LINUX.ORG.RU
ФорумTalks

MacOS внедряет запрет на запуск стороннего софта

 , , ,


1

3

Привет, ЛОР!

Не знаю, как местные макоюзеры об этом ещё не отписались, но в общем сабж. Начиная c MacOS 15.1, из системы по-умолчанию убрана поддержка запуска неподписанных программ и, что важно, из настроек убрана даже опция, отключавшая такое поведение. Пока что проверку подписи всё можно можно отключить, выполнив spctl --master-disable из под рута, но общая тенденция показывает, что скоро запуск Emacs на макбуке будет фантастикой, а не реальностью. Такие дела :(

Найдено тут: https://www.osnews.com/story/141055/bug-or-intentional-macos-15-1-completely-removes-ability-to-launch-unsigned-applications/

★★★★★

Последнее исправление: hateyoufeel (всего исправлений: 1)

P.S. предлагаю возродить повсеместную традицию использования термина «анальное рабство» как синонима использования продукции Apple.

hateyoufeel ★★★★★
() автор топика

Дык еще когда пролетала новость что хеши бинарников на сервер отправляет для проверки «легитимности» об этом говорили. macOS начал скатываться с уходом Жопса и скоро докатится до состояния iOS

Kolins ★★★★
()

в brew все пакеты подписаны.

а если из портов собирать - то подпишешь сам.

и вообще очередные влажные манямечты линпусенка

guyvernk
()

Должны страдать. /thread

thunar ★★★★★
()
Ответ на: комментарий от guyvernk

а если из портов собирать - то подпишешь сам.

Подпись требует девелоперского аккаунта в Apple, который внезапно платный.

и вообще очередные влажные манямечты линпусенка

Да-да, главное придумать оправдание своему повелителю. Типичный юзер макоси.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)

Просто теперь девелоперы не нужны, ИИ все напишет. Пользуну достаточно будет сказать вслух «эй, мэк, сделай мне прогу для рисования лягушек», и в Купертино зашустрят подневольные гномики, через секунду все будет готово.

Irma ★★
()

Следующим этапом станет выпиливание CLI, чтобы не баловались.

dmitry237 ★★★★
()

Ого. Удивлён. На полном серьёзе удивлён. Правда только тем, что они только сейчас внедряют. Я думал, давно уже должно было так быть…

CrX ★★★★★
()
Ответ на: комментарий от CrX

В предыдущей версии 15.0 нужно было в настройках руками разрешить запуск каждой отдельной неподписанной проги. Собственно, новость в том, что эту настройку выпилили.

hateyoufeel ★★★★★
() автор топика

Не мако$б, но звучит слишком невероятно, учитывая, что значительная (большинство?) часть западных разработчиков использует Мак.

MoldAndLimeHoney
()

Ну пользователям сей продукции нравится когда над ними издеваются. Так что всё нормально - продажи продукции скорее всего вырастут. Но мы же тут все толерантные - куколды макаводы тоже люди :-))).

vtVitus ★★★★★
()
Ответ на: комментарий от EXL

Не уйдёт. Ушёл уже. Десятки лет назад. До сих пор там.

CrX ★★★★★
()
Ответ на: комментарий от MoldAndLimeHoney

Другой вопрос: откуда у тебя возьмется отдельная неподписанная прога в линуксе? Если подпись проверяется на этапе скачивания с реп)))

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от BceM_IIpuBeT

Другой вопрос: откуда у тебя возьмется отдельная неподписанная прога в линуксе?

После сборки этой проги из исходников.

Если подпись проверяется на этапе скачивания с реп)))

Главное, смайликов побольше. Разница в том, что в линуксе ты сам выбираешь список репозитариев, которые будешь использовать, и ключи, подписям от которых ты доверяешь. В случае с макосью, подписи целиком контролируются Apple.

hateyoufeel ★★★★★
() автор топика
Последнее исправление: hateyoufeel (всего исправлений: 1)

На Линукс тоже скоро перенесут, средства готовятся, но какой дистрибутив будет первым? Думаю что то из RH. Вижу это как атомарная система в readonly, приложения ставятся только через песочницу, типа flatpak, /home/ будет незапускаемым разделом.

Конечно можно будет поставить нормальный дистрибутив, но на рутованном дистрибутиве не будут запускаться нужные программы, как сейчас они требуют systemd.

MOPKOBKA ★★★★★
()
Последнее исправление: MOPKOBKA (всего исправлений: 1)

Очень странно, что они дошли до этого только сейчас. Глядя на всю ту иррациональную, запредельную, невыразимую паранойю с запуском чего либо на ios, давно напрашивалось предположение, что скоро у них так будет везде.

Но, если честно, насрать. Яблочники сознательно выбрали путь страданий, чего их жалеть?

quwy
()
Ответ на: комментарий от hateyoufeel

Ну так я и говорю, что это нахер не надо в линуксе. Контроль в другом месте, по помойкам не шаримся, в отличии от любителей фистинга от господина.

BceM_IIpuBeT ★★☆☆☆
()
Ответ на: комментарий от hateyoufeel

Странно, в 15.2 опция есть

Специально ради этого даже все защиты включил:

whbex@M1Laptop ~ % csrutil status
System Integrity Protection status: enabled.
whbex@M1Laptop ~ % spctl --status
assessments enabled
whbex ★★
()
Последнее исправление: whbex (всего исправлений: 1)

Для полной и окончательно безопасной безопасности зонд должен входить без малейших зазоров и люфтов.

thesis ★★★★★
()
Ответ на: комментарий от hateyoufeel

Подпись требует девелоперского аккаунта в Apple, который внезапно платный.

Как ни странно, голые бинарники даже с SIP запускаются без требования подписи со стороны Apple.

whbex@M1Laptop ~ % codesign --remove-signature -f main-unsigned 
main-unsigned: replacing existing signature
whbex@M1Laptop ~ % ./main-unsigned                              
zsh: killed     ./main-unsigned
whbex@M1Laptop ~ % codesign -f -s - ./main-unsigned             
whbex@M1Laptop ~ % ./main-unsigned                              
Hello world!

Реально подпись требуется для обхода Gatekeeper. Но он проверяет бинарники только если на них quarantine bit висит. Убираем его - приложения запускается даже с запретом на запуск всего не из AppStore.
https://i.postimg.cc/6QQkqKMp/2024-11-22-20-40-04.png

whbex ★★
()
Последнее исправление: whbex (всего исправлений: 1)
Ответ на: комментарий от BceM_IIpuBeT

Наверное его устранят тогда же, когда и выпилят к чертям возможность отключения SIP и LocalPolicy.

Хотя мне не ясно, зачем вместо использования обычного iBoot с iPad на M1 они придумали отдельную систему загрузочных политик с возможностью тонко настраивать каждую систему независимо от других. Если потом её выпиливать в целях огораживания железа.

whbex ★★
()
Ответ на: комментарий от xwicked

Прикол в том, что на бинарники с macOS x86 (через розетту) ограничения действуют не так сильно.

whbex ★★
()

Враньё. В 15.1 всё ещё можно. Но приходится на каждый чих ходить в настройки и разрешать «установить из неподписанного пакета», «запустить неподписанное приложение в первый раз». Бесит, да.

svu ★★★★★
()

Не отписались потому, что это ересь.
Человек просто не знает разницы между подписью и атрибутом quarantined.

bigbit ★★★★★
()
Ответ на: комментарий от hateyoufeel

Подпись требует девелоперского аккаунта в Apple, который внезапно платный.

Для коммерческого использования

bigbit ★★★★★
()
Ответ на: комментарий от bigbit

Подпись требует девелоперского аккаунта в Apple, который внезапно платный.

Для коммерческого использования

Для любого. Если ты бесплатную софтину хочешь распространять, всё равно плоти.

The Apple Developer Program is 99 USD per membership year, or in local currency where available.1

Eligible nonprofit organizations, accredited educational institutions, and government entities can request a fee waiver.

https://developer.apple.com/programs/whats-included/

hateyoufeel ★★★★★
() автор топика

Херово будет со всяким подсанкционным софтом, типа КриптоПро, у которого отозвали ключи для подписи.

С Emacs проблемы маловероятны. В чем проблема подписать бинарник.

mono ★★★★★
()
Ответ на: комментарий от hateyoufeel

Это не совсем правда, ты всегда можешь бесплатно подписать для локального использования, если надо. Я бинари на расте на одном маке собираю (вообще никак не подписываю) и по ssh кидаю на другой, просто запускаются и всё

ivabus
()
Последнее исправление: ivabus (всего исправлений: 1)

Забавно, но, как мы знаем, к тому же самому, но с некоторым опозданием, идет и Линукс. Пока это уровень ядра, но ровно по тем же основаниям - безопасность.

kry
()
Ответ на: комментарий от mono

Херово будет со всяким подсанкционным софтом, типа КриптоПро, у которого отозвали ключи для подписи.

дак для этого оно и делается

kto_tama ★★★★★
()
Ответ на: комментарий от guyvernk

модератор это что то из перверсивных гомофантазий

Модератор – это херня в моём старом фортепиано.

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от mono

Херово будет со всяким подсанкционным софтом, типа КриптоПро, у которого отозвали ключи для подписи.

Или с VPN для стран, где не положено.

С Emacs проблемы маловероятны. В чем проблема подписать бинарник.

В необходимости заводить аккаунт и платить ябблу деньги?

hateyoufeel ★★★★★
() автор топика
Ответ на: комментарий от hateyoufeel

Для любого. Если ты бесплатную софтину хочешь распространять, всё равно плоти.

Недавно пришлось чуть-чуть подправить и пересобрать одну маковскую поделку. Получилась директория с файлами, ничего не подписано. Раздал коллегам - у всех работает.

bigbit ★★★★★
()
Ответ на: комментарий от hateyoufeel

Мне тут недавно маководы в очередной раз тужились доказать что макось отлично подходит для веб разработки…

Obezyan
()
Ответ на: комментарий от ivabus

Это не совсем правда, ты всегда можешь бесплатно подписать для локального использования, если надо.

А нелокального? Простой сценарий: я выложил код своей мегапроги на житхаб, настроил CI для сборки релизов, хочу чтоб юзеры могли качать и ставить сборки без лишних проблем.

hateyoufeel ★★★★★
() автор топика

Удивительно, что даже на ЛОР-е находится много людей, которые терпят подобное обращение с собой. Кушают за обе щеки, нахваливают, их всё устраивает.

Manhunt ★★★★★
()
Ответ на: комментарий от hateyoufeel

В необходимости заводить аккаунт и платить ябблу деньги?

Да нет такой необходимости, codesign в руки и вперёд.

Маковский шланг, ЕМНИП, автоматически подписывает.

whbex ★★
()
Последнее исправление: whbex (всего исправлений: 1)

MacOS

Кому этот унылый кал вообще нужен?

IPR ★★★★★
()

Тенденция мало что показывает, все что изменилось – это убрали простой путь, но оставили при этом более сложный. Бинари, полученные из homebrew или собранные руками, запускаются как и раньше без каких-то телодвижений. spctl --master-disable это стремный совет, я бы такого не делал.

maxcom ★★★★★
()
Ответ на: комментарий от hateyoufeel

Без проблем. Только юзер специально одобряет запуск в «настройках», это нормальная практика давно

ivabus
()

ВАХАХАХАХА. Велком ту ios. Сеансы БДСМ станут ещё более жеще

karton1 ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)