GateKeeper дозволяє мені встановлювати що завгодно, ніяких перевірок не робиться

Я можу завантажувати програми з користувальницьких веб-сайтів і запускати їх, навіть якщо мої налаштування воротаря є в "AppStore Only". Це моя заява - вона навіть не підписана.

Що може бути причиною цього? Я можу відтворити таку поведінку на всіх своїх 3 комп'ютерах.

Це особливість статусу за дизайном, коли користувач адміністратора завжди може перекрити програму Gatekeeper та відкрити програму, клацнувши правою кнопкою миші додаток у Finder.

Користувач адміністратора також може змінити настройки Gatekeeper або повністю відключити його, тому немає реального шкоди (як мінімум, на моїх очах) у представленні одноразового діалогового вікна білого списку, щоб переконатися, що користувач адміністратора має намір дозволити невідповідність (не підписаний або не-Mac App Store) для запуску програми.

Тепер, якщо ви знайшли спосіб, як користувач, який не адміністратор, обходив Gatekeeper, тоді я би сподівався подати вразливість безпеки в Apple, щоб отримати кредит на знаходження ями, як тільки вони виправлять будь-яку помилку реалізації, щоб дозволити запускати додатки політики.

Apple детально документує цю функцію щодо того, як явно перелічити білий додаток.

• ОС X: Про Гейтхера

Gatekeeper - це не захист від зловмисних програм і не чорний список. Це набір політик, які дозволяють спочатку запустити належним чином підписані програми та / або перевірити квитанції магазину Mac App. Якщо користувач адміністратора явно запускає, а потім схвалює запуск невідповідного програмного забезпечення, у вас є проблеми з освітою чи політикою , на відміну від виявлення деякої вади в Gatekeeper.

Докладно я узагальнив (і в основному скопіював) відповідні розділи довідки Apple на білому переліку будь-якого додатка, щоб Gatekeeper дозволив йому безперешкодно та безперебійно працювати:

Як відкрити додаток від невстановленого розробника та звільнити його від Gatekeeper

Якщо ви впевнені, що додаток, завантажене з Інтернету, є останньою версією та є з джерела, якому ви довіряєте, ви можете відкрити додаток від невстановленого розробника, виконавши ці кроки.

Важливо: Деякі екрановані програми Apple від розробників, які перебувають у процесі отримання підписів ідентифікатора розробника, представлять параметр "Відкрити", коли їх двічі клацніть.

Примітка. У більшості випадків вам доведеться виконати ці дії лише один раз для всіх облікових записів користувачів на Mac:

• У Finder натисніть на клавішу Control або клацніть правою кнопкою миші піктограму програми.
• Виберіть "Відкрити" у верхній частині контекстного меню, яке з'явиться.
• У діалоговому вікні натисніть кнопку Відкрити. Якщо буде запропоновано, введіть ім’я та пароль адміністратора.

Примітка. Якщо є програма, яка містить декілька діалогових вікон Gatekeeper, ви можете тимчасово скористатися опцією "Завжди" "Гейткера". Переконайтесь, що відновіть параметр Gatekeeper, який був там раніше, щоб повернути функцію Gatekeeper.

Ви можете легко контролювати, хто може переглядати програми білого списку, не роздаючи імена та паролі адміністраторів користувачам, які не знають про цю функціональність, а також ви можете керувати воротарем із терміналу чи менеджера профілів та іншого програмного забезпечення з керованими налаштуваннями, наприклад Casper від JAMF. Ви також можете перевірити свої машини на предмет білого списку програмного забезпечення, щоб періодично скидати список дозволених додатків та визначати, хто виконує цю функцію, якщо ви хочете змінити політику та звичку.

Завантаження файлу через SMB не призведе до карантину, а оскільки додаток не знаходиться на карантині, політика воротаря ніколи не перевіряється. Я не впевнений, чому його позначають як карантин на інших комп’ютерах ...

Щоб перевірити наявність карантину в будь-якій точці, скористайтеся ls -ld@командою для пошуку атрибута com.apple.quarantine:

$ ls -ld@ /Applications/TextWrangler.app
drwxrwxr-x@ 3 gordon  staff  102 Apr 30  2012 /Applications/TextWrangler.app
    com.apple.FinderInfo     32 
    com.apple.quarantine     57 

Якщо цей атрибут карантину додається в додаток, буде перевірена політика воротаря; якщо ні, то не буде. Цікавим питанням є те, чому він потрапив на карантин на інших комп'ютерах, і якщо ви використовуєте цю команду для перевірки програми в різних точках під час їх розповсюдження, ви можете зрозуміти, коли атрибут приєднується (і, отже, чому він додається).

РЕДАКТУВАННЯ: У цьому розділі "Клікніть тут, щоб отримати докладнішу інформацію" статті KB KB Apple # HT5290 :

Важливо: Підпис ідентифікатора розробника застосовується до програм, завантажених з Інтернету. Додатки з інших джерел, таких як файлові сервери, зовнішні накопичувачі або оптичні диски, не застосовуються, якщо додатки спочатку не завантажувались з Інтернету.

Якщо ви ввімкнули цей прихований параметр, він також відключає функцію Gatekeeper:

defaults write com.apple.LaunchServices LSQuarantine -bool false

Або OS X дозволяє відкривати всі програми незалежно від налаштувань у System Preferences.

Шлюз забороняє запускати додатки подвійним клацанням миші, але ви завжди можете їх замінити, вибравши Відкрити у контекстному меню.

Якщо ви можете запустити завантажені неподписані програми, двічі клацнувши, це проблема з Gatekeeper. Файли зберігають свій статус карантину у розширеному атрибуті, який називається com.apple.quarantine . Якщо цей атрибут з якихось причин очищений від завантажених файлів, Gatekeeper вважатиме завантажені файли такими, що не відрізняються від будь-яких інших файлів на вашому комп’ютері. Тому я б запропонував, що завантаження програми та використання xattr -l filenameтерміналу було б хорошим діагностичним інструментом, якщо у вас встановлений Xcode.

Якщо ви запускаєте їх за допомогою команди «Відкрити» з меню, це призначена поведінка. Зауважте, що після запуску програми з меню її можна назавжди включити за допомогою подвійного клацання мишкою, незалежно від ваших налаштувань Gatekeeper.