GateKeeper mi consente di installare qualsiasi cosa, nessun controllo è fatto

9

Posso scaricare applicazioni da siti Web personalizzati ed eseguirle, anche quando le mie impostazioni gatekeeper sono su "AppStore Only". Questa è la mia applicazione - non è nemmeno firmata.

Quale potrebbe essere la ragione per questo? Posso riprodurre questo comportamento su tutti i miei 3 mac.

    
posta JasonGenX 22.03.2013 - 19:36
fonte

4 risposte

7

Si tratta di una funzionalità di stato per progetto in cui un utente amministratore può sempre ignorare Gatekeeper e aprire un'applicazione facendo clic con il pulsante destro del mouse sull'app in Finder.

Un utente amministratore può anche cambiare le impostazioni di Gatekeeper o disabilitarlo completamente, quindi non c'è alcun vero danno (almeno ai miei occhi) nella presentazione di una finestra di dialogo della lista bianca per assicurare che l'utente amministratore intenda per consentire l'esecuzione di un'applicazione non conforme (non firmata o non App Store Mac).

Ora,sehaitrovatounmodoperunutentenonamministratorediaggirareGatekeeper,alloramiaspettereidiarchiviareunavulnerabilitàdisicurezzaconAppleperottenerecreditopertrovareunbucodopoavercorrettoqualsiasierrorediimplementazioneperconsentirel'utilizzodiappdicriteridaeseguire.

Appledocumentaquestafunzionalitàinmodoapprofonditosucomeesplicitamenteelencareinbiancoun'applicazione.

  • OS X: Informazioni sul gatekeeper

Gatekeeper non è una protezione antimalware e non una lista nera. È un insieme di criteri che consentono il primo avvio di applicazioni debitamente firmate e / o la convalida delle ricevute del Mac App Store. Se un utente amministratore avvia e approva esplicitamente l'esecuzione di software non conforme, hai un problema di istruzione o di politica anziché scoprire qualche difetto in Gatekeeper.

In dettaglio, ho riassunto (e per lo più copiato) le sezioni pertinenti della guida di Apple sull'elenco bianco di qualsiasi app, in modo che Gatekeeper le consenta di eseguire senza ostacoli e senza problemi:

How to open an app from a unidentified developer and exempt it from Gatekeeper

If you are confident the app downloaded from the Internet is the latest version and is from a source you trust, you can open an app from an unidentified developer by following these steps.

Important: Some Apple screened apps from developers that are in the process of acquiring Developer ID signatures will present the "Open" option when they are double-clicked.

Note: In most cases, you will only have to perform these steps once for all user accounts on the Mac:

  • In Finder, Control-click or right click the icon of the app.
  • Select Open from the top of contextual menu that appears.
  • Click Open in the dialog box. If prompted, enter an administrator name and password.

Note: If there is an app that presents multiple Gatekeeper dialog boxes, you can temporarily use Gatekeeper's "Always" option. Make sure to restore the Gatekeeper option that was there before to bring back Gatekeeper function.

Puoi facilmente controllare chi può white list Applicazioni non distribuendo i nomi utente e le password degli amministratori agli utenti che non sono a conoscenza di questa funzionalità e puoi anche gestire gatekeeper dal terminale o gestore profili e altri software di impostazioni gestite come Casper da JAMF. Puoi anche controllare le tue macchine per il software che è stato elencato in bianco per reimpostare periodicamente l'elenco delle app consentite e determinare chi sta esercitando questa funzione nel caso in cui desideri cambiare criterio e abitudine.

    
risposta data 27.03.2013 - 19:03
fonte
10

Il download di un file su SMB non attiva la quarantena e, poiché l'app non viene messa in quarantena, la politica del gatekeeper non viene mai verificata. Non sono sicuro del motivo per cui viene contrassegnato come messo in quarantena sugli altri computer ...

Per verificare la presenza di quarantena in qualsiasi momento, usa il comando ls -ld@ per cercare l'attributo com.apple.quarantine:

$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon  staff  102 Apr 30  2012 /Applications/TextWrangler.app
    com.apple.FinderInfo     32 
    com.apple.quarantine     57 

Se questo attributo di quarantena è allegato all'app, il criterio del gatekeeper sarà controllato; se no, non lo farà. La domanda interessante è il motivo per cui è stata messa in quarantena sugli altri computer e, se si utilizza questo comando per controllare l'applicazione in vari punti mentre la si distribuisce, è possibile capire quando l'attributo viene collegato (e quindi perché viene collegato).

EDIT: c'è una nota relativa a questo nella sezione "Fai clic qui per ulteriori dettagli" di articolo KB di Apple # HT5290 :

Important: Developer ID signature applies to apps downloaded from the Internet. Apps from other sources, such as file servers, external drives, or optical discs are exempt, unless the apps were originally downloaded from the Internet.

    
risposta data 27.03.2013 - 18:16
fonte
4

Se hai abilitato questa preferenza nascosta, disattiva anche Gatekeeper:

defaults write com.apple.LaunchServices LSQuarantine -bool false

O OS X consente di aprire tutte le applicazioni indipendentemente dalle impostazioni in Preferenze di Sistema.

    
risposta data 27.03.2013 - 19:46
fonte

Leggi altre domande sui tag