Pagājušajā ceturtdienā, 12., Apple prezentēja MacOS Big Sur galīgo versiju, un gandrīz nedēļu vēlāk mēs sākām pārbaudīt šīs jaunās versijas pirmās problēmas. Ne tikai saderība ar dažiem Mac datoriem, īpaši ar vecākiem modeļiem, kas ir saderīgi ar operētājsistēmas jauno versiju, ja nē, rodas arī grūtības, atverot noteiktas lietojumprogrammas, kamēr ir izveidots savienojums ar internetu. Šķiet, ka problēma ir saistīta ar Apple OCSP serveri.
Lai mazliet labāk izprastu problēmu, ir jāzina no pirmavotiem, no kā sastāv Apple OCSP serveris un Vārtu sargs.
Visiem Mac datoriem ir drošības sistēma, kas pārbauda, ka mūsu vadītās lietojumprogrammas ir drošas. Šīs pārbaudes pamatā ir neliels sertifikāts, kas ir iekļauts lietotnē un kurā norādīts, ka Apple tos ir pārbaudījis, kad izstrādātājs to viņiem ir nosūtījis un ir pārliecinājies, ka viss ir pareizi. Sistēmai jāpārbauda, vai tā joprojām ir derīga un vai drošības apsvērumu dēļ tā nav atsaukta. Tātad, izpildot katru lietojumprogrammu, sistēma jautā serveriem OCSP (tiešsaistes sertifikāta statusa protokols) pēc sertifikāta statusa. Ja Apple serveri atbild, ka tā joprojām ir derīga, lietotne tiek palaista bez liekas aizķeršanās.
Tagad paturiet to prātā šis savienojums ar serveriem nav šifrēts. Ja tiktu izmantots HTTPS savienojums, tas nonāktu bezgalīgā lokā. HTTPS jāpārbauda OCSP, un HTTPS pārbaude jāizmanto, lai pārbaudītu OCSP un tā tālāk.
Ar MacOS Big usr OCSP datplūsma joprojām nav šifrēta
Pēc MacOS Big Sur palaišanas ceturtdien Mac lietotājiem sāka rasties problēmas, atverot lietojumprogrammas, pieslēdzoties internetam. Apple sistēmas statusa lapa attiecināja situāciju uz problēmām, kas saistītas ar tā izstrādātāja ID notāru pakalpojumu, un izstrādātājs Džefs Džonsons norādīja, ka Apple OCSP serverim ir savienojuma problēmas. Džefrijs Pols piebilda Turklāt macOS radītā OCSP trafika nav šifrēta un to varēja redzēt ISP (interneta pakalpojumu sniedzēji).
Apple ir atbildējis uz šo jautājumu atjauninot atbalsta dokumentu "Droši atveriet lietojumprogrammas savā Mac datorā" ar jaunu informāciju:
macOS ir paredzēts, lai nodrošinātu lietotāju un viņu datu drošību, vienlaikus ievērojot viņu privātumu. Vārtu sargs tiešsaistē pārbauda, vai lietojumprogrammā ir zināma ļaunprātīga programmatūra un vai izstrādātāja paraksta sertifikāts ir atsaukts. Mēs nekad neesam apvienojuši šo vadīklu datus ar informāciju par Apple lietotājiem vai viņu ierīcēm. Mēs neizmantojam šo pārbaužu datus, lai uzzinātu, kuri lietotāji sāk vai darbojas viņu ierīcēs. Notariāli tiek pārbaudīts, vai lietojumprogramma satur zināmu ļaunprātīgu programmatūru izmantojot šifrētu savienojumu, kas ir izturīgs pret servera kļūmēm.
Šīs drošības pārbaudes Viņi nekad nav iekļāvuši lietotāja Apple ID vai savas ierīces identitāti. Lai vēl vairāk aizsargātu konfidencialitāti, mēs pārtraucām reģistrēt IP adreses, kas saistītas ar izstrādātāja ID sertifikātu pārbaudēm, un nodrošināsim, ka visas apkopotās IP adreses tiek noņemtas no žurnāliem.
Izņemot visu iepriekš minēto, Kalifornijas uzņēmums nākamajā gadā plāno ieviest vairākas izmaiņas sistēmā:
- Un jauns šifrēts protokols izstrādātāja ID sertifikātu atsaukšanas pārbaudēm
- Aizsardzības uzlabojumi servera kļūmju gadījumā.
- Jauna preference lietotājiem vaipar nepiedalīšanos šajos drošības pasākumos. Tādā veidā, ja kāds lietotājs vēlas pakļaut sevi nepārbaudītu lietotņu riskam, viņš ar savu atbildību var pilnībā deaktivizēt sistēmu.
Lieta ir tāda, ka Apple patiešām vēlas ievērot lietotāju privātumu, tāpēc tas pārveido atbalsta dokumentu un paziņo par nākotnes plāniem šo problēmu uzlabošanai. Mēs uzmanīgi sekosim šai evolūcijai, jo es personīgi esmu viena no īpašībām, kuru es slavēju visvairāk