GateKeeper me permite instalar cualquier cosa, no se realizan comprobaciones

9

Puedo descargar aplicaciones de sitios web personalizados y ejecutarlas, incluso cuando la configuración de mi controlador de acceso se encuentra en "Solo AppStore". Esta es mi aplicación, ni siquiera está firmada.

¿Cuál podría ser la razón para eso? Puedo reproducir este comportamiento en todos mis 3 macs.

    
pregunta JasonGenX 22.03.2013 - 19:36

4 respuestas

7

Esta es una función de estado por diseño donde un usuario administrador siempre puede anular Gatekeeper y abrir una aplicación haciendo clic derecho en la aplicación en el Finder.

Un usuario administrador también puede cambiar la configuración de Gatekeeper o deshabilitarla por completo, por lo que no hay ningún daño real (al menos en mi opinión) al presentar un diálogo único de lista blanca para garantizar que el usuario administrador tenga la intención para permitir que se ejecute una aplicación no compatible (no firmada o que no sea de la tienda de aplicaciones de Mac).

Ahora,siencuentraunamaneraparaqueunusuarionoadministradoromitaaGatekeeper,entoncesesperaríaquesepresentaraunavulnerabilidaddeseguridadanteAppleparaobtenercréditoporencontrarunagujerounavezquehayansolucionadocualquiererrordeimplementaciónquesehayacometidoparapermitirquelasaplicacionesdepolíticasparaejecutar.

Appledocumentaestacaracterísticaenprofundidadsobrecómoincluirexplícitamenteenunalistablancaunaaplicación.

  • OS X: Acerca de Gatekeeper

Gatekeeper no es una protección contra malware y no es una lista negra. Es un conjunto de políticas que permiten el primer lanzamiento de aplicaciones debidamente firmadas o la validación de recibos de la tienda de aplicaciones Mac. Si un usuario administrador inicia explícitamente y luego aprueba la ejecución de software no compatible, tiene un problema de educación o de política en lugar de descubrir alguna falla en Gatekeeper.

En detalle, he resumido (y copiado en su mayoría) las secciones relevantes de la ayuda de Apple en la lista blanca de cualquier aplicación, de modo que Gatekeeper permita que se ejecute sin obstáculos y sin ninguna aprobación:

  

Cómo abrir una aplicación de un desarrollador no identificado y eximirla de Gatekeeper

     

Si está seguro de que la aplicación descargada de Internet es la última versión y es de una fuente en la que confía, puede abrir una aplicación   de un desarrollador no identificado siguiendo estos pasos.

     

Importante: algunas aplicaciones Apple de los desarrolladores que se encuentran en la   El proceso de adquisición de firmas de ID de desarrollador presentará el "Open"   opción cuando se hace doble clic.

     

Nota: en la mayoría de los casos, solo tendrá que realizar estos pasos una vez   para todas las cuentas de usuario en Mac:

     
  • En el Finder, presione la tecla Control y haga clic con el botón derecho del mouse en el icono de la aplicación.
  •   
  • Selecciona Abrir en la parte superior del menú contextual que aparece.
  •   
  • Haz clic en Abrir en el cuadro de diálogo. Si se te solicita, ingresa un nombre y contraseña de administrador.
  •   

Nota: Si hay una aplicación que presenta varios cuadros de diálogo de Gatekeeper, puedes usar temporalmente la opción "Siempre" de Gatekeeper. Asegurarse   para restaurar la opción del Guardián que estaba allí antes de volver   Función de guardián.

Puede controlar fácilmente quiénes pueden las aplicaciones de la lista blanca al no entregar los nombres de usuario y las contraseñas del Administrador a usuarios que no conocen esta funcionalidad y también puede administrar el controlador de acceso desde el terminal o el administrador de perfiles y otro software de configuración administrada como Casper desde JAMF. También puede auditar sus máquinas para el software que ha sido incluido en la lista blanca para restablecer periódicamente la lista de aplicaciones permitidas y determinar quién está ejerciendo esta función en caso de que desee cambiar la política y el hábito.

    
respondido por el bmike 27.03.2013 - 19:03
10

La descarga de un archivo a través de SMB no activará la cuarentena, y como la aplicación no está en cuarentena, la política del controlador de acceso nunca se verifica. No estoy seguro de por qué está marcado como puesto en cuarentena en sus otras computadoras ...

Para verificar la cuarentena en cualquier punto, use el comando ls -ld@ para buscar el atributo com.apple.quarantine:

$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon  staff  102 Apr 30  2012 /Applications/TextWrangler.app
    com.apple.FinderInfo     32 
    com.apple.quarantine     57 

Si ese atributo de cuarentena se adjunta a la aplicación, se comprobará la política del controlador de acceso; Si no, no lo hará. La pregunta interesante es por qué se puso en cuarentena en otras computadoras, y si usa este comando para verificar la aplicación en varios puntos a medida que la distribuye, puede averiguar cuándo se está adjuntando el atributo (y por lo tanto por qué se está adjuntando).

EDITAR: Hay una nota relacionada con esto en la sección "Haga clic aquí para obtener más detalles" del Artículo KB de Apple # HT5290 :

  

Importante: la firma de ID de desarrollador se aplica a las aplicaciones descargadas de Internet. Las aplicaciones de otras fuentes, como servidores de archivos, unidades externas o discos ópticos están exentas, a menos que las aplicaciones se descargaron originalmente de Internet.

    
respondido por el Gordon Davisson 27.03.2013 - 18:16
4

Si ha habilitado esta preferencia oculta, también deshabilita Gatekeeper:

defaults write com.apple.LaunchServices LSQuarantine -bool false

O OS X permite abrir todas las aplicaciones independientemente de la configuración en Preferencias del sistema.

    
respondido por el user495470 27.03.2013 - 19:46
2

Gatekeeper evita que las aplicaciones se ejecuten haciendo doble clic, pero siempre puedes anularlas seleccionando Abrir en el menú contextual.

Si puede ejecutar aplicaciones descargadas sin firmar haciendo doble clic, este es un problema con Gatekeeper. Los archivos almacenan su estado de cuarentena en un atributo extendido llamado com.apple.quarantine . Si este atributo se borra por algún motivo de sus archivos descargados, Gatekeeper tratará los archivos descargados como no diferentes de cualquier otro archivo en su computadora. Así que sugiero que descargar un programa y luego usar xattr -l filename en Terminal sería una buena herramienta de diagnóstico si tienes Xcode instalado.

Si los ejecuta a través del comando Abrir desde un menú, este es el comportamiento diseñado. Tenga en cuenta que una vez que haya ejecutado un programa desde el menú, siempre se puede ejecutar haciendo doble clic, independientemente de la configuración de su Gatekeeper.

    
respondido por el Daniel 27.03.2013 - 15:04

Lea otras preguntas en las etiquetas