MacOS Sequoia kan niet-ondertekende apps niet meer openen via rechtermuisknop

Apple past de werking van Gatekeeper in macOS Sequoia aan. Hierdoor wordt het onmogelijk om niet-ondertekende apps via het contextmenu van de rechtermuisknop te openen. Gebruikers die dergelijke apps willen starten, moeten eerst een melding in het instellingenmenu bekijken.

Deze beveiligingsmelding zal zichtbaar zijn in de Privacy en beveiligingsectie van Systeeminstellingen in macOS Sequoia, aldus Apple. Het Amerikaanse bedrijf raadt ontwikkelaars in een persbericht aan om hun apps te laten registreren. De techgigant zou op die manier de gegevens van de Developer ID kunnen controleren en ook beveiligingscontroles kunnen uitvoeren. Zodra dat is gebeurd, zou de software worden opgenomen in een databank. De gegevens uit deze databank worden vervolgens overgemaakt naar de Gatekeeper-software in macOS.

Apple heeft macOS Sequoia in juni op de ontwikkelaarsconferentie WWDC aangekondigd. De nieuwe versie van het besturingssysteem kan onder meer alle notificaties van een verbonden iPhone ontvangen en apps op een iPhone besturen via screen mirroring. MacOS Sequoia zal ook hdmi-passthrough ondersteunen voor Dolby Atmos-speakers.

Reacties (92)

Greatsword

macOS
Laptops

7 augustus 2024 18:48

Gelukkig werkt dit in terminal wel gewoon:

sudo spctl --master-disable

Dit is 1 van de eerste dingen die ik altijd aanpas bij een nieuwe Mac of schone installatie zodat ik niet continue "goedkeuring" hoef te geven om te software te installeren van andere bronnen.

Ongedaan maken kan weer via:

sudo spctl --master-enable

[Reactie gewijzigd door Greatsword op 7 augustus 2024 18:51]

Hulliee @Greatsword • 7 augustus 2024 19:15

Opzich kun je dit doen maar ik zou hem na het installeren vd app wel weer aanzetten. Met dit commando disable je namelijk de Gatekeeper van macOS.

Oon

@Hulliee • 7 augustus 2024 19:49

Is toch prima? Ik weet zelf exact wat ik download en 9/10 apps die ik gebruik zijn óf open source (en komen dus toch niet door Gatekeeper heen omdat de developers geen $100 per jaar hebben om aan Apple uit te geven) óf zijn van grote partijen.
Gatekeeper is m.i. alleen vervelend, ik heb nog nooit zoiets gehad van 'oh dan laat maar, zal wel niet veilig zijn'

erikieperikie @Oon • 7 augustus 2024 20:19

Ik zit ook in het kamp dat zich zeer bewust is van wat men downloadt. Echter ben ik tot de conclusie gekomen dat ik door mijn bewustzijn soms simpelweg niet kan weten wat ik download. Bijv.:
Ik download bijna exclusief software via Homebrew. Dat kunnen CLI tools zijn, zoals Git, of hele applicaties, zoals Google Chrome. Met beide vormen van software zijn er risico's.

Bijvoorbeeld als je tool X installeert die afhangt van tool Y (die je zelf verder niet kent of niet direct nodig hebt), maar Y bevat een beveiligingsprobleem, dan heb je de poppen aan het dansen. Een concreet voorbeeld van dit probleem was de recente xz achterdeur: Wikipedia: XZ Utils backdoor. Xz is overigens open source en wist toch een achterdeur te verspreiden.

Van de tweede soort installaties had ik laatst ook een interessant vraagstuk: is AltTab veilig? Die applicatie is een alternatief voor de Cmd+Tab app switcher in macOS. De app biedt de mogelijkheid om de schermen van je applicaties te screenshotten, zodat je kunt zien (net als bijv. op Windows) naar welk venster je wisselt. Dat screenshotten is netjes beschermd met een toestemming die je moet geven vanuit macOS. Dat is natuurlijk wel een potentieel beveiligingsprobleem: AltTab kan screenshots maken en verbinden met het internet (om updates te zoeken en evt. ook te installeren). Nu wil het geval dat de app wel 'notarized' is, wat wil zeggen dat de app op een bepaalde manier is gecontroleerd door Apple. Ik vermoed echter dat ze checken of de app wel ondertekend is door een ontwikkelaar die is wie die zegt dat ie is, en dat de app gescand is op bepaalde bekende problemen. Maar of de app ook functioneel veilig te noemen is kun je denk ik nooit zeggen.

Daarom vraag ik me af of je wel echt exact weet wat je downloadt.

Llopigat

Besturingssystemen

@erikieperikie • 7 augustus 2024 21:45

Ik download bijna exclusief software via Homebrew. Dat kunnen CLI tools zijn, zoals Git, of hele applicaties, zoals Google Chrome. Met beide vormen van software zijn er risico's.

Echter omzeilt homebrew sowieso de Gatekeeper functionaliteit

Doordat deze met curl download komt er geen quarantaine flag op de download te staan.

Een concreet voorbeeld van dit probleem was de recente xz achterdeur: Wikipedia: XZ Utils backdoor. Xz is overigens open source en wist toch een achterdeur te verspreiden.

Dit voorkomt gatekeeper ook niet. Die kijkt alleen of de app genotariseerd is door Apple. Dat houdt enkele automatische checks in die dit soort dingen niet pakken, anders was het al veel eerder opgevallen met xz. Het is geen complete app review zoals in de app store gebeurt (en die zullen zoiets ook niet opmerken, heel github heeft het niet gemerkt van die backdoor)

Wat ik zelf altijd doe is gewoon binaries die ik niet vertrouw even door virustotal gooien. Dan heb je gelijk een oordeel van tientallen antivirusprogramma's.

[Reactie gewijzigd door Llopigat op 7 augustus 2024 21:56]

PrimusIP

macOS

@Llopigat • 7 augustus 2024 21:55

Echter omzeilt homebrew sowieso de Gatekeeper functionaliteit Doordat deze met curl download komt er geen quarantaine flag op de download te staan.

Als ik met brew -cask qbittorrent download moet ik nog steeds het draaien via context menu (en ook na elke update wat in feite gewoon een nieuwe install is).

Llopigat

Besturingssystemen

@PrimusIP • 7 augustus 2024 21:57

Oh dan is dat veranderd. Ik heb al 2 jaar geen eigen Mac meer, en op die van mijn werk mag ik sowieso geen homebrew draaien, vandaar.

Toen ik het nog had kon je alles gewoon draaien.

Ik heb zelf ook nog apps genotariseerd omdat ik installers maakte dus ik weet wel hoe het gaat en ik heb er toen eens in gedoken wat er anders ging met homebrew vandaar.

[Reactie gewijzigd door Llopigat op 7 augustus 2024 21:58]

erikieperikie @PrimusIP • 7 augustus 2024 21:57

Dit ja. En elke keer dat ik een cask installeer moet ik de eerste keer bevestigen dat ik hem wil openen, en daar staat netjes waar de installatie vandaan komt (Homebrew dus).

PrimusIP

macOS

@erikieperikie • 8 augustus 2024 11:09

Nog irritanter vind ik Veracrypt via Homebrew. Want die gebruikt een kernel extensie (voor extra filesystems dacht ik, MacFuse?). Na elke "update" moet ik die extensie weer opnieuw activeren in het instellingenmenu en macOS weer herstarten.
Hopelijk dat de aanpassing waar dit artikel over gaat dat wel vlotter doet (iig zonder reboot).

voxl_ @PrimusIP • 8 augustus 2024 09:11

Doe xattr -c ./Qbittorrent.app (of executable)

PrimusIP

macOS

@voxl_ • 8 augustus 2024 11:04

Dank je! Ga ik uitproberen.

jvwou123 @Llopigat • 7 augustus 2024 22:01

Met brew worden applicaties standaard voorzien van quarantaine label. Kun je uitzetten met commando parameter: —no-quanantine (k tik dit uit mij hoofd via mobiel, dus typ fouten kunnen voorkomen

.

Dit artikel gaat niet over de quarantaine melding, maar over: uitgever wordt niet vertrouwd melding. En ik vind dat wel een kwalijke. K ben redelijk pro apple, maar ze moeten daar in cupertino stoppen met overal alle controle op maximaal zetten. Als iets langs apple is geweest, en ze daar door code hebben gegrasduind, en geld hebben gevangen van de developer, dan is het veilig, en anders niet. En de gebruiker moet hoe dan ook beschermd worden tegen vrij gebruik van het apparaat.

Llopigat

Besturingssystemen

@jvwou123 • 7 augustus 2024 22:06

Ah ik heb het opgezocht en dat is inderdaad iets wat brew sindsdien veranderd heeft.

Ik installeerde ook nooit casks (dat is het homebrew gedeelte voor GUI apps) maar alleen CLI apps trouwens. Die hadden nooit validatie nodig.

Maar ik ben zelf allang klaar met Apple ja, om dezelfde redenen. Ik hou er niet van dat iemand anders bepaalt wat ik met mijn spullen mag doen. En bovendien streken sommige GUI keuzes me tegen de haren in, alles werd steeds meer "dumbed down" en iOS achtig. Ik vond macOS geweldig in de tijd van Tiger/Leopard.

En ja ze zouden het gratis moeten maken om te notariseren, vind ik ook. Ze doen er ook niet zo veel voor, het zijn alleen enkele geautomatiseerde checks.

Magic V @erikieperikie • 7 augustus 2024 22:38

Mee eens met alles dat je zegt, maar in de voorbeelden die je hier noemt gaat Gatekeeper je dus ook niet redden.

In je Alt-Tab app zou de security winst te halen zijn met separation of concerns in het ontwerp: een taakswitcher zou zichzelf niet moeten kunnen updaten (dat is de taak van de package manager of de de desktop omgeving waar deze tool onderdeel van uit maakt).

In het voorbeeld van XZ had Gatekeeper ook niet geholpen want het venijn zat hem er juist in dat die library als dependency in veel belangrijke dingen zit die op zichzelf ontwikkeld worden door betrouwbare teams. Volgens mij notarized Apple alleen de bovenliggende app toch?

Gatekeeper maakt zijn naam wat mij betreft helemaal waar. Het maakt het moeilijker voor mensen om software te installeren waarvan Apple niet in een vorm kan verdienen aan de distributie ervan. Wat dit in de praktijk betekend voor security is onduidelijk want voor iedereen die niet zelf kan beoordelen welke software hij wel/niet moet installeren is er al de App store. Gatekeeper functioneert dan vooral als deterrent voor iedereen die het in zijn hoofd haalt om buiten de Apple ecosystem te stappen en zelf een stuk software te downloaden en te installeren.

Gelukkig kun je het (voorlopig) nog uitzetten, maar als ontwikkelaar verlies je meteen een enorm deel van je potentiële userbase als je zoiets noodzakelijk maakt voor het gebruik van je app.

Guru Evi @Oon • 7 augustus 2024 22:04

Veel open source apps zijn ook ondertekend, een deel ervan is dat als iemand een slechte versie publiceert die jij per ongeluk downloadt dat de handtekening kan teruggetrokken worden of aangemerkt in een anti-malware systeem. Ik vertrouw ook wat ik zelf download, maar soms heb je gewoon het probleem dat zelfs "vertrouwbare" sites en repos gehackt worden (of verplaatst zoals onlangs met een reeks npm en node packages of expres door de dev vernietigd) en ik denk niet dat je zelf alle binaries dagelijks hiervoor controleerd dat de binary dan op een kernel level tegengehouden wordt is goed.

Superstoned @Guru Evi • 8 augustus 2024 09:00

Op zich kan ik inderdaad wellevend met Gatekeeper - al is het ondertekenen van apps niet altijd makkelijk. Geautomatiseerd ondertekenen is lastig dus voor daily builds is het nodig om even rechtermuisknop te gebruiken. Dat Apple dit nu lastiger gaat maken verbetert de beveiliging totaal niet, het maakt testen alleen maar lastiger. Echt super irritant.

Guru Evi @Superstoned • 8 augustus 2024 19:41

Je kunt natuurlijk je eigen builds ondertekenen met een self-signed certificaat, zolang het certificaat toegevoegd wordt is dat geen probleem (natuurlijk gaat dit door niemand anders vertrouwd worden). Dat systeem voor devs is gratis en goed beschreven op de sites van oa. Apple.

Ik begin dit nu langzaam aan ook te doen zodat de hele pijplijn van git commit -> binary al werkt, dan moet je de productie pijplijn niet apart verzorgen, gewoon kopietje maken en een ander certificaat gebruiken.

Superstoned @Guru Evi • 13 augustus 2024 17:48

Ach, het kan best. maar het is weer extra werk en weer iets wat kapot kan gaan en onderhoud kost. Maar goed, weinig keuze natuurlijk.

WhatsappHack

Apple
Beveiliging en antivirus

@Hulliee • 7 augustus 2024 23:53

Mja, ik denk dat ze dat teveel gedoe vinden. Want Terminal -> gatekeeper uit -> app installeren -> gatekeeper aan, is toch echt meer moeite dan ff op een prompt in de Instellingen-app te klikken.

Dat laatste is blijkbaar al teveel gevraagd, dus Gatekeeper uit en vervolgens weer aan te zetten zodat je systeem een sterke beveiligingslaag ingeschakeld heeft zal dat hoogstwaarschijnlijk ook zijn.

ruben0107 @Greatsword • 7 augustus 2024 19:34

Je moet hier zeker wel mee oppassen, 9 van de 10 MacOs malware die ik voorbij zie komen komt niet langs Gatekeeper. Als je dus die pop-up uitschakelt heb je geen zicht meer op waar je allemaal toestemming op geeft

MacOs malware is heel erg gericht op het namaken van de pop-up om het programma toegang te geven voor het een of ander. Ze verleiden dus mensen om wel op toestemming te drukken. Maar als tweaker zou je het verschil wel moeten zien.

Een OWASP talk van researchers van ING gaat hier wat dieper op in maar die kan ik helaas niet meer terug vinden

dawg @Greatsword • 7 augustus 2024 19:12

Maar dit is T.net. De gemiddelde persoon moet tegen zichzelf beschermd worden m.b.t. computers. Dat komt natuurlijk door malware en ransomware etc. Dus eigenlijk vind ik dit wel goed van Apple.

Wellicht dat dit ook wel enigszins noodzakelijk wordt als het gaat om eventuele schadevergoedingen, dat het niet iemand zijn (onbedoelde) fout is waardoor criminelen via internetbankieren de rekening leegtrekken. Om maar een voorbeeld te noemen.

n4m3l355 @dawg • 7 augustus 2024 19:58

Hoewel je geen ongelijk hebt mag je je ook wel afvragen of dit niet weer apple is die de eigenaar ligt te traineren. Uiteindelijk diegene die voorheen al via een rechtermuis click niet ondertekende apps gebruikte zijn toch ietwat meer savvy. Voor mij voelt dit dan ook eerder weer een stapje naar gatekeeping in de negatieve zin. Registreer want anders ...

De EU mag van mij wel eens goed kijken we naar wat Apple doet en of dit wenselijk is. Social media apps moeten op voorhand grote wijzigingen in overleg met de Eu doen, waarom ook niet voor OSX/Windows.

dawg @n4m3l355 • 7 augustus 2024 22:33

Ik denk eerder dat Apple eventuele aansprakelijkheid voor wil zijn met dergelijke wijzigingen in de beveiliging. Ik kan me zo voorstellen dat het een kwestie van tijd is alvorens Apple aansprakelijk gesteld wordt voor schade “omdat klant er vanuit ging dat het veilig genoeg was om 3rd party apps buiten de App Store te installeren”, waarna vervolgens gevoelige informatie wordt buitgemaakt omdat het een malafide app betrof, met schade voor de klant tot gevolg.

Dan kan ik me ook nog indenken dat dit wellicht op termijn zelfs afgedwongen gaat worden door druk van banken en verzekeringsmaatschappijen.

Ransomware vormt een steeds groter probleem natuurlijk.

laptopleon @n4m3l355 • 7 augustus 2024 23:22

Wat betreft traineren… Ik heb de indruk dat de pakweg 95% niet-tweaker-Macgebruikers zelden of nooit iets buiten de Mac App Store om installeren.

Het aanbod binnen de Mac App Store is enorm en ook het aanbod in web-applicaties is groter dan ooit. Ooit kon je alleen kleine bestanden en simpele online doen zonder zelf een app te installeren maar al jaren zijn complexe take zoals Photoshop-achtige web-apps doodnormaal. Waardoor je voor die ene keer iets afwijkends doen niet per se een nieuwe app hoeft te installeren.

CivLord

@n4m3l355 • 8 augustus 2024 11:18

Ik denk dat het marktaandeel van macOS op de desktopmarkt te klein is voor de EU om er iets van te vinden.

manuarmata @dawg • 7 augustus 2024 19:38

de gemiddelde persoon is weerbaarder dan je denkt. Dit is een stap om mac-OS, heel langzaam volledig dicht te timmeren. Tot je eindigt met IOS + desktopomgeving. met de hardware zijn ze al rond dus nu is het OS aan de beurt.

OkselFris @manuarmata • 7 augustus 2024 20:12

De kunst van overdrijven, 10 jaar geleden riep men dat ook al.
Dit is gewoon een goede beveiligingsmaatregel, waar je nog steeds omheen kan. Ik kan die opmerkingen van dicht timmeren niet helemaal plaatsen.

BugBoy @OkselFris • 7 augustus 2024 22:22

Apple heeft gewoon de schijn tegen, want iOS is ook helemaal dichtgetimmerd en met de hardware is het al niet anders. Maar een Mac met MacOS is nog steeds prima te gebruiken voor ontwikkelwerk en voor thuisgebruik is het ook dikke prima. Het is een prima middenweg tussen een hardcore Linux systeem en een bruikbare desktop. Daarbij draaien ook alle gangbare applicaties prima op MacOS en dat is bij Linux nog wel eens een dingetje.

Ik werk (professioneel) op een Windows laptop waar 3 schermen aan hangen, maar ik zit 99% van de tijd in de WSL2 container te werken. Die ene procent is voor zaken als Adobe producten en wat andere niche zaken die niet zo lekker gaan op Linux. Een Mac zou dat ook allemaal kunnen, maar ik vind de hardware gewoon 3x niks. Een flink aantal schermen aansluiten op een MacBook is echt een issue en als er ook maar iets kapot gaat dan ben je dagen je laptop kwijt en wordt er van alles en nog wat vervangen.

Daarom voor het werk een non-Apple systeem en voor op de bank (en in de woonkamer) een MBP. Voor mij de ideale combi...

ShadLink @BugBoy • 8 augustus 2024 01:02

Als Apple MacOS in iOS had willen veranderen dan hadden ze dat allang gedaan. Het enige wat Apple nu doet is de beveiliging op niet ondertekende applicaties te verhogen. Iets wat eigenlijk best laks was onder vorige versies van macOS. Je bent natuurlijk zelf de beheerder, maar als jij een stuk malware installeert (per ongeluk) en zo een heel netwerk platlegt of nog erger je mac in een botnet krijgt. Dan is de kans groot dat je Apple daar de schuld van gaat geven. Dus ze moeten wel.

Je kan nog steeds elke software draaien die je wil Maar je moet nu een serieuze overweging maken en acties ondernemen om dat te regelen. Zodat je duidelijk zélf even bij de gevaren gaat stilstaan.

Windows doet trouwens al JAREN exact hetzelfde. Daar krijg je meerdere waarschuwingsschermen als je een applicatie durft te starten die niet digitaal ondertekent is en door het Smartfilter gescand is als je geen EV Code signing hebt (ongeveer 500 euro per jaar), een "gewoon code signing" certificaat (300 euro per jaar) + goede reputatie werkt dan ook. Helemaal geen code signing? Nou dan moet je 5-10 keer klikken om een applicatie te mogen installeren.

Apple code signing + notarisatie op elk Apple platform? 100 euro / jaar.

[Reactie gewijzigd door ShadLink op 8 augustus 2024 01:08]

CivLord

@ShadLink • 8 augustus 2024 11:16

Windows doet trouwens al JAREN exact hetzelfde. Daar krijg je meerdere waarschuwingsschermen als je een applicatie durft te starten die niet digitaal ondertekent is en door het Smartfilter gescand is als je geen EV Code signing hebt (ongeveer 500 euro per jaar), een "gewoon code signing" certificaat (300 euro per jaar) + goede reputatie werkt dan ook. Helemaal geen code signing? Nou dan moet je 5-10 keer klikken om een applicatie te mogen installeren.

Vreemd dat ik dat niet herken.
Wanneer je een onbekend programma wilt downloaden, moet je soms een waarschuwing wegklikken en nog een keer een bevestiging geven. Bij installeren kan je dan hetzelfde krijgen. Dat zijn schermmeldingen en geen verwijzingen naar het instellingenscherm, dus al zou het 10 keer klikken zijn, dan is het nog steeds sneller dan naar het instellingenscherm gaan om daar iets aan of uit te klikken en weer terug te gaan.
Op één van de schermpjes die je in Windows krijgt, kan je ook aanvinken dat het een vertrouwde bron/ softwaremaker is, waardoor je een dergelijke melding enkel krijgt wanneer je een van de eersten bent die het programma downloadt/ installeert. Er zijn bepaalde programma's waarvan ik steevast zo'n melding krijg wanneer ik bv. op de Tweakers.net frontpage zie dat er een nieuwe versie is en deze meteen installeer, maar niet wanneer ik dat pas na een paar dagen doe.

jpsch @manuarmata • 7 augustus 2024 20:04

Dan wordt 't een dure Chrome OS machine.

TheVivaldi @jpsch • 7 augustus 2024 20:07

In welke zin is Chrome OS dan dichtgetimmerd? Want je kunt gewoon Linuxapps installeren en zelfs Androidapps. En dat allemaal buiten Google's sandbox om, die je trouwens ook kunt uitschakelen.

skatebiker @dawg • 8 augustus 2024 15:29

Inderdaad.
Maar ik vind het nog steeds raar dat je wel (terecht) allerlei permissies moet geven voor camera, screen recording, folder access, maar niet voor internet toegang.
Veel applicaties hebben vaak geen internet toegang nodig, hooguit voor een update. En dan bedoel ik internet, niet alleen het lokale netwerk, zoals file sharing utils.
De vanzelfsprekendheid dat iedere app met internet verbindt is eenmaal het grootste risico. Als er wel een prompt zou zijn (wat Lulu nu al doet) dan zal een malware app meteen prompten met de vraag of die wil verbinden met internet.
En daarom heb ik Lulu firewall op mijn Mac die per app internet toegang geeft of niet. Net als bijv. Netguard op Android.

mfransen @Greatsword • 7 augustus 2024 19:27

Ik zit op beta 5 en bij het uitvoeren krijg ik dit:
sudo spctl --master-disable
Password:
This operation is no longer supported. To disable the assessment subsystem, please use configuration profiles.

Greatsword

macOS
Laptops

@mfransen • 7 augustus 2024 19:41

Uhmm, ik zit nog op Beta 1 en toen werkte het wel.

Ik lees hier inderdaad dat ze wat aanpassingen hebben gedaan en een andere manier.
Ben benieuwd hoe het zit bij de Officiële Release.

https://www.insanelymac.c.../page/37/#comment-2822570

Voorlopig alternatief
https://www.reddit.com/r/...macos_sequoia_beta_3_has/

[Reactie gewijzigd door Greatsword op 7 augustus 2024 19:52]

Guru Evi @mfransen • 7 augustus 2024 22:06

Dit schakelt het hele anti-malware systeem uit, dat is volstrekt niet hoe je de selectieve setting inschakelt. Ik denk dat je eerder naar een "defaults write" aan het zoeken bent.

En inderdaad met config profiles kun je het hele systeem alsnog uitzetten, het is nog steeds een 'slechte zaak' om dit te doen (gelijk met Windows laten lopen (zonder antivirus)).

[Reactie gewijzigd door Guru Evi op 7 augustus 2024 22:08]

rubenvb @Guru Evi • 8 augustus 2024 13:39

Windows laten lopen zonder antivirus wordt ook al enorm moeilijk gemaakt aangezien Defender zichzelf gewoon inschakelt als je niets anders hebt geïnstalleerd...

slijkie @Greatsword • 7 augustus 2024 19:18

De tandjes, dat ik hier niet eerder naar gezocht heb. Niet in mij opgekomen.

Bedankt.

supersnathan94

Apple
Laptops

@Greatsword • 7 augustus 2024 20:26

Het gaat ook niet zozeer om “andere bronnen”, maar om ongesigneerde apps. Dat vind ik zelf nogal een verschil. Signed apps van bijvoorbeeld MS of intelliJ werken namelijk prima en hoef je geen speciale handelingen voor uit te voeren.

voxl_ @Greatsword • 8 augustus 2024 09:09

Ik doe:

xattr -c ./<Iets.app of executable>

Dan doe je het slechts voor een enkele app/executable in plaats van dat je een heel beveiligingssysteem uit zet.

hcQd @Greatsword • 7 augustus 2024 19:02

Apple gaat vast een efuse doorbranden als je dat doet, en dan moeilijk doen met garantie

SterkeYerke @Greatsword • 7 augustus 2024 19:05

Dank! Iedere keer dat ik zo’n app wil openen vind ik weer dat ik op moet zoeken hoe je die beveiliging uitzet, maar ik heb het nog nooit gedaan.

fenrirs @Greatsword • 7 augustus 2024 19:18

Precies, dit is helaas een groot struikelblok bij PhD ware en andere door hobbyisten geschreven (soms brijante) code

fenrirs @Greatsword • 7 augustus 2024 19:26

Nu kan dat nog, straks wellicht niet meer.

InsanelyHack @Greatsword • 7 augustus 2024 20:25

Moest je daar niet voor in safe mode booten? Je past dan wel het niveau van de beveiliging aan. Vooral als je in safe mode de boel moet uitzetten en aanzetten dan wordt het aanzetten vaak vergeten.

[Reactie gewijzigd door InsanelyHack op 8 augustus 2024 00:04]

PrimusIP

macOS

@Greatsword • 7 augustus 2024 21:40

Dat zou een handige work around zijn, ik kijk wel wat sneller werkt. Je zou er een shell scriptje wellicht van kunnen maken met een vertraging van een paar minuten op de “enable”.

joostiphone @Greatsword • 8 augustus 2024 07:36

Als ik dit doe op Sequoia 15.1 krijg ik dit:

This operation is no longer supported. To disable the assessment subsystem, please use configuration profiles.

Gaat dus niet meer op.

obimk1 @Greatsword • 8 augustus 2024 16:35

Als Mac gebruiker, 1995, haat ik dit feature.

Het is extra beveiliging die met een speciaal sudo commando kan worden gegeven.

Ik ben van mening nieuwe features => het bijhorende sudo commando.

Extreamspeed @Greatsword • 8 augustus 2024 17:17

Hulde!

Extreamspeed @Greatsword • 8 augustus 2024 17:18

Stx for de tip

ro8in @Greatsword • 8 augustus 2024 18:28

Als ik eerlijk ben tis een beetje irritant, maar ik laat het lekker aan staan. Ik installeer zelf niet elke dag software. Kan me voorstellen als je dit dagelijks doet dat het dan wel handig is dat er nog een mogelijkheid is om het uit te zetten. Maar zelf die ene keer dat ik ooit in deze situatie kom is het echt niet de moeite waard om het maar continu uit te hebben staan. Vind het wel fijn dat hun beetje voor mij bijhouden welke software ik gewoon veilig kan instaleren en welke niet.

Bockelaar 7 augustus 2024 18:58

apple mikt dus blijkbaar niet op developers die een app willen ontwikkelen maar wil eigenlijk alleen het eindproduct zien, daar pakken ze dan weer 30% op, niet op de dev/test/ota stappen natuurlijk

Adion

@Bockelaar • 7 augustus 2024 19:36

Een ondertekende en genotarizeerde app kan je nog steeds zonder problemen buiten de appstore om verspreiden.
Verder heeft de appstore zelf overigens ook prima mogelijkheden om verschillende beta- en testgroepen aan te maken.

Llopigat

Besturingssystemen

@Adion • 7 augustus 2024 21:49

Dat is waar maar je moet dan wel een dev account hebben om te kunnen notariseren.

En soms worden ze om vage redenen afgewezen. Ik heb dat ook wel eens gehad, en toen vervolgens de binary base64 ge-encode, die toen met een script in de installer terug laten converteren en installeren. Toen kwam hij er wel doorheen

. Dus echt veel interessants houden die checks ook niet in.

PS: Het ging trouwens om een app die alleen voor onze eigen bedrijfscomputers bedoeld was. Op Windows kunnen we die gewoon signen met onze eigen PKI en hebben geen enkele interactie met Microsoft nodig. Dat zou op Mac ook moeten kunnen.

[Reactie gewijzigd door Llopigat op 7 augustus 2024 22:18]

xoniq @Bockelaar • 7 augustus 2024 19:26

Omdat? Een extra drempel. Context menu en dan open is te makkelijk. Gebruikers moeten tegen zichzelf worden beschermd.

joyrider3774 7 augustus 2024 19:17

is dat notarization and signing gedoe niet betalend ? Los daarvan ze maken ook nog onderscheid tussen apps die gecompileerd zijn op een mac en apps die dat niet zijn ivm hun security. Ik heb een paar open source spelletjes enzo voor mac ook gebuild en das gewoon miserie. gelukkig heeft github ondertussen mac os runners kun je tenminste de apps al builden op een mac, maar ik ben niet van zin geld te geven (aan een developper account) gewoon om apps te kunnen laten signen of notarizen.

crazyboy01 @joyrider3774 • 7 augustus 2024 20:18

Wow, dat van die MacOS runners wist ik niet en is wel waardevolle info. Ik heb een Macbook maar het is best irritant om die er altijd voor bepaalde acties bij te moeten pakken. Dat gezegd hebbende...

Het was nu inderdaad als niet officiële developer best goed te doen om apps te releasen met een kleine uitleg over de mogelijkheid van rechtermuisknop > open en dan toestaan. Als je goede intenties had maar slechts een kleine developer was lag de drempel voor developer én eindgebruikers daarmee laag, wat het uitnodigend maakt om MacOS niet links te laten liggen bij je ontwikkeling.

Maar, daar zit ook een andere kant aan. Het was op deze manier ook heel makkelijk om mensen die 'maar wat doen' die kleine actie uit te laten voeren als het wel iets als malware betrof. Want dat is er ook gewoon voor MacOS. En in die gevallen is echt wel heel fijn dat je wat bewustere stappen uit moet voeren voor een app geopend kan worden. Het is niet alsof de mogelijkheid tot openen volledig geblokkeerd wordt en zeker met privé projecten krijg je dit aan je kring ook nog wel uitgelegd.

i7x 7 augustus 2024 20:28

Ik zou best graag meer Apps uit de store downloaden, maar het is jammer dat Apple zo gierig doet en je als ontwikkelaar elk jaar mag betalen, zelfs voor gratis apps. Tja, dan maar van internet vissen, maar dan heb je dus wel altijd te maken met het geven van dit soort toestemming. Als Apple de store wil promoten zou het ze sieren gewoon die fee te laten zitten bij gratis apps, en op de rest gewoon hun percentage te pakken. Dan was het vast en zeker niet zo’n treurig “wasteland” geweest als dat de store nu is. Kunt er soms niet eens software van Apple zelf op vinden…

dimdek @i7x • 8 augustus 2024 18:36

Ik vind het achterlijk dat je een Apple ID moet hebben om gratis apps uit hun app store te downloaden. Ik heb betaald voor hun OS en ze weten dat ik een legitiem gebruiker ben omdat het op hun hardware draait. Waarom dan een registratie? Ik kan niets anders bedenken dan dat Apple gebruikers wil volgen, controleren en uitbuiten. Door te zorgen dat software eerst moeilijk en straks ook helemaal niet meer zonder Store en account kan worden gebruikt kunnen wij de hardware van Apple kopen en kan Apple bepalen wat ermee wordt gedaan. Als het zover komt installeer ik Linux op de Apples zolang ze nog werken.

Travelan 7 augustus 2024 20:28

Ben macOS gebruiker vanaf de eerste dag (zelfs van toen het oorspronkelijk macOS heette), maar nu ben ik er klaar mee. Het is *mijn* apparaat, daar heb ik een hoop geld voor betaald. Dan hoeft Apple niet voor mij te gaan bepalen wat ik er wel of niet op ga draaien. Achterlijk dit.

Commendatore

@Travelan • 7 augustus 2024 20:55

Dat kun je nog steeds. Het gaat alleen om een paar kliks extra.

gedonie @Commendatore • 7 augustus 2024 21:02

En waarom die paar klikken extra. Juist omdat apple het zo gebruikersonvriendelijk als mogelijk wilt maken. Om zo de makers van de apps af te straffen dat ze Apple geen geld en volledige controle willen geven.

Hoe is dit in hemelsnaam goed voor de consument.

WhatsappHack

Apple
Beveiliging en antivirus

@gedonie • 7 augustus 2024 21:29

Je kan ook overdrijven natuurlijk. Hoe vaak installeer je een ongesigneerde app? Dat gebeurt bij 99% van de gebruikers, inclusief powerusers, bijna nooit; een paar keer per jaar is al heel veel. De meeste devs ondertekenen netjes hun app en daarmee is het klaar. Onderteken je het niet, dan moet de gebruiker eenmalig in de privacyinstellingen op akkoord klikken. Nou woopdif-ingdoo, als je daarmee een hoop malwareinfecties voorkomt: prima. Oplichters kunnen nu niet meer aan de telefoon zeggen: hou ff control ingedrukt. Dat was het enige dat nodig was. Dat wordt nu iets moeilijker gemaakt. Jeetje wat een ramp.

gedonie @WhatsappHack • 8 augustus 2024 03:39

Het bericht praat niet over installeren maar openen. Bij openen zou het gaan over iedere keer dat je iets opstart. Dat is nogal een verschil met eenmalig tijdens installeren. Dus welke is het nu, zoals jij zegt eenmalig tijdens installeren of iedere keer bij het openen van de applicatie?

Banix @gedonie • 8 augustus 2024 06:05

Installeren.

triflip @WhatsappHack • 7 augustus 2024 21:45

Elke serieuze dev signed zijn apps, zelfs de wat serieuzere hobbyisten.

Een unsigned app is gewoon een risico, ook als deze open source. Het is alleen veilig als je de code hebt doorgenomen en zelf gecompileerd hebt en eventueel zelf gesigned.

Het is dan ook een zeer valide beveiligingsmaatregel. Ben je het er niet mee eens dan zet je gatekeeper gewoon uit en wordt je vanzelf onderdeel van een botnet. Ben het ook volledig met je eens en snap het geklaag hier niet. Blijkbaar geven “tweakers” niets on security.

[Reactie gewijzigd door triflip op 7 augustus 2024 21:47]

PrimusIP

macOS

@gedonie • 7 augustus 2024 22:38

Of, Apple wil gewoon voorkomen dat gebruikers geen malware en virussen installeren. En dan is het wel fijn dus dat als je iets installeert dat je er vanuit kunt gaan dat het veilig is. En gelukkig kan je het dan nog steeds forceren. Maar dat rechtermuisknop verhaal is dan net te gemakkelijk blijkbaar . Ik vind het wel prima dat ze bescherming inbouwen maar ook een “override” geven. Ben ik blij met deze laatste stap? Dat niet echt. De override mag wel iets minder omslachtig. Maar tegelijk kan ik me er ook niet heel druk om maken. Liever dat ze me gewoon in dat instellingen menu me een opt in geven dat de rechtermuisknop optie weer werkt tot ik die weer uit zet ofzo. En vraag me elke keer dan bij die rechtermuisknop weg me gewoon een wachtwoord.

iAR @gedonie • 9 augustus 2024 09:31

*wil

Gebruiksonvriendelijk? Geen volledige controle? Begrijp je serieus niet dat Apple haar platform graag vrij wil houden van malware en andere malavide apps?
De meeste apps kun je gewoon installeren. Het is echt een handvol apps die hiervan problemen ondervinden. Die zien de grootste groep gebruikers niet eens.

En je kunt er nog steeds omheen!

Travelan @Commendatore • 7 augustus 2024 21:29

Waarom zou ik? Ze maken het me steeds moeilijker. Het is wel duidelijk dat Apple het niet met mee eens is wie de beheerder is van het apparaat. Iets met glijdende schaal. Het is toch van de zotte dat een developer verplicht de Apple-tax moet betalen om een programmaatje te kunnen draaien op een laptop van iemand?

triflip @Travelan • 7 augustus 2024 21:49

Welke Apple tax, gewoon een code signing certificate aanvragen en je ontwikkelde apps signen zoals elke ook maar enigzins serieuze ontwikkelaar doet. Hiervoor hoef je Apple niet te betalen.

Ontwikkelaars die hun apps niet signen zijn of krenten of niet serieus te nemen.

Travelan @triflip • 7 augustus 2024 22:00

Elk jaar moet een dev dus betalen om een appje te mogen laten starten op een computer? Voor bedrijven snap ik dat, maar ook de open source hobbyist?

WhatsappHack

Apple
Beveiliging en antivirus

@Travelan • 7 augustus 2024 23:48

Nee, apps kunnen ook gedraaid worden zonder je applicatie te ondertekenen; het gebruik van een ccs is niet verplicht; zowel op Windows als MacOS niet en daar hoef je dus niet voor te betalen als je dat echt niet wil. Dan krijgt de gebruiker alleen wel een waarschuwing te zien dat de ontwikkelaar onbekend is (geen signatuur) en de DMG eveneens niet gesigneerd is. (En dan is er dus ook geen integriteitscontrole mogelijk.) De gebruiker moet expliciet aangeven toch door te willen gaan. Voorheen was dat control + klik -> Open. Nu is het "Instellingen -> Beveiliging & Privacy -> Keur installatie van <unsigned app X> goed.".

Overigens, op Windows was dit al lastiger, MacOS was er nogal mild in met enkel die control-knop ingedrukt houden om door te gaan. Nu wil ik niet zeggen dat Microsoft een goed voorbeeld was in deze casus, maar dat ze iets meer deden dan Apple was wel een goed plan. (De uitvoering not so much.) Je kan echter nog steeds prima unsigned apps draaien op je Mac, maar het is simpelweg vanaf nu niet meer zo makkelijk als "gewoon ff control ingedrukt houden mevrouw, dan verdwijnt deze vervelende foutmelding en kan ik ervoor zorgen dat u meteen in kunt loggen in uw bankieren app".

Mijn ervaring met de opensource hobbyist is dat die over het algemeen hun applicaties netjes signeren.

Travelan @WhatsappHack • 8 augustus 2024 07:34

Dat het technisch kan is prima, maar dat Apple het moedwillig moeilijker en moeilijker maakt is het probleem. Totaal gebrek aan respect voor de eindgebruiker en developer.

PrimusIP

macOS

@Travelan • 8 augustus 2024 11:47

Het "moeilijker maken" is al van tijden. Voor Linux en macOS moet je ook voor bepaalde handelingen Sudo gebruiken, voor Windows met Admin rechten. Beide Windows als MacOS moet je iets aanvinken om dingen buiten de Store te kunnen downloaden. Als je een "gewone" gebruiker bent kun van alles aan rechten ontnomen worden door de beheerder. Met browsers en firewalls staan ze je niet toe om op bepaalde websites te komen omdat certificering niet op orde is, etc. etc. etc.
Dit van Apple is er weer eentje. Iets wat veel te makkelijk te doen was door op een paar sneltoetsen te rammen of in een simpel menu'tje te klikken. Apple had had het zelfs nog moeilijker kunnen maken, want sommige OS functionaliteit moet je vanuit de CLI uitvoeren.
Het is juist meedenken met een gewone eindgebruiker (ook al zou ik zelf persoonlijk liever wel die mogelijkheid van rechts klikken willen houden). Ik zou het pas echt een ander verhaal vinden als Apple het compleet onmogelijk zou maken. Dat zou een dealbreaker voor me kunnen zijn.

WhatsappHack

Apple
Beveiliging en antivirus

@Travelan • 8 augustus 2024 10:26

Nee dat is echt totaal geen probleem, maar juist een gewenste aanscherping van de beveiligingsmaatregelen die op deze manier beter gebalanceerd is dan de huidige maatregel. Heeft niets met respect te maken voor eindgebruiker noch developers.

maevian @triflip • 8 augustus 2024 08:58

Bij mijn weten doet Windows ook heel moeilijk als je apps niet signed zijn.
Ik sign zelf de powershell scriptjes die ik push via intune ( dan wel met een cert van onze eigen CA, maar ik vermoed dat dit bij Apple ook wel mogelijk is).

iAR @Travelan • 9 augustus 2024 09:29

Beetje frappante reactie. Apple bepaalt toch wel meer? Je kunt ook niet vliegen met je Mac. Of Windows bepaalt toch ook dat je bepaalde services niet uit kunt zetten.
Je moet wat meer moeite doen. Maar voor de meerderheid van de gebruikers is dit een prima, veilige, oplossing.

Travelan @iAR • 9 augustus 2024 22:10

Dit is Tweakers, dit is niet de “meerderheid van de gebruikers”. Het is ook niet uit te zetten zonder echt rare fratsen uit te halen (zie andere reacties).

iAR @Travelan • 10 augustus 2024 10:53

Wat is je punt?

Tweakers, hebben het misschien nodig, zijn niet vies van een terminal commando.
Gewone gebruikers, hebben het niet echt nodig, punt,

[Reactie gewijzigd door iAR op 10 augustus 2024 10:53]

Travelan @iAR • 10 augustus 2024 23:17

Welk terminal commando dan? Want ook die zijn geblokkeerd nu…

sigmundfreund 7 augustus 2024 18:55

Ironisch genoeg zal de installatie van ASU (tool om stappen te voltooien bij reparaties van iPhones en Macs) dus niet lukken als je die nu opnieuw moet installeren. Ben benieuwd hoe de reparatiecentra dat nu moeten oplossen.

@The Zep Man valide punt aangekaart, ik heb er overheen gelezen.

[Reactie gewijzigd door sigmundfreund op 7 augustus 2024 19:27]

The Zep Man

Beveiliging en antivirus
Besturingssystemen

@sigmundfreund • 7 augustus 2024 19:05

Gebruikers die dergelijke apps willen starten, moeten eerst een melding in het instellingenmenu bekijken.

Waarom zou dat niet lukken?

Neocortex-re 7 augustus 2024 23:50

Als je even zoekt... een non profit legal entity, simpel gezegd een vereniging of een stichting, komt in aanmerking voor gratis deelname aan het apple developer program.

Als open source echt wat voorstelt dan is het slim om daar organisatorisch wat voor in te richten. Alleen de eenzame ridder valt dan nog eventueel tussen de wal en het schip.

mkooiman @Neocortex-re • 8 augustus 2024 10:53

Je sluit hiermee ook gewoon nieuwe opensource software uit, een hoop (open source) software wordt in eerste instantie door een enkeling geschreven, pas wanneer meer mensen de meerwaarde van het project zien kan zo'n project en de organisatie er omheen een beetje te groeien.

Huidige projecten en opensource organisaties kunnen misschien aanspraak doen op deze regeling, maar voor een enkeling die een tooltje maakt om een probleem op te lossen kan dit gewoon een barrière vormen.

Overigens vraag ik mij af of de EU hier geen probleem in gaat zien, uiteindelijk zouden ze dit kunnen zien als een overtreding van de anti-trust regelgeving.

- peter -

7 augustus 2024 18:46

HDMI-passage? Passthrough lijkt me toch een betere en vooral gangbare term.

Auteur

JayStout @- peter - • 7 augustus 2024 18:46

Aangepast! Bedankt!

PrimusIP

macOS

7 augustus 2024 21:34

Ik schrok toen ik de titel las, maar het valt gelukkig mee. Gewoon een paar extra clicks. (Of je moet de hele bescherming uitzetten, dan nul clicks, maar dat gaat me wat ver. Had ik wel gedaan trouwens als ze het helemaal onmogelijk hadden gemaakt).

Neus 8 augustus 2024 10:20

Ctrl-toets inhouden en dan 'Open' kan dus ook niet meer ?

TheVivaldi @Neus • 8 augustus 2024 17:06

Nee.

Op dit item kan niet meer gereageerd worden.

MacOS Sequoia kan niet-ondertekende apps niet meer openen via rechtermuisknop

Lees meer

Reacties (92)

Sorteer op:

Weergave: