ova
返回博客
·9 分钟阅读·productdevbook

macOS Sonoma 网络隐私:有哪些变化

macOS Sonoma 网络隐私变更的实用回顾——以及对带宽监控和拦截追踪类工具意味着什么。

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonoma 自带了几项网络隐私改动,多数没引起多少注意——一部分是因为 Apple 谈隐私偏向大方向,另一部分是因为对资深用户最相关的改动埋在网络扩展行为、随机寻址、以及系统对待 VPN 和内容过滤器的方式里。如果你从 Ventura 升上来后注意到 VPN 行为奇怪、强制门户认证变怪、或者你不记得装过的应用出现在网络日志里,多半就是这个原因。

这篇是 macOS Sonoma 网络隐私真正有影响的变化的实操清单,哪些保留到了 Sequoia,每一个你能怎么应对。如果文档稀薄或者行为模糊,我会直说,不猜。

Wi-Fi 私有地址改进

Apple 在更早的 macOS 版本里就引入了随机 MAC 地址(Wi-Fi 私有地址),但 Sonoma 在有意义的方面收紧了实现。

改了什么

  • 按网络的轮换行为。 Sonoma 在给每个网络一个独立的随机化地址、并在重连同一网络时保持该地址稳定方面更一致了。
  • 硬件预留处理。 使用基于 MAC 的 DHCP 预留或带宽上限的网络开始表现得更可预测,因为地址按网络保持,而不是会话中途轮换。

这会破坏什么

一些强制门户——酒店、会议中心和咖啡连锁店那种——仍然用 MAC 地址跟踪会话和带宽配额。开了随机寻址后,你可能要比预期更频繁地重新认证。在强制门户本身有 bug 的网络上,除非给那个特定网络关掉 Wi-Fi 私有地址,否则你可能根本无法认证。

在不损失别处隐私的前提下怎么修

系统设置 → Wi-Fi → 点该网络 → 详细信息 → Wi-Fi 私有地址。你可以按网络关掉,对你用的其他每个网络保持随机化。不要全局关掉——只在那一个坏掉的强制门户上关。

网络过滤 API 调整

Sonoma 调整了 NetworkExtension 框架,这是 Little Snitch、LuLu 和企业终端安全工具用来检视或过滤流量的。

改了什么

  • 内容过滤器与系统流量交互的处理更严格
  • 一些私有 API 表面被移除或受限
  • 过滤器提供方必须为新行为更新;有的迟到了

你可能注意到什么

  • 喜欢的网络过滤器在升级后提示你更新或彻底停摆
  • 在过滤器更新前,DNS 解析行为奇怪
  • 装了多个网络扩展的机器上性能临时回退

如果你跑的是任一主要过滤工具的当前版本,这件事多半已经过去了。如果你抱着老版本不放因为"它还能用",它可能正是你 Sonoma 上间歇性网络问题的原因。

系统扩展行为

系统扩展——内核扩展的现代替代——在 Sonoma 上获得了更紧的批准流程,特别是处理网络流量的那种。

改了什么

  • 当扩展想过滤网络流量时,更明确的用户批准提示
  • 扩展升级有时需要重新批准,而不是默默向前滚动
  • "在接下来 30 分钟内允许"流程更显眼了

实操影响

如果你在 Sonoma 上升级了 VPN 客户端或防火墙,然后突然什么都不工作直到你走过系统设置 → 通用 → 登录项与扩展,原因就在这。烦一次,受益终生——你现在精确知道是什么在拦截你的流量。

是监控,不是过滤
ova 是被动带宽监控——它读流量计数,不注册网络过滤器或系统扩展。没有批准提示,没有内核钩子,没有破坏你 VPN 的机会。磁盘约 3 MB,已签名公证。

DNS 与解析器隐私

Sonoma 延续了加强 DNS 隐私的趋势,带来几条实操影响。

已经在那的

  • iCloud 私密代理(订阅时)把多数 Safari 流量走两段中继,使任何一段都看不到你的 IP 和目的地
  • 通过系统描述文件可配置的加密 DNS(DoH/DoT)

值得知道的

  • 如果你使用自定义 DNS 解析器(1.1.1.1、NextDNS、自家的 Pi-hole),Sonoma 在网络切换时更可靠地遵从
  • 使用系统解析器的应用自动继承你的 DNS 选择
  • 自带 DNS 客户端的应用(一些浏览器、一些聊天应用)绕过你的设置,没有网络过滤器就没办法强制改变

最后这一点正是为什么按应用的带宽视图重要——即便你 DNS 配得很好:要知道一个应用是否在做你预期的连接,唯一办法就是看它实际在发什么。

看到你的应用在网络上实际做什么

ova 显示每个应用的带宽,辅助进程归并到父应用下。纯本地、无遥测、无账号、约 3 MB。

下载 macOS 版

本地网络访问提示

这是用户实际注意到最多的改动。Sonoma 在应用尝试发现你 Wi-Fi 上其他设备时更激进地提示"本地网络"访问。

涵盖什么

  • mDNS / Bonjour 发现
  • SSDP(流媒体接收器、一些智能家居设备使用)
  • 到本地 IP 段的直接连接

你会看到什么

类似这样的提示:"应用 X 想要查找和连接你本地网络上的设备。"对正当需要的应用授权没问题(Spotify 发现 AirPlay 接收器、IDE 发现测试设备)。对不需要的应用拒绝就行。

你可以稍后审查和撤销:系统设置 → 隐私与安全 → 本地网络。

哪些保留到了 Sequoia

多数 Sonoma 的改动以小幅打磨延续到了 macOS Sequoia:

  • 按网络的 Wi-Fi 私有地址轮换:还在,仍推荐默认开启
  • 更紧的 NetworkExtension API 表面:还在,有进一步打磨
  • 系统扩展批准流程:还在,UI 模式相同
  • 本地网络访问提示:还在,系统设置里同样按应用撤销

如果你跳过 Sonoma 直接从 Ventura 升到 Sequoia,所有这些会一次性集中遇到。上面描述的修法和习惯都适用。

哪些是真模糊

有几件事我不会假装自己确切知道:

  • Wi-Fi 私有地址生成的具体算法。 Apple 没有完整记录轮换策略,小版本之间也有变化。
  • 低功耗条件下后台应用的网络行为。 macOS 在各种条件下降低后台流量优先级,但确切阈值不公开。
  • NetworkExtension API 变更的完整清单。 Apple 发布说明部分公开。真实改动是在第三方工具坏掉、开发者贴出来时被发现的。

如果你读到一篇博文对上述任何一项都给出自信的细节,除非它引用了 Apple 文档,否则按"有根据的猜测"对待。

今天就能做的 macOS Sonoma 网络隐私实操步骤

给在 Sonoma(或 Sequoia,因为多数延续过来了)上的用户:

  1. 审计已安装的网络扩展。 系统设置 → 通用 → 登录项与扩展 → 网络扩展。知道有什么。移除你不认识的。
  2. 审查本地网络授权。 系统设置 → 隐私与安全 → 本地网络。撤销不需要的应用。
  3. 按网络检查 Wi-Fi 私有地址。 家里应该开着,多数网络都开着,只在认证会破的特定强制门户上关掉。
  4. 跑一个按应用的带宽监控。 这是你能注意到某个应用开始做以前没做过的连接的方式。

第四条是大多数人跳过的。隐私控制和可见性配合时最有用。macOS 给你大量开关;它没给你一个看清你的应用实际在发什么的好视图。这就是 ova 填补的空缺——被动的、菜单栏常驻的带宽监控,按应用显示实时速率和历史,辅助进程归并到父应用下,约 1 Hz 采样,无云依赖。

收尾

macOS Sonoma 的网络隐私故事多数是增量的、多数是好的、多数在某处坏掉之前不可见。坏掉一旦发生,源头通常是:

  • 没有为新 API 更新的老 VPN/防火墙版本
  • 不擅长处理随机 MAC 地址的强制门户
  • 以前默默访问本地网络、现在必须问的应用

每种情况下的修法都是五分钟的设置审计,不是重装。如果你最近升级后觉得网络"不太对劲",你大概率撞到了其中之一。走一遍上面的实操清单,装一个 ova 或任何同类被动监控,让你能看到你的机器在做什么,网络体验通常就会回到位。macOS 14 及以上对任何现代工具都支持得很好,包括磁盘约 3 MB 的 ova,Apple Silicon 和 Intel 都跑,所有数据留在本地。