Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Beschikbaarheid macOS Big Sur ging gepaard met app-startproblemen

Apple heeft donderdagavond macOS Big Sur vrijgegeven, maar de release leidde tot serverproblemen bij het bedrijf. Hierdoor konden gebruikers apps niet of slechts traag starten, ook als ze nog een oudere versie van macOS draaiden.

Zoals dinsdag aangekondigd maakte Apple macOS Big Sur, versie 11.0 van het besturingssysteem, donderdag beschikbaar. Tegelijk met die introductie, ontstonden diverse problemen bij Apple. Zo kregen Apple Pay, Card, Messages, Maps en Apple TV-apparaten te maken met storingen, schrijven Ars Technica en AppleInsider.

De meestvoorkomende problemen waren dat gebruikers apps op macOS niet konden starten, of dat deze slechts moeizaam op gang kwamen. Dat probleem bleef niet beperkt tot gebruikers die een upgrade hadden gedaan naar macOS Big Sur, ook gebruikers met voorgaande besturingssystemen ervoeren app-problemen.

De problemen waren te herleiden tot de manier waarop Apple apps valideert, ontdekte Mac-ontwikkelaar Jeff Johnson door gebruik te maken van netwerktool Little Snitch. Die validatie verricht macOS door middel van de trustd-daemon. Dat is een proces dat sinds versie 10.12 Sierra in Apples besturingssysteem zit, dat op de achtergrond draait en dat certificaten beheert en controleert. Vanaf macOS Catalina is notarization voor app-ontwikkelaars verplicht en de certificatencheck is hier onderdeel van, net als een check op kwaadaardige content. De daemon communiceert daarvoor met ocsp.apple.com, waarbij ocsp voor Online Certificate Status Protocol staat.

Bij de release van Big Sur lukte het trustd niet om contact te krijgen met ocsp.apple.com wat tot de trage opstart van apps leidde. Omdat dns-lookups op ocsp.apple.com wel slaagden, bleven de apps het proberen. Zonder internetverbinding zouden de apps wel normaal opstarten en ook trustd blokkeren in de firewall zou werken, ware het niet dat de daemon sinds Big Sur in de ContentFilterExclusionList is opgenomen, schrijft beveiligingsonderzoeker Patrick Wardle, en firewalls deze dus niet meer kunnen blokkeren.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

13-11-2020 • 15:34

125 Linkedin

Reacties (125)

Wijzig sortering
Las zojuist een artikel over de duistere zijde hiervan:

https://sneak.berlin/20201112/your-computer-isnt-yours/
Ik vind deze blogpost nogal kort door de bocht. Deze post legt het met meer nuance en technische informatie uit: https://blog.jacopo.io/en/post/apple-ocsp/
Ik wilde net dezelfde posten! Het eerst genoemde artikel doet gewoon een aanname van wat erin staat, zonder dit daadwerkelijk te verifiëren. Pure sensatie...
Volgens mij kan je veel van dit verkeer tegenhouden met PI-hole. Heb zelf ook een PI-hole draaien, heb veel van windows geblocked. Maar sommige diensten werken daardoor ook niet meer. Zelfde als bij de Xbox one, dan kan je geen achievements ontgrendelen als je dat verkeer blockt. Maar er gaat enorm veel verkeer naar Microsoft en Apple moet ik zeggen. Ik heb thuis een Macbook en ook een windows computer, maar 40% van de traffic wordt geblocked op dit moment.
Goed dat je iets doet, maar die Pi-Hole is toch een beetje dweilen met de kraan open.
Het uiteindelijke probleem is dat je de apparaten op je eigen netwerk niet meer kunt vertrouwen. Je begint met een Pi-hole en dan zie je het dataverkeer: de Chromecast, de Philips Hue bridge, Windows PC's, Game consoles, Apple apparaten, Google Android, etc. Allemaal nemen ze continu contact op met het thuisfront, en dan bedoel ik niet alleen voor updates.

De enige manier om dit te voorkomen is juist precies te doen waar Apple je met die rare verplichte system daemon tegen probeert te beschermen: zelf de software uitkiezen die je op je systeem wilt installeren en zelf bepalen van wie je die software afneemt. OSX is leuk voor niet-tweakers, maar ik ben al jaren gestopt met OSX & Windows 10 in het persoonlijk gebruik, je hebt gewoon teveel het gevoel dat je tegen het OS aan het vechten bent. Ja je kunt een hoop doen, maar ik steek die tijd dan liever in het configureren van alternatieve apparaten met een eerlijke Linux distro.
Belangrijk om daarbij te vermelden is dat je wel selectief bepaalde diensten kunt whitelisten (als je de domeinnamen kent), zo kan je bijvoorbeeld specifiek Xbox achievements whitelisten zonder dat je de deur openzet voor alle xbox analytics en telemetrie.
Beweer ik dat dit iets nieuws is? Pi-hole en vergelijkbare adblockers zijn geen firewall, maar een DNS server, waarbij lezers op basis van de reactie waarop ik reageerde de indruk kunnen krijgen dat het wel/niet microsoft blocken is, terwijl je ook specifieke (sub)domeinen kan whitelisten en hiervoor ook block- en whitelists voor te vinden zijn op internet. Het is goed om te vermelden, aangezien pi-hole out-of-the-box wel xbox achievements blokkeert, en je, als je dit niet weet, pas ontdekt na een maand oid wanneer je je afvraagt waarom je achievements niet werken.
Tsja, zowel Windows als macOS hebben dit, blijkt wel. Blijkbaar komen ze ermee weg. Uit nieuwsgierigheid, kun je iets vinden over de grote Linux distros? Zover ik kan vinden niet
Veel linux distributies zijn nogal ideologisch. Zeker de community-managed versies zoals Debian en Fedora hebben nogal een stugge houding. Daarom ook dat het installeren van bijvoorbeeld NVidia drivers lastiger is op die machines, want daar is gesloten code voor nodig die niet al jouw rechten vertegenwoordigd.

Sommige zijn pragmatischer (Manjaro, Pop_OS), en enkele zijn zelfs vrij controversieel (Ubuntu) maar in het algemeen scoort Linux erg goed op privacy. Daarnaast, 95% van alle software op Linux heeft geen account nodig. Als je het Software (App?) Centre op een Mac wilt gebruiken, dan heb je een account nodig en moet je inloggen. Op Fedora download ik gewoon elke applicatie die er in de bibliotheek staat.*

Ik heb de FSF pluche op mijn bureau staan want Stallman was right!

Edit. Voor iedereen die nu het weekeinde in gaat en die twee dagen naar het plafond kan gaan staren... Hier het boek van Stallman welke ik elke software ontwikkelaar kan aanbevelen: Free Software, Free Society: Selected Essays of Richard M. Stallman

Edit 2. Om het Fedora voorbeeld nog sterker te maken: Er zijn geen licentievoorwaarden om te accepteren als je Fedora installeert, of wanneer je software op Fedora installeert. Jou gebruikersrechten worden standaard gerespecteerd. Jouw licentie? dat is de GPL.

* Ik verwees eerst naar Docker, maar die blijkt dus optioneel te zijn.

[Reactie gewijzigd door Eonfge op 13 november 2020 16:25]

Op Fedora download ik gewoon de bestanden en start de daemon.
In de huidige versie van Docker desktop for Mac hoef je niet in te loggen, alleen voor de download van de installer, geloof ik. Ik ben in ieder geval niet ingelogd en kan containers en lokaal k8s draaien.
Niet toevallig het Docker icoontje rechtsboven? Zie mijn collega's altijd eerst dat ding opstarten als de testcode 0/250 haalt.
Wat bedoel je precies? Ja, dat is het icoontje van Docker for Desktop inderdaad. Deze heb ik zonder credentials gewoon draaien:

https://imgur.com/a/QJMGthi
Mmh. Dan hebben mijn collega's de memo waarschijnlijk gemist. Ik pas het aan in mijn post.
Misschien om bij de container registry te kunnen komen? Ligt natuurlijk wel een beetje aan waar je containers staan en hoe je ermee omgaat.
Misschien om bij de container registry te kunnen komen? Ligt natuurlijk wel een beetje aan waar je containers staan en hoe je ermee omgaat.
Dat zit doorgaans in niet in docker desktop dacht ik. De credentials voor registries kun je aan de docker daemon geven. (Misschien zelfs via docker compose)
Docker heeft online op zijn website een log in als je de boel wil downloaden. Op GH enorm veel backlash over geweest. In de issuetracker staan daarom topics die de nieuwste direct download links bijhouden.

Het punt was, met een lek liggen onze gegevens op straat. En lo and behold paar maanden later was er dus een lek.
Docker Desktop is tegenwoordig voor alle OSen zonder login te krijgen. Bijvoorbeeld -> https://hub.docker.com/ed...docker-ce-desktop-windows

Er was inderdaad een tijd dat je echt moet inloggen. Zwaar irri. Gelukkig niet meer.
Oh. Hebben ze toch geleerd van hun fouten en geluisterd naar de community. Die waren echt fel tegen.
Big Sur op x64 of M1/ARM64?
Op M1

Op de intel-based werkt het perfect.
Lijkt me ook dat Docker iets langer nodig heeft dan een dag om een product te porten.
x86-64, ARM64 weet ik niet.

Het werkte niet wanneer VirtualBox ook geïnstalleerd was. Inmiddels opgelost in Docker Desktop 2.5.0.1.
Veel linux distributies zijn nogal ideologisch. Zeker de community-managed versies zoals Debian en Fedora hebben nogal een stugge houding. Daarom ook dat het installeren van bijvoorbeeld NVidia drivers lastiger is op die machines, want daar is gesloten code voor nodig die niet al jouw rechten vertegenwoordigd.
Vandaar ook mijn vraag. Ik draai inmiddels al zo'n 20 jaar Linux in wat voor smaak dan ook, maar dit gebeurt (gelukkig) niet vaak. Het enige wat ik me kan herinneren is "Amazongate" met Ubuntu, een paar jaar geleden
O zo, je vraagt naar voorbeelden waarbij Linux distributies de bietenberg op gaan :P

Ik kan ze zo snel niet bedenken. Er is natuurlijk altijd veel discussie over de commerciële exploitatie van bepaalde systemen zoals Ubuntu, maar in het algemeen gaat het allemaal heel degelijk en goed overwogen.

Fedora heeft bijvoorbeeld een opt-in voor error reports. En zelfs al doe je er aan mee, hij stuurt ze niet automatisch, en hij genereert de stack-taces en dergelijke lokaal zodat er geen memory dump hoeft worden opgestuurd. Op deze manier is het zeer privacy vriendelijk.

GNOME idem. Optioneel kun je wat gebruikersstatistieken delen, zoals welke apps je gebruikt en hoe vaak. Als applicatie ontwikkelaar zelf vindt ik dat best wel nuttige data, dus ik ben er oke mee om dat te delen met de (non-profit) GNOME Foundation.

[Reactie gewijzigd door Eonfge op 13 november 2020 16:22]

Geweldig ik draai Fedora op mijn macbook pro zonder ploblemen gezien ik niet meer kon updaten en gebruik die ook op het werk.
Bron dat Windows dit ook heeft ?
"Van toepassing op

Windows 10 Enterprise
Windows 10 Education
Windows Server 2016 en later"


Dus alleen organisaties die dit hebben en aan / uit kunnen zetten
Of enkel daar kun je het configureren… 😉
Het online verifiëren is nog tot daar aan toe... maar OS level zaken niet meer kunnen blokkeren of tunnelen is wel erg kwalijk!

[Reactie gewijzigd door Carino op 14 november 2020 08:29]

Het online verifiëren is nog tot daar aan toe... maar OS level zaken niet meer kunnen blokkeren of tunnelen is wel erg kwalijk!
Dat is een bijkomstigheid van het huidige security speelveld. Kwaadwillende code zou trustd kunnen blokkeren in de firewall om zo ongehinderd malafide - doch ogenschijnlijk valide / signed code - uit te kunnen voeren.

Ja, er zit een iets wat naar smaakje aan, maar OS’en worden steeds meer dichtgetimmerd om virussen, malware, ransomware etc het hoofd te kunnen bieden. De goeden (wij) leiden altijd onder de slechten (cybercriminelen)
Dus als ik het goed lees kan je dus niet zonder internet lokaal werken met die nieuwe macs?
Jawel, want normaal gesproken hoort deze check snel en geruisloos te falen, waardoor het programma alsnog opstart. Het zat al in MacOS voor versie 11!

Ik begrijp dat deze check er onder andere voor is om te zorgen dat er geen kwaadaardige software gerund kan worden op een mac door de hash te vergelijken met een database van Apple? Als malware die check zou kunnen blokkeren, zou die daardoor niet plaatsvinden, waardoor malware vrij spel heeft. Dat is een van de redenen dat Apple dit nu extra heeft beschermd als ik het goed begrijp.

Het zou kunnen dat dit een zuivere motivatie is van Apple, maar dat neemt niet weg dat de Amerikaanse overheid vervolgens toegang heeft tot al deze metadata, bij wet.

[Reactie gewijzigd door Gersomvg op 13 november 2020 17:50]

Apple kan niet goedpraten dat deze gegevens worden opgestuurd, als ze zo zuiver zijn dan zouden ze de hash alleen nodig hebben. Er is geen reden om de andere gegevens erbij te hebben omdat deze niets te maken hebben met de software garantie.

Dit is de reden waarom ik hier op Tweakers ook al jaren roep dat het blind vertrouwen van Apple nooit goed kan zijn. Iedere discussie wordt weer aangehaald dat Google je data scant en dat Apple 100% je garantie waarborgt. Nu blijkt dus eindelijk dat ook Apple hetzelfde doet als alle ander grote tech bedrijven.

En er komen weer vast antwoorden dat Apple je data niet verkoopt. En als je de EULA goed leest staat er dat het niet je data verkoopt maar wel intern gebruikt. Wat net zo erg is aangezien ze intussen in elke tak van het spectrum wel een bedrijf hebben gekocht. Ze hoeven het niet te delen ze kunnen het zelf prima inzetten voor eigen gebruik.

Daarbij komt dat deze data niet verkocht hoeft te worden omdat elke ISP en andere tapper het gewoon kan lezen, want nog erger is. Ik hoop dat dit de wake-up call is voor Apple gebruikers om de producten en diensten van Apple met dezelfde argwaan te gaan behandelen als die van Google en Microsoft. (en natuurlijk de social bedrijven)
Het interne gebruik van user data is aan extreem strenge eisen gebonden, en voor ieder gebruik moet toestemming gevraagd worden aan de privacy troika. (Zelfs de CEO kan die niet overrulen). Die zeggen vaker nee dan ja, dat is de reden waarom Siri soms zoveel klunkier werkt dan andere voice assistenten. Dat is ook de reden dat Apple zo zwaar in zet op die neural engine van ze, dan hoeft dergelijke meuk nooit meer naar de cloud, het kan allemaal on device worden afgehandeld.

Qua ocsp: volgens mij is dat gewoon hoe het protocol / de standaard werkt. Dat heeft Apple niet zelf bedacht.
Dit verhaal heb ik regelmatig gehoord en toch konden Apple engineers luisteren naar opgenomen berichten voor kwaliteits doeleinden. Dat hele Troika verhaal is leuk maar werkt hetzelfde als een change board.

Eenmaal toegestaan wordt er niet meer gecontrolleerd wat er met die data gedaan wordt en of de dataset niet is uitgebreid. Dus een afdeling die al 10 jaar zijn data ontvangt blijft dit gewoon doen. Ik vind het allemaal hele utopetische verhalen maar mijn gezond verstand zegt dat je Apple niet heiliger moet maken dan de rest. Als jij op blind vertrouwen erin gaat dan is dat jou keuze maar het verleden heeft te vaak bewezen dat je dan toch het lid op de neus krijgt.

En ook in deze heeft Apple boter op zijn hoofd dat ze mogelijk maken om andere te laten spioneren op hun gebruikers. Een typisch bewijs dat Apple niet anders functioneert dan de andere grote tech bedrijven, alleen door slimme marketing en een heel leger van mensen die ze blijven verdedigen (terwijl ze in hun hart denk ik ook wel weten dat ze dat niet kunnen want ze hebben de harde feiten niet) kunnen ze nog steeds wegkomen met dit soort dingen.
Je internet uit zetten of het domein blokkeren in je (externe) firewall en de boel werkt gewoon weer hoor ;) Hier was het geval dat het domein dus wel via DNS te resolven was naar een IP adres maar de server op dit IP adres niet of slecht bereikbaar was. Er was dus geen sprake van "geen internet".

Dit staat overigens ook gewoon heel duidelijk in het artikel :Y)

[Reactie gewijzigd door Ventieldopje op 13 november 2020 18:59]

This means that Apple knows when you’re at home. When you’re at work. What apps you open there, and how often. They know when you open Premiere over at a friend’s house on their Wi-Fi, and they know when you open Tor Browser in a hotel on a trip to another city.

Interessant.
Interesant de toevoeging van de locatie. Want volgens mij is locatie niet relevant bij deze check, ze controleren of het certificaat wat gebruikt is voor deze applicatie nog geldig is. Dit is hetzelfde als het checken of het certificaat van een website met https nog geldig is. Het certificaat heeft een parent certificaat (issuer) welke een certificate revocation list (crl) bijhoud, deze wordt bijgewerkt als een certificaat is ingetrokken )
Maar je kan de locatie wel grofweg afleiden uit het IP en dit kan in theorie gelogd worden; daar doelt de auteur van het artikel op.
Maar je kan de locatie wel grofweg afleiden uit het IP en dit kan in theorie gelogd worden; daar doelt de auteur van het artikel op.
Dat kunnen ze toch al, omdat diezelfde Mac ook checked of er nog updates zijn, of hij iCloud moet syncen, of de Keychain gesynchroniseerd is, of de malware definities up to date zijn, etc, etc.

ocsp requests zijn dan wel het laatste waar ik me druk om kan maken.
Maar wat is dan wel (en hoe) veilig/private? Niets om iets illegaals mee te doen maar gewoon om ervoor te zorgen dat niemand mee kijkt of een database aan informatie van een persoon kan opmaken...
Wat mij eerder af houdt om Big Sur te installeren is dat ze Network kernel extensions eruit hebben gesloopt waardoor bepaalde apps om firewalls heen kunnen werken. Met name Apple apps. Big Sur maakt nu gebruik van Network extensions en juist daardoor kunnen Little Snitch en LuLu niet meer optimaal functioneren. En niet alleen firewalls functioneren niet optimaal, maar ook adblockers.

Voor mij geen Big Sur.
Netwerk level firewall is imho hoe dan ook prettiger. Vangt meteen alle devices af. Het is alleen ruk om in eerste instantie alle regels te configureren.
Zeker maar een zo'n firewall neem je zo lastig met je mee.
Net als op je iPhone heeft Apple het nu in Big Sur zo ingericht dat 'Apple Traffic' langs je VPN gaat.
Het probleem is dus dat Apple ervoor kan kiezen om die VPN links te laten liggen.
Daar blijft ook niet veel van over als alles over https gaat (waaronder ook DNS). En als Apple de belangrijkste verificatie functies in de T2 (of diens opvolger) stopt valt er lokaal ook niet veel meer aan te patchen. Dan zegt Apple straks gewoon welke code wel of niet op hun ARM processor mag worden uitgevoerd, of je moet er een risicovolle operatie aan wagen om de communicatie tussen de 2 chips te manipuleren (voor zolang ze nog niet geïntegreerd worden).
Het lijkt me meer dan logisch dat de T2 chip zal verhuizen naar hun eigen SoC. Al is het alleen maar om kosten te drukken.

Alles wat de T2 chip doet en kan is al heel Lang mogelijk met hun A series SoCs
Het lijkt me meer dan logisch dat de T2 chip zal verhuizen naar hun eigen SoC. Al is het alleen maar om kosten te drukken.

Alles wat de T2 chip doet en kan is al heel Lang mogelijk met hun A series SoCs
Dat zit al in hun M1 chip, dat is namelijk de Secure Enclave onder andere. De enige reden dat de Intel machines een separate T chip hadden was omdat het daar niet in de processor zit. Nu Apple haar processoren zelf maakt voor de ARM mac’s is die noodzaak er niet meer.
Little Snitch is met een update gekomen die werkt op Big Sur. Die update (Little Snitch 5) kost geld maar je krijgt korting met je oude licentie. In mijn geval (45 - 20 =) 25 EUR.

No offense btw, maar een OS updaten 1 dag na release is onverstandig. Tenzij de device niet belangrijk is; dan zou ik zeggen ga lekker beta testen.
Little Snitch 5 kan geen gebruik meer maken van NKE. Dus Apple apps gaan sowieso langs LS5 en LuLu. LS5 kan bijvoorbeeld verkeer van de App store niet meer zien en dus kan je deze ook niet meer monitoren.

Ik heb ook nooit gezegd dat LS5 niet werkt op Big Sur. Alleen werkt het niet meer 100% en dat geldt ook voor adblockers en toekomstige malware die wellicht zo geschreven gaan worden dat ze eenzelfde omweg gaan gebruiken als Apple apps.

https://twitter.com/patrickwardle/status/1318440769154240513
Weet ik. Wat betreft malware: zal het eerst root moeten verkrijgen.

Wat ga jij doen? Eeuwig op Catalina blijven?
Linux is wat mijn imac pro gaat runnen
Dan resteert me nog heel wat vragen. Wat doen ze met die data? Wat spelen ze door en zijn er deze tijden nog systemen die dit niet hebben en gebruiksvriendelijk zijn?
Wat stuur je door? Tja wat wil je allemaal ontvangen? Elke app gebruikt diensten op servers. Liggen die servers plat dan loopt het mis.
Met name Apple apps.
Ze hebben ook het zelfde gedaan met advertentie netwerken op iOS:
Apple’s Ad Network Gets ‘Preferential Access To Users’ Data’ vs Facebook, Google, Others

[Reactie gewijzigd door Eonfge op 13 november 2020 15:46]

Op zich is het fijn dat Apple het boek kernel-extensions gesloten heeft. Ze zorgden vaak toch voor specifieke problemen in specifieke situaties zonder dat de problemen herleidbaar waren.

Het is natuurlijk wel frappant dat Apple daar geen gelijke middelen voor teruggeeft, zeker als het om de beveiliging van je Mac gaat en het beschermen van je gevoel van privacy. Apple weet dondersgoed dat heel veel mensen deze Applicaties gebruiken en ze weten natuurlijk ook dat al het phone-home gebeuren door privacy-voorvechters geblokkeerd wordt.
Hoeveel unix zit er nog in OSX?

Even een vpn kill switch schrijven zoals bijv met iptables op linux zit er niet meer in?
Hoeveel unix zit er nog in OSX?

Even een vpn kill switch schrijven zoals bijv met iptables op linux zit er niet meer in?
Nul. Er zat nooit Unix code in OSX afaik. Het was een certificeerde Unix (in elk geval ten tijde van tiger, dat was 10.4 dacht ik).

Ik zal moeten upgraden om te kijken of pf op macos nog normaal werkt of bypassed wordt voor bepaalde signed code. Ik heb mijn twijfels dat het zo werkt, want er zijn zat netwerken waar je alleen een IP krijgt, en er domweg niets is aan toegang, diensten, etc, tot je je VPN aanslingert.
Ja.Zo op veel linux distros gooit systemd-resolv nog wel eens roet in het eten.Maar dat is meestal makkelijk op te vangen. zo lang fundamenteel (kernel) design maar niet moeilijk doet.

[Reactie gewijzigd door zvbhvb op 15 november 2020 15:06]

Nul. Er zat nooit Unix code in OSX afaik. Het was een certificeerde Unix (in elk geval ten tijde van tiger, dat was 10.4 dacht ik).
Je bedoeld misschien dat er geen Linux in zit. Wel Unix en wel via Unix System 7 en BSD. Alles over BSD hier https://en.wikipedia.org/wiki/Berkeley_Software_Distribution

Darwin is gebouwd met als basis BSD. Het is dus een traceerbare afstammeling met de originele A&T/Bell labs Unix versies tot Unix V7, waarna de wegen scheiden: Berkely met BSD en AT&T met Unix System V.

Linux is een ander verhaal, dat is een volledig eigen kernel, dat zit niet in Darwin. Maar Unix dus wel.
In Darwin zit geen BSD kernel. Alleen een op BSD gebaseerd user land. Het hele punt van de rechtszaken back in the day, was dat alle Unix source uit BSD ging. Diezelfde rechtszaken waarvan Linus Torvalds ooit gezegd heeft dat als die er niet waren geweest, hij BSD had gepakt en niet eens aan Linux was begonnen.

Maar derhalve is BSD officieel geen Unix, en zit er geen Unix source code in Darwin. Het was ten tijde van tiger (10.4) wel een officieel gecertificeerde Unix, maar dat heeft niets te maken met de source code die er in zit.
Het argument van Apple zal veiligheid zijn.

Door te voorkomen dat deze netwerkcheck door een user omzeild kan worden, kunnen ze ook voorkomen dat malware de certificaat-beveiligingen omzeilt.
Is het inderdaad zo dat elke keer als je een app opstart op een macOS machine, je computer aan Apple gaat vertellen wat voor app je waar en wanneer opstart? Zoals hier wordt beweerd: Your Computer Isn't Yours

En zelfs unencrypted, zodat afluisteraars je in principe ook nog precies zouden kunnen volgen?

Dat zou me nou niet een warm gevoel geven bij het gebruiken van macOS :|

[Reactie gewijzigd door jj71 op 13 november 2020 15:43]

Ja, dat is zo. Het is ook zo op Windows. Als developer van een Windows applicatie met een bepaald certificaat en een Windows developer account die aan dat certificaat gekoppeld is kan ik zien hoe veel mensen, hoe vaak Krita draaien. Dat is niet alleen eng voor de gebruikers, maar het is ook eng om te zien dat dat in de miljoenen loopt. En het gaat niet alleen om Windows Store installaties, maar om alle keren dat krita.exe wordt opgestart.

Ik weet niet of ik dezelfde metrics kan zien voor macOS, daar heb ik nooit naar gekeken, hiervan weet ik het alleen omdat een KDE sysadmin me erover vertelde (we gebruiken het KDE certificaat om binaries te signen.)

Hetzelfde gebeurt met ChromeOS en Android, ook daarvan kun je zien hoe vaak mensen je applicatie draaien, de geografische verdeling en zo voort.
En ziehier, Apple gaat zijn leven beteren: Apple voert wijzigingen door na privacykritiek op appcheck door macOS Big Sur

Vooral dit vond ik ernstig:
Bij onderzoek naar de aard van de appproblemen, benadrukten beveiligingsonderzoekers als Jeffrey Paul dat de OCSP-requests onversleuteld verzonden werden.
Dat betekent dat iedereen die het netwerk afluistert precies kan volgen wat jij allemaal voor apps opstart :(
Verrassing: elke web browser ter wereld doet het zelfde.

TLS certificaten voor jouw https verkeer worden vaak ook middels OCSP geverifieerd. Dus elke CA krijgt netjes pings binnen wanneer een door hen uitgegeven cert wordt gecheckt. En ja, op het netwerk kan ook iedereen voorbij zien komen dat jij naar tweakers.net surft.
Heeft ook te maken met de manier hoe Apple software valideert. Hier al een eerdere klacht te vinden:
https://sigpipe.macromate...-catalina-slow-by-design/

Op zich is dit al niet eens zo vreemd meer. Steeds meer applicaties vereisen een Always Online connectie, dus dat het besturingsssysteem ook langzaam zelf zulke trekjes krijgt ligt in de lijn der verwachtingen.
Op zich is dit al niet eens zo vreemd meer. Steeds meer applicaties vereisen een Always Online connectie, dus dat het besturingsssysteem ook langzaam zelf zulke trekjes krijgt ligt in de lijn der verwachtingen.
macOS vereist geen always on connectie, als het systeem detecteert dat er geen internet is dan wordt de check niet uitgevoerd. Als je gisteren je internet uitschakelde was het probleem weg.

Neemt tevens niet weg dat ik werkelijk niet snap dat dit zo ingebouwd is, het is trouwens niet de eerste keer dat Apple’s server die hiervoor verantwoordelijk is problemen heeft.
Neemt tevens niet weg dat ik werkelijk niet snap dat dit zo ingebouwd is
Omdat dit nou eenmaal is hoe OCSP werkt.

Het gaat om het volgende scenario:
Pietje maakt een redelijk popularie app en laat die notariseren.

Dat betekent dat bij de app een klein briefje zit "MacOS: deze software komt van een bij ons bekende ontwikkelaar en mag je starten bj de laagste veiligheidsinstellingen." *

Pietje denkt na een tijdje "gnagna, ik heb een leuke install-base, ik laat nu de bitcoinmining code in mijn app actief worden. Zo word ik rijk!". Al snel zijn er een aantal mensen die aan de bel trekken, want ze hebben ontdekt waarom hun computer staan te blazen, maar ook een hoop mensen die de app gewoon blijven gebruiken omdat ze niks vermoeden.

Bij Apple hebben ze nu een issue: Ze hebben dat briefje uitgedeeld, maar hoe laten ze het OS weten dat die 'goedkeuring' komt te vervallen? Daarvoor is OCSP een mechanisme. Dat is in principe een lijst met ingetrokken 'notarisaties' . Bij het opstarten van een app checkt Apple snel even de lijst. Is de server niet bereikbaar (geen netwerk), nou ja, we geven het voordeel van de twijfel.

In dit geval was de server online, maar supersloom/overbelast.

*Je kunt er ook voor kiezen om alleen maar apps uit de app store te laten starten. En je kunt handmatig alles starten, zelfs van onbekende developers, maar dat moet je wel expliciet doen (rechtsklik -> open, ipv. 'dubbelklik').

[Reactie gewijzigd door Keypunchie op 13 november 2020 16:25]

Maar dan kan je toch bijna beter periodiek een lijst downloaden lijkt mij voor dit type van toepassing ipv telkens een online check te doen. Net om dit soort issues te voorkomen waarbij je servers overbelast zijn.
Die methode heet CRL. https://en.wikipedia.org/wiki/Certificate_revocation_list

Het nadeel daarvan is dus weer dat het niet real-time is en dat je de hele tijd potentieel zeer grote lijsten aan het downloaden bent (notariseren is bewust laag-drempelig, dus er zitten veel linkmiechels tussen).

Allebei zijn voor- en nadelen en Apple heeft voor OCSP gekozen.
Gezien het de release van een nieuw OS was zou iedereen toch tegelijkertijd die nieuwe lijst moeten downloaden en zou je hetzelfde probleem krijgen.
Je kan beter kijken of je gebruik kan maken van OCSP stapling zoals veel websites ook doen :)

Edit: als ik de de link uit het artikel mag geloven dan gebeurt OCSP stapling dus. Hier leggen ze uit dat ook al zit het ticket er aan gestapled, hij alsnog (via een beveiligde verbinding) het ticket gaat valideren maar als er geen internet is de validatie lokaal plaatsvind.

Beetje vreemd dat er nog steeds naar huis gebeld moet worden dan gezien de CA van Apple waarmee gestapled wordt gewoon in MacOS hoort te staan (en wss ook staat). Als de staple aan de binary zit kun je lokaal valideren of er gerommeld is met de applicatie. Nergens voor nodig om dan contact te zoeken met hun OCSP server en dat ontlast hun dan ook meteen.

[Reactie gewijzigd door Ventieldopje op 13 november 2020 19:16]

Voor die nieuwe versie van de app is een nieuw briefje nodig of zou dat moeten zijn. Er is geen enkele nood elke keer te connecteren.
Er is geen nieuwe versie van de app. Alleen maar ‘slapende code’ die geactiveerd wordt.

Voor de duidelijkheid: dit is niet iets dat ik verzin, dit is uitleg waarom het zo werkt als het werkt.

[Reactie gewijzigd door Keypunchie op 14 november 2020 10:32]

Juist, dat is eigenlijk nog erger.

Ik weet wel wat ocsp is. Mijn punt is dat het zo niet hoeft te werken. Apple zal zijn redenen wel hebben.
Geef het nog even. Afhankelijk van hoe jij leeft, is jouw computer nu al een thin-client voor muziek, films, games en vele kantoorprogramma's. Ik ben zo'n fundamentalist (zie andere post van mij) die het mijt als de pest, maar ik ken nu al zat mensen wiens computer niets meer is dan Google Chrome.

Hoeveel van jouw computer is nu nog bruikbaar zonder internet? Die laatste paar procent 'computer' die je over houdt zonder internet, kan net zo goed ook verdwijnen en voor de meeste gebruikers maakt dat geen praktisch verschil.
Los van hoe ik sommige diensten consumeer vraag ik me soms sowieso wel eens af hoeveel computer ik overhoudt zonder internet. Laatst lag bij ons de DSL eruit doordat de DSLAM stuk was. Ik denk dat ik 80% van de dingen die ik normaal op mijn computer doe niet meer kon doen. Van de overige 20% deden sommige het niet wegens always on DRM (games, fusion360). Een programma wou niks meer doen omdat ik eerst een update moest downloaden. De rest die ik nog wou/kon doen had niet veel nut zonder dat ik het internet kon raadplegen voor documentatie of broncode/images. Owja en Chromecast werkt ook niet als je geen internet hebt, dus lokaal streamen zat er ook niet in.
Grappig... Little Snitch is niet zomaar een "netwerk-tool". Het wordt vooral gebruikt om uitgaand verkeer van apps te blocken zodat je de [k]-versie kan draaien, om het "phone home" tegen te gaan...
Little Snitch is gewoon een alternatief voor Wireshark wat je privacy en veiligheid kan waarborgen. De soort data en de manier waarop Apple deze verstuurt zijn compleet onacceptabel in 202.0
Ik heb nog nooit van Wireshark gehoord dus daar kan ik ook niet over oordelen. Je commentaar "is gewoon een alternatief" vind ik dan ook moeilijk te beoordelen. Ik ken alleen Little Snitch en gebruik dat al jaren en ook alleen maar om uitgaand verkeer te blocken. Dus jouw commentaar "wat je privacy en veiligheid kan waarborgen" gaat wat mij betreft niet op. Het garandeert namelijk helemaal niets. Het is een monitor, verder doet het niets. Je bent waarschijnlijk ook niet bekend met Little Snitch anders zou je dit commentaar niet posten.
Qua commentaar op Apple geef ik je volledig gelijk! Ik zal de komende jaren ook niet Big Sur installeren omdat ik het een flutsysteem vind en ik op een professionele manier met Apple moet werken. Ik wil geen iPhone apps op mijn desktop hebben, ik wil niet eens de mogelijkheid hebben! Het is een leuk systeem voor (beginnende) Apple-gebruikers die zijn ingestroomd toen de iPod en iPhone uitkwam. Niet voor pro-gebruikers die meer met hun systeem willen doen dan alleen maar aanklooien.
Ars Technica schrijft ook dat het probleem verscheidene minuten heeft gespeeld.
en firewalls deze dus niet meer kunnen blokkeren.
Gewoon 1:1 overgenomen uit de tweet, zonder even er bij te vermelden dat het om software firewalls gaat. Externe firewalls (router / pihole etc) blokkeren dit uiteraard wel :Y)
Pi-hole op een oude Pi gooien en domein blocken lost dit op, later wel weer weggooien want niet slim om dit permanent te blokkeren.

Tipje, je kan je Pihole super makkelijk beheren met deze app, Pi-hole Remote: https://apps.apple.com/app/apple-store/id1515445551
Goede tip van die app. Verrekte handig. Alleen de watch app werkt niet (lijkt me overigens vrij overbodig, maar was wel nieuwsgierig)
Het probleem met Pi-Hole is dat je die niet mee kan nemen.
Pinned MacOs het certificaat voor een app of controleert hij het elke keer als het internet aanstaat en je het opstart?

Op het internet word het tweede gesuggereerd, wat wel heel veel vertrouwelijke informatie lekt. Ze kunnen ook gewoon updates pushen als je online bent met teruggetrokken certificaten voor apps, zoveel data is dat niet. Ben je er net zo snel achter dat er malware is ontdekt, zonder dat Apple hoeft te weten wat je elke seconde uitvoert.

[Reactie gewijzigd door Pinkys Brain op 13 november 2020 19:04]

Ik zit wel met een probleem nu. Ik heb Big Sur (zonder dit te weten) geinstalleerd, en het werkt prima
Maar wil helemaal niet dat alles via apple gaat en dat ik dat outgoing traffic niet kan blocken

Ik heb pihole en dacht dan even ocsp.apple.com te blacklisten. MAAR! nu blijkt dat mijn DNS lijst een vage server ergens in de USA bevat. En die kan ik niet deleten. Beide andere servers zijn de pihole resp de router (die ook weer naar pihole verwijst)

Ik kan niets verwijderen! De - knop werkt niet. Hoe doe ik dit nu?

Ok, gelukt.
In de command prompt:
sudo networksetup -setdnsservers Wi-Fi empty
sudo networksetup -setdnsservers Wi-Fi jouw dns server
sudo killall -HUP mDNSResponder

checken met
scutil --dns | grep 'nameserver\[[0-9]*\]'

[Reactie gewijzigd door oltk op 14 november 2020 23:00]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True