苹果用 http OCSP 协议校验每个程序的 HASH 这个没得洗

https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours

These OCSP requests are transmitted unencrypted.

https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol

OCSP 一般浏览器用来校验 CA 根证书状态，根 CA 可以签发多个不同的网站，并不是把你访问网站的域名发过去校验

但是$Apple OCSP$这个东西就厉害了，他是校验你程序的 HASH，你运行任何程序都会发给他，我们苹果太厉害啦！

singlepig

2020-11-15 21:25:17 +08:00

@nonduality 靠！！原来不是我一个人有这个问题！不知道从什么时候开始，发现如果在连接了不能上外网的 wifi 的时候，冷启动一个应用总要在 dock 上跳好久才能打开，试过好多次，只要连着外网或者禁用 wifi，打开就很快！

nonduality

2020-11-15 21:30:48 +08:00

@icyalala 你少来用一些技术名词糊弄人了，你的苹果内部人士还是精神股东还是苹果教教徒？这么卖力给苹果辩护，真荒唐

我使用自己下载的 IINA，每次启动都僵死半天，请问到底是怎么回事？

nonduality

2020-11-15 21:36:17 +08:00

@singlepig 是的，去年我忽然开始发现每次冷启动一个程序，都要僵死半天，一开始以为是什么问题，但是关掉 wifi 就好了。后来搜索毛病的描述后，在老外的一篇文章看到原因，就是 Mac 软件冷启动都要连接一次 ocsp，只要网络不好，就会导致程序僵死很久。

icyalala

2020-11-15 21:45:18 +08:00

@nonduality 技术的东西一是一二是二，连接不上导致 app hang 说明这个逻辑确实不合理，该骂就骂。
但 OCSP 本身做了什么，做不了什么，能搞清就就一定要搞清，夸大、歪曲、错误的描述会让做技术的人感到恶心。

jhdxr

2020-11-15 22:05:47 +08:00

@nonduality 讨论技术就讨论技术，装出你弱你有理这种中国人惯有的陋习无助于论证你的观点。
『你少来用一些技术名词糊弄人了』这种话只能暴露你的无知。

zx900930

2020-11-15 23:09:16 +08:00

这样谁安装了梯子不是都不需要机器学习识别流量特征，直接扫你你不是装了客户端就行了？然后精准断网？

DaiLan

2020-11-15 23:21:11 +08:00

@nonduality 『你少来用一些技术名词糊弄人了』鸡毛一地

madfishy

2020-11-15 23:39:12 +08:00

好家伙。柿子捏软的，一副忧国忧民的样子，几位哪天去静坐抗议墙啊？

Anhedonia

2020-11-15 23:39:13 +08:00

@nonduality “奉劝某些苹果的精神股东：我们批评苹果，是要苹果改进技术方案，减少隐私泄漏风险，避免降低使用体验，而不是叫我读什么白皮书，让中国封锁苹果，或是让我们卖掉 Mac 。希望你们的良知没被狗吃了。”"除了恶语伤人的，没有人是狗。" "你少来用一些技术名词糊弄人了，你的苹果内部人士还是精神股东还是苹果教教徒？这么卖力给苹果辩护，真荒唐"

人家实事求是给你讲了半天技术最后给人家扣了个这么大帽子
还他妈乔布斯缩短电脑启动时间
你们这帮就看过个狗屁乔布斯传，压根没摸过老苹果的半吊子玩意能不能赶紧带着那套野史赶紧滚？
舔了半天乔老头子，结果人家做出来的 4 及之前的机器个个硬伤拉满。一个大拇指头就能屏蔽的信号，压根就没有的软件商店，只有一个壁纸的 OS
就一个 app store 都是联名上书给硬加进来的
还乔布斯的初心
要沿着乔布斯的一言堂搞苹果苹果早他奶奶进下水道了

你喷别人笑哈哈别人喷你 4 个 Emoji ？

============
现在的苹果就是个傻逼
这是完全毋庸置疑的
但是如果换乔布斯来
以现在这样复杂且充满竞争的市场情况
乔布斯只能再一次被踢

z761031

2020-11-15 23:52:50 +08:00

其他我不懂，但网络差会导致 mac 运行变慢，任何程序都变慢，这是实锤

kerro1990

2020-11-15 23:59:29 +08:00

127.0.0.1 ocsp-lb.apple.com.akadns.net
127.0.0.1 ocsp-cn-lb.apple.com.akadns.net
127.0.0.1 ocsp.apple.com.download.ks-cdn.com
127.0.0.1 k128-mzstatic.gslb.ksyuncdn.com
127.0.0.1 ocsp.apple.com.cdn20.com
127.0.0.1 ocsp.g.aaplimg.com
127.0.0.1 ocsp.apple.com
127.0.0.1 ocsp.digicert.com

railgun

2020-11-16 01:43:12 +08:00

一句话讲事实：Mac 在启动 App 的时候会用明文 HTTP 请求校验开发者证书的有效性。
基于这个事实，路由上的窃听者可以知道某个 IP 下的用户什么时候启动了哪个开发者的 App 。=> 大多数开发者都只有一个 App => 可以知道用户启动了哪个 App
这确实是个 bug 。解决方案楼主给了。修复起来不难。
但也只是个 bug 。
可是楼主，包括楼里的部分人，都情绪化了。
这楼戾气太重。

Yangz

2020-11-16 01:56:22 +08:00

嗯嗯，希望大家可以推进隐私和资讯方面的立法😄

daveh

2020-11-16 07:50:37 +08:00

@railgun 你告诉大家，一个 hash 值，怎么去找到对应的开发者？我有几个重要文件的 MD5/SHA1/SHA256 hash 值，你帮我把文件内容还原了吧。
hash 加盐，这是一个刚入门安全编程的程序员都会的，你们觉得 Apple 的工程师不会？
一些基本安全概念都没搞明白，还给人家出解决方法。
另外并不是用 HTTP 就不安全，微信也用 HTTP，你们怎么不去喷？

CommandZi

2020-11-16 09:21:28 +08:00

用 http 而不是 https，可能是因为 https 比 http 多 4 步握手，怕影响 App 的打开速度吧

openbsd

2020-11-16 09:30:45 +08:00

@bethebetter #43
别的看了下，不争论。
但是 “割手的边框” 这个梗摸完真机后顺便摸了下公司的玻璃门边框
觉得自己真的智障了

picone

2020-11-16 09:45:09 +08:00

只要每次请求 hash 值是唯一的，中间者就能对应确定这个 IP 启动了谁的应用

sockpuppet9527

2020-11-16 09:55:41 +08:00

OCSP 这个玩意不是老东西了吧？这也能吹？

前几年就在公司一个组做这个玩意，那个项目已经做了很久了。完了代码就是一坨屎。我还呆了很久。

说白了就一个协议，没什么高大上的，要我说 OCSP 就是老太太的裹脚布

还有 lz 发的贴，专业水平有点低下。

aydd2004

2020-11-16 09:56:54 +08:00

@sockpuppet9527 你看看楼主发的帖子历史

sockpuppet9527

2020-11-16 09:58:26 +08:00

@sockpuppet9527 #98
对了，之前 jdk1.6 还是多少，jce 有一个严重 bug，那个时候基于这个版本的 jce 有字段空的会抛出异常，应该到了 1.8 才修。
老实说，这个东西真没啥人用

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/725369

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.