V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
拼车信息请发到 /go/cosub 节点。

如果没有发送到 /go/cosub,那么会被移动到 /go/pointless 同时账号会被降权。如果持续触发这样的移动,会导致账号被禁用。
takeshima
V2EX  ›  iCloud

高级数据保护对 iCloud 网页版有用吗?

  •  
  •   takeshima · 12 天前 via iPhone · 865 次点击
    如题,如果高级数据保护是在服务器上端到端加密保存的照片,那么正常来说,服务端返回的应该是密文,解密的过程应该在客户端进行,但是使用网页版 iCloud 的时候用 F12 开发者工具可以看到服务器返回的就是解密后的图片,这是否意味着其实服务端是能拿到明文的?
    15 条回复    2024-11-13 21:50:31 +08:00
    jaycezhang7890
        1
    jaycezhang7890  
       12 天前
    通过 iCloud.com 网页访问你的数据
    打开“高级数据保护”后,通过 iCloud.com 网页访问 iCloud 数据的功能会被停用,从而确保只能在受信任的设备上访问你的数据。如果再次打开了网页访问功能,你可以使用任意一台受信任设备来批准通过网页临时访问你的数据。
    takeshima
        2
    takeshima  
    OP
       12 天前 via iPhone
    @jaycezhang7890 我试了一下,我在 f12 开发者工具里面复制了我的一张照片的 url ,然后退出网页版 icloud ,然后清除浏览器数据,再输入刚才的 url ,可以直接把我的照片下载下来😱
    jaycezhang7890
        3
    jaycezhang7890  
       12 天前
    @takeshima 这段描述意思个人感觉就是高级数据保护对网页端没用,如果启用高级数据保护,那么就会停用网页端访问,如果需要网页访问,请在受信任的设备上访问。
    yangliudi123
        4
    yangliudi123  
       12 天前 via iPhone
    你在其他手机上电脑上能打开吗
    jaycezhang7890
        5
    jaycezhang7890  
       12 天前
    @takeshima 一个小时后在访问,还能下载下来吗?
    dilidilid
        6
    dilidilid  
       12 天前
    @takeshima 那是 url 还没过期,过一个小时你再试试
    takeshima
        7
    takeshima  
    OP
       12 天前 via iPhone
    @dilidilid 一小时后确实是不行了,但这个是不是还是说明,可以从服务器上下载到明文的图片,也就是说打开 web 访问的话,高级数据保护就有漏洞了
    webto
        8
    webto  
       12 天前
    如果你对安全和隐私有高度要求,就不要开启「在网页上访问 iCloud 数据」
    dilidilid
        9
    dilidilid  
       12 天前
    @takeshima 额,你既然都要 Web 访问了,那服务器那边肯定得给你访问地址呀,要不然怎么弄。另外我也没发现哪里有漏洞,如果你的访问 Web 的设备本身是安全的话不会有任何问题呀,如果设备本身就不安全你在授权的时候攻击者拿到 token 在过期之前不是想干啥就干啥吗
    takeshima
        10
    takeshima  
    OP
       12 天前 via iPhone
    @dilidilid 既然是端到端加密,服务器给的应该是加密的,然后客户端自己解密,如果服务器直接返回一个明文的图片那不是说明服务器上存了没加密的图片吗
    serafin
        11
    serafin  
       12 天前
    打开“高级数据保护”后,通过 iCloud.com 网页访问 iCloud 数据的功能会被停用,从而确保只能在受信任的设备上访问你的数据。如果再次打开了网页访问功能,你可以使用任意一台受信任设备来批准通过网页临时访问你的数据。
    语文理解:第一句的意思你的 iCloud 数据不会被 Apple 服务器解密。第二句的意思是你可以用你的设备授权(交出秘钥,但是我不确定。因为 Apple 没有明确说明授权后的业务逻辑)让 Apple 服务器临时解密。
    serafin
        12
    serafin  
       12 天前
    iCloud 网页版访问数据时 Apple 服务器确实返回了明文的图片(解密后通过 https 加密的图片)。 这个没错,但是 Apple 并不保存解密后的图片。至少宣传上是这么说的,至于有没有漏洞保留你的秘钥,还是解密后在服务器内存保留多久并没有说明。
    serafin
        13
    serafin  
       12 天前
    官网有一句可以间接证明 “受信任设备来批准通过网页临时访问” 可能的业务逻辑是上传加密密钥来解密。但是我不保证,只能是推测。

    你可以随时关闭“高级数据保护”。关闭这项功能后,你的设备会安全地将所需的加密密钥上传到 Apple 服务器。
    dilidilid
        14
    dilidilid  
       12 天前 via iPhone
    @takeshima 按照我的理解是苹果拿你授权的密钥去临时解锁的。苹果本身是这么宣传的,技术上也是可行的。至于相不相信苹果那是另外一个话题,实际上只要用苹果/Windows 的设备在技术上苹果和微软都有无数种方法拿走你的个人数据,我个人是觉得不用太纠结,个人用户可以认为高级数据加密是安全的。

    另外,我觉得这个其实主要是用来防止 iCloud 账号丢失带来的泄密,并不是防止苹果偷看你的数据……真的有这么高保密要求和价值的公司/单位也不可能用公有云
    takeshima
        15
    takeshima  
    OP
       12 天前 via iPhone
    @serafin 我大概懂了,感谢
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3729 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 05:04 · PVG 13:04 · LAX 21:04 · JFK 00:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.