Je peux télécharger des applications à partir de sites Web personnalisés et les exécuter, même lorsque les paramètres de mon gatekeeper sont réglés sur "AppStore Only". C'est mon application - elle n'est même pas signée.
Quelle pourrait être la raison de cela ? Je peux reproduire ce comportement sur mes 3 macs.
Le téléchargement d'un fichier via SMB no déclenche la mise en quarantaine, et puisque l'application n'est pas mise en quarantaine, la politique du gatekeeper n'est jamais vérifiée. Je ne sais pas pourquoi elle est marquée comme étant en quarantaine sur vos autres ordinateurs...
Pour vérifier la mise en quarantaine à tout moment, utilisez la commande ls -ld@ pour rechercher l'attribut com.apple.quarantine :
$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon staff 102 Apr 30 2012 /Applications/TextWrangler.app
com.apple.FinderInfo 32
com.apple.quarantine 57 Si cet attribut de quarantaine est attaché à l'application, la politique du gatekeeper sera vérifiée ; sinon, elle ne le sera pas. La question intéressante est de savoir pourquoi l'application a été mise en quarantaine sur vos autres ordinateurs. Si vous utilisez cette commande pour vérifier l'application à différents moments de sa distribution, vous pouvez déterminer quand l'attribut est attaché (et par conséquent, la politique du gatekeeper). pourquoi il s'attache).
EDIT : Il y a une note à ce sujet dans la section "Cliquez ici pour plus de détails" du site web de la Commission européenne. Article de la KB d'Apple #HT5290 :
Important : La signature de l'ID du développeur s'applique aux applications téléchargées sur Internet. Les applications provenant d'autres sources, telles que les serveurs de fichiers, les lecteurs externes ou les disques optiques, sont exemptées, sauf si elles ont été téléchargées à l'origine sur Internet.
Un utilisateur administrateur peut également modifier les paramètres de Gatekeeper ou le désactiver entièrement, il n'y a donc pas de réel danger. (à mes yeux du moins) en présentant une boîte de dialogue unique de liste blanche pour s'assurer que l'utilisateur administrateur a l'intention d'autoriser l'exécution d'une application non conforme (non signée ou ne provenant pas du Mac App Store).
Maintenant, si vous avez trouvé un moyen pour un utilisateur non-administrateur de contourner Gatekeeper, alors je m'attendrais à déposer une vulnérabilité de sécurité auprès d'Apple pour être crédité d'avoir trouvé une faille une fois qu'ils auront corrigé l'erreur de mise en œuvre qui a été faite pour permettre aux applications hors politique de fonctionner.
Apple documente cette fonctionnalité de manière approfondie sur la façon de mettre explicitement une application en liste blanche.
Gatekeeper n'est pas une protection contre les logiciels malveillants ni une liste noire. Il s'agit d'un ensemble de règles qui permettent le premier lancement d'applications correctement signées ou la validation des reçus du Mac App Store. Si un utilisateur admin lance explicitement et approuve ensuite l'exécution d'un logiciel non conforme, vous avez un problème d'éducation ou de politique par opposition à la découverte d'une faille dans Gatekeeper.
En détail, j'ai résumé (et surtout copié) les sections pertinentes de l'aide d'Apple sur la mise en liste blanche de n'importe quelle application afin que Gatekeeper lui permette de s'exécuter sans entrave et sans invite :
Comment ouvrir une application d'un développeur non identifié et la soustraire à Gatekeeper ?
Si vous êtes sûr que l'application téléchargée sur Internet est la dernière version et qu'elle provient d'une source de confiance, vous pouvez ouvrir une app d'un développeur non identifié en suivant ces étapes.
Important : certaines applications contrôlées par Apple et provenant de développeurs qui sont en train d'acquérir des signatures d'identifiants de développeurs présenteront des problèmes de sécurité. en cours d'acquisition de signatures d'identifiants de développeurs présenteront l'option lorsqu'elles sont double-cliquées.
Note : Dans la plupart des cas, vous n'aurez à effectuer ces étapes qu'une seule fois pour tous les comptes utilisateurs du Mac :
- Dans le Finder, faites un Control-clic ou un clic droit sur l'icône de l'application.
- Sélectionnez Ouvrir dans le haut du menu contextuel qui apparaît.
- Cliquez sur Ouvrir dans la boîte de dialogue. Si vous y êtes invité, saisissez un nom et un mot de passe d'administrateur.
Remarque : Si une application présente plusieurs boîtes de dialogue Gatekeeper, vous pouvez temporairement utiliser l'option "Toujours" de Gatekeeper. Assurez-vous que de restaurer l'option Gatekeeper qui existait auparavant pour rétablir la fonction de Gatekeeper.
Vous pouvez facilement contrôler qui peut mettre des applications en liste blanche en ne donnant pas les noms d'utilisateur et les mots de passe de l'administrateur aux utilisateurs qui ne connaissent pas cette fonctionnalité. Vous pouvez également gérer gatekeeper à partir du terminal ou du gestionnaire de profil et d'autres logiciels de paramètres gérés comme Casper de JAMF. Vous pouvez également auditer vos machines pour détecter les logiciels qui ont été mis sur liste blanche afin de réinitialiser périodiquement la liste des applications autorisées et déterminer qui exerce cette fonction au cas où vous souhaiteriez changer la politique et les habitudes.
Gatekeeper empêche les applications d'être lancées par un double-clic, mais vous pouvez toujours passer outre en sélectionnant Ouvrir dans le menu contextuel.
Si vous pouvez exécuter des applications non signées téléchargées en double-cliquant, il s'agit d'un problème avec Gatekeeper. Les fichiers stockent leur statut de quarantaine dans un attribut étendu appelé com.apple.quarantaine . Si cet attribut est supprimé pour une raison quelconque de vos fichiers téléchargés, Gatekeeper traitera les fichiers téléchargés comme s'ils n'étaient pas différents des autres fichiers de votre ordinateur. Je suggère donc que le téléchargement d'un programme et l'utilisation de l'option xattr -l filename dans le Terminal serait un bon outil de diagnostic si vous avez Xcode installé.
Si vous les exécutez via la commande Ouvrir d'un menu, c'est le comportement prévu. Notez qu'une fois que vous avez exécuté un programme à partir du menu, il est toujours prêt à être exécuté par un double-clic, quels que soient vos paramètres Gatekeeper.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
