MacNOMODO

Où on cause du Mac - A consommer sans modération

 
PortailPortailAccueilRechercherRechercherFAQS'enregistrerMembresConnexion

Partagez | 
 

 Gatekeeper

Voir le sujet précédent Voir le sujet suivant Aller en bas 
AuteurMessage
Doubleyou
Légende vivante
Légende vivante
avatar

Nombre de messages : 5869
Age : 47
Planète : de dingues
Matos : un truc avec une pomme dessus et d'autres machins coûteux
Date d'inscription : 19/11/2006

MessageSujet: Gatekeeper   7/17/2012, 16:02



Suspect T'es sûr !?



En théorie Révise !

* C'est quoi ?

Il s'agit d'une nouvelle fonction de sécurité pour OS X 10.8 Mountain Lion.
Elle contrôle que les applications que vous lancez sont garanties sans malwares. Un peu comme le Mac App Store, mais ça concerne les distributions hors MAS. La classe


* Comment ça marche ?

1. Un développeur enregistré reçoit un certificat Developer ID avec lequel il signe ses applications (c'est une API de XCode qui fait le travail).

2. Le système restreint les applications pouvant se lancer à celle disposant de ce Developper ID.
Cela se règle par l'utilisateur dans les Préférences Système > Sécurité selon trois options :
- Mac App Store
- Mac App Store and identified developers
- AnyWhere
(Voir la capture du site Apple)

3. Vous êtes sûr que l'application que vous avez installé est bien celle que distribue le développeur et pas une version trafiquée par de sournois Chinois. Cool

4. Apple ferme les comptes des margoulins (mais pas des mauvais codeurs).

Remarque : contrairement au MAS, les développeurs n'ont pas nécessité de soumettre leur code à Apple. C'est un contrôle a posteriori.


* Où est le ver dans la pomme ? Suspect

1. Obligation d'être un développeur enregistré pour obtenir un Developer ID
- les outils XCodes sont gratuits, un compte Developer simple aussi, mais il faudra un compte payant pour obtenir un certificat. Hein !?

2. Réglages par défaut du système sur Mac App Store and identified developers
- L'utilisateur lambda (comme le mari de Mme Michu) se trouve découragé à installer des applications conçues hors du système Apple. Goret

3. Logiciels GPL seraient par nature inéligibles au système de validation (à démontrer)
- ce certificat est une sorte de DRM personnel au développeur. Non mais…

4. Obligation d'utiliser XCode. Révise !


Conclusion : Apple c'est des méchants qui ferment leur système sous prétexte de sécurité. Un jour, ils vont restreindre à la deuxième option et puis il faudra jailbreaker OS X comme avec iOS. Troll


Voilà pour la théorie (dont celle du complot). En pratique, et pour l'utilisateur (Mme Michu, son mari est retourné regarder la TV) qu'est-ce que ça change ?

Pas grand chose puisque Gatekeeper utilise quarantine, une vieille connaissance depuis Mac OS X 10.6. Yo man!

Vous savez bien, ce message qui vous annonce au premier lancement d'une application qu'elle provient d'internet, qu'elle a été téléchargée tel jour, parfois même de quel site. Martien

Et bien cela repose sur quarantine. Lorsque vous lancez l'application, le système la reconnaît comme valable et ne se manifestera plus jusqu'à modification ou réinitialisation de la base de donnée launchservice.

En conséquence, une application précédemment ouverte, certificat ou non, est comprise comme valable par Gatekeeper, même si on a ensuite restreint le système au Mac App Store et aux développeurs identifiés. Bingo !

Gatekeeper n'empêche pas les applications validées par vous (au moment de leur simple ouverture) de fonctionner. Il ne s'occupe que des applications provenant d'internet à leur premier lancement.


Par exemple vous téléchargez XLD http://tmkk.pv.land.to/xld/index_e.html et vous le lancez.

Sur Mac OS X 10.6.8, la première fois vous obtenez ce message :


Sur OS X 10.7.4 la première fois vous obtenez ce message :


Avec Gatekeeper activé (réglage 2) vous obtenez ce message :


Si XLD a été une première fois ouvert avant d'activer Gatekeeper (réglage 3) vous n'obtenez aucun message et pouvez utiliser l'application.

Voici ce que vous obtenez à la première ouverture d'une application disposant d'un certificat (Mellel 3) :


Donc, pour utiliser une application hors certificat comme XLD, il vous suffit de passer au réglage 3 (Anywhere) et d'ouvrir l'application. Vous pouvez ensuite vous remettre en réglage 2 (MAS + Dev ID) et ne plus vous en préoccuper.

A l'occasion, vous pouvez toujours faire un ctrl + clic sur l'icône d'une application et choisir "Ouvrir" pour la lancer en dépit de Gatekeeper.

Mais surtout, on n'est pas obligé d'activer Gatekeeper. On s'en est passé pendant des années. Aucun système ne remplace la prudence de l'utilisateur.

Un peu compliqué pour le mari de Mme Michu (il ne sait toujours pas comment fonctionne la machine à laver) mais sans doute pas pour Mme Michu elle-même qui lit les modes d'emploi.

Dans tous les cas, il est toujours possible d'installer et d'utiliser n'importe quelle application sur OS X avec Gatekeeper.


One more thing!

Si vous avez Mac OS X 10.7.4, vous pouvez expérimenter Gatekeeper.

Pour activer Gatekeeper (réglage 2) tapez la ligne de commande suivante dans le terminal :

Code:
sudo spctl --master-enable

Pour désactiver Gatekeeper tapez la ligne de commande suivante dans le terminal :

Code:
sudo spctl --master-disable

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.
Revenir en haut Aller en bas
http://www.crawford-texas.org/
hr
Légende vivante
Légende vivante
avatar

Nombre de messages : 6397
Age : 63
Planète : Creuse
Matos : iMac alu en OS 10.10 - G4 en OS 10.5 - MacBook Pro (90% en Ubuntu, 10% en OS X 10.6) - PC en Ubuntu 16.04
Date d'inscription : 19/11/2006

MessageSujet: Re: Gatekeeper   7/17/2012, 17:07

Ah ! ben voilà qui est bien plus clair. Donc pour l’instant ça va, ce n’est ni trop contraignant ni restrictif.

Par contre, je ne sais pas ce qu’il faut penser du fait qu’en 10.6 on n’ait aucun avertissement pour une application qui ne se télécharge pas dans une dmg. Par exemple une appli arrivée en .zip se lance sans avertissement, ce qui est un peu idiot…

C’est peut-être un bug de 10.6, je ne sais pas, mais moi ça m’a toujours turlupiné.

_______________
On ne fait jamais d’erreur sans se tromper !
L’affaire est dans le sac de Prévert et Prévert


Dernière édition par hr le 7/17/2012, 17:09, édité 1 fois
Revenir en haut Aller en bas
TG
Légende vivante
Légende vivante
avatar

Nombre de messages : 5506
Age : 53
Planète : Paradis n°2
Matos : MacBook Pro Unibody 2.54 late 2008 Mountain Lion • MacPlus • PIXMA iP4300 • Scanner Epson Photo 330
Date d'inscription : 12/11/2006

MessageSujet: Re: Gatekeeper   7/17/2012, 17:08

Bon à savoir. Merci W
Revenir en haut Aller en bas
http://www.panoramio.com/user/616684
Doubleyou
Légende vivante
Légende vivante
avatar

Nombre de messages : 5869
Age : 47
Planète : de dingues
Matos : un truc avec une pomme dessus et d'autres machins coûteux
Date d'inscription : 19/11/2006

MessageSujet: Re: Gatekeeper   7/17/2012, 20:45

hr a écrit:
Ah ! ben voilà qui est bien plus clair. Donc pour l’instant ça va, ce n’est ni trop contraignant ni restrictif.

Par contre, je ne sais pas ce qu’il faut penser du fait qu’en 10.6 on n’ait aucun avertissement pour une application qui ne se télécharge pas dans une dmg. Par exemple une appli arrivée en .zip se lance sans avertissement, ce qui est un peu idiot…

C’est peut-être un bug de 10.6, je ne sais pas, mais moi ça m’a toujours turlupiné.
J'ai plutôt l'impression qu'il s'agit encore d'un bug du HR. gna gna gna

Intrigué par ton post j'ai téléchargé ça : http://www.macupdate.com/app/mac/16935/printfinder

Je l'ai décompressé sur le bureau du MBP et au double clic sur l'application j'ai bien eu le message de mise en garde.

Essaye à ton tour.


H.S. : vous avez vu le message de Snow dans la deuxième capture ? Ça mériterait un post dans notre fil à neuneux de l'orthographe. MDR

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.
Revenir en haut Aller en bas
http://www.crawford-texas.org/
hr
Légende vivante
Légende vivante
avatar

Nombre de messages : 6397
Age : 63
Planète : Creuse
Matos : iMac alu en OS 10.10 - G4 en OS 10.5 - MacBook Pro (90% en Ubuntu, 10% en OS X 10.6) - PC en Ubuntu 16.04
Date d'inscription : 19/11/2006

MessageSujet: Re: Gatekeeper   7/17/2012, 22:18

Doubleyou a écrit:
J'ai plutôt l'impression qu'il s'agit encore d'un bug du HR.
Intrigué par ton post j'ai téléchargé ça : http://www.macupdate.com/app/mac/16935/printfinder
Alors j’ai bugué aujourd’hui aussi avec Macfusion_2.0.4.zip : lancé, rien demandé. De toute façon ça me fait ça à chaque fois. Peut-être une config ? Faudrait que j’essaye avec un compte différent.

Je viens d’essayer avec mactracker (aussi un zip) que j’ai aussi téléchargé aujourd’hui et qui ne m’a rien demandé non plus dans mon compte, je l’ai ouvert dans un autre compte et là il me demande l’autorisation ! Est-ce que ça pourrait venir de l’appli utilisée pour décompresser le zip ?
Chez moi c’est par défaut pathfinder qui utilise stuffit en interne, dans l’autre compte c’est l’utilitaire de l’OS.

Hiarfff ! J’ai trouvé ! Ce n’est pas hr qui beugue, c’est Pathfinder ! Ce n’est pas le moteur de décompression c’est le gestionnaire de bureau dans lequel on l’ouvre pour la première fois.

J’ai décompressé une version d’unarchiver en zip que je n’avais pas encore ouvert sur l’autre compte : j’essaye plusieurs fois dans le finder, chaque fois il me demande si je veux l’ouvrir et je répond non. Normal. J’essaye depuis pathfinder et du premier coup l’appli s’ouvre sans rien demander…

huhuhu ! fallait le trouver celui-là ! Et le plus drôle c’est que pour les dmg le comportement de pathfinder est bon.

Histoire de faire ça

J’en conclus que (en 10.6 tout au moins) c’est le finder et non le système qui intercepte la première ouverture. Dans le cas d’une attaque d’un bidule qui télécharge en douce une appli sur la machine et la lance, comme ça ne passe pas par le finder, tintin, pas de filtrage. Pas malin, ça.

J’avais bien lu que la saloperie à espionner les tibétains à base de java pas à jour lançait une appli pour laquelle il n’était pas demandé d’autorisation. Je me demandais comment c’était possible. Ben voilà une explication possible. Beuh…

Histoire de faire ça vraiment scie hihan t’y fit que ment, j’ai téléchargé ton printfinder et je l’ai décompressé et lancé à partir de pathfinder : eh ben oui, il s’est lancé sans me demander mon avis…

_______________
On ne fait jamais d’erreur sans se tromper !
L’affaire est dans le sac de Prévert et Prévert
Revenir en haut Aller en bas
Doubleyou
Légende vivante
Légende vivante
avatar

Nombre de messages : 5869
Age : 47
Planète : de dingues
Matos : un truc avec une pomme dessus et d'autres machins coûteux
Date d'inscription : 19/11/2006

MessageSujet: Mountain Lion : Gatekeeper   8/8/2012, 04:10

Maintenant que OS X 10.8 Mountain Lion est descendu de sa montagne, voici l'information officielle sur Gatekeeper :

http://support.apple.com/kb/HT5290?viewlocale=fr_FR

Pour l'avoir essayé sur 10.8, la différence avec ce qu'on avait en essai sur 10.7 est qu'on peut choisir d'ignorer l'interdiction de Gatekeeper en passant par le menu contextuel "Ouvrir".

Bref, encore moins contraignant que prévu.

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.
Revenir en haut Aller en bas
http://www.crawford-texas.org/
Doubleyou
Légende vivante
Légende vivante
avatar

Nombre de messages : 5869
Age : 47
Planète : de dingues
Matos : un truc avec une pomme dessus et d'autres machins coûteux
Date d'inscription : 19/11/2006

MessageSujet: Re: Gatekeeper   9/19/2012, 23:06

Gatekeeper est maintenant pleinement disponible sur OS X 10.7.5 Lion.

Son fonctionnement est identique à ce qu'on a constaté avec 10.8 Mountain Lion.

_______________
Art. 10. Nul ne doit être inquiété pour ses opinions, même religieuses, pourvu que leur manifestation ne trouble pas l'ordre public établi par la Loi.
Art. 11. La libre communication des pensées et des opinions est un des droits les plus précieux de l'Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l'abus de cette liberté dans les cas déterminés par la Loi.
Art. 12. La garantie des droits de l'Homme et du Citoyen nécessite une force publique : cette force est donc instituée pour l'avantage de tous, et non pour l'utilité particulière de ceux auxquels elle est confiée.
Revenir en haut Aller en bas
http://www.crawford-texas.org/
Contenu sponsorisé




MessageSujet: Re: Gatekeeper   

Revenir en haut Aller en bas
 
Gatekeeper
Voir le sujet précédent Voir le sujet suivant Revenir en haut 
Page 1 sur 1

Permission de ce forum:Vous ne pouvez pas répondre aux sujets dans ce forum
MacNOMODO :: I n f o s :: Protection & sécurité-
Sauter vers: