🔫 @OXOqq кикнут — вернуть этого пользователя можно только разбаном в настройках чата.

Проголосовавшие за кик:
@okbzero, @drunk_bootlegger, @ernado13, @corpix, @astavonin
Powered by Todorant

Не на столько всё плохо, там автор шумит не до конца разобравшись. Эппл не сливает никаких хэшей приложений, а запрос который делается на их сервера идет в рамках стандартного OSCP. Детали тут: https://blog.jacopo.io/en/post/apple-ocsp/

Но проблема есть и она в другом. Эппл порезал доступ к трафику на  низком уровне и теперь как минимум фаерволы оказались не способны нормально фильтровать. Ну а собственная реализация защиты несколько дырявая (как всегда и было). Детали тут: https://twitter.com/patrickwardle/status/1327726496203476992?s=12

Так что пользовательский трафик всё еще принадлежит пользователю, а системный уже нет. Думаю, что сделают какие-то исключения для корпораций, т.к. подобное сильно не каждое ИБ-подразделение позволит использовать 🤷‍♂️

Первая статья что-то дофига плохая.

Мне лень спорить с автором, но:
- несмотря на то, что это, теоретически, допустимое поведение, если исключить желание следить за использованием софта, оно весьма странно, ведь для чисто проверки чистоты бинарника достаточно проверить его сертификат один раз и записать результат локально.
- тот факт, что одна компания использует один и тот же сертификат для двух кусков софта, никак не меняет того, другие могут использовать разные, что большинство компаний разрабатывают только одну софтину, и, наконец, того, что данные "запущено a или b" не сильно хуже данных "запущено a".

Говоря же шире, уж где-где, а на устройствах Эппл я бы точно предположил наличие руткитов.

И все это игнорируя тот факт, что именно для этих целей(маленькое количество кусков данных, подписанные малым количеством сертификатов, которые достаточно редко используются, и, соответственно, достаточно редко теряются), идеально подходят именно CRL, которые не имеют вообще никаких из этих проблем.

> ведь для чисто проверки чистоты бинарника достаточно проверить его сертификат один раз и записать результат локально.

Так и делается в рамках OSCP, они шлют только один запрос на первом старте приложения. Дальше следят за изменением контрольной суммы самого приложения. Это стандартная техника проверки отзыва сертификата в рамках OSCP или CRL. Тут: https://www.namecheap.com/support/knowledgebase/article.aspx/9968/38/how-to-check-the-certificate-revocation-status

Кстати про последующие проверки. Проверка сертификата уже года 3 как ест в рамках Gatekeeper, но там есть (был, не проверял на новых версиях) смешной момент. После того как прошла первичная проверка, ты можешь смело менять динамические библиотеки в приложении, пока не трогаешь основной исполнимый модуль. И на macOS всегда так кривенько, поэтому запретить доступ к системному траффику выглядит довольно дико. Сами тупите - так хоть дайте другим работать.

CLR имеет другую проблему - протухание кэша. Вполне может быть что macOS использует комбинированный подход с CRL в оффлайн и с OSCP онлайн.

Те же антивирусы часто шлют свой аналог OSCP для проверки сертификатов при работе по HTTPS.

В данном случае ее нет

То есть, она есть, но она так же искусственно введена в схему OSCP(благодаря чему всю эту из свистопляску и можно починить)

Вообще, это было бы ожидаемо, и у меня нет строгих фактов, но то, что проблема, я так понимаю, проявляется постоянно и со всеми приложениями, как бы указывает, что может что ненадолго и кэшируется, но, видимо, совсем ненадолго.

И даже если ты (считаешь себя) задротом андроида - всё равно вероятность проебаться - не нулевая (хотя я лично вообще не специалист современных андроидах, может там сейчас всё грамотно продумано). Я жду следующей волны легковесных операционок.

взять хотя бы то, как устроен publishing приложений в ios и android. Где в ios серьёзная система с подписями, иерархиями ключей, сертификаты и тп., у андроида - «отправьте нам ваш приватник (только вот вам тулза, вы в зашифрованном виде только обязательно отправляйте, чтобы НИКТО не увидел (тип, ssl недостаточно, но это ладно уж)), а мы за вас ваши бинарники подписывать будем на сервере. Это такой стыд 🙈. Мне вот интересно, это вот до сих пор в ведроидах рекомендованный способ заливки приложений?

И ещё вопрос - это так всё в андроидах устроено? Костыль на костыле, да?

В целом да, Андроид более уязвимая ОС: https://mobliciti.com/mobile-os-vulnerabilities-mobile-fleet/

Такой балшой а в сказки веришь

Давайте поменьше вот этого вот неаргументированного непонятно чего.

Ок. Идея о том, что по сути монополист и один из крупнейших господрядчиков США не работает с товарищами майорами - мягко говоря, сродни вере в воображаемых друзей. Случай, когда эпл уперлась и "не расшифровала" телефон вобщем-то галимый пиар, на самом деле там были не эпл против товарищей майоров, а бодание товарищей майоров, ФБР очень не хотело передавать дело ВР, потому что оно на тот момент являлось охеренной карьерной катапультой

А ты почитай о чём эта группа

Опять реклама, теперь текстом? @banofbot