Posso scaricare applicazioni da siti Web personalizzati ed eseguirle, anche quando le mie impostazioni gatekeeper sono su "AppStore Only". Questa è la mia applicazione - non è nemmeno firmata.
Quale potrebbe essere la ragione per questo? Posso riprodurre questo comportamento su tutti i miei 3 mac.
Un utente amministratore può anche cambiare le impostazioni di Gatekeeper o disabilitarlo completamente, quindi non c'è alcun vero danno (almeno ai miei occhi) nella presentazione di una finestra di dialogo della lista bianca per assicurare che l'utente amministratore intenda per consentire l'esecuzione di un'applicazione non conforme (non firmata o non App Store Mac).
Ora,sehaitrovatounmodoperunutentenonamministratorediaggirareGatekeeper,alloramiaspettereidiarchiviareunavulnerabilitàdisicurezzaconAppleperottenerecreditopertrovareunbucodopoavercorrettoqualsiasierrorediimplementazioneperconsentirel'utilizzodiappdicriteridaeseguire.
Appledocumentaquestafunzionalitàinmodoapprofonditosucomeesplicitamenteelencareinbiancoun'applicazione.
Gatekeeper non è una protezione antimalware e non una lista nera. È un insieme di criteri che consentono il primo avvio di applicazioni debitamente firmate e / o la convalida delle ricevute del Mac App Store. Se un utente amministratore avvia e approva esplicitamente l'esecuzione di software non conforme, hai un problema di istruzione o di politica anziché scoprire qualche difetto in Gatekeeper.
In dettaglio, ho riassunto (e per lo più copiato) le sezioni pertinenti della guida di Apple sull'elenco bianco di qualsiasi app, in modo che Gatekeeper le consenta di eseguire senza ostacoli e senza problemi:
How to open an app from a unidentified developer and exempt it from Gatekeeper
If you are confident the app downloaded from the Internet is the latest version and is from a source you trust, you can open an app from an unidentified developer by following these steps.
Important: Some Apple screened apps from developers that are in the process of acquiring Developer ID signatures will present the "Open" option when they are double-clicked.
Note: In most cases, you will only have to perform these steps once for all user accounts on the Mac:
- In Finder, Control-click or right click the icon of the app.
- Select Open from the top of contextual menu that appears.
- Click Open in the dialog box. If prompted, enter an administrator name and password.
Note: If there is an app that presents multiple Gatekeeper dialog boxes, you can temporarily use Gatekeeper's "Always" option. Make sure to restore the Gatekeeper option that was there before to bring back Gatekeeper function.
Puoi facilmente controllare chi può white list Applicazioni non distribuendo i nomi utente e le password degli amministratori agli utenti che non sono a conoscenza di questa funzionalità e puoi anche gestire gatekeeper dal terminale o gestore profili e altri software di impostazioni gestite come Casper da JAMF. Puoi anche controllare le tue macchine per il software che è stato elencato in bianco per reimpostare periodicamente l'elenco delle app consentite e determinare chi sta esercitando questa funzione nel caso in cui desideri cambiare criterio e abitudine.
Il download di un file su SMB non attiva la quarantena e, poiché l'app non viene messa in quarantena, la politica del gatekeeper non viene mai verificata. Non sono sicuro del motivo per cui viene contrassegnato come messo in quarantena sugli altri computer ...
Per verificare la presenza di quarantena in qualsiasi momento, usa il comando ls -ld@ per cercare l'attributo com.apple.quarantine:
$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon staff 102 Apr 30 2012 /Applications/TextWrangler.app
com.apple.FinderInfo 32
com.apple.quarantine 57
Se questo attributo di quarantena è allegato all'app, il criterio del gatekeeper sarà controllato; se no, non lo farà. La domanda interessante è il motivo per cui è stata messa in quarantena sugli altri computer e, se si utilizza questo comando per controllare l'applicazione in vari punti mentre la si distribuisce, è possibile capire quando l'attributo viene collegato (e quindi perché viene collegato).
EDIT: c'è una nota relativa a questo nella sezione "Fai clic qui per ulteriori dettagli" di articolo KB di Apple # HT5290 :
Important: Developer ID signature applies to apps downloaded from the Internet. Apps from other sources, such as file servers, external drives, or optical discs are exempt, unless the apps were originally downloaded from the Internet.
Se hai abilitato questa preferenza nascosta, disattiva anche Gatekeeper:
defaults write com.apple.LaunchServices LSQuarantine -bool false
O OS X consente di aprire tutte le applicazioni indipendentemente dalle impostazioni in Preferenze di Sistema.
Gatekeeper impedisce l'esecuzione delle app facendo doppio clic, ma puoi sempre sostituirlo selezionando Apri dal menu di scelta rapida.
Se riesci a eseguire le app non firmate scaricate facendo doppio clic, questo è un problema con Gatekeeper. I file memorizzano il loro stato di quarantena in un attributo esteso chiamato //support.apple.com/kb/ht3662">com.apple.quarantine. Se questo attributo viene eliminato per qualche motivo dai file scaricati, Gatekeeper considera i file scaricati come non diversi da altri file sul tuo computer. Quindi suggerirei che scaricare un programma e poi usare xattr -l filename in Terminale sarebbe un buon strumento diagnostico se hai installato Xcode.
Se li esegui tramite il comando Apri da un menu, questo è il comportamento progettato. Tieni presente che, una volta eseguito un programma dal menu, è possibile eseguirlo per sempre facendo doppio clic, indipendentemente dalle impostazioni di Gatekeeper.
Leggi altre domande sui tag macos gatekeeper