https://apple.slashdot.org/story/20/11/13/1726224/your-computer-isnt-yours
These OCSP requests are transmitted unencrypted.
https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
OCSP 一般浏览器用来校验 CA 根证书状态,根 CA 可以签发多个不同的网站,并不是把你访问网站的域名发过去校验
但是$Apple OCSP$这个东西就厉害了,他是校验你程序的 HASH,你运行任何程序都会发给他,我们苹果太厉害啦!
101
ryanlid 2020-11-16 10:00:21 +08:00
泄露的东西多了去了,在 https 中,主机名部分,是没有加密的,经过的网络设备都是可以知道你访问某个域名的哦,还有目标主机的 IP 地址哦,收集起来也是可以分析。
|
102
sockpuppet9527 2020-11-16 10:01:11 +08:00
@aydd2004 #99 看了之后我明白了恶臭的来源[doge]
|
103
visualbasic 2020-11-16 10:04:55 +08:00 via Android
@daveh 枚举常见开发者的 hash 值,然后匹配就可以,不需要还原成原始数据,和什么安全概念无关
|
104
daveh 2020-11-16 10:42:48 +08:00 via iPhone
@visualbasic 你还真聪明。。。
hash 加盐估计你是看不懂。 |
105
astkaasa 2020-11-16 13:35:01 +08:00
|
106
astkaasa 2020-11-16 13:35:19 +08:00
|
107
WuwuGin 2020-11-16 14:17:05 +08:00
@daveh 网络嗅探者可以下载常见的已经打包好的 macOS 翻墙应用,从应用中 dump 出 issuer key hash 。这么说明白了吗。
|
108
Reficul 2020-11-16 14:46:09 +08:00
@WuwuGin
OCSP 这个问题最好的利用场景也就这个了:找到用某一个软件的人或者 Ban 掉某一个软件,而且要利用这个洞还不容易,至少得是 ISP ? 1. 有能力在这个层面监听 /MITM ; 2. 知道每个用户 IP 对应实名信息 ; 3. 有信息 /能力把上面两个关联起来; 三个都有才能利用,苹果还真不一定有这个能力。退一步说苹果的 OCSP 实现里有啥 Track ID,能在服务端和 AppleID 对上,但也定位不到实名的人,最多是做一下用户画像卖个广告?苹果不卖广告吧。 |
109
WuwuGin 2020-11-16 15:52:29 +08:00
@Reficul 苹果不会用明面上声明不会用,当然它也没必要用这个来做画像。但是这不代表别人不能用这个明文请求得到你用的软件。最简单的可以通过开发者比对你是不是用了魔法上网客户端。
|