Estoy usando un MacBook con la última actualización de Yosemite y necesito instalar una herramienta de un sitio web de terceros. (no de la tienda de aplicaciones de Mac)
Soy nuevo en Mac OS X, ¿la herramienta puede acceder a mis archivos después de que la instalé?
Leí que las aplicaciones están aisladas, pero ¿eso significa que los virus, los keyloggers y esas cosas no pueden dañar el MacBook?
Sí, la herramienta puede acceder a sus archivos después de instalarlos y ejecutarlos.
Es correcto que el sandboxing es una técnica para limitar el acceso de una aplicación a los archivos y otros recursos para contener los efectos de los virus, etc. Sin embargo, solo las aplicaciones de la App Store son sandboxes de forma predeterminada. Las aplicaciones descargadas de terceros normalmente no están en un espacio aislado.
Sin embargo, puede crear su propio sandbox para una aplicación de terceros usando exactamente el mismo sandbox, llamado SeatBelt, que se usa para las aplicaciones de la App Store. Sin embargo, no es tan fácil definir un "buen" perfil de recinto de seguridad que permita solo lo que quiere que la aplicación acceda y no permite el resto.
En general, puede ejecutar su aplicación en un espacio aislado de esta manera desde Terminal.app:
sandbox-exec -f definition.sb /Applications/MyApp.app/Contents/MacOS/MyApp
aquí definition.sb debe reemplazarse con el nombre de un archivo de definición de sandbox, que ha creado para la aplicación. Obviamente, MyApp.app debe reemplazarse con el nombre de la aplicación que estás tratando de proteger.
Puede inspeccionar las definiciones de sandbox predeterminadas del sistema en / usr / share / sandbox para inspirarse. También puede encontrar definiciones creadas por la comunidad para aplicaciones populares como Skype y Firefox, por ejemplo, descargue desde aquí:
También puede echar un vistazo a la documentación orientada al desarrollador que Apple proporciona para su caja de arena de SeatBelt:
También aquí hay un enlace a una publicación de blog / tutorial sobre cómo crear definiciones simples pero poderosas:
Su ejemplo muestra cómo permitir la lectura o ciertas carpetas, pero no otras - y similares, denegando a una aplicación el derecho a escribir en archivos y carpetas específicos.
Un simple archivo de definición de sandbox podría tener este aspecto:
(version 1)
(allow default)
(deny network*)
Cuando ejecute su aplicación con sandbox-exec usando ese archivo .sb, su aplicación se ejecutará sin acceso a la red.