Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple brengt update uit die 'root'-bug in macOS High Sierra fikst

Apple heeft een update uitgebracht voor macOS High Sierra om de bug te fiksen waarmee het mogelijk was om in te loggen als rootgebruiker zonder wachtwoord. Volgens Apple lag een 'logic error' ten grondslag aan de fout in de software.

Het gaat om Security Update 2017-001 en gebruikers van High Sierra kunnen de update per direct installeren. Na de update vraagt de software om extra†validatie van gegevens bij het verzoek om in te loggen als root. Apple raadt gebruikers aan de update zo snel mogelijk te installeren. Alleen gebruikers van High Sierra zijn getroffen door de bug, zo bevestigt Apple.

De 'root'-bug kwam dinsdagavond naar buiten. Als macOS de beveiligingsprompt laat zien, kunnen gebruikers zonder de update 'root' als gebruikersnaam invoeren en zonder wachtwoord op 'unlock' klikken. Daarna is het ook mogelijk om op deze manier vanaf het lockscreen in te loggen op een Mac-machine.

Nog voor de update naar buiten kwam, konden gebruikers de kwetsbaarheid verhelpen door zelf de rootgebruiker te activeren en een eigen wachtwoord daarvoor in te stellen. Standaard zet Apple de rootgebruiker uit in het besturingssysteem. Wat voor 'logic error' zorgde voor de bug, zegt Apple niet. Beveiligingsonderzoeker Patric Wardle ontdekte dat de eerste klik op 'unlock' de rootgebruiker zonder wachtwoord aanmaakte, terwijl gebruikers met de tweede klik konden inloggen.†Het is onduidelijk of kwaadwillenden van de softwarefout misbruik hebben gemaakt. De bug zat sinds de release van High Sierra in macOS.

Door

Redacteur mobile

152 Linkedin Google+

Submitter: DLeijen

Reacties (152)

Wijzig sortering
Er is ook een officiŽle reactie van Apple:

Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS.

When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.

We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.
Leuk die excuses maar alle getroffen mac systemen stonden ook open naar het internet toe. Diverse personen hebben foto's en filmpjes geplaatst van scan software die via de SSH zonder problemen bij de mac systemen konden komen. Zo liet 1 persoon al zien hoe hij ruim 73.000 systemen online had gevonden met de betreffende kwetsbaarheid. Had je namelijk scherm delen aan staan dan was deze kwetsbaarheid ook via SSH actief. In de voorbeeld scans haalde deze persoon dingen naar voren zoals de idle time, het ip, de ingelogde gebruiker, de versie van het macOS enz.

Een vriend van mij heeft, aangezien zij gegevens van klanten verwerken van over de gehele wereld, zijn de 150 internationale programmeurs van het bedrijf gecontact om te voorkomen dat de bug misbruikt kon worden en er dus sprake zou zijn van een datalek.

[Reactie gewijzigd door daredevil__2000 op 30 november 2017 09:23]

Had je namelijk scherm delen aan staan dan was deze kwetsbaarheid ook via SSH actief.
Heb je daar een link voor? "Screen Sharing" en "Remote Login" (d.w.z., SSH) zijn namelijk onafhankelijk aan of uit te zetten. En SSH van root accounts toelaten, en dan nog wel met paswoord i.p.v. keys, is toch niet meer van deze tijd.
Wat wil je dan? Dat de CEO naar Oosters gebruik zichzelf van het leven berooft door de schande?

Er is binnen een hele korte tijd een update en er zijn excuses aangeboden. Wat wil je nog meer?
Het blijft wel vreemd, de update heet 2017-001, en met deze link: https://support.apple.com/en-us/HT208315

Echter is er op 31 october ook al een update genaamd 2017-001 uitgekomen: https://support.apple.com/en-us/HT208221

En vandaag krijgen mensen die bovenstaande beide updates al hebben geinstalleerd opeens nog een derde update aangeboden met de naarm 2017-001. Deze is voor high sierra, maar linkt naar https://support.apple.com/en-us/HT208221
Die 2017-001 van 31 oktober is voor 10.12, niet voor 10.13. Als er een nieuwe major macOS versie is, krijgen de vorige twee versies alleen nog dit soort security updates, vaak gelijktijdig met een reguliere update van de dan laatste major release. In dit geval bevat 2017-001 voor Sierra dus dezelfde security patches als de .1 update voor High Sierra.

De 2017-001 update van afgelopen week is dus specifiek voor 10.13 en staat los van de 2017-001 update voor 10.12 van oktober :)

[Reactie gewijzigd door pBook op 30 november 2017 22:53]

Ja dat snap ik, maar dat vind ik verwarrend. Althans, mijn gebruikers snappen er niks van.

Daarnaast linkt de url bij update van 29/11 naar de informatie van de update van 31/10.

En mensen met high Sierra krijgen 2x de update van 29/11 aangeboden.
Leuk dat iedereen jouw +1 doet, maar er was dus wel degelijk iets mis/verwarrends!

https://www.wired.com/sto...bug-patch/?mbid=social_fb
Hele nette reactie vind ik dat.. ze bieden hun excuses aan en erkennen dat zij een fout hebben gemaakt.
En vooral hoe snel de patch er is.
Het zou erg interessant zijn om dit allemaal in code te zien. Wat die "logic error" nou eens precies inhoudt.
Hier staat het redelijk uitgebreid beschreven, gevalletje mislukte if / else: https://objective-see.com/blog/blog_0x24.html
Wie weet stond de developer flag gewoon nog aan ofzo :P
Of was men de bijhorende if instructie vergeten rond de code te plaatsen.
Hoe toepasselijk is jouw nickname :*)
Live vanuit je Macbook!
if(wachtwoord==HetIngesteldeWachtwoord)
return true

return true

Wie zal het zeggen? we zullen het nooit weten, fijn dat er een update is.
Wellicht toch maar eens gaan updaten naar High Sierra. nu deze bug er uit is
Blunder van de eerste orde. Niets is 100% fout proof maar dit soort fouten waarbij iemand zo gemakkelijk root access krijgt kan natuurlijk niet. Denk dat er iemand bij Apple geen kerstcadeau krijgt.

Zo zie je maar dat Apple een gewoon bedrijf is zoals alle andere bedrijven. Niets meer en niets minder.

[Reactie gewijzigd door Maccerendi op 29 november 2017 17:58]

Het is een trend dit jaar:
- Intel AMT empty root password bug
- Oracle Identity manager empty root password bug
- MacOs High Sierra empty root password bug
met zoveel code gaat er geheid wat zijn wat je mist bij het testen, je zou niet zo snel denken dat je een wachtwoord kunt instellen voor het root account via de login als deze is uitgeschakeld en nog geen wachtwoord had.
Ja tijdens een operatie overlijdt er ook wel eens een patient door een blunder. Kan gebeuren. Bij zo'n in gewikkelde operatie gaat er geheid ook wel eens wat mis.

Het ziekenhuis heeft in ieder beterschap belooft en zijn excuses aangeboden. Kuddo's voor het ziekenhuis.
als in een ziekenhuis een blunder begaan is, is het niet "kan gebeuren", dan is er bewust iets fout gedaan, of gewoon slecht onderzocht. hebben ze iets gemist waar niemand een link naartoe had gelegt, dat kan gebeuren, dat is een complicatie.

eigenlijk is een blunder nooit iets wat "kan gebeuren", maar dit soort bugs zijn geen blunders, maar gewoon iets specifieks wat gemist is.
een wielbout moet je echt je best doen om dat te vergeten als je een wiel vervangt, maar zoiets als na een paar pogingen in kunnen loggen met het uitgeschakelde root account is niet echt iets waar je aan denkt als dat er niet bewust in gemaakt is. het is in principe maar een klein foutje met grote gevolgen, mocht iemand toegang tot je pc hebben. dat in combinatie met dat het eerder niet voorkwam maakt het makkelijker om dat te missen tijdens het testen.
Een pluim voor Apple, hier hebben ze snel op gereageerd. :*)

Update: waarom is dit nou offtopic? Het is relevant en het is netjes dat er tijdig op gereageerd wordt.

[Reactie gewijzigd door Karizma op 29 november 2017 17:51]

@iworx Incorrect. Het probleem was 2 weken geleden al gemeld. Het is dus niet zo dat Apple dit in 1 ŗ 2 dagen heeft opgelost.

[Reactie gewijzigd door AnonymousWP op 29 november 2017 17:46]

Er is een groot verschil tussen het "op een forum posten" en het in een radar of feedback terug naar de developers sturen.
Ja, en? Op het Apple forum stikt het ook van de Apple medewerkers. Het is geen forum van de vingerverf club.
Ik ben daar echt nog nooit een medewerker tegengekomen. :')
En dan is het ook maar de vraag of het support medewerkers zijn of mensen die de materie inhoudelijk begrijpen en direct inzien dat het een groot probleem is.

Nee Apple heeft niet voor niets een product feedback pagina en een responsible disclosure programma.
En het was niemand opgevallen dat die post er stond tot gister blijkbaar, want alle replies erop komen ook vandaag opeens binnen. Dus misschien niet direct zo heel gek dat niemand er iets mee heeft gedaan en het niet heeft doorgegeven aan security/development team.
Marketing, webcare teams. Maar developers kijken liever niet in ongefilterede klachten databanken.
Apple is altijd heel duidelijk geweest dat zij niet het forum meelezen. Zeker de devvers niet. Misschien dat dit nu wel verandert: de schade die deze bug aanrichtte - met name in goodwill - had simpel voorkomen kunnen worden door een paar mensen toe te wijzen aan het meelezen van de fora (al heb ik geen idee om hoeveel berichten dit dagelijks gaat).
die medewerkers zijn vaak vergelijkbaar met een telefonische helpdesk, en zullen vaak gewoon een checklist hebben of iets dergelijks
Nou... het was 1 antwoord van een indier op een vraag over een probleem met een account. 1 van de repliers noemde het als een valide oplossing van een probleem. Het werd door de poster niet eens gezien als een enorm security issue maar als een feature van Apple.

Als het een bug was die 2 weken geleden gemeld was aan Apple Product security en ze er niets mee hadden gedaan... Ja dan moesten ze zich nog erger schamen dan nu (want iedereen is het wel met elkaar eens dat dit wel een blunder van de eerste klas is).
Het is dan ook een zeer heftige bug. Denk dat bij Apple de asfaltpleuris uitgebroken is toen doordrong wat de gevolgen konden zijn.
Waarom een pluim? Er zijn mensen de dupe van deze domme fout geworden.
omdat, ondanks dat het gemeld werd op een niet daarvoor bedoeld forum, het snel gefixt is nadat ze erachter kwamen. als er al mensen de dupe van deze fout zijn geworden is het omdat het op een userforum gemeld werd
Het is Apple's fout om niet mee te kijken op de forums. Dat is immers ook waar ze hun gebruikers zouden kunnen helpen.
Omdat er dus absoluut niet op tijd gereageerd is, er is pas gereageerd toen een paar IT-Nieuws/Tech-Nieuws sites het op hebben gepakt.
Blijkbaar heb jij inzicht over wat er intern bij Apple gebeurt is en zijn de nu bekende verklaringen onzin? Op het moment dat het als een bug doorgegeven was zijn ze aan het werk gegaan. Dat het daarvoor al op een forum is langsgekomen zegt niet veel want Apple volgt natuurlijk niet alles. Als jij hier een enorme bug in MacOs toont zal Apple het waarschijnlijk niet zien.

Maar als jij meer info hebt dan moet je toch eens wat meer over vertellen.

[Reactie gewijzigd door falconhunter op 29 november 2017 18:19]

Je moet eens een van de posts lezen hierboven. Een quote van Apple zelf.
Vrije vertaling. Toen we dinsdag lucht kregen van deze fout zijn de engineers direct aan het werk gegaan.

Deze fout is echter al 1,5 a 2 weken geleden bekend gemaakt via onder andere het forum van Apple zelf.
Dus ja.ze hebben een fout gemaakt en deze niet snel genoeg opgepikt vanuit verschillende kanalen.
Het forum van Apple is een user to user forum, daar zitten in elk geval geen software engineers van Apple. Bugs moeten worden gemeld via Radar en nergens is bekend wanneer dat is gebeurd.

Wellicht wat offtopic, ik heb daar eens een paar bugs gemeld en die werden vrijwel direct of toegewezen aan een reeds bestaande bug of een engineer kwam er op terug. Prettige ervaring, in tegenstelling tot een bug melden bij Google of Microsoft.

[Reactie gewijzigd door Frietsaus op 29 november 2017 19:52]

Het is dom van Apple dat er geen medewerkers op het forum zitten. Een bedrijf van de omvang van Apple moet gewoon daar mensen op zetten. Daar is zeer veel inzicht te verkrijgen over het gebruik van het systeem en van de issues. Ik kan me dan ook niet voorstellen dat dit niet gebeurd en dat er niemand van Apple op deze forums zit.

Ik heb hele prettige ervaringen met het melden van bugs bij Microsoft. Ik heb zelfs een custom hotfix gekregen voor 1 van de producten zodat ik alvast de issues op kon lossen terwijl ze het verder door de testen heen liepen. Iets later is het in een update gefixed en werd mijn hotfix weer ongedaan gemaakt zodat ik weer op de officiele release van alle bestanden zat.
gebruikers zouden gewoon bugs moeten melden via het daarvoor bedoelde kanaal, niet op een userforum.
er zitten wel medewerkers op, maar die zijn er voor vragen of problemen die een gebruiker tegenkomt, niet voor bugs. dit is bij microsoft net zo, je kunt bugs enzo melden, maar als je dat via een forum doet krijg je van de medewekers vaak eerst een standaard reactie, en wordt het niet perse gezien als bug in het os
Een gebruiker weet vaak niet eens wat een bug is en wat een configuratiefout of by design is. Deze gebruiker dacht ook dat het zo hoorde. Dat kunnen medewerkers van Apple veel beter inschatten. Het is gewoon bad practice om hier niet naar te kijken als Apple zijnde. Maar zoals ik al zei, ik verwacht dat Apple hier ook bugs mee identificeert.

Microsoft doet dit overigens wel. Ik heb op het forum van Microsoft ook reacties gezien van MS medewerkers die de meldingen door hebben gegeven aan het dev team.
In het forum wordt het niet als fout gezien maar als oplossing voor een ander probleem. Niemand daar heeft bedacht dat dit een security probleem was.
Waarschijnlijk is de security medewerker tegen de post gelopen, heeft het gecontroleerd en toen direct gemeld (of wereldkundig gemaakt)
Misschien moet u eens kijken naar de -1 eentjes in de andere berichten van u, en gaan afvragen waarom ze allemaal op -1 staan. In elke reply in dit bericht plaat u hetzelfde bericht, iedereen die op u antwoord met weerwoord word direct door u afgefakkelt op een (zoals het op mij overkomt) erg agressieve en gepikeerde toon. U schroomt daar ook niet bij om mensen persoonlijk aan te vallen en complete groepen mensen met een negatieve toon te generaliseren.

Ik kan nog wel een keer gaan typen wat andere mensen ook al meerdere keren hebben (proberen) uit te leggen, maar dat heeft duidelijk geen nut bij u.

Ik vraag mij dan ook oprecht af; Bent u nou zo koppig of gewoon onwetend?
het was dan ook op een forum gemeld, wat voor gebruikers is, met een aantal helpdesk medewerkers ofzo.
Stringly typed logic waarschijnijk. Ergens een if ([user isEqualToString:@"root"]) { } snel er tussen knallen om die ene situatie af te vangen. Die ineens ook in alle andere situaties werkt. Oeps.

Edit: meer info:
https://objective-see.com/blog/blog_0x24.html

Niet helemaal wat ik dacht dus

[Reactie gewijzigd door BikkelZ op 29 november 2017 17:47]

Ik verwacht eerder een vorm van quick and dirty toegang tijdens het testen die is blijven bestaan zodat je tijdens het testen op elk systeem snel kunt inloggen met een super user om te zien of daarmee het probleem zich ook voor doet. Vergeet niet dat je hier ineens een root user aanzet die standaard uit staat en dan nog eens toestaat om deze te gebruiken zonder wachtwoord.
Met een chique woord (of twee) heet dat dan "falend versiebeheer". :*)
Ik verwacht van niet om eerlijk te zijn. Er wordt een non-zero exit code terug gestuurd wat het andere programma gewoon niet verwacht. Die hoopt in zulke gevallen een 0 terug te krijgen en anders gaat ie “zoals bedoeld” gewoon door met het proces.

De grap is dat dit voor testing niet nodig is (aangezien je dat op dit niveau gewoon commandline doet), dan gebruik je gewoon single user mode. Die activeerd ook een root account.
Oh voor de mensen die dat fijn vinden, ik zelf vind dat wel altijd, je kan de patch ook via de terminal installen.
softwareupdate --install -r
Gaat snel en geen reboot nodig.
Last login: Wed Nov 29 18:49:14 on console
xxxxxxxx-MacBook-Pro:~ xxxxxxxx$ softwareupdate --install -r
Software Update Tool

Finding available software
No updates are available.
xxxxxxxx-MacBook-Pro:~ xxxxxxx$

Niet beschikbaar voor de beta versies? Of is het gewoon druk...
Geen idee mbt de beta versies, sorry - beta versies draai ik nog wel eens op m’n telefoon maar op m’n Mac vermijd ik ze als de pest. :P Heb vandaag 4 apparaten op High Sierra stable gepatched, allen toonden de update zonder probleem.

Als die bug ook in de beta zit lijkt het me dat ze die ook patchen; of wellicht heeft je Mac het op de achtergrond automatisch gedaan maar volgens mij gebeurt dat normaliter niet?
is dit de eerste patch van 2017, zijn er geen andere geweest dit jaar
Dit is een Security Update en die waren er voor High Sierra nog niet, maar HS is ook pas 54 dagen uit.

[Reactie gewijzigd door Herko_ter_Horst op 29 november 2017 19:15]

Moet je na het installeren nog zelf het root account weer disablen?
Nee, gebeurd automatisch.
en als je het root account juist ingeschakeld had, dan wordt deze toch niet uitgeschakeld? of wel?
ah oke, heb net de update geinstalleerd, gelijk maar weer even aanzetten
Iedereen die hier roept dat deze bug nooit had mogen gebeuren heeft nooit in software development gewerkt. Dit soort bugs gebeuren nou eenmaal. In elk stukje software zit minimaal 1 bug per 1000 regels (behalve bij NASA software). OS-X heeft meerdere miljoenen regels code, kun je nagaan hoeveel bugs er nog in zitten die niemand gevonden heeft (of niet tot uiting komen omdat de juiste omstandigheden nog niet voorgedaan hebben, zoals datums, of filesizes ofzo).
Wat je zegt is natuurlijk waar, software development is niet simpel en er zullen zeker nog veel meer bugs in OSX en Windows en Linux zitten, maar het is helemaal niet raar om te verwachten dat ze bepaalde belangrijke onderdelen van een OS wel goed testen voor het de deur uit gaat, zoals bijvoorbeeld de login procedure, dat zijn wel echt belangrijke onderdelen.

Ter vergelijking, die bug recentelijk in office, office is een groot pakket dus ook miljoenen regels code, dus er zitten bugs in, dat kan natuurlijk ook niet, maar is wel even een heel ander kaliber, dat was in een optionele toevoeging aan Office, die in de laatste paar versies Łberhaupt niet meer gebruikt word en alleen voor compatibiliteit met hele oude bestanden nog meegeleverd word. Dat was ook wel echt een serieuze bug, en het is niet minder dan vanzelf sprekend dat ze dat gepatchd hebben, maar nog steeds niet te vergelijken met door een foutje zo simpel root toegang krijgen vanuit het login scherm, dat is gewoon echt niet te verklaren en had gewoon getest moeten worden. (helemaal als het, zoals het verhaal lijkt te gaan, een overgebleven stukje debug code was, voordat je live gaat check je 10x of je wel een final build hebt en niet eentje voor in je test omgeving, das programming 101)
bij nasa software (als je het over de software voor de besturing van bijvoorbeeld de spaceshuttle hebt) zitten denk ik minder regels code dan in een normaal os
Grappig dat mensen Apple credit geven voor het oplossen van een enorme blunder.

Nadat ik naar de garage was geweest en wegreed verloor ik opeens een wiel op de snelweg.
Gelukkig heeft de garage het snel opgelost. Kuddo's voor de garage :)
Een paar boutjes goed vastzetten is wat andere koek dan software met duizenden en duizenden en duizenden regels code 100% bugvrij houden. Dat het nu wel een heel grof gedeelte van het OS is waar het juist absoluut niet fout mag gaan maakt het veel gevaarlijker (eg: ik reed met m'n auto, maar de remmen deden het af en toe niet!) maar niet minder netjes hoe snel ze de boel patchen.
Een paar boutjes goed vastzetten is wat andere koek dan software met duizenden en duizenden en duizenden regels code 100% bugvrij houden.
Een moderne auto bestaat uit duizenden regels code, allerlei complexe andere meuk, en 5 of 6 boutjes per wiel.
Net zoals een modern OS uit duizenden regels code bestaat, waarvan 5 of 6 regels hebben die als het goed is ongeveer net zo complex zijn als die boutjes aan een autowiel.
Mijn autogarage heeft echter geen kwaliteitscontrole team, en toch hebben ze het wiel nog altijd goed vastgezet, al hoor je ook wel eens verhalen dat ze dit vergeten.
http://www.alblasserdamsn...nderdijk-in-alblasserdam/

Het komt er uiteindelijk gewoon op neer dat waar gewerkt word fouten gemaakt worden, de reactie bovenstaand is gewoon netjes, denk dat het goed dat ze hun processen nog eens even gaan checken, verder niks aan de hand.
ik weet niet welk OS jij gebruikt, maar de meeste moderne besturingssyetemen beslaan miljoenen regels code ;)
1] Niet snel gepatcht (zie de andere reacties van mij en anderen, dit was minimaal 2 weken bekend zo niet langer) maar snel gepatcht toen het nieuws werd.
Binnen 2 weken een patch is voor de industriestandaarden ook echt razendsnel...
Maar dat terzijde. Dat iemand ergens op internet een post heeft gemaakt waarin het probleem beschreven wordt maakt het nog niet zo dat "Apple op de hoogte was". Dat is gewoonweg niet waar tenzij iemand toen al een security form heeft ingevuld, maar er is niets dat dat suggereert.

Kijk, als iemand een zero-day heeft ontdekt in 2016 en dit word vandaag bekend; zeg je dan ook "Ja maar het was al sinds 2016 bekend!! Dus helemaal niet snel gepatched!" of snap je dan dat we in die gevallen ook tellen vanaf de dag dat de ontwikkelaar op de hoogte werd gesteld? ;)
In het geval van Apple lijkt het er op dat ze dus gister pas werkelijk op de hoogte zijn gesteld, en blijkbaar via Twitter want dat is waar ze gereageerd hebben. (En daar is de gene die het meld flink wat centjes misgelopen... Had ie het protocol gevolgd dan had ie wel een paar duizend euro kunnen verwachten van Apple.)

Mja; https://www.youtube.com/watch?v=VNdygguAMQA ;)
Degene die het op Twitter melde, heeft 0 euro misgelopen. Apple heeft namelijk geen bug bounty program voor Mac OS. (Bron)
Ik ben ook zeer uitgesproken over de beveiliging van een Mac, ook over hun patch beleid. Dat is gewoon goed. Ik zou ook nooit meer een Windows pc nemen. Die ervaring heb ik inmiddels wel en jij? Ooit al een keer een paar jaar achter elkaar een Mac gehad?
Ooit al een keer een paar jaar achter elkaar een Mac gehad?
Nope, wel paar keer aan gedacht voor thuis omdat iedereen er altijd zo lyrisch over is en ik ook veel liever unix dan dos commands inklop, maar steeds was er of een bekend probleem met het OS, of een tekort aan software/games, of werd m'n hardware zelfs door dat Hackintosh niet ondersteund, en uit principe ga ik gewoon geen mac(book) kopen, om dezelfde reden dat ik geen nike's of bose headsets koop, betalen voor een merk vind ik bs. Uiteindelijk bij een baas een macbook met OSX moeten gebruiken, na een half jaar m'n best te hebben gedaan te wennen aan alle kleine verschillen toch weer over gegaan naar windows, ik bleef me gewoon storen aan sommige ui quirks van OSX, en hoe vrijwel iedere software die ik opzocht geen OSX versie had, en ongeveer de helft van de tijd uberhaupt geen equivalent op OSX had, dit was notabene 2016, dus toen OSX al een paar jaar 'hot' was.

Over de beveiliging, in mijn ervaring is de beveiliging van OSX goed maar niet geweldig, maar je hebt maar weinig opties om dat te verbeteren, in windows is de beveiliging (tegenwoordig) ook goed maar niet geweldig, maar je hebt een hele stortvloed aan opties om het nog beter te maken, dat is een van de redenen dat ik toch windows blijf kiezen, er is de meeste (beveiliging en andere) software beschikbaar.
Ook voor macOS is er steeds meer beveiliging aanwezig, denk aan FileVault en het schijnt dat vanaf 2018 of 2019 alle nieuwe macbooks/imacs permanent volgbaar zullen zijn via iCloud.. niet door Apple zelf natuurlijk maar wel door de user.
Dus wel door Apple zelf, want iCloud.
Alsof dat niet is beveiligd?
"Beveiligd" hoe? Zodat Apple medewerkers niet jouw gegevens kunnen inzien? Lamenielache, natuurlijk kunnen ze dat. Tot het moment dat ze met keihard bewijs kunnen aantonen dat zelfs Apple medewerkers jouw gegevens niet kunnen inzien.

Maar, dat bewijs komt er niet, want als medewerkers jouw gegevens niet kunnen inzien, dan kunnen de servers dat ook niet. En dat is nodig om je privacy te kunnen blijven schen.... ehhh, voor de verbetering van de dienstverlening.
Ow, dus vandaar dat Apple niets kon doen toen de FBI aanklopte... kom jij maar met bewijzen..
vond apple zelf ook niks, altijd windows gebruikt, maar dat veranderde wel met windows 10.

als het gaat om betalen om het merk dan valt het bij apple eigenlijk nog wel mee, als je kijkt naar vergelijkbare laptops. al helemaal als je kijkt naar kleding enzo, daar zit een veel grotere marge op.

de enige laptops die qua hardware vergelijkbaar zijn maar wel goedkoper zien er lang niet zo strak uit.
apple stopt best veel tijd in het uitwerken van hun design in zowel hard- als software.
als ik nu mac os vergelijk met windows 10 kies ik toch voor mac os. vergelijk ik het met windows 8, dan koos ik misschien nog wel voor windows 8, als dat nog supported zou zijn. die vond ik erg fijn.

qua beveiliging weet ik het niet zeker, daar heb ik me niet echt in verdiept, maar ik denk ook wel dat het in windows beter te regelen is, en bij linux nog beter.
het is ook maar net waar je het voor gebruikt, ik mis eigenlijk alleen games, maar als ik daar weer tijd voor heb haal ik wel weer een windows desktop in huis
Ja maar is dat niet altijd zo met bugs en achteraf makkelijk praten?
Software is vrijwel nooit 100% bugvrij, zeker niet zulke zeer complexe software; het is een compleet OS. Als je voor elke security bug en zero day fix het OS niet meer wil gebruiken dan denk ik dat je PC een eenzaam leven in een kast gaat krijgen; of het nou MacOS, Linux of Windows is.

Neem heartbleed, shellshock, poodle, etc. Bugs die al jaren in belangrijke Linux-packages bleken te zitten. Ik gebruik toch echt nog gewoon Linux op m’n servers en een aantal van die packages omdat ze essentieel zijn. :P Het gebeurt nu eenmaal. Ja het is zwaar klote en dit soort dingen horen heel goed bekeken te worden, maar helaas valt er wel eens iets door de gaatjes in het proces.

Heb het zelf ook wel eens meegemaakt met een Android-app. Bleek er door heel creatief een paar functies aan elkaar te knopen en speciale karakters te versturen op verschillende stappen in het proces dat een security lek misbruikt kon worden. Het was onmogelijk om dat met tests op te vangen en we waren zeer onder de indruk van de creativiteit van de ontdekker. Nu is dit een stukje simpeler, maar ik wil enkel zeggen: shit happens, en testen is niet heilig.

[Reactie gewijzigd door WhatsappHack op 29 november 2017 18:49]

Je moest somds 3 tot 5 maal proberen om als Root in te loggen.. dus het is geen wonder dat het niet opviel en in eerdere versies was die error/bug NIET aanwezig... vergeet niet dat een OS bestaat uit MILJOENEN regels.. ga jij dan maar eens uitlezen... ben je na een jaar nog bezig...
het aantal regels maakt niet zoveel uit, als je een goed testplan bij houd vergeet je niet zo snel iets, dan maakt het aantal regels alleen nog uit voor het zoeken naar de oorzaak van een probleem tijdens het testen. nou zullen dit soort problemen wel sneller vergeten worden, aangezien het een vrij specifieke actie vereist, iets wat je niet zo snel verwacht.
Zal heus wel getest zijn geweest, alleen moest je soms wel meer dan 5 maal proberen in te loggen als root zonder wachtwoord voordat het werkte...
het was misschien bij gebruikers bekend, maar nog niet bij de juiste mensen van apple, als het daar dinsdag bekend was, dan is het best wel snel gedaan (ookal is 2 weken ook redelijk snel volgens mij)
Moet je nou echt weer fanboys in je mening verwerken?
Alleen iemand die zelf een fanboy is van een concurrent zal dit zo verwoorden. Veel plezier verder en geniet van het internet! ;)

Edit: ik zat nog even door je reacties te bladeren en zie dat je enkel actief bent op Apple artikelen waar je vervolgens standvast afkraakt of Android features ophemeld. Fanboy gonna fanboy

[Reactie gewijzigd door mikesmit op 29 november 2017 22:03]

Gelukkig maakt Microsoft/Google/Samsung/Linux community/... nooit een fout en zijn de Windows/Android/Linux apparaten volledig onkraakbaar...
Het lijkt er op dat jij een fanboy van een ander systeem bent...
Ooit van Stagefright gehoord? En is het al gepatcht op de telefoons van Jan Modaal?
Of alleen bij de hardcore tweakers die zelf ROMs flashen?
Dit was geen foutje in een operatie maar hier werd een hart verwijderd bij iemand die last van zijn vingers had. Dit was geen fout van Apple maar ene giga blunder waarbij iedereen zomaar root access tot jouw mac kon krijgen, alles van je kon lezen en zelfs jouw uitsluiten van je eigen mac door de passwords te veranderen.

Hoeveel geheime diensten en kwaadwillende hackers zullen deze fout ook al niet gevonden hebben en er gebruik van hebben gemaakt?

Je hebt fouten die iedereen maakt en kapitale blunders.
Stagefright kon je misbruiken door het sturen van een MMS.
Bij dit probleem moest je ingelogd zijn op de machine zelf met een valide useraccount.
Toch wel een verschil.
Apple heeft anders binnen like 24 uur een update beschikbaar gesteld, sterker nog.. forceert deze update zelfs... en je hoeft je systeem niet te herstarten.
LOL.. soms vergeten dat Google ookal wilde jij het niet je locatie data verzamelde? Hun speakertje.. nam alles op.. door een bug etc.
je verwacht niet anders als android gebruiker? los van dat android hier totaal niks mee te maken heeft in wat voor vergelijking dan ook, bij android moet je blij zijn als je een update krijgt voor zulke problemen bij veel fabrikanten.
apple heeft het netjes opgelost, en als zoiets bij windows gebeurd, en ze lossen het in een paar dagen op dan is dat ook netjes. succes met zoeken naar een os die geen mega blunders heeft begaan
ze wisten sinds dinsdag van dit probleem, aangezien het toen pas in het nieuws kwam (als dat de enige reden is dat ze erachter kwamen). als gebruikers nou eens het goede systeem gebruiken voor het melden van bugs, ipv een forum voor gebruikers.
Je kunt het gebruikers niet aanrekenen dat ze het "verkeerde" kanaal gebruiken om een bug te melden. Het is een bug in Apple's software, en ze zouden blij moeten zijn met iedere vorm van een bugmelding. Ze hadden op z'n minst kunnen antwoorden met "doe dat maar in onze bugtracker", waarop ik als gebruiker dan zou antwoorden "okay doen jullie dat maar, ik heb m'n best gedaan".

Die persoon heeft gewoon correct gehandeld. Het is niet zijn/haar zorg dat Apple een of andere url heeft die je maar net goed moet gokken, waar je bugs behoort te melden.
nouja ik zei ergens anders ook al dat apple (en andere ontwikkelaars net zo) dat duidelijker moeten maken, ookal zouden ze die forums in de gaten houden, het is nog steeds een hoop werk om alles door te spitten
Nogmaals op het forum lezen die medewerkers daar NIETS.. daarvoor is er een speciaal e-mail systeem gemaakt.
Apple geeft zelfs geld als je een zero day vind dat op kan lopen richting duizenden dollars.
Bounty program is niet geldig voor Mac OS.
http://bugreport.apple.com/

btw... niemand heeft die post/forum topic gezien btw...
dat is niet hun pakkie aan, het is de verantwoordelijkheid van de gebruiker om het via de juiste weg te melden. net zoals in het insider programma van microsoft. daar wordt geklaagt dat feedback niet serieus genomen wordt, maar als je ziet hoeveel niet via het feedbackprogramma gemeld wordt maar via een forum, dan is het logisch. logisch dat apple/microsoft/whatever medewerkers niet alle fora gaan doorspitten om een eventueel probleem te vinden tussen alle andere soorten posts.
Ik zou inderdaad kuddo's voor de garage geven. Een foutje is menselijk, maar fouten toegeven en oplossen helaas lang niet altijd.
Dan stuur jij maar een bos bloemen
Dat zei ik nergens?
naar de monteur die jouw gezin het leven had kunnen kosten.
Zo kun je 'm ook zien. Ik zie een man die naar eer en geweten mijn banden heeft vervangen, maar een moer of bout is vergeten. En in t scenario wat geschetst werd, is "had kunnen kosten" totaal irrelevant (zoals heel veel zinnen met 'had gekund' dat zijn).
Iedereen kan zomaar root access tot jouw mac krijgen.
Alleen iedereen die fysiek toegang had tot mijn mac, wat een subtiel verschil is, maar toch.
Noem je dat een foutJE??
jep
Bizarre denkwijze.
ok.

[Reactie gewijzigd door Prullenbak84 op 30 november 2017 14:40]

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*