Schick mir deine Email-Adresse per PN, ich leite dann die Email weiter. Möchte noch jemand experimentieren:d
Java ist kein Argument. Nächstes mal ist es halt eine Lücke in einem anderen Programm, gibts genug.
Und bin ich damit auch den ganzen Ärger los?
Du übersiehst da etwas, und da muss ich einwenig ausholen, komme dann aber auf den Punkt: Was mir an Apple gefällt, sie stopfen nicht nur oberflächlich irgendwelche Sicherheitslücken, sondern analysieren ein Problem gründlich und beseitigen es dann an der Wurzel. Seit der besagten Sicherheitslücke in Java und dem daraus resultierenden Flashback-Trojaner, hat Apple Gatekeeper in OS X eingeführt. Dessen Funktion ist so einfach wie effektiv, da es alle aus dem Internet geladenen ausführbaren Programme sofort bei ihrer ersten Ausführung auf dem System prüft, und den Benutzer warnt, und nicht nur das, es verhindert auch deren Ausführung, wenn diese von einem nicht registrierten Entwickler stammen und damit un-signiert sind (mittlere Einstellung in Gatekeeper). Ich staune deshalb, wenn manche Softwarehersteller den Benutzern einfach raten, zur Installation ihrer Software, Gatekeeper direkt auszuschalten (die Gefahr dabei, man vergisst leicht es nach der Installation wieder einzuschalten), sie sind nicht nur faul, sich bei Apple als Softwareentwickler zu registrieren und damit sichere/signierte Software anbieten zu können, sondern zum Teil auch schlecht informiert. Man muss Gatekeeper nicht ausschalten, um z.B. selbst un-signierte Software installieren zu können bzw. auf dem System ausführbar zu machen. Man muss nur mit gedrückter ctrl-Taste oder mit der rechten Maustaste auf das Symbol der App klicken, dann erscheint ein Kontextmenü in dem man auf “Öffnen” klickt, daraufhin wird es ebenfalls durch Gatekeeper geprüft, mit der üblichen Warnmeldung, nur diesmal mit der Option es durch einmalige Bestätigung dennoch öffnen/ausführen zu könne, ist also möglich aber eben nur durch eine direkte Interaktion des Benutzers. Jetzt berechtigte Frage: Ist dadurch Gatekeeper ausser Kraft gesetzt? Nein, denn es hat damit seinen ganze Sinn und Zweck schon erfüllt! Sollte eine Dritthersteller-Software wie Java von Oracle wieder einmal mit einer so eklatanten Sicherheitslücke glänzen, durch die sich ein Programm ohne Eingabe des Benutzerpasswortes installiere kann, wird es seit/durch die Einführung von Gatekeeper in OS X verhindert. Der Benutzer wird nicht nur gewarnt, sondern muss zudem auch noch willentlich tätig werden, um die Ausführung des durch Gatekeeper blockierten Programms zu ermöglichen, somit kann sich nichts mehr durch Drive-by-Download ohne das Wissen des Benutzers auf dem System installieren/starten.
Stell Dir vor, jeder kann einfach ein JavaScript auf einer Webseite zum Download bereitstellen und es z.B. “ChampionsLeague_Spielplan.docx.js” nennen oder irgendwas “schmuddeliges” es würden sich so einige herunterladen und mit doppelklick öffnen und damit das JavaScript ausführen. Ob man dadurch einfach die Festplatten nach beliebigen Informationen auslesen und auf den eigenen Server im Internen schicken könnte - wäre wirklich fatal, wenn es so einfach funktionieren würde. Deswegen laufen JavaScript Aktionen in in den Browsern eingeschränkt und unter ganz bestimmten Kriterien, es ist genau vorgeschrieben, was geht und was nicht, das habe ich gemeint. Unter welchen Rechten JavaScript läuft, wenn es local ausgeführt wird, müsste man noch prüfen..
Oh ja, hätt ich auch gerne.. ;-)
