[ad_1]

تصویر ترکیبی دیجیتال از یک تاجر با استفاده از لپ تاپ با آیکون های میز

بعدازظهر پنجشنبه گذشته ، کاربران Mac در همه جا شروع به شکایت از تأخیر فلج کننده در باز کردن برنامه ها کردند. دلیل: بررسی های گواهی آنلاین اپل هر بار که کاربر برنامه ای را که از App Store بارگیری نشده است باز می کند ، انجام می شود. به نظر می رسد ارتقا massive گسترده به Big Sur باعث خسته شدن سرورهای اپل مسئول این بررسی ها شده است.

اپل به سرعت تأخیر را تصحیح کرد ، اما نگرانی در مورد Mac های فلج خیلی زود جای خود را به نگرانی های بیشتر داد – حجم عظیمی از داده های شخصی که اپل و شاید دیگران می توانند هر زمان که کاربر باز می شود از Mac ها برای انجام چک های گواهی استفاده کنند برنامه از فروشگاه App است.

برای افرادی که می فهمیدند در پشت صحنه چه می گذرد ، دلیل کمی برای مشاهده چک های گواهینامه به عنوان یک حریم خصوصی وجود دارد. با این وجود ، اپل روز دوشنبه مقاله پشتیبانی را منتشر کرد که باید نگرانی های طولانی مدت را برطرف کند. بعداً درباره آن اطلاعات بیشتر – ابتدا بیایید از آن پشتیبان تهیه کنیم و برخی از پیش زمینه ها را ارائه دهیم.

OCSP را بشناسید

قبل از اینکه اپل بتواند برنامه ای را در App Store مجاز بگذارد ، ابتدا باید یک بررسی امنیتی انجام دهد. کاربران می توانند ویژگی macOS را که به Gatekeeper معروف است ، پیکربندی کنند تا فقط به آن برنامه های تأیید شده اجازه دهد ، یا می توانند تنظیماتی را انتخاب کنند که امکان نصب برنامه های شخص ثالث را نیز فراهم کند ، به شرطی که این برنامه ها با گواهی توسعه دهنده صادر شده توسط اپل امضا شده باشند. برای اطمینان از لغو نشدن گواهینامه ، macOS برای تأیید اعتبار خود از OCSP – مخفف پروتکل استاندارد گواهی آنلاین استاندارد صنعت – استفاده می کند.

اعتبار سنجی گواهی – هر گواهی – احراز هویت یک وب سایت یا نرم افزار به اندازه کافی ساده به نظر می رسد ، اما مدت هاست که مشکلات گسترده ای در صنعت ایجاد کرده است که حل آنها آسان نیست. روش اولیه استفاده از لیست های لغو گواهینامه بود ، اما با بزرگ شدن لیست ها ، اندازه آنها مانع کار موثر آنها شد. CRL جای خود را به OCSP داد که اسکن را روی سرورهای راه دور انجام می داد.

مشخص شد که OCSP نقایص خاص خود را دارد. سرورها گاهی خراب می شوند و در صورت بروز چنین اتفاقی ، قطع شدن سرورهای OCSP می تواند میلیون ها نفر را که با مراجعه به وب سایت ها ، نصب برنامه ها و بررسی ایمیل ها سعی در انجام کار دارند ، فلج کند. برای محافظت در برابر این خطر ، به طور پیش فرض OCSP “شکست نرم” نامیده می شود. OCSP به جای مسدود کردن وب سایت یا نرم افزار اسکن شده ، مانند گواهی معتبر عمل می کند در صورت عدم پاسخ سرور.

به نظر می رسد به نظر می رسد تعداد زیادی از افرادی که روز پنجشنبه به Big Sur ارتقا می یابند باعث سرور بیش از حد سرورهای ocsp.apple.com شده است اما به طور کامل خراب نمی شود. سرور نمی تواند همه چیز را به وضوح ارائه دهد ، اما همچنین خطایی را که باعث خرابی نرم شود را بر نمی گرداند. نتیجه تعداد زیادی کاربر ناشناخته مک بود.

اپل مشکل داشتن ocsp.apple.com را احتمالاً با افزودن ظرفیت بیشتر سرور حل کرد. معمولاً این پایان موضوع است ، اما این طور نبود. به زودی رسانه های اجتماعی مملو از ادعا شدند که روند اعتبارسنجی برنامه macOS ، اپل را به Big Brother تبدیل می کند ، که زمان و مکان را هنگام باز کردن یا بازگشایی مجدد کاربران هر برنامه ای که از App Store بارگیری نمی شود ، ردیابی می کند.

پارانویا به عمق حمله می کند

نشریه رایانه شما متعلق به شما نیست یکی از کاتالیزورهای نگرانی گسترده است. وی خاطرنشان کرد که درخواست های بازیابی HTML ساده که توسط OCSP اجرا شده رمزگذاری نشده اند. این بدان معنی است که اپل نه تنها می تواند حساب های خود را براساس استفاده دقیقه به دقیقه ما از Mac ایجاد کند ، بلکه ISP ها یا هر کس دیگری که می تواند ترافیکی را که از طریق شبکه عبور می کند مشاهده کند. (برای جلوگیری از حلقه های احراز هویت بی پایان ، تقریباً همه ترافیک OCSP رمزگذاری نمی شوند ، حتی اگر پاسخ ها به صورت دیجیتالی امضا شده باشند).

خوشبختانه تعداد پست های هشدار دهنده کمتر مانند این ، زمینه مفیدتری را فراهم می کند. هش هایی که منتقل می شوند فقط مربوط به خود برنامه نیستند بلکه گواهی توسعه دهنده اپل هستند. این هنوز هم به مردم امکان می دهد هنگام استفاده از برنامه هایی مانند Tor ، Signal ، Firefox یا Thunderbird نتیجه بگیرند ، اما باز هم کمتر از حد تصور بسیاری از افراد بود.

از همه مهمتر ، از اکثر موارد ، جمع آوری اطلاعات از ocsp.apple.com تفاوت چندانی با اطلاعاتی که قبلاً در هر زمان مراجعه به یک وب سایت از طریق OCSP در زمان واقعی منتقل می شوند ، ندارد. قطعاً تفاوت هایی وجود دارد. اپل درخواست های OCSP را برای همه برنامه های Mac که از App Store بارگیری نمی شوند ، می بیند که احتمالاً تعداد بسیار زیادی است. درخواست های OCSP برای سایر نرم افزارهای امضا شده دیجیتالی به صدها یا هزاران مقام مختلف صدور گواهینامه می رسد و معمولاً فقط هنگام نصب برنامه ارسال می شوند.

به طور خلاصه ، پوشیدن یکسان بود: از بین رفتن احتمالی محرمانه بودن OCSP سازشی است که ما برای تأیید گواهی تأیید وب سایتی که می خواهیم از آن بازدید کنیم یا بخشی از نرم افزاری را که می خواهیم نصب کنیم ، انجام می دهیم.

اپل صحبت می کند

در تلاش برای اطمینان به کاربران مک ، اپل این پست را روز دوشنبه منتشر کرد. توضیح می دهد که این شرکت با اطلاعات جمع آوری شده از طریق Gatekeeper و ویژگی جداگانه ای که به عنوان محضری بودن شناخته می شود ، چه کاری انجام می دهد و چه کاری انجام نمی دهد ، که امنیت حتی برنامه های خارج از App Store را بررسی می کند. در این پست آمده است:

Gatekeeper بررسی های آنلاین را انجام می دهد تا تأیید کند که یک برنامه شامل برخی از بدافزارها است و گواهی امضای برنامه نویس را لغو کرده است. ما هرگز داده های این چک ها را با اطلاعات مربوط به کاربران اپل یا دستگاه های آنها ترکیب نکرده ایم. ما از اطلاعات این چک ها برای یادگیری اینکه کاربران جداگانه چه دستگاه هایی را اجرا یا اجرا می کنند استفاده نمی کنیم.

محضری سازی بررسی می کند که آیا برنامه با استفاده از اتصال رمزگذاری شده مقاوم در برابر خطاهای سرور ، بدافزار شناخته شده ای دارد یا خیر.

این بررسی های امنیتی هرگز شامل Apple ID کاربر یا هویت دستگاه وی نبوده است. برای محافظت بیشتر از حریم خصوصی شما ، ما ثبت آدرس های IP مرتبط با بررسی های گواهی شناسه توسعه دهنده را متوقف کرده ایم و اطمینان حاصل خواهیم کرد که تمام آدرس های IP جمع آوری شده از پرونده های ورود به سیستم حذف می شوند.

در ادامه این پست گفته شد كه سال آینده اپل پروتكلی جدید برای تأیید باطل شدن گواهینامه های توسعه دهنده ، “محافظت قوی در برابر خرابی سرور” و راه اندازی سیستم عامل جدید برای كاربرانی كه می خواهند انصراف دهند ارائه می دهد. .

مناقشه بر سر رفتار macOS از زمان ارائه حداقل نسخه کاتالینا در اکتبر گذشته ، تاکیدی است که گاهی بین امنیت و حریم خصوصی رخ می دهد. Gatekeeper برای سهولت محافظت در برابر برنامه هایی که به عنوان مخرب شناخته می شوند برای کاربران با تجربه کمتر ایجاد شده است. برای استفاده از Gatekeeper ، کاربران باید مقدار مشخصی اطلاعات را برای اپل ارسال کنند.

نه اینکه اپل کاملا بدون گناه باشد. اول ، توسعه دهندگان راهی آسان برای چشم پوشی از بررسی های OCSP ارائه ندادند. این باعث می شود دسترسی به ocsp.apple.com تنها راه انجام این کار نباشد و برای کاربران کم تجربه Mac بسیار دشوار است.

اشتباه دیگر اصلاً خواندن OCSP است. به دلیل طراحی نرم خطای آن ، می توان حفاظت را تعویض کرد ، در بعضی موارد عمداً توسط یک مهاجم یا صرفاً به دلیل خرابی شبکه انجام می شود. با این حال ، اپل در اعتماد به OCSP به سختی تنها است. یک روش لغو معروف به CRLite در نهایت می تواند راه حلی برای این خرابی ارائه دهد.

افرادی که به بررسی های OCSP برای برنامه های Mac اعتماد ندارند ، می توانند با ویرایش پرونده میزبان Mac ، آنها را خاموش کنند. بقیه می توانند حرکت کنند.

[ad_2]

منبع: tarjome-news.ir