Την περασμένη Πέμπτη στις 12, η Apple παρουσίασε την τελική έκδοση του macOS Big Sur και σχεδόν μια εβδομάδα αργότερα ξεκινήσαμε να ελέγχουμε τα πρώτα προβλήματα αυτής της νέας έκδοσης. Όχι μόνο στο επίπεδο του συμβατότητα με ορισμένα Mac, ειδικά με παλαιότερα μοντέλα συμβατά με τη νέα έκδοση του λειτουργικού συστήματος, εάν δεν υπάρχουν επίσης δυσκολίες κατά το άνοιγμα ορισμένων εφαρμογών κατά τη σύνδεση στο Διαδίκτυο. Φαίνεται ότι το πρόβλημα βρίσκεται στον διακομιστή OCSP της Apple.
Για να κατανοήσουμε το πρόβλημα λίγο καλύτερα, είναι απαραίτητο να γνωρίζουμε από πρώτο χέρι τι αποτελείται ο διακομιστής OCSP της Apple και το Gatekeeper.
Όλα τα Mac διαθέτουν ένα σύστημα ασφαλείας που επιβεβαιώνει ότι οι εφαρμογές που εκτελούμε είναι ασφαλείς. Αυτή η επαλήθευση βασίζεται σε ένα μικρό πιστοποιητικό που περιλαμβάνεται στην εφαρμογή και το οποίο αποδεικνύει ότι η Apple τα έχει επαληθεύσει όταν το έχει στείλει ο προγραμματιστής και έχει επαληθεύσει ότι όλα είναι σωστά. Το σύστημα πρέπει να επαληθεύσει ότι εξακολουθεί να ισχύει και ότι δεν έχει ανακληθεί για λόγους ασφαλείας. Έτσι, με την εκτέλεση κάθε εφαρμογής, το σύστημα ρωτά τους διακομιστές OCSP (Διαδικτυακό πρωτόκολλο κατάστασης πιστοποιητικού) από την κατάσταση του πιστοποιητικού. Εάν οι διακομιστές της Apple απαντήσουν ότι εξακολουθεί να ισχύει, η εφαρμογή ξεκινά χωρίς άλλη καθυστέρηση.
Τώρα, λάβετε υπόψη ότι αυτή η σύνδεση με τους διακομιστές δεν είναι κρυπτογραφημένη. Εάν χρησιμοποιήθηκε μια σύνδεση HTTPS, θα εισερχόταν σε έναν ατελείωτο βρόχο. Το HTTPS θα πρέπει να ελεγχθεί χρησιμοποιώντας OCSP και το HTTPS check θα πρέπει να χρησιμοποιείται για τον έλεγχο OCSP και ούτω καθεξής.
Με το macOS Big usr, η κίνηση OCSP εξακολουθεί να μην είναι κρυπτογραφημένη
Μετά την κυκλοφορία του macOS Big Sur την Πέμπτη, οι χρήστες Mac άρχισαν να αντιμετωπίζουν προβλήματα κατά το άνοιγμα εφαρμογών ενώ ήταν συνδεδεμένοι στο Διαδίκτυο. Η σελίδα κατάστασης συστήματος της Apple απέδωσε την κατάσταση σε προβλήματα με την υπηρεσία συμβολαιογράφου αναγνωριστικού προγραμματιστή και ο προγραμματιστής Jeff Johnson διευκρίνισε ότι υπήρχαν προβλήματα σύνδεσης με τον διακομιστή OCSP της Apple. Ο Jeffrey Paul πρόσθεσε Επιπλέον, η κίνηση OCSP που δημιουργείται από macOS δεν είναι κρυπτογραφημένη και θα μπορούσε να το δει κανείς από τους ISP (Internet Service Providers).
Η Apple ανταποκρίθηκε στο θέμα ενημέρωση του εγγράφου υποστήριξής σας "Ανοίξτε τις εφαρμογές με ασφάλεια στο Mac σας" με νέες πληροφορίες:
Το macOS έχει σχεδιαστεί για να διατηρεί τους χρήστες και τα δεδομένα τους ασφαλή, ενώ σέβεται το απόρρητό τους Το Gatekeeper πραγματοποιεί διαδικτυακούς ελέγχους για να δει εάν μια εφαρμογή περιέχει γνωστό κακόβουλο λογισμικό και εάν ανακαλείται το πιστοποιητικό υπογραφής του προγραμματιστή. Ποτέ δεν συνδυάσαμε τα δεδομένα από αυτά τα στοιχεία ελέγχου με πληροφορίες σχετικά με τους χρήστες της Apple ή τις συσκευές τους. Δεν χρησιμοποιούμε τα δεδομένα από αυτούς τους ελέγχους για να μάθουμε ποιοι μεμονωμένοι χρήστες ξεκινούν ή εκτελούνται στις συσκευές τους. Η συμβολαιοποίηση ελέγχει εάν η εφαρμογή περιέχει γνωστό κακόβουλο λογισμικό χρησιμοποιώντας μια κρυπτογραφημένη σύνδεση που είναι ανθεκτική σε αποτυχία διακομιστή.
Αυτοί οι έλεγχοι ασφαλείας Δεν έχουν συμπεριλάβει ποτέ το Apple ID του χρήστη ή την ταυτότητα της συσκευής τους. Για την περαιτέρω προστασία του απορρήτου, σταματήσαμε να καταγράφουμε διευθύνσεις IP που σχετίζονται με ελέγχους πιστοποιητικών αναγνωριστικού προγραμματιστή και θα διασφαλίσουμε ότι όλες οι διευθύνσεις IP που συλλέχθηκαν θα καταργηθούν από τα αρχεία καταγραφής.
Εκτός από όλα τα παραπάνω, η εταιρεία της Καλιφόρνιας σχεδιάζει να εισαγάγει αρκετές αλλαγές στο σύστημα κατά το επόμενο έτος:
- Un νέο κρυπτογραφημένο πρωτόκολλο για ελέγχους ανάκλησης πιστοποιητικού αναγνωριστικού προγραμματιστή
- Βελτιώσεις προστασίας σε περίπτωση αποτυχίας διακομιστή.
- Μια νέα προτίμηση για χρήστες ήγια τη μη συμμετοχή σε αυτές τις προστασίες ασφαλείας. Με αυτόν τον τρόπο, εάν κάποιος χρήστης προτιμά να εκτίθεται στον κίνδυνο μη επαληθευμένων εφαρμογών, μπορεί να απενεργοποιήσει πλήρως, υπό την ευθύνη του, το σύστημα.
Το θέμα είναι ότι η Apple θέλει να σέβεται το απόρρητο των χρηστών, επομένως τροποποιεί το έγγραφο υποστήριξής της και γνωστοποιεί μελλοντικά σχέδια για τη βελτίωση αυτών των ζητημάτων. Θα παρακολουθήσουμε προσεκτικά αυτήν την εξέλιξη, γιατί προσωπικά ένα από τα χαρακτηριστικά που επαινώ περισσότερο