Saya dapat mengunduh aplikasi dari situs web khusus, dan menjalankannya, bahkan ketika pengaturan gatekeeper saya ada di "AppStore Only". Ini aplikasi saya - bahkan belum masuk.
Apa yang bisa menjadi alasan untuk itu? Saya dapat mereproduksi perilaku ini di semua 3 mac saya.
macos
gatekeeper
JasonGenX
sumber
sumber
Jawaban:
Ini adalah fitur status-oleh-desain di mana pengguna admin selalu dapat mengalahkan Gatekeeper dan membuka Aplikasi dengan mengklik kanan aplikasi di Finder.
Pengguna admin juga dapat mengubah pengaturan Gatekeeper atau menonaktifkannya sepenuhnya, sehingga tidak ada kerugian yang nyata (setidaknya di mata saya) dalam menyajikan dialog daftar putih satu kali untuk memastikan pengguna admin berniat untuk menjalankan aplikasi yang tidak patuh (non-menandatangani atau non-Mac App Store) untuk dijalankan.
Sekarang jika Anda menemukan cara bagi pengguna non-admin untuk mem-bypass Gatekeeper, maka saya berharap mengajukan kerentanan keamanan dengan Apple untuk mendapatkan kredit karena menemukan lubang setelah mereka menambal kesalahan implementasi apa pun yang dibuat untuk memungkinkan aplikasi kebijakan berjalan.
Apple mendokumentasikan fitur ini secara mendalam tentang cara membuat daftar putih aplikasi secara eksplisit.
Gatekeeper bukan perlindungan malware dan bukan daftar hitam. Ini adalah serangkaian kebijakan yang memungkinkan peluncuran pertama aplikasi yang ditandatangani dengan benar dan atau validasi tanda terima toko Mac App. Jika pengguna admin secara eksplisit meluncurkan dan kemudian menyetujui jalannya perangkat lunak yang tidak patuh, Anda memiliki masalah pendidikan atau kebijakan sebagai lawan untuk mengungkap beberapa kekurangan di Gatekeeper.
Secara terperinci, saya telah merangkum (dan sebagian besar menyalin) bagian yang relevan dari bantuan Apple pada daftar putih setiap Aplikasi sehingga Gatekeeper akan memungkinkannya berjalan tanpa hambatan dan tanpa hambatan:
Anda dapat dengan mudah mengontrol siapa saja yang dapat mendaftar Aplikasi dengan tidak membagikan nama pengguna dan kata sandi Administrator kepada pengguna yang tidak mengetahui fungsi ini dan Anda juga dapat mengelola penjaga gerbang dari terminal atau manajer profil dan perangkat lunak pengaturan yang dikelola lainnya seperti Casper dari JAMF. Anda juga dapat mengaudit mesin Anda untuk perangkat lunak yang telah terdaftar putih untuk secara berkala mengatur ulang daftar aplikasi yang diizinkan dan menentukan siapa yang menjalankan fungsi ini jika Anda ingin mengubah kebijakan dan kebiasaan.
sumber
spctl
begituspctl --assess -v /Applications/Whatever.app
akan menunjukkan kepada Anda jika diizinkan atau ditolak danspctl --remove /Applications/Whatever.app
akan mengatur ulang "dialog" dan status untuk aplikasi tertentu. Saya menggunakan alat untuk mengumpulkan semua aplikasi pada sistem sehingga saya bisa mengaudit penggunaan dan memperbaiki hal-hal bila diperlukan dengan skrip pendek.Mengunduh file melalui SMB akan tidak memicu karantina, dan karena aplikasi tidak dikarantina, kebijakan penjaga gerbang tidak pernah diperiksa. Saya tidak yakin mengapa itu ditandai sebagai dikarantina di komputer Anda yang lain ...
Untuk memeriksa karantina di setiap titik, gunakan
ls -ld@
perintah untuk mencari atribut com.apple.quarantine:Jika atribut karantina itu melekat pada aplikasi, kebijakan penjaga gerbang akan diperiksa; jika tidak, itu tidak akan terjadi. Pertanyaan yang menarik adalah mengapa ia dikarantina di komputer Anda yang lain, dan jika Anda menggunakan perintah ini untuk memeriksa aplikasi di berbagai titik saat Anda mendistribusikannya, Anda dapat mengetahui kapan atribut tersebut dilampirkan (dan karenanya Mengapa sudah terpasang).
EDIT: Ada catatan yang berkaitan dengan ini di bagian "Klik di sini untuk detail lebih lanjut" Artikel KB Apple # HT5290 :
sumber
xattr -d com.apple.quarantine
di atasnya Anda dapat membukanya bahkan jika itu melanggar kebijakan penjaga gerbang.Jika Anda telah mengaktifkan preferensi tersembunyi ini, itu juga menonaktifkan Gatekeeper:
Atau OS X memungkinkan membuka semua aplikasi terlepas dari pengaturan di System Preferences.
sumber
Gatekeeper mencegah aplikasi dijalankan dengan mengklik dua kali, tetapi Anda selalu dapat menimpanya dengan memilih Buka dari menu konteks.
Jika Anda dapat menjalankan aplikasi yang tidak ditandatangani yang diunduh dengan mengklik dua kali, ini merupakan masalah dengan Gatekeeper. File menyimpan status karantina mereka di sebuah atribut yang diperluas bernama com.apple.quarantine . Jika atribut ini dihapus karena beberapa alasan dari file yang Anda unduh, Gatekeeper akan memperlakukan file yang diunduh sebagai tidak berbeda dari file lain di komputer Anda. Jadi saya sarankan mengunduh program dan menggunakannya
xattr -l filename
di Terminal akan menjadi alat diagnostik yang baik jika Anda memiliki Xcode diinstal.Jika Anda menjalankannya melalui perintah Open dari menu, ini adalah perilaku yang dirancang. Perhatikan bahwa setelah Anda menjalankan program dari menu, itu selamanya diaktifkan untuk dijalankan dengan mengklik dua kali, terlepas dari pengaturan Gatekeeper Anda.
sumber