翻譯：開放文化基金會 Open Culture Foundation上週，蘋果公司 macOS 作業系統的使用者注意到，當連上網路要開啟非蘋果的應用程式時，會有長時間的延遲，甚至導致無法開啟。會造成這樣的狀況，是因為 macOS 的安全服務試圖連上蘋果 OCSP（Online Certificate Status Protocol ; 線上憑證狀態協定） 的伺服器時，因內部錯誤造成無法連線。在安全研究人員深入了解向 OCSP 送出的請求內容後，他們發現這些請求包含了一段雜湊值 （hash），來自正在運作之應用程式的開發者憑證，這個雜湊值是蘋果公司用來做安全檢查用的[1] 。開發者憑證包含對應用程式（例如 Adobe 或 Tor）進行編碼的個人，公司或組織描述，以至於哪些開發者製作的應用程式正在被開啟使用，也同時洩露給蘋果公司。進一步來說，向 OCSP 送出的請求並不是加密的，這表示任何監聽器也可能知道 macOS 用戶正在打開哪個應用程式以及何時打開[2]，至於得以透過這種方式取得攻擊能力的對象包括：任何上游伺服器供應商、Akamai、託管蘋果公司 OCSP 服務的 ISP ; 而攻擊者也可能是跟你使用同一網路的駭客，這樣說好了，例如你常去的那間咖啡廳，有攻擊者跟你同時間連線到該咖啡廳 Wifi。如果想知道更多細節的說明，請看這篇文章。伴隨這個隱私外洩事件而來的另一個考量是，我們無法從使用者空間應用程式（如 LittleSnitch）檢測或阻止此流量，就算關閉 macOS 上這個重要的安全服務會帶來風險，我們也鼓勵蘋果公司允許擁有超級使用者（power users）權限的人，得以自行選擇信任的應用程式來控制他們的網路流量從哪邊寄出。蘋果公司很快發布了一個新的加密版協議來確認開發者憑證，在這個加密版中，他們將允許使用者自行選擇是否退出安全檢查，不過這些修正在明年某個時間才會真正推出。然而，開發一個新的協議並在軟體內安裝執行完畢並不是一夜之間可以完成的事，因此要求蘋果公司馬上做改變修正也是不公平。那為什麼蘋果公司不能簡單的先將 OCSP 這個功能關掉呢？要回答這個問題，我們要先來探討 OCSP 的開發者憑證檢查的實質作用是什麼，它主要是要防止有害或惡意軟體在 macOS 機器上運行，如果蘋果偵測到有一位開發者夾帶惡意軟體...

An Open Letter on Election SecurityVoting is the cornerstone of our democracy. And since computers are deeply involved in all segments of voting at this point, computer security is vital to the protection of this fundamental right. Everyone needs to be able to trust that the critical infrastructure systems we...