Múlt 12-én, csütörtökön az Apple bemutatta a macOS Big Sur végleges verzióját, és majdnem egy hét múlva elkezdtük ellenőrizni ennek az új verziónak az első problémáit. Nem csak a kompatibilitás egyes Mac-ekkel, nevezetesen az operációs rendszer új verziójával kompatibilis régebbi modellekkel, ha nem, akkor nehézségekbe ütköznek bizonyos alkalmazások internet-csatlakozás közben történő megnyitása is. Úgy tűnik, hogy a probléma az Apple OCSP szerverén rejlik.
Ahhoz, hogy egy kicsit jobban megértsük a problémát, kézből kell tudni, miből áll az Apple OCSP szervere és a Gatekeeper.
Minden Mac rendelkezik biztonsági rendszerrel, amely ellenőrzi, hogy az általunk futtatott alkalmazások biztonságosak-e. Ez az ellenőrzés egy kis tanúsítványon alapul, amely az alkalmazásban található, és amely kimondja, hogy az Apple ellenőrizte őket, amikor a fejlesztő elküldte nekik, és ellenőrizte, hogy minden rendben van-e. A rendszernek ellenőriznie kell, hogy továbbra is érvényes-e, és biztonsági okokból nem vonták-e vissza. Tehát az egyes alkalmazások futtatásával a rendszer megkéri a szervereket OCSP (online tanúsítványállapot -protokoll) a tanúsítvány státusza szerint. Ha az Apple szerverei azt válaszolják, hogy még mindig érvényes, az alkalmazás minden további nélkül elindul.
Most ne feledje ez a kapcsolat a szerverekkel nincs titkosítva. Ha HTTPS kapcsolatot használnának, az végtelen ciklusba kerülne. A HTTPS-t OCSP-vel kell ellenőrizni, és HTTPS-ellenőrzést kell használni az OCSP és így tovább.
A macOS használatával a nagy usr OCSP forgalom még mindig nincs titkosítva
A macOS Big Sur csütörtöki indítását követően a Mac-felhasználók problémákat kezdtek tapasztalni az alkalmazások megnyitása közben, amikor csatlakoztak az internetre. Az Apple rendszerállapot-oldala a fejlesztői azonosító közjegyzői szolgáltatásával kapcsolatos problémáknak tulajdonította a problémát, Jeff Johnson fejlesztő pedig meghatározta, hogy kapcsolódási problémák vannak az Apple OCSP-szerverével. - tette hozzá Jeffrey Paul Ezenkívül a macOS által generált OCSP forgalom nincs titkosítva és az internetszolgáltatók (Internet szolgáltatók) láthatták.
Az Apple válaszolt az ügyre a támogatási dokumentum frissítése "Nyissa meg biztonságosan az alkalmazásokat a Mac-en" új információkkal:
A macOS úgy lett kialakítva, hogy biztonságban tartsa a felhasználókat és adataikat, ugyanakkor tiszteletben tartsa magánéletüket. A Gatekeeper online ellenőrzéseket végez, hogy egy alkalmazás ismert rosszindulatú programokat tartalmaz-e, és hogy a fejlesztő aláírási tanúsítványát visszavonták-e. Soha nem kapcsoltuk össze ezeknek a vezérlőknek az adatait az Apple-felhasználókról vagy eszközeikről. Ezen ellenőrzések adatait nem arra használjuk, hogy megtudjuk, mely felhasználók indítják vagy futtatják az eszközüket. A közjegyzői bejegyzés igazolja, hogy az alkalmazás tartalmaz-e ismert kártevőket titkosított kapcsolatot használ, amely ellenáll a szerver hibájának.
Ezek a biztonsági ellenőrzések Soha nem tették meg a felhasználó Apple azonosítóját vagy eszközének azonosítóját. Az adatvédelem további védelme érdekében leállítottuk a Developer ID tanúsítványellenőrzésekhez társított IP-címek naplózását, és biztosítjuk, hogy az összes összegyűjtött IP-címet eltávolítsuk a naplókból.
A fentieken kívül a kaliforniai cég számos változást tervez bevezetni a rendszerben a következő évben:
- Un új titkosított protokoll a fejlesztői azonosító tanúsítvány visszavonásának ellenőrzéséhez
- Védelmi fejlesztések szerverhibák esetén.
- Új preferencia a felhasználók számára, illpten, mert nem vett részt ezekben a biztonsági védelemben. Ilyen módon, ha bármely felhasználó inkább ki akarja magát tenni az ellenőrizetlen alkalmazások kockázatának, akkor felelősségükre teljesen deaktiválhatják a rendszert.
A lényeg az, hogy az Apple valóban tiszteletben akarja tartani a felhasználói adatvédelmet, ezért módosítja támogatási dokumentumát, és ismerteti a jövőbeni terveket e problémák javítására. Gondosan követni fogjuk ezt az evolúciót, mert személy szerint én vagyok az egyik jellemző, amelyet a legjobban dicsérek