Anzeige

macOS: Im Laufe des nächsten Jahres Änderungen bei den Zertifikatsprüfungen

Im Rahmen des Starts von macOS Big Sur wurden die Server regelrecht überrannt. Dies sorgte nicht nur Probleme beim Download von Apples neuem Betriebssystem, auch einige Apps konnten nicht starten. Apple wurde in einigen Diskussionen (u. a. bei Reddit, HackerNews) vorgeworfen, man würde Apps des Nutzers dauerhaft überprüfen und somit sehen können, wann welcher Nutzer etwas nutzt. Ein entsprechender Support-Beitrag des Unternehmens soll nun Licht ins Dunkel bringen, er zeigt aber auch, dass es im nächsten Jahr Änderungen geben wird. So führe der Gatekeeper Online-Prüfungen durch, um zu überprüfen, ob eine Anwendung bekannte Malware enthält und ob das Signaturzertifikat des Entwicklers widerrufen wurde.

Man habe niemals Daten aus diesen Überprüfungen mit Informationen über Apple-Benutzer oder deren Geräte kombiniert. Man verwende Daten aus diesen Überprüfungen nicht, um zu erfahren, was einzelne Benutzer auf ihren Geräten starten oder ausführen. Um die Privatsphäre weiter zu schützen, habe man auch Protokollierung von IP-Adressen, die mit Zertifikatsüberprüfungen der Entwickler-ID verbunden sind, eingestellt, und man wolle sicherstellen, dass alle gesammelten IP-Adressen aus den Protokollen entfernt werden.

Was im Laufe des nächsten Jahres noch passieren soll? Es soll ein neues Protokoll geben, mit dem Zertifikate zurückgezogen werden können – jenes soll auch gegen Server-Ausfälle geschützt sein. Ebenfalls will man Nutzern die Möglichkeit geben, sich gegen diese Maßnahmen zu entscheiden, man bekommt also irgendwo einen Schalter, den man umlegen kann, um sich gegen Zertifikatsprüfungen zu entscheiden.

Neues Apple iPhone 12 (128 GB) - Schwarz
6,1" Super Retina XDR Display (15,5 cm Diagonale); Ceramic Shield, der mehr aushält als jedes Smartphone Glas
913,28 EUR
Apple MagSafe Ladegerät
Kompatibel mit iPhone 12 mini, iPhone 12, iPhone 12 Pro und iPhone 12 Pro Max; Schnelleres kabelloses Laden mit magnetischer Ausrichtung
43,85 EUR
Angebot
Apple AirPods Pro
Aktive Geräuschunterdrückung für immersiven Klang; Transparenzmodus, um dein Umfeld zu hören und darauf reagieren zu können
−77,00 EUR 194,95 EUR
Neu Apple iPad Air (10,9 Zoll, Wi-Fi, 64 GB) - Space Grau (Neuste Modell, 4. Generation)
Fantastisches 10,9" Liquid Retina Display mit True Tone und großem P3 Farbraum; A14 Bionic Chip mit Neural Engine
631,00 EUR

In diesem Artikel sind Amazon-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei LinkedIn, Twitter, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

32 Kommentare

  1. Aluhüte und Applehater: Morningshow starts now!

    • Der Gedanke, was wohl die emotionalen Voraussetzungen dafür sind, in einer zum Zeitpunkt des Verfassens noch vollkommen leeren Kommentarspalte proaktiv mit dem Herabsetzen etwaiger Kritiker des Mac-Ökosystems zu beginnen stimmt mich aus irgendeinem Grund unglaublich vergnüglich. 😀

      Wenn man nichts beitragen kann, außer den (in diesem Fall glücklicherweise gescheiterten) Versuch zu polarisieren, ist es vielleicht besser, nichts beizutragen.

      Zum Artikelthema: Ich glaube, so etwas ist unproblematisch falls eine opt-out Lösung tatsächlich kommt. … und die auch praktikabel ist. Oft werden solche Einstellungen ja behaviouralistisch geschärft, also z.B. durch furchteinflößende Fehlermeldungen, visuelle Störelemente im Alltagsbetrieb, indem man es nach einer bestimmten Zeit zurücksetzt, oder vorgeblich versehentlich bei jedem Update, etc. So eine Lösung zählt nicht.

      Und ganz grundsätzlich ist so ein Ökosystem powergrab von Apple ja nun nichts ungewöhnliches. Wie bei Windows wird der Frosch mit allergrößter Geduld gekocht.

      • Weil von den Hatern fast nur langweiliger und vorhersehbarer Unsinn kommt. In diesem Fall begleitet von unwahrer Berichterstattung eines „Sicherheitsexperten,“ auf die siche alle stürzen, ( https://t3n.de/news/macos-big-sur-apple-datenschutz-vpn-netzwerkfilter-1337470/ ), die am nächsten Tag berichtigt werden muss (verlinkt im Artikel).

        • Ehrliche Frage: Ich sehe da keine Berichtigung, sondern nur Erklärungen und weitere Forschungsergebnisse.

          • Was Apple da macht ist Industriestandard: https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol

            Dabei werden Zertifikate validiert. Ein Typ hat nun behauptet, dass ein Lauscher oder der ISP Nutzerprofile anlegen kann, anhand der Apps, die man ausführt. Das ist falsch. Erstens wir das Zertifikat wird nur ein mal geprüft (bzw. ein mal nach jedem Update). Zweitens wurde der Hash Anhand des Zertifikats erstellt, und nicht von der App abgeleitet.

            • Aber das war doch gar nicht der Skandal. Es ging doch darum, das bestimmte Programme von Apple eine „Abkürzung“ durch den Netzwerkstack nehmen und daher bei Nutzern, die genau dieses Verhalten gezielt blockiert haben, am Paketfilter vorbei Kontakt zu Apple aufgenommen haben.

              • Das ist doch schon länger bekannt und darum ging’s doch hier garnicht, sondern dass angeblich getrackt wird, welche Apps man ausführt.

                Manche Apple-Prozesse können die Content Filter API umgehen. So toll finde ich das nicht, aber das soll sicher „übertriebene“ Filterlisten davon abhalten, dass das halbe System nicht funktioniert (Karten, iCloud, usw). Wer diesen Traffic wirklich blocken will, kann das immer noch mit der pf Firewall tun (wird mitgeliefert), oder mit DNS.

                Problematisch ist hier höchstens, dass man diesen Traffic nicht mehr beobachten/identifizieren kann. Er verschwindet quasi in einem schwarzen Loch und das ist definitiv nicht gut.

                • Ich habe den von dir verlinkten Artikel nochmals gelesen. Es geht fast komplett um die Umgehung der API. Allein das finde ich schon ein Unding.

                  Erst im letzten Absatz geht es um Privacy, und da is für mich klar, dass es hier um die Verknüpfung von Informationen geht, die Apple aus diversen Diensten gewinnt. Auch das ist für mich nachvollziehbar.

                  Ein Dementi sehe ich gar nicht..

                  Meine Meinung dazu:
                  1. Solche Dienste müssen OptIn sein.
                  2. Mechanismen wie „Umgehung der API“ dürfen nicht sein.
                  3. Ein OS hat 0 Pakete mit 0 Bytes ins Internet zu schicken, bis ich mehr zulasse. Ausnahmen wie DNS oder NTP sind OK,…
                  4. …aber der Default muss sein, dass ich den Rechner kaufe, meine Updates bekomme, aber am Ökosystem nicht teilnehme Ob nun „Stores“ oder „Zertifizierung“. Der Hersteller muss fragen, ob ich Zertifikatsprüfungen erlaube.

                  • > Ich habe den von dir verlinkten Artikel nochmals gelesen.

                    Der von mir verlinkte Artikel enthält falsche Information. Geh doch nochmal zurück an den Anfang dieses Threads.

  2. Apple verkommt vom Musterknaben zum sektiererischen Sicherheitsfanatiker. Ich bin dieses Wochenende von Mojave auf Big Sur umgestiegen (Clean Install). Diese Lawine an Abfragen und Bewilligungen, die abgenickt werden muss, ist einfach nicht mehr normal. Wenn eine App nicht aus dem App Store kommt, musste ich je nach Art der Anwendung 5 bis 10 Anfragen bestätigen!

    Arbeiten in Cupertino eigentlich nur noch Aluhut-Träger und Leute mit Wahnvorstellungen? Ich will einen Schalter, um das einfach auszuknipsen, denn ich bin alt genug, um Risiken selber einschätzen zu können!

    • Du hättest vorher auf Catalina umstellen sollen, dann wärst du den Schwung schon gewohnt. Ich habe von Catalina auf Big Sur aktualisiert, da kam dann fast nichts mehr… 😉 Die gute Nachricht: du bist fast durch, das ist eigentlich nur am Anfang nervig, danach kommt das recht selten – es sei denn, du installierst dir sehr häufig neue Software…
      Ein genereller „Lass-mich-in-Ruhe-ich-weiss-was-ich-mache“-Schalter ist verlockend, aber es ist anererseits auch mal ganz gut zu wissen, dass eine neu installierte Software gerade auf die Kontakte zugreifen möchte.

    • Probier das mal (siehe auch Beitrag von @Stefan): https://support.apple.com/de-de/HT208198

      • Danke für den Link, aber wir sprechen wohl nicht vom selben Problem.

        Mir geht es darum, dass man jeder einzelnen Anwendung Zugriff auf den Schreibtisch, Dokumente, Downloads, Wechselspeicher, Bedienungshilfen und vieles mehr gestattet muss. Diese Abfragen nehmen einfach kein Ende!

        • Ah, verstehe, ja das ist eine andere Baustelle. So wie halt mit iOS14 jede App wieder fragt. „Darf die App die GPS-Position? Nur jetzt oder immer?“, „Darf die App an die Fotos? Nur einmal? Nur eines oder alle?“ etc.

          Der Grund ist schon klar -> Weil es einfach böse Menschen gibt die böse Software auf die Geräte schleusen und dann auch wieder „alle“ jammern, wie es denn sein könne, das auf einem sicheren System die Daten kompromittiert werden…

          … einzige Lösung ist eben: Fragen! Bei jeder „neuen“ App (also beim ersten Start) … und das kann halt nerven … Ich bin auch gespannt, wie ich das finden werde, wenn ich zum Big Sur komme (noch bin ich bei Mojave ;))

          • Ist der selbe Mist wie auf iOS, wie oft werde ich da gefragt, ob eine APP auf Standortdaten zugreifen darf – selbst wenn man bestätigt, das „immer“ frage die nach 3 Tagen wieder.
            Gewaltig nervig, weil es nicht nur ein App ist.

  3. Von Catalina auf Bug Sur mit einem T2 MBP (Fresh Install) war irre. Bis ich erstmal auf dieses Dokument gestossen bin : https://support.apple.com/de-de/HT208198
    Da ich das Volume schon platt gemacht habe, musste ich erstmal wieder Catalina installieren. Denn ohne Adminkonto kannste die Änderungen nicht machen.
    OK. Mein Fehler. Trotzdem doof 😉

  4. Es ist einfach bezeichnend, wenn sich die Leute wundern, dass ein OCSP Server kontaktiert wird, wenn ein Zertifikat geprüft werden muss. Was man Apple versucht zu unterstellen macht Google ohne Rot zu werden und niemanden kümmert es …

    • Oliver Müller says:

      Es geht hier nicht darum was Google (nicht) macht, sondern darum was Apple macht. Das was du hier machst nennt sich Whataboutism.

      Nur weil Google das angeblich auch macht (wo kann ich das nachlesen?) macht es das bei Apple nicht besser, im Gegenteil.

      • Apple hat niemals behauptet, dass Sie Ihren OCSP Server nicht abfragen, sonst hätten die sich den einfach schenken können. Informiere dich mal was OCSP ist …

        • Oliver Müller says:

          Ich weiß was OCSP ist. Davon abgesehen, was ist denn das für ein Argument? Niemand hat die Absicht, eine Mauer zu bauen?

          • Ich kann dir leider nicht ganz folgen. Wenn du weißt, was OCSP ist, was genau wirfst du (bzw. die Medien) dann Apple vor, dass Sie Ihre Anwender belogen hätten?

            Der OCSP SOLL – egal ob bei Google oder Apple oder Microsoft – kontaktiert werden. Sonst braucht man den nicht. Ich kann also die ganze Hysterie dieser Meldung nachvollziehen.

            Ps. Solange die Mauer brennt, sollte da nichts gegen sprechen. 😉

            • Oliver Müller says:

              Ich kann dir leider nicht ganz folgen. Wo behaupte ich, Apple hätte gelogen?

              • Ich habe im initialen Post gemeint, dass man Apple das vorwirft (Benutzer ausspähen), was Google offensichtlich macht. Dafür hat man sich den OCSP Vorfall bei Apple ausgesucht.

                Ich habe darauf entgegnet, dass OCSP ohne Kontaktaufnahme durch den „Client“ sinnlos wäre. Kann auch sein, dass wir einfach gänzlich aneinander vorbei geredet haben.

                Wenn das so ist, schönen Abend noch. 🙂

  5. Oliver Müller says:

    Unter dem Deckmantel der Sicherheit wird der Nutzer gläsern. Das erinnert mich an Diskussionen um Kameras im öffentlichen Bereich. Alles nur für die Sicherheit!

  6. Mit Alu hat das nichts zu tun. Ob andere das auch machen, ist egal. Auch nicht mit Anonymisierung oder Datenzusammenführung.

    Es ist einfach super lästig, das Apple meine Signaturen prüfen will. Ich verwende praktisch nur Freie oder Entwickler-Software, und spätesten bei einem Consolen-Kommando ist das skippen der Prüfung auch nicht mehr trivial. php-Binaries mit der rechten Maustaste anklicken, AUA… Ich will einen Knopf dagegen.

    Ich will auch schlicht nicht, dass Software geblockt wird vom Zugriff auf meine Position oder Mails, ich habe diesen Anspruch nicht, aber viel Ärger davon. Ich will einen Knopf dagegen.

    Ich habe auch überhaupt kein Bedürfnis, dass ein Fingerabdruckscanner so NSA-sicher implementiert ist, dass der Mossad meinen Rechner nicht entsperren kann — es nervt einfach, auf der externen 15-Euro-Bluetooth-Tastatur keinen Scanner haben zu KÖNNEN. Ich will einen Knopf dagegen.

    Ich brauche auch keine T1, T2 oder T2000-Chips auf meinem Rechner, die mich in 5 Jahren daran hindern, aus einem ollen iMac noch ein Linux-Mediacenter für’s Kinderzimmer zu bauen. Ich will einen Knopf dagegen.

    Und und und. Mir hat es vollkommen gereicht, den Rechner mit Passwort zu sichern. Fertig.
    Weder wird der Junkie, der das Ding klaut, meine Festplatte in seinen anderen Mac einbauen, noch will der Mossad was von mir (und wenn doch,haut er mir solange auf die Fresse, bis ich das Gerät entsperre, und das Gericht sagt „Ist OK“), und der Rechner steht in einer Wohnung mit einem handelsüblichen Schloss. Wenn der weg ist, ist der weg, und Das ist der Schaden. Nicht meine Emails, nicht meine Geolocation, nicht meine Daten.

    Der ganze Hochsicherheitsvodoo stellt bloß sicher, dass man genervt nur noch im Store einkauft, nur noch Apple-Komponenten anstöpselt, Apple-Software verwendet und sein Geld bei Apple lässt. Ich will einen Knopf dagegen.

    Und ja, Google ist die gleiche Sch…sse mit PlayProtect und kein Root auf Knopfdruck und Zertifizierung und haste nicht gesehen, und solange Apple damit nicht auf Fresse fällt, man Google im Abstand von 2 Jahren genauso die Türen zu. Ich will auch bei Google: Einen Knopf dagegen.

    Und der Knopf heisst: Aus. Sind sie sicher? Ja. Aus. Für immer und ewig, aus.

    • Oliver Müller says:

      Wenn Du nur freie oder Entwickler-Software nutzt, kauf dir ein ThinkPad und installier Linux.

      • > kauf dir ein ThinkPad und installier Linux

        Ja, genau!

        Geh doch rüber, wenn’s dir hier nicht gefällt!
        Oder: Wenn’s dir nicht passt, das Priester kleine Jungs begrapschen, dann werd doch evangelisch!
        Oder: Wenn DU meinst, dass andere Autos beim Abbiegen Blinken müssten, dann kauf dir doch ’ne Baustellenlampe und lass uns BMW-Fahrer in Ruhe!

        Wiedermal gemerkt:
        Manche Menschen erfreuen sich einfach an schmissigen Formulierungen, egal wie bescheuert und unlogisch die inhaltlich sind.

    • Das trifft es. Sehe ich genauso. (Aber ich wäre zu faul gewesen, so viel zu tippen, deshalb danke.) 😉

  7. Weiß nicht was das mit Aluhütten zu tun hat. Es war schon lange bekannt was Apple da macht und es ist absolut nicht in Ordnung. Jetzt ist nur auch noch die Infrastruktur hinter dieser sehr schlechten Idee zusammengefallen.

    So lange wie Menschen immer nur die vermeintlich bequemste oder als schön suggerierte Lösung annehmen werden die Probleme immer größer werden. Das ist nicht lustig, weil Apple genau weiß wann, wer, wo, welche Anwendung in welcher Version, wie oft startet. Jetzt kommt halt als Bonus noch oben drauf, dass einige Arztpraxen gemerkt haben, dass der teure Mac nicht mal funktioniert, wenn er funktionieren muss. Und der Mist ist bei Google und Microsoft genau so oder schlimmer.

    Entweder wir ändern das Vorgehen bei Hardwarebeschaffung und Einsatz quelloffener Betriebssystem oder wir Leben mit immer weitreichenderen Folgen. Nützt nichts, wenn das gammelige [Windows XP mit Onlineaktivierung | MacOS mit Anwendungsüberwachung | Chrome OS mit Cloudverbindung] sich auf dem Embedded System vom [Flughaufen|Kraftwerk|Bahnhof|Klinik] nicht zuverlässig arbeitet.

    Ich stelle ihnen vor, die quelloffenen und zuverlässigen Betriebssysteme BSD und Linux. Und da darf man auch für Support zahlen, dann darf man aber auch etwas verlangen. Die funktionieren anders, werden anders genutzt und haben ihre Eigenheiten (Vorteile- und Nachteile).

    „Ja. Ich benötige aber noch X“
    Dann bezahle jemanden dafür eine gute Lösung zu erstellen.

    „Ja. Aber aber Y soll so sein.“
    Das ist aber nicht Y. Ich empfehle der Umgewöhnung eine Change zu geben und das Neue zu verstehen und Verständnis erlangen. Meist fehlt oft Verständnis, wodurch alles viel besser wird.

    „Ja. Aber Z gibt es da nicht!“
    Womöglich aus einem guten Grund? Oder es fehlt wirklich.

  8. Apple ist Toast mit Big Sur – eher A wie Arschleuchterei. Wer nicht mitspielt wird deplattformed. Firewall gibt es nicht mehr, Zugriffe sind auch nicht durch VPN sicherbar (man hinterlässt immer eine Spur – auch bei Tor). Nutzer können Software-Updates nicht mehr steuern – F*** Y** A***** !!!
    Seit 6.0.7 habe ich auf Apple gesetzt, aber Big Sur bringt mich dazu Updates auszuschalten und die in 12/2019 investierten 3.000,- € (16″ MBP) kurzfristig unter Ulk auszubuchen. Schlimmer als Windows je sein könnte – sogar 100% intransparent ggü. Geheimdienstzugriffen und 100% frei für das Apple-eigene Ad-Datamining-Business (da stinkt selbst Amazon weniger übel).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bevor du deinen Kommentar abschickst:
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.