“This means that Apple knows when you’re at home. When you’re at work. What apps you open there, and how often. They know when you open Premiere over at a friend’s house on their Wi-Fi, and they know when you open Tor Browser in a hotel on a trip to another city.”
Det är ju inte så jävla charmigt.
ocsp.apple.com with Little Snitch or in your hosts file.Mina tekniska kunskaper är för begränsade att avgöra vem som har rätt.
Men med tanke på Apples ståndpunkt gällande integritet så väljer jag att inte tro att det är så allvarligt som vissa vill göra det.
Läste en kommentar på Feber som förklarade det bra.
Börjar nedräkningen till den dagen då @Esse odlar ett långt skägg och installerar Debian.
De tar inte nödvändigt ut varandra. Framförallt går det att snappa upp informationen innan den kommer till Apple.
Jag sitter fast i Catalina för evigt, på grund av andra anledningar.
En snubbe på Feber skrev en rätt vettig kommentar på ämnet:
"Fast nästan allt ni skriver i denna artikeln är fel. 1. Ocsp-verifiering är alltid okrypterat (hönan och ägget situation, hur verifierar man https certifikatet för ocsp trafiken?). 2. De skickar inte alls id av appen du använder, de skickar en hash av dev-certet som det är signerat med. Flera appar är signerade med samma cert (firefox och thunderbird till exempel). Infon skickas inte varje gång du startar appen, bara när det är dags för verifiering igen. 4. Att blocka ocsp-trafiken för 99% av användare är bara dumt, det är en säkerhetsfunktion som skyddar användarna mot skadlig-kod.
Om du är användare som verkligen behöver bry dig om anonymitet på denna nivån så är det mer lämpligt att använda en Linux distribution som är lämpad för det ändamålet."
Det man ev kan se är vilken utvecklare som har gjort appen du startade och det skickas till Apple första gången du startar appen och därefter nån gång ibland för att se om appens cert fortfarande är giltigt.
Ett exempel som togs upp nånstans där ocsp hade hjälpt är när Transmissions uppdateringaserver blev hijackad och en version full med malware skickades ut som en uppdatering. Ocsp hade blockat start av malware-versionen genom att certet hade varit ogiltigt.
Grundläggande problemet verkar vara avsaknaden av kryptering som gör att personer på samma nätverk kan (delvis) hålla koll på vad du hittar på.
Ändrat rubriken till att tydliggöra att inte Apple är problemet utan att trafiken kan spåras av tredje part.
Det ser inte heller ut som att någon direkt information om användaren skickas. Endast info om dev-certet. Sedan kan Apple nog på omvägars lista ut att det är du eller någon i din familj genom att checka om ip-adressen som ocsp requesten kom ifrån stämmer med överens med en ip-adress som du har använt för att logga in på iCloud.
Där får du problem med en evighetsloop. För att upprätta en https-uppkoppling och för det behöver du ett cert. Det certet måste verifieras så då måste du upprätta en ny ocsp-check som kräver ett cert som måste verifieras via en ny check som kräver en uppkoppling osv.
Att tredjepart kan avlyssna dig är ett problem men som vanligt så använd inte öppna nätverk för då kan kanske någon se att du använder programvaror från Adobe.
Är inte problemet som jag förstår det att Apple ignorerar VPN-skyddet i och med Big Sur och att det är den kombinationen som är den grundläggande säkerhetsrisken?
Jag har inte hittat någon trovärdig källa som säger det.
Denna fungerar inte?
Den funkar. 
. Det är illa att de inte har implementerat vpn korrekt i Big Sur.
Med den infon så skulle jag fortfarande säga att det är dumt att blocka ocsp. Den gör fortfarande mycket mer gott än ont.
Absolut, och det är ju sällan oss här i bubblan som underättelsetjänster och andra vill ont. Men det är ju bra att tänka på om du extraknäcker som motståndsrörelse eller så.
Yep, men då sitter man förhoppningsvis inte på ett öppet Wi-Fi. Kör man vpn på routern hemma så skyddar det.
OCSP ska man nog helt klart inte blocka, då får man inte veta när ett certifikat är “revoked”. Dock kan man tycka att Apple borde använda sig av någon typ av stapling snarare än standard OCSP, eftersom det är över TLS.
Det jag ser som det största problemet med det hela (vilket gäller i princip alla amerikanska företag) är att PRISM har ett MITM cert…
Utöver detta kan man kanske ifrågasätta varför apple använder akamai, men har inte så bra koll på dem att jag kan säga så mycket där.