上自己弄个私有协议应该也不是什么难事
bethebetter
2020-11-15 14:17:49 +08:00
@hello2060 什么时候卖苹果股票?

关键几个点:
M1 失败,没有达到预期的效果
iphone 中国销量大幅下滑,降价也不起作用
ios 优势尽失,安卓隐私与苹果手机没有大的区别
国内开放 Google Play,更重要的是谷歌重返中国

这几个点就可以卖了

目前来看苹果的衰败迹象:
人事变动
iphone 品控下降,微博 iphone12 插纸,这问题已经出现有两年了,品控下降
鼓吹环保,产品线复杂 ipad,以盈利而不是产品创新为基准
iphone 12 的回归 iphone4 5 时代的直角边框,苹果这次宣传说这是创新,绝口不提大尺寸割手问题
如果 iphone13 还在用闪电口,并且没有革命好的数据传输替代方案,那它利润为导向的面目就无需争辩了
hello2060
2020-11-15 14:33:19 +08:00
@bethebetter 就是这两天先不卖? M1 怎么才算失败啊? ios 现在不是已经没有优势了吗?
hello2060
2020-11-15 14:39:37 +08:00
@bethebetter 等这几个点到了那再卖肯定来不及了
你来预测下
1. M1 销量怎么样? macbook 大概销量下滑多少?利润下滑多少?
2. iPhone 什么时候大量下滑?下滑多久后降价?降价后销量怎么样?
3. iOS 隐私优势何在?啥时候丧失?
4. Google play 何时开放?何时 google 重返中国?
bethebetter
2020-11-15 14:58:42 +08:00
@hello2060 作为苹果现股东,你为什么要买苹果股票?说说看,说不定有人能解答你现在遇到的问题
twl007
2020-11-15 15:04:10 +08:00
要是一个简单的 OCSP 就能暴露这么多隐私 我觉得大家还是别上网了 浏览器也别用了 毕竟通过 Canvas 以及 WebGL 也能追踪到你的浏览器不是?

Apple 有完整的隐私相关的介绍 大家都不去看
https://www.apple.com.cn/privacy/features/
twl007
2020-11-15 15:09:25 +08:00
@bethebetter 而且 Chrome 的实现看起来也没那么好吧 毕竟时效性不如 OCSP 如果你那么在意这个的话你在意不在意 Chrome CRList 更新的慢可能带来的风险?
rosu
2020-11-15 15:34:34 +08:00
苹果的 oscp 请求包含楼主个人信息了吗?
pC0oc4EbCSsJUy4W
2020-11-15 15:38:35 +08:00
卧槽,怕什么啊

微信聊天都能被精准广告,还是能联系上下文的(不好发截图)当时和朋友聊空调,内容有错别字,朋友矫正了,空调价格,匹数牌子,都是断行的,而且比较多,没过几个小 h,京东给我们 2 个都发了精准的广告短信,内容就是聊天内容抓取的,特别精准(上次发群里了,图片找不到了),除非立法,否则爱怎么怎么滴。
iNaru
2020-11-15 16:08:53 +08:00
littiefish
2020-11-15 16:14:32 +08:00
天呢,太吓人了,楼主赶紧把 iPhone 扔了吧,50 包邮
hello2060
2020-11-15 16:18:14 +08:00
@bethebetter 因为 M1 销量好的很,因为 iPhone 卖的好的很,虽然他隐私保护比 android 还差。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/725369

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX