这是一个创建于 1793 天前的主题,其中的信息可能已经有所发展或是发生改变。
废话不多说,先上文章链接: Does Apple really log every app you run? A technical look
总结一下,作者通过实验得出的结论:
- 苹果没有通过 OSCP 发送每个程序的 HASH,但是发送了每个开发者证书的 HASH (明文发送,意味着可以被截获)。
- 可以通过第三方软件或者修改 hosts 文件来阻止 oscp.apple.com ,但是不推荐。
补充一点我的看法:
如果某个开发者只开发了一个应用,还是可以匹配到应用。所以如果你用的应用比较敏感,且这个开发者就只开发这方面的应用,那你可能需要阻止 oscp.apple.com ,其他情况为了安全性还是不阻止好一些。
 | 1 also24 2020-11-15 11:42:24 +08:00  1 从隐私的角度来说,这里其实可以借鉴基于 hash 的 k-Anonymity 来保护隐私。 1Password 的 Watchtower 功能,就使用了这个方案: https://support.1password.com/watchtower-privacy/#your-passwords-are-never-sent-to-us-or-anyone-else https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity |
 | 2 tzm41 2020-11-15 11:50:20 +08:00 https://news.ycombinator.com/item?id=25095438 上面关于此文的讨论我感觉也有道理。假设我们相信苹果不作恶,为啥苹果不能加密 payload,要明文发送呢? |
 | 3 wql 2020-11-15 11:54:40 +08:00 via Android @tzm41 因为 OCSP 协议的特殊性。给 OCSP 协议加 HTTPS,意味着 OCSP 服务器的服务器末端证书也要被验证一次。如果客户端没有针对 OCSP 缓存,就将无限查询下去,无异于套娃(查一个证书的 OCSP-查 OCSP 服务器证书的 OCSP-查 OCSP 服务器证书的 OCSP……) |
6
wql 2020-11-15 13:03:27 +08:00 via Android  | 7 yzwduck 2020-11-15 13:10:21 +08:00 @tzm41 终于有人提到 notarization 了,good job 它才是传输了应用程序 cdhash 的验证机制 (online https/offline ticket)。 |
 | 8 littiefish 2020-11-15 16:19:46 +08:00 via iPhone 吓死我了,手机不能用了,赶紧扔吧 |
Select Language