苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

运营商不是早就可以精准的分析你所有的应用流量详情了吗 ，早就没有底裤了，怎么突然吵这么火热。
https://s3.ax1x.com/2020/11/15/Diz5qA.png
见怪不怪了 本来就没什么隐私可言

@bethebetter OCSP 可以不依赖于可信信道，因为 OCSP Response 是由 CA 的 PrivateKey 进行签名的，收到的人是可以通过 CA 公钥进行验证的。
Apple 这里的问题并不是安全性的问题，而是客户和 OCSP 服务器之间直接通信引发的隐私问题

混在正经讨论中的阴阳怪气还挺好笑的

这也能吵，本来就没什么隐私

目前来看，这并不是什么非常严重的问题

@icyalala 只要你登入的 iCloud，每次连接网络都有可能向苹果的服务器发送你的身份信息，加上向 oscp 发送的程序信息（发送时必定有时间、IP 、地点），原则上你在电脑里做的任何事情苹果服务器都有能力描绘出来。

就本身而言，我愿意把浏览器记录、Notes 等信息由苹果的服务器同步，那是因为我知道处理好哪些属于私密信息，但连我使用什么程序苹果都要追踪，甚至有时搞到我启动一个程序都慢到恼火，这就很邪恶了。

如果是国内厂商做这种事情 i2ex 会怎么骂呢

@nonduality 请阅读 Apple 的差分隐私技术的白皮书 https://www.apple.com/privacy/docs/Differential_Privacy_Overview.pdf

欢迎拿不用的 iphone mac 等设备来找我换不锈钢脸盆

@twl007 今天通过 Hack News，我已经读过一篇分析 ocsp 的技术细节的文章。说到底，我还是认为苹果的这个技术方案是有隐私泄漏风险的。而且，在网络状况不好的情况下，ocsp 会导致程序初次运行（不是刚安装从没运行过，而是程序没在内存里运行，新启动它），会出现半天都没打开的令人恼火的问题。这都充分说明苹果这个技术方案是有严重缺陷的，无论是隐私泄漏风险还是给用户带来使用体验上的困扰。

奉劝某些苹果的精神股东：我们批评苹果，是要苹果改进技术方案，减少隐私泄漏风险，避免降低使用体验，而不是叫我读什么白皮书，让中国封锁苹果，或是让我们卖掉 Mac 。希望你们的良知没被狗吃了。

@nonduality 然而这个风险有多大呢 就像你提到的发送时必定有时间、IP 、地点 但是实际上数据里面并没有地点 时间这些东西也都是属性自带的 通过这些来判断是某个用户装了什么的可行性有多少？ 你技术上要如何实现这些？

至于使用困扰那是应该去解决的 但是如果说泄露隐私的话还是担心下 ISP 比较好 相对于其他更大的问题 说实话我不觉得这个是个什么严重的问题 你自己去拦截一下这些请求 能从中复原出什么信息呢？

我只是觉得大家把一个看起来很简单的问题变得很严重化 反而对真正严重的问题视而不见 如果你对 OCSP 觉得这么严重的话 name 你对 TLS1.3 以前的协议中 SNI 没有加密的问题怎么看 相对于这么费劲的才能知道你装了什么 app 这个可是会直接泄露你访问了什么网站而且 ISP 直接就能拦截到的 那是不是我们都不要用 TLS 了？

@twl007 首先，苹果作为当今星球上最牛逼的科技公司，你没资格质疑苹果的技术能力，现今大数据完全有能力描绘用户画像，而苹果集中具备了所有苹果用户的数据，因此这个能力完全是存在的，就看苹果要不要作恶，或让某些力量利用了去作恶。

你和有些人总在把火引向网络运营商。问题是，世界上的网络运营商有很多很多，就算它们会收集数据，也永远没有苹果自家服务器收集到的数据充分和完备；其次，网络服务商向无数用户提供服务，那么针对很小比例的 Mac 用户收集数据，它就算有这个意愿，也要考虑成本是否划得来吧？再说，就算网络服务商真收集了，是谁向网络运营商提供了这个收集数据的能力，还不是使用了有缺陷有漏洞 ocsp 技术的苹果公司？

我再次强调一点，苹果公司和我们的力量是不对称的。苹果是当今市值最高的科技公司，是 MacOS 的开发者，我们要的就是苹果改变它这个有缺陷的技术方案，而不是要求我们如何“适应”苹果有缺陷的技术方案！

我从十年前就使用苹果的产品，从 iPod，到 iPad，iPhone，MBA，MBP，Mac Mini……，但我始终相信一点，我们使用苹果的产品，欣赏它的优点，但不要做苹果教的虔诚教徒，变着莫名其妙的法子为它的问题辩护，好像别人批评到苹果就攻击到他一样，不就几个电子产品么，有这必要吗？真这么缺信仰吗？

本来对这个 hash 校验没那么敏感，但它好像是我每次休眠唤醒卡几秒的元凶……

echo "127.0.0.1 ocsp.apple.com" | sudo tee -a /etc/hosts

@nonduality 哎我都替你着急。。
OCSP 是标准协议，OCSP 服务器收不到你的个人 ID，OCSP 无法追踪到"你"，也拿不到"你"的个人信息。
甚至 OCSP 请求的不是程序 ID 而是开发者 ID，而且也只是首次启动和长时间未启动过才会请求 OCSP 。
看这么多资料你还不理解这东西吗？骂苹果也要讲事实好吧。。

你使用 iCloud，苹果就能拿到你上传的全部资料，ZF 部门请求也能拿到。这是另外一回事儿。

@icyalala 苹果实施的 ocsp 的风险有两点：1 、无加密连接苹果的 ocsp 服务器； 2 、苹果知道你的 iCloud ID 。综合这两点足以让苹果知道你在使用什么程序。

如上面有人提示的，有的公司实施的 ocsp 技术，是把一个 ID 列表下载存放到用户本地，使用时进行比对，而不是像苹果这么做，每次程序启动都要向 ocsp.apple.com 发送请求，还引发当网络状况不佳时程序僵死的问题。

我还为你着急呢，被苹果坑了还帮它说话。

想用就用不想用就不用，有啥好吵的，不要总把自己放在道德制高点去批评别人，狗咬狗一嘴毛

苹果在看着你

@titi14gj 除了恶语伤人的，没有人是狗。针对这个事情，吵是为了形成一种舆论氛围，让苹果放下傲慢的姿态，主动为用户解决这个问题。

毕竟，苹果拥有 2 万亿左右的市值，只要用一点资源做出改变，便能惠及所有的 Mac 用户，而不是继续让用户承担风险和忍受糟糕的使用体验。

乔布斯当年说服一个员工缩短苹果电脑的启动时间，那个员工说不可能做到，乔布斯说了一句：只要你能缩短启动时间 xx 秒，那我们有上百万用户的话，就能为他们节省 xxx 年的时间，你说不值得吗？那个员工接受并做到了。

但愿现在的苹果仍保有乔布斯的初心。

@nonduality
OCSP 本身是标准协议，不能随意乱改。也不能用 SSL，因为 SSL 本身也需要 OCSP 。
把证书和吊销信息下载那不是 OSCP 。
苹果知道你的 iCloud ID，即使不用 OSCP 也能知道你在用什么程序。
苹果的 OSCP 服务器无法把请求和你的 iCloud ID 匹配，而且 OSCP 本身不包含程序信息。
OSCP 请求也不是 "每次" 都请求。