Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020 |
Bienvenue invité ( Connexion | Inscription )
Ce qui arrive sur votre Mac ne reste pas toujours sur votre Mac, Réactions à la publication du 15/11/2020 |
15 Nov 2020, 18:36
Message
#1
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 4 858 Inscrit : 15 Mar 2009 Membre no 132 890 |
... et c'est encore moins le cas avec l'arrivée de Big Sur.
Vous avez peut-être remarqué sur votre Mac un ralentissement du lancement des applications ces derniers jours. Un ralentissement dû à une fonctionnalité de sécurité de macOS. Introduite il y a deux ans, cette fonctionnalité consiste à envoyer à un serveur d'Apple (ocsp.apple.com) la signature unique du fichier exécutable de chaque application que vous tentez d'exécuter sur votre Mac. En réponse, le serveur indique au Mac si l'application en question peut ou non être lancée. Si le serveur est injoignable (Mac non connecté à Internet ou requête bloquée par un pare-feu), l'application se lance immédiatement. S'il est joignable, elle n'est lancée qu'une fois qu'une réponse positive a été reçue. Ainsi, en cas de surcharge des serveurs, comme c'est arrivé les 12 et 13 novembre, l'allongement du temps de réponse du serveur provoque le ralentissement du lancement des applications, constaté par de nombreux utilisateurs. Un dysfonctionnement qui tombe particulièrement mal, alors même qu'Apple vient de sortir macOS Big Sur, qui rend plus compliqué la désactivation de ce système. En effet, s'il n'y a jamais eu d'option officielle permettant de la désactiver, cette fonctionnalité pouvait jusqu'à présent être bloquée avec un pare-feu installé sur le Mac, comme LittleSnitch. Ce n'est plus possible sous Big Sur, qui a mis en place une protection de certains processus système : leurs requêtes réseau ne peuvent plus être filtrées par un pare-feu local, ni passer par certains VPN (un VPN virtuel aurait aussi permis de les bloquer localement). Il semblerait que pour l'instant le blocage soit encore possible via le fichier /etc/hosts, en y ajoutant une entrée pour faire pointer ocsp.apple.com vers 127.0.0.1. Mais pour combien de temps ? Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge), ce qui donne une grande surface d'attaque pour intercepter les requêtes et déterminer les logiciels utilisés par les Mac situés derrière une IP publique donnée, mais aussi, de deviner de manière indirecte d'autres informations : profession, horaires de travail, période de congé, loisirs… Pire, l'absence de chiffrement pourrait éventuellement ouvrir à un attaquant la possibilité de déterminer quelles applications il vous autorise à utiliser sur votre Mac, en renvoyant des réponses négatives aux requêtes qu'il aura réussi à intercepter (ce n'est toutefois pas trivial, la réponse étant normalement signée par le serveur)… MàJ : la signature envoyée est en fait propre à chaque développeur/éditeur, et non à chaque application, ce qui limite un peu la portée des informations pouvant être récupérées (l'attaquant peut par exemple déterminer que vous utilisez des logiciels Adobe et Microsoft, mais pas lesquels précisément). Lien vers le billet original |
|
|
15 Nov 2020, 19:01
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 150 Inscrit : 12 Feb 2004 Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/ Membre no 14 695 |
-------------------- macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved. mac Framework successfully initialized. (Was...) |
|
|
Guest_Neutral_ch_* |
15 Nov 2020, 19:04
Message
#3
|
Guests |
|
|
|
15 Nov 2020, 19:35
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 183 Inscrit : 15 Nov 2005 Membre no 49 996 |
Tel que je l'ai compris, c'est Mojave et supérieurs, ça n'a pas été porté sur les anciennes versions.
-------------------- |
|
|
15 Nov 2020, 19:37
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 150 Inscrit : 12 Feb 2004 Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/ Membre no 14 695 |
Introduite il y a deux ans Hello, cela veut dire qu'elle a été implémentée avec Mojave et les versions suivantes d'OSX ou que cela touche aussi les versions précédentes? Selon Jeffrey Paul oui ... Citation "A: This has been happening since at least macOS Catalina (10.15.x, released 7 October 2019). This did not just start with yesterday’s release of Big Sur, it has been happening silently for at least a year. According to Jeff Johnson of Lap Cat Software, this started with macOS Mojave, which was released on 24 September 2018."
-------------------- macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved. mac Framework successfully initialized. (Was...) |
|
|
15 Nov 2020, 19:38
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 608 Inscrit : 1 Jul 2006 Membre no 63 808 |
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué.
Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille). |
|
|
15 Nov 2020, 20:02
Message
#7
|
|
Nouveau Membre Groupe : Membres Messages : 12 Inscrit : 15 Nov 2020 Membre no 212 848 |
Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...).
Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ?? |
|
|
15 Nov 2020, 20:05
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 415 Inscrit : 31 Aug 2006 Membre no 67 018 |
Encore et toujours moins de liberté, avec le prétexte de davantage de sécurité : et l'on sait depuis très longtemps que ce n'est jamais vrai ...
Ici encore Apple n'a rien inventé, mais il sait toujours aussi bien présenter ces restrictions ( violation de la vie privée) comme un avantage ! |
|
|
15 Nov 2020, 20:19
Message
#9
|
|
Adepte de Macbidouille Groupe : Membres Messages : 173 Inscrit : 23 Oct 2004 Membre no 25 688 |
Bonjour
Je ne vois pas comment apple peut m'empêcher de bloquer ocsp.apple.com sur mon routeur. A+JYT |
|
|
15 Nov 2020, 20:22
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 19 315 Inscrit : 22 Jul 2004 Lieu : Louvain-la-Neuve (Gaule Gelbique) Membre no 21 291 |
Je suis sous High Sierra et j'ai le même problème. Le téléchargement fonctionne sur l'App Store, mais impossible d'ouvrir les applis, à moins d'en remplacer la signature (sauf pour certaines comme Messenger où cela ne change rien...). Ayant installé MacOS High Sierra Vendredi 13 NOV en fin de journée sur mon nouveau disque dur, je me demande si cela sera persistant ou pas... Comment se fait il que quelques jours après le bug ça n'ai toujours pas été réglé ?? Je copie ici ce que j'en disais par ailleurs : Le problème n'est pas que les erveurs ne fonctionnent pas (dans ce cas, une réponse appropriée est prévue), mais qu'ils mettent trop de temps à répondre (soft failure), ce qui est bien plus difficile à résoudre. Un serveur en panne, ça se remplace vite fait mais ici, il s'agit de la surcharge de serveurs en grappe, sollicités par tous les utilisateurs Mac qui ont installé et utilisent Big Sur, Catalina ou Mojave (au minimum). Depuis vendredi, Apple a apparemment déjà augmenté de cinq minutes à une demi journée la durée pendant laquelle ils gardaient en cache la réponse à une requête OCSP pour tenter de soulager ces serveurs, mais ça n'a pas encore l'air de suffire pleinement… • https://lapcatsoftware.com/articles/ocsp.html Dans ton cas, comme il y a eu réinstallation ce vendredi 13 (!), il se peut que la nouvelle version postée par Apple de High Sierra contienne de nouveaux certificats de sécurité, qui doivent être validés par ces serveurs un peu lents à la détente… -------------------- ¶ MacBook Pro 14’’ 2021, M1 Pro, 16 Go/1 To – macOS 12.6 “Monterey” ¶ MacBook Pro 15’’ mi-2010 Core i5 2,53 GHz, 8 Go/SSD Samsung 860EVO 1 To – Mac OSX 10.6.8 ¶ Power Macintosh G3 beige de bureau, rev.1 @ 233MHz, 288 Mo/4Go – MacOS 9.1 + carte PCI IDE/ATA Tempo 66 Acard 6260 avec HD interne Maxtor 80 Go + graveur interne CDRW/DVD LG GCC-4520B + tablette A4 Wacom UD-0608-A + LaCie ElectronBlueIV 19" + HP ScanJet 6100C ¶ B-Box 3 + HP LaserJet 4000 N
¶ La recherche dans MacBidouille vous paraît obscure ? J'ai rédigé une proposition de FAQ. Le moteur logiciel a un peu changé depuis mais ça peut aider quand même. … Les corsaires mettent en berne… |
|
|
15 Nov 2020, 20:36
Message
#11
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 793 Inscrit : 5 Nov 2001 Membre no 1 217 |
"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ?
Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs ! Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités ! -------------------- Dan
(Mac Pro 5.1 Quad Core 2,8 GHz - 4 To stock - 16 Go Ram - 2 écrans 27" et 24" OS = SL + High Sierra - iPod 5G/30 Go - iPhone 15 Pro/128 Go - iPad Pro 12,9"/256 Go) |
|
|
15 Nov 2020, 20:43
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 150 Inscrit : 12 Feb 2004 Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/ Membre no 14 695 |
"Un ralentissement dû à une fonctionnalité de sécurité de macOS" dites-vous ? ... de "sécurité" ou bien "d'espionnage" en fait ? Je n'ai plus aucune confiance en Apple qui est devenue (largement) l'équivalent de "Google" dans le rôle de "Big Brother" auprès de ses utilisateurs ! Franchement, ça m'attriste de voir ce qu'Apple est devenue après l'ère "S. Jobs" : un désert d'humanité pour un max de frivolités ! On se calme... Comme on l'a vu lors de la dernière Keynote totalement aseptisée, ce ne sont plus que des clones d'eux mêmes, lisses et sans âme. Beaucoup apprécient cette séduisante mascarade en salle blanche. Ce message a été modifié par tchek - 15 Nov 2020, 20:46. -------------------- macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved. mac Framework successfully initialized. (Was...) |
|
|
15 Nov 2020, 21:09
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué. Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille). C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/ Ci dessous le TL;DR du lien ci-dessus :
Ce message a été modifié par downanotch - 15 Nov 2020, 21:10. |
|
|
15 Nov 2020, 21:17
Message
#14
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 150 Inscrit : 12 Feb 2004 Lieu : ?/Know Universe/Milky Way/Solar System/Earth/private(?)/ Membre no 14 695 |
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué. Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille). C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/ Ci dessous le TL;DR du lien ci-dessus :
Quel degré de véracité peut-on accorder à ce blog ? C'est chaud bouillant ici : https://linuxfr.org/users/gouttegd/liens/ma...une-application Ce message a été modifié par tchek - 15 Nov 2020, 21:21. -------------------- macOS./* Clients & Serveurs Dépannages ACTC
kernel[0]: The Regents of the University of California. All rights reserved. mac Framework successfully initialized. (Was...) |
|
|
15 Nov 2020, 21:21
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge) C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin. Quel degré de véracité peut-on accorder à ce blog ? Il y a le détail de toute son analyse, n'importe qui peut la vérifier. |
|
|
15 Nov 2020, 21:34
Message
#16
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 183 Inscrit : 15 Nov 2005 Membre no 49 996 |
Venant d'Apple, qui se présente régulièrement comme un défenseur de la vie privée, ces restrictions sont en tout cas particulièrement mal venues, d'autant plus que les données sont transmises en clair et que les requêtes transitent par des serveurs n'appartenant pas à Apple (Apple utilise les services d'Akamai pour mieux absorber la charge) C'est en clair pour une bonne raison comme il s'agit de vérifier la validité d'un certificat. Sinon, il faut logiquement commencer par valider le certificat utilisé pour chiffrer la connection, ce qui nécessiterait de valider le certificat utilisé pour cette validation, et ainsi de suite, on serait dans une boucle sans fin. Ce qui fait qu'aucune information sur l'utilisation de la machine ne transiterait en clair. Et surtout, ce genre de chose qui expose des informations sur l'utilisation devrait pouvoir être désactivé (par exemple, c'est désactivable dans Firefox et les sites web HTTPS peuvent aussi désactiver le contrôle pour leur certificat en intégrant dans leur réponse au client une réponse de validation récente). Ce message a été modifié par SartMatt - 15 Nov 2020, 21:35. -------------------- |
|
|
15 Nov 2020, 21:35
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 146 Inscrit : 30 Jun 2005 Lieu : Loiret Membre no 41 715 |
Mon iMac est sous Mojave. J'ai eu CE 'UTAIN de problème de lenteur l'autre soir.
L'âge (et peut-être la sagesse) aidant, devant ce “bug” insupportable de lenteur à l'ouverture d'une session où les extensions mettaient un temps interminable à se lancer... je n'ai fait qu'un redémarrage en zappant la PRAM... ce qui n'a rien fait pour résoudre le problème. À une autre époque, j'aurai lâché les chiens en remettant tout en cause, mon DD, mon Mac, mon réseau, la météo, ma concierge... et entrepris de manips à tous les étages. Je trouve que les choses sont de plus en plus difficiles à gérer avec Apple, et malheureusement, je n'ai pas toutes les compétences, l'énergie et le temps pour intégrer ces nouvelles notions/options, bien trop techniques pour moi. Oui, l'usure aidant, j'attends maintenant que ça passe et ici, c'était la bonne attitude : mon mac à retrouver ses jambes le lendemain !... MAIS J'AI QUAND MÊME BIEN FLIPPÉ !... Ma conclusion : nos machines sont définitivement dans la main d'une entreprise américaine qui par sa seule volonté/incompétence/impotence peut les rendre inopérantes bien trop facilement et sans effort !... Pas glop !... Pas glop !... NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”. Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?... -------------------- MacMini M1 (13.4.1c) 16Go • iPhone 11 Pro Max 64Go • iPadMini Wi-Fi 6ème Gén. 64Go • aTV 4K 32Go |
|
|
15 Nov 2020, 22:08
Message
#18
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 521 Inscrit : 23 Feb 2011 Lieu : Essonne Membre no 164 889 |
NB : sur ma machine, Little Snitch gère un process qui se nomme “ocspd”, identity : “ocspd” must be signed by Apple with identifier “com.apple.ocspd”. Question : doit-on (peut-on) deny ce process et dépendre ainsi un peu moins des errances de la firme pommée ?... On peut toujours , mais apres il faut verifier l'impacte sur l'ensemble des services apple. Si on en utilise peu, ce ne sera pas un probleme Si l'environnement des applis Apple est en constante, cela par un biais ou par un autre sera sans doute un probleme Au pire L.S permet de stopper le filtrage -------------------- un I-Book : 500 pages format 20x30, papier velin 160g
|
|
|
15 Nov 2020, 23:42
Message
#19
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 838 Inscrit : 21 Jan 2010 Lieu : Vancouver BC Membre no 149 008 |
On passe de "droit" à "privilège". Hagar Dunor au secours.
|
|
|
16 Nov 2020, 02:40
Message
#20
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 12 571 Inscrit : 25 Nov 2001 Membre no 1 397 |
Quel degré de véracité peut-on accorder à ce blog ? Il y a le détail de toute son analyse, n'importe qui peut la vérifier. Et même les "Genius" des Apple stores peuvent savoir ce que tu as executé et sauvegardé sur le icloud. https://sneak.berlin/20201112/your-computer-isnt-yours/ C'est quand même scandaleux ce qui arrive sur les Mac et personne ne bronche. Apple peut tout faire, elle est sacralisée. Et avec ses puces maison, elle pourra tout faire passer en douce. Ce message a été modifié par zero - 16 Nov 2020, 02:43. |
|
|
16 Nov 2020, 04:08
Message
#21
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 371 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Vu le nom de domaine, c'est un serveur OCSP, à qui le numéro de série d'un certificat (en l'occurrence celui de l'éditeur du logiciel) est envoyé et qui répond si le certificat est encore valide ou s'il a été révoqué. Et il y a exactement le même système pour beaucoup de certificats SSL (c'est par exemple le cas sur le certificat de MacBidouille : Digicert peut savoir que votre adresse IP fréquente MacBidouille). C'est exactement ça, Jeffrey Paul n'a pas tout compris : https://blog.jacopo.io/en/post/apple-ocsp/ Ci dessous le TL;DR du lien ci-dessus :
C'est très intéressant, incluant le problème d'authentification TLS qui est récursif. Après examen ça n'est d'ailleurs pas ocsp.apple.com qui est toujours employé, par exemple dans mon cas ocsp-lb.apple.com.akadns.net et ocsp.g.applimg.com, sans pouvoir vérifier aisément le contenu des échanges à l'instant (donc peut-être certains créés par Chrome, mais peu probable vu les domaines), ces appels ont été effectués aux lancements de logiciels de différents éditeurs sur mon Mac sous macOS 11 Big Sur. OCSP est amusant, je n'y avais pas réfléchi plus en profondeur et surtout pas dans le contexte des signatures de nos Apps. Le problème de fond est que c'est une sécurité pour pouvoir désactiver des applications suite à la révocation d'un certificat développeur, mais que d'un autre coté ça transmet des informations, incluant des PII au sens du GDPR/RGPD, et des informations -certes partielles- sur nos usages qui peuvent avoir de la valeur sur le long-terme. Attendons de voir ce que Apple en dit, et aussi les analyses techniques qui devraient suivre, mais essentiellement si on veut bénéficier de la possibilité de profiter de la -rare- révocation de certificats (et pas nécessairement à bon escient!!!) il me paraît très compliqué de ne pas envoyer d'informations révélatrices, au moins pour Apple. Apple pourrait au moins chiffrer les informations de manière asymétrique (avec une partie de la payload pseudo-aléatoire), mais là arriverait le problème de maintenance nécessaire de la clé de chiffrement publique en cas de fuite de la clé privée, mais ça pourrait être un bon compromis à mon sens. PS: @SartMatt propose plus haut que ça puisse être désactivable, ce qui enlève une sécurité très rarement utilisée, mais offre un bien meilleur respect de la vie privé, et je pense que ça serait une bonne chose. Pour ma part je vais filtrer cela car ça rentre dans ma catégorie Traceurs et malware divers. Ce message a été modifié par iAPX - 16 Nov 2020, 04:13. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
16 Nov 2020, 08:20
Message
#22
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Apple a publié une note à ce sujet : https://support.apple.com/en-us/HT202491
Elle annonce notamment qu'au cours de l'année à venir, les modifications suivantes vont être apportées
Ce message a été modifié par downanotch - 16 Nov 2020, 08:25. |
|
|
16 Nov 2020, 08:29
Message
#23
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 328 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Je ne peux m'empêcher de me le demander.
Sous quelle forme es-tu lié à Apple ? Comment es-tu rémunéré pour ton travail acharné à les défendre ? -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
16 Nov 2020, 08:45
Message
#24
|
|
Adepte de Macbidouille Groupe : Membres Messages : 218 Inscrit : 8 Jun 2001 Lieu : OISE Membre no 356 |
Inconditionnel de cette marque depuis ma naissance, (février 1955 ! !) depuis que Steve à jugé préférable de soigner son cancer de pancréas avec des tisanes ! ! ! ! les raisons de quitter cette marque ne font que se multiplier ! ! ! Les OS se succéder et les bugs, soit disant "repris en main" se multiplient ! ! Heureusement que l'ouverture de monMacPro pour son "dépoussiérage" trimestriel ma ramène a de bonnes "sensations" ! ! ! Ouvrir un Mac est et reste toujours mon plus grand plaisir ! ! !( MacPro toutes versions jusqu'a la 5.1, MacBook Pro, MacBook Air et tous iMac, du moins ceux qui ne sont pas collés et iPhone également non collés)
Par contre, je suis de plus en plus inquiet pour son remplacement ( le 5.1) ! La version 2013 "poubelle métal" pas question et la V2019 est inaccessible financièrement ! ! ! Reste le Mac mini dans un Rack 19 pouces! ! ! ! A voir .Mais tout ça ne régle pas les délires sur l'OS ! ! ! ! -------------------- MacPro 2,4 up 3,3 Ghz 2010 / Saphire HD 7950/ NVIDIA GTX 980[/s] TI flashee /SSD 860 Pro + 1 WD 4To + 1 WD 3TO +1 WD 1T / Ram 32 Giga / DAC MagicPlus Cambridge Audio + Imac 27 2011 12Go + B&W / OS 10.14.6 / Catalina patché + Windows10 bootcamp / écran |
|
|
16 Nov 2020, 09:13
Message
#25
|
|
Adepte de Macbidouille Groupe : Membres Messages : 218 Inscrit : 22 Mar 2006 Membre no 58 005 |
Est-ce que quelqu'un a une reference sur le fait que ce traffic est serait exclu d'un VPN sous BigSur ? Si c'est le cas c'est tout la notion de VPN qui me semble remise en cause ?
|
|
|
16 Nov 2020, 09:26
Message
#26
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 183 Inscrit : 15 Nov 2005 Membre no 49 996 |
C'est en clair pour une bonne raison Un nouveau protocole chiffré pour vérifier les certificats développeur révoqués Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer. Ce message a été modifié par SartMatt - 16 Nov 2020, 09:26. -------------------- |
|
|
16 Nov 2020, 09:35
Message
#27
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
Comme quoi, ce n'était donc pas en clair pour une bonne raison, mais juste parce que Apple n'avait pas fait l'effort de le chiffrer. C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards). Tant mieux si ça passe en chiffré vu que ça peut poser des problèmes de protection de la sphère privée… |
|
|
16 Nov 2020, 09:44
Message
#28
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 078 Inscrit : 7 Mar 2005 Lieu : Brabant wallon, Belgique Membre no 34 620 |
Je ne peux m'empêcher de me le demander. Sous quelle forme es-tu lié à Apple ? Comment es-tu rémunéré pour ton travail acharné à les défendre ? Poser la question, c'est y répondre. -------------------- MacBook Pro 16 M1Pro | Mac Mini M1 | utilisateur Apple (IIgs puis Macintosh) depuis 1988.
Been There, Done That / Think Different / Our margin: 30%... |
|
|
16 Nov 2020, 09:45
Message
#29
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 32 183 Inscrit : 15 Nov 2005 Membre no 49 996 |
C'est en clair parce que c'est ainsi que OCSP fonctionne normalement, ce qui me semble être une "bonne" raison (j'en connais qui grince des dents dès qu'on s'éloigne un tant soit peu des standards). Le standard OCSP n'impose pas le protocole a utiliser pour les messages, il ne définit que leur contenu. Donc il n'impose pas de chiffrement, mais ne l'interdit pas non plus.Il suggère même explicitement de l'utiliser pour la protection de la vie privée : "Where privacy is a requirement, OCSP transactions exchanged using HTTP MAY be protected using either Transport Layer Security/Secure Socket Layer (TLS/SSL) or some other lower-layer protocol." (RFC 6960, annexe A, paragraphe 1) Donc non, chiffrer une requête OCSP, ce n'est pas s'éloigner du standard. Et le stapling offre même une réponse à la problématique de la validation du certificat utilisé pour le chiffrement de cette communication. Mais de toute façon, d'un point de vue respect de la vie privée, ce n'est pas un problème de valider ce second certificat via une requête en clair, et je dirai même que de ce point de vue fondamentalement on s'en fout de le valider : une connexion chiffrée sans validation du certificat serveur, c'est déjà un progrès par rapport à une connexion en clair (c'est d'ailleurs un peu l'idée derrière Let's Encrypt, qui fournit des certificat SSL ayant une valeur relativement faible d'un point de vue sécurité, mais qui permettent par contre de généraliser le chiffrement pour des questions de vie privée), même si ça permet toujours des fuites si quelqu'un arrive à rediriger le trafic vers son propre serveur. -------------------- |
|
|
16 Nov 2020, 10:13
Message
#30
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 827 Inscrit : 11 Apr 2012 Membre no 175 864 |
|
|
|
Nous sommes le : 29th March 2024 - 08:53 |