ova
Bloga dön
·9 dk okuma·productdevbook

macOS Sonoma Ağ Gizliliği: Neler Değişti

macOS Sonoma'nın ağ gizliliği değişikliklerinin pratik özeti — ve bunların bant genişliğini gözleyen veya izleyicileri engelleyen araçlar için anlamı.

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonoma, çoğunlukla radarın altından geçen bir avuç ağ-gizlilik değişikliğiyle geldi — kısmen Apple gizliliği büyük fırça darbeleriyle anlattığı için, kısmen de güç kullanıcıları için en alakalı değişikliklerin ağ uzantısı davranışında, rastgele adreslemede ve işletim sisteminin VPN'leri ve içerik filtrelerini nasıl ele aldığında gömülü olduğu için. Ventura'dan yükseltme yaptıysanız ve VPN'inizin tuhaf davrandığını, captive portalınızın acayipleştiğini veya yüklediğinizi hatırlamadığınız uygulamaların ağ günlüklerinde göründüğünü fark ettiyseniz, sebep muhtemelen budur.

Bu yazı, gerçekten önem kazanan macos sonoma ağ gizlilik değişikliklerinin, Sequoia'ya neyin hayatta kaldığının ve her biri hakkında ne yapabileceğinizin çalışan bir listesidir. Belgelerin ince veya davranışın bulanık olduğu yerlerde, tahmin etmek yerine bunu söyleyeceğim.

Private Wi-Fi Address iyileştirmeleri

Apple rastgele MAC adreslerini (Private Wi-Fi Address) önceki macOS sürümlerinde tanıttı, ancak Sonoma uygulamayı önemli şekillerde sıkılaştırdı.

Neyin değiştiği

  • Ağ başına rotasyon davranışı. Sonoma her ağa kendi rastgele adresini verme ve aynı ağa yeniden bağlandıklarında bu adresi kararlı tutma konusunda daha tutarlıdır.
  • Donanım rezervasyon işleme. MAC tabanlı DHCP rezervasyonları veya bant genişliği sınırları kullanan ağlar, adresi oturum ortasında dönmek yerine ağ başına devam ettiği için daha öngörülebilir şekilde davranmaya başladı.

Neyi bozar

Bazı captive portallar — otellerde, konferans merkezlerinde ve kahve zincirlerinde bulduğunuz türden — hâlâ oturumları ve bant genişliği kotalarını izlemek için MAC adreslerini kullanır. Rastgele adresleme açıkken, beklenenden daha sık yeniden kimlik doğrulamanız gerekebilir. Captive portalın hatalı olduğu ağlarda, o belirli ağ için Private Wi-Fi Address'i devre dışı bırakmadan kimlik doğrulayamayabilirsiniz.

Başka yerde gizlilik kaybetmeden nasıl düzeltilir

Sistem Ayarları → Wi-Fi → söz konusu ağa tıklayın → Ayrıntılar → Private Wi-Fi Address. Bunu ağ başına kapatabilirsiniz, kullandığınız diğer her ağ için rastgeleliği açık bırakırsınız. Genel olarak devre dışı bırakmayın — yalnızca bozuk olan tek captive portalda devre dışı bırakın.

Ağ filtresi API ince ayarları

Sonoma, Little Snitch, LuLu ve kurumsal uç nokta güvenlik araçları gibi uygulamaların trafik incelemek veya filtrelemek için kullandığı NetworkExtension çerçevesinde ayarlamalar yaptı.

Neyin değiştiği

  • İçerik filtrelerinin sistem trafiğiyle nasıl etkileşime girdiğine dair daha katı işleme
  • Bazı özel API yüzeyi kaldırıldı veya kısıtlandı
  • Filtre sağlayıcılarının yeni davranış için güncellemesi gerekti; bazıları geri kaldı

Fark etmiş olabileceğiniz

  • En sevdiğiniz ağ filtresi yükseltmeden sonra güncellemenizi istedi veya tamamen çalışmayı durdurdu
  • Filtre güncelleninceye kadar DNS çözünürlüğü tuhaf davrandı
  • Birden fazla ağ uzantısı yüklü makinelerde performans geçici olarak geriledi

Herhangi bir büyük filtre aracının güncel sürümünü çalıştırıyorsanız, bu çoğunlukla geride kaldı. "Hâlâ çalışıyor" diye eski bir sürüme tutunuyorsanız, Sonoma'da aralıklı ağ sorunlarının nedeni olabilir.

Sistem uzantısı davranışı

Sistem uzantıları — çekirdek uzantılarının modern yerine geçeni — Sonoma'da, özellikle ağ trafiğini işleyenler için daha sıkı bir onay akışı aldı.

Neyin değiştiği

  • Bir uzantı ağ trafiğini filtrelemek istediğinde daha açık kullanıcı onay istemleri
  • Uzantı yükseltmeleri bazen sessizce yuvarlanmak yerine yeniden onay gerektirir
  • "Önümüzdeki 30 dakika içinde izin ver" akışı daha belirgindir

Pratik etkiler

Sonoma'da bir VPN istemcisi veya güvenlik duvarı yükselttiyseniz ve aniden Sistem Ayarları → Genel → Oturum Açma Öğeleri ve Uzantılar arasında geçene kadar hiçbir şey çalışmadıysa, sebebi budur. Bir kez sinir bozucu, sonsuza kadar değerli — artık trafiğinizi neyin yakaladığını tam olarak biliyorsunuz.

Bir izleyici, bir filtre değil
ova pasif bir bant genişliği izleyicisidir — trafik muhasebesini okur, bir ağ filtresi veya sistem uzantısı kaydetmez. Onay istemi yok, çekirdek kancası yok, VPN'inizi bozma şansı yok. Diskte yaklaşık 3 MB, imzalanmış ve notarize.

DNS ve çözücü gizliliği

Sonoma, DNS gizliliğini güçlendirme eğilimine birkaç pratik etkiyle devam etti.

Zaten orada olan

  • iCloud Private Relay (abone olduğunuzda) çoğu Safari trafiğini iki röleden yönlendirir, böylece hiçbiri hem IP'nizi hem de hedefinizi görmez
  • Sistem profilleri aracılığıyla yapılandırılabilir şifreli DNS (DoH/DoT)

Bilinmeye değer

  • Özel bir DNS çözücü (1.1.1.1, NextDNS, kendi Pi-hole'unuz) kullanıyorsanız, Sonoma ağ değişikliklerinde buna daha güvenilir şekilde saygı duyar
  • Sistem çözücüsünü kullanan uygulamalar DNS seçiminizi otomatik olarak miras alır
  • Kendi DNS istemcisini paketleyen uygulamalar (bazı tarayıcılar, bazı sohbet uygulamaları) ayarlarınızı atlar ve bir ağ filtresi olmadan onları başka türlü zorlamanın bir yolu yoktur

Bu son nokta, DNS'i iyi yapılandırdığınızda bile uygulama başına bir bant genişliği görünümünün neden önemli olduğudur: bir uygulamanın bekleyeceğiniz bağlantıları yapıp yapmadığını bilmenin tek yolu gerçekte ne gönderdiğini izlemektir.

Uygulamalarınızın ağda gerçekte ne yaptığını görün

ova üst süreçler altında katlanmış yardımcı süreçlerle uygulama başına bant genişliğini gösterir. Yalnızca yerel, telemetri yok, hesap yok, ~3 MB.

Download for macOS

Yerel Ağ erişim istemleri

Bu, çoğu kullanıcının gerçekten fark ettiği değişikliktir. Sonoma, bir uygulama Wi-Fi'ınızda diğer cihazları keşfetmeye çalıştığında "Yerel Ağ" erişimi istemi konusunda daha agresif oldu.

Kapsam dahilindekiler

  • mDNS / Bonjour keşif
  • SSDP (akış alıcıları, bazı akıllı ev ekipmanları tarafından kullanılır)
  • Yerel IP aralıklarına doğrudan bağlantılar

Göreceğiniz

"X uygulaması yerel ağınızdaki cihazları bulmak ve onlara bağlanmak istiyor" gibi bir istem. Bunu meşru olarak ihtiyaç duyan uygulamalar için (Spotify AirPlay alıcılarını keşfederken, IDE'ler test cihazlarını keşfederken) vermek iyidir. İhtiyaç duymayan uygulamalar için reddetmek iyidir.

Daha sonra inceleyebilir ve iptal edebilirsiniz: Sistem Ayarları → Gizlilik ve Güvenlik → Yerel Ağ.

Sequoia'ya neyin hayatta kaldığı

Sonoma değişikliklerinin çoğu küçük iyileştirmelerle macOS Sequoia'ya taşındı:

  • Ağ başına Private Wi-Fi Address rotasyonu: hâlâ orada, hâlâ varsayılan olarak açık önerilir
  • Daha sıkı NetworkExtension API yüzeyi: hâlâ orada, daha fazla iyileştirmeyle
  • Sistem uzantısı onay akışı: hâlâ orada, aynı arayüz desenleriyle
  • Yerel Ağ erişim istemleri: hâlâ orada, Sistem Ayarları'nda aynı uygulama başına iptalle

Sonoma'yı atlayıp Ventura'dan doğrudan Sequoia'ya geçtiyseniz, bunların hepsiyle aynı anda ilk kez karşılaşacaksınız. Yukarıda açıklanan düzeltmeler ve alışkanlıkların hepsi geçerlidir.

Açıkça bulanık olan

Kesin olarak bildiğimi iddia etmeyeceğim birkaç şey:

  • Private Wi-Fi Address üretimi için kesin algoritma. Apple rotasyon politikasını ve nokta sürümleri arasındaki değişiklikleri tam olarak belgelememiştir.
  • Düşük güç koşullarında arka plan uygulama ağ davranışı. macOS, çeşitli koşullarda arka plan trafiğine düşük öncelik verir, ancak kesin eşikler kamuya açık değildir.
  • NetworkExtension API değişikliklerinin tam listesi. Apple'ın yayın notları kısmidir. Gerçek değişiklikler üçüncü taraf araçlar bozulduğunda ve geliştiriciler bunlar hakkında yazdığında keşfedilir.

Bunlardan herhangi biri hakkında kesin ayrıntılar iddia eden güvenli bir blog yazısı okuduysanız, Apple belgelerini alıntılamadığı sürece bunu bilgili spekülasyon olarak değerlendirin.

Bugün atılacak pratik macos sonoma ağ gizlilik adımları

Sonoma'daki (veya Sequoia'daki, çünkü çoğu taşındı) kullanıcılar için:

  1. Yüklü ağ uzantılarınızı denetleyin. Sistem Ayarları → Genel → Oturum Açma Öğeleri ve Uzantılar → Ağ Uzantıları. Ne olduğunu bilin. Tanımadığınız her şeyi kaldırın.
  2. Yerel Ağ izinlerini gözden geçirin. Sistem Ayarları → Gizlilik ve Güvenlik → Yerel Ağ. İhtiyaç duymayan uygulamalar için iptal edin.
  3. Ağ başına Private Wi-Fi Address'i kontrol edin. Ev için, çoğu ağ için açık olmalı ve yalnızca kimlik doğrulamayı bozan belirli captive portallarda kapalı olmalıdır.
  4. Uygulama başına bir bant genişliği izleyicisi çalıştırın. Bir uygulamanın daha önce yapmadığı bağlantıları yapmaya başladığını böyle fark edersiniz.

Dördüncü nokta, çoğu insanın atladığıdır. Gizlilik kontrolleri, görünürlükle eşleştirildiğinde en faydalıdır. macOS size çok sayıda anahtar verir; size uygulamalarınızın gerçekte ne gönderdiğine dair harika bir görünüm vermez. Bu, ova'nın doldurduğu boşluktur — yardımcılar üst uygulama altında katlanmış olarak uygulama başına canlı oranları ve geçmişi gösteren, yaklaşık 1 Hz'de örneklenen, bulut bağımlılığı olmayan, pasif menü çubuğu yerleşik bir bant genişliği izleyicisi.

Toparlarken

macos sonoma ağ gizlilik hikayesi çoğunlukla artımlı, çoğunlukla iyi ve bir şey bozulana kadar çoğunlukla görünmezdir. Gerçekleşen bozulma şunlardan gelir:

  • Yeni API'lere güncellenmemiş eski VPN/güvenlik duvarı sürümleri
  • Rastgele MAC adreslerini iyi işlemeyen captive portallar
  • Eskiden sessizce yerel ağa erişen ve şimdi sormak zorunda olan uygulamalar

Her durumda çözüm beş dakikalık bir ayar denetimidir, bir reformat değil. Yakın zamanda yükseltme yaptıysanız ve ağın "tam doğru olmadığını" hissettiyseniz, muhtemelen bunlardan birine takıldınız. Yukarıdaki pratik listeden geçin, makinenizin ne yaptığını görebilmeniz için ova veya eşdeğer pasif bir izleyici yükleyin ve ağ deneyimi genellikle yerine oturur. macOS 14 ve sonrası, diskte yaklaşık 3 MB olan, Apple Silicon ve Intel'de çalışan, tüm verilerin yerel kaldığı ova dahil her şey tarafından iyi desteklenir.