如题,如果高级数据保护是在服务器上端到端加密保存的照片,那么正常来说,服务端返回的应该是密文,解密的过程应该在客户端进行,但是使用网页版 iCloud 的时候用 F12 开发者工具可以看到服务器返回的就是解密后的图片,这是否意味着其实服务端是能拿到明文的?
15 条回复 • 2024-11-13 21:50:31 +08:00
 |
1
jaycezhang7890 4 天前
通过 iCloud.com 网页访问你的数据
打开“高级数据保护”后,通过 iCloud.com 网页访问 iCloud 数据的功能会被停用,从而确保只能在受信任的设备上访问你的数据。如果再次打开了网页访问功能,你可以使用任意一台受信任设备来批准通过网页临时访问你的数据。 |
 |
2
takeshima OP @jaycezhang7890 我试了一下,我在 f12 开发者工具里面复制了我的一张照片的 url ,然后退出网页版 icloud ,然后清除浏览器数据,再输入刚才的 url ,可以直接把我的照片下载下来😱
|
|
3
jaycezhang7890 4 天前
@takeshima 这段描述意思个人感觉就是高级数据保护对网页端没用,如果启用高级数据保护,那么就会停用网页端访问,如果需要网页访问,请在受信任的设备上访问。
|
 |
4
yangliudi123 4 天前 via iPhone
你在其他手机上电脑上能打开吗
|
|
5
jaycezhang7890 4 天前
@takeshima 一个小时后在访问,还能下载下来吗?
|
|
7
takeshima OP @dilidilid 一小时后确实是不行了,但这个是不是还是说明,可以从服务器上下载到明文的图片,也就是说打开 web 访问的话,高级数据保护就有漏洞了
|
 |
8
webto 4 天前
如果你对安全和隐私有高度要求,就不要开启「在网页上访问 iCloud 数据」
|
 |
9
dilidilid 4 天前
@takeshima 额,你既然都要 Web 访问了,那服务器那边肯定得给你访问地址呀,要不然怎么弄。另外我也没发现哪里有漏洞,如果你的访问 Web 的设备本身是安全的话不会有任何问题呀,如果设备本身就不安全你在授权的时候攻击者拿到 token 在过期之前不是想干啥就干啥吗
|
|
10
takeshima OP @dilidilid 既然是端到端加密,服务器给的应该是加密的,然后客户端自己解密,如果服务器直接返回一个明文的图片那不是说明服务器上存了没加密的图片吗
|
 |
11
serafin 4 天前
打开“高级数据保护”后,通过 iCloud.com 网页访问 iCloud 数据的功能会被停用,从而确保只能在受信任的设备上访问你的数据。如果再次打开了网页访问功能,你可以使用任意一台受信任设备来批准通过网页临时访问你的数据。
语文理解:第一句的意思你的 iCloud 数据不会被 Apple 服务器解密。第二句的意思是你可以用你的设备授权(交出秘钥,但是我不确定。因为 Apple 没有明确说明授权后的业务逻辑)让 Apple 服务器临时解密。 |
|
12
serafin 4 天前
iCloud 网页版访问数据时 Apple 服务器确实返回了明文的图片(解密后通过 https 加密的图片)。 这个没错,但是 Apple 并不保存解密后的图片。至少宣传上是这么说的,至于有没有漏洞保留你的秘钥,还是解密后在服务器内存保留多久并没有说明。
|
|
13
serafin 4 天前
官网有一句可以间接证明 “受信任设备来批准通过网页临时访问” 可能的业务逻辑是上传加密密钥来解密。但是我不保证,只能是推测。
你可以随时关闭“高级数据保护”。关闭这项功能后,你的设备会安全地将所需的加密密钥上传到 Apple 服务器。 |
Select Language