Sicherheitsabfragen in Mojave und Catalina - Nervig oder nötig?

Warum läuft es denn bei MS nun anders wie noch zu Zeiten von Vista? Und ja, das anfangs gepostet Video sollte zu denken geben. Die Entwicklung ist Grütze.
Nichts mehr mit "einfach", der normale User, der sich nicht hier befindet, der ist überfordert. Das führt zu Unverständnis und schlussendlich zu einem freigeben von allem.
Sicherheitsgewinn ausgehebelt.
 
  • Gefällt mir
Reaktionen: hr47
Wie bei allem, kann da die Frage nach dem SINNVOLL auf den User schieben: Der Laie benötigt sicherlich "Unterstützung" durch das jeweilige OS. Für den fortgeschrittenen User ist das nicht unbedingt notwendig. Also Sicherheitsabfrage ON/OFF-Schalter und jeder hätte das für ihn beste Konzept.

Auch der versierte Anwender kann nicht immer automatisch wissen, was eine Software alles so macht und auf was genau zugegriffen wird.
Eigentlich nützliche Software kann ja auch - je nach Downloadquelle - modifiziert worden sein. Und auch auf seriösen Seiten sind solche netten Versionen schon des öfteren aufgetaucht.
Aus diesem Grund halte ich Hinweise an und für sich schon für nützlich. Sie sollten nur nicht die Produktivität behindern oder schlimmstenfalls sogar die Installation unmöglich machen.
 
Welche genau? In Bezug auf Datenschutz? Oder in Bezug auf "Zoom kompromittiert Dein System wenn Du es installierst und dabei Kamera und Mikro freigibst"?
Google mal "Warnungen Zoom", da bekommst du jede Menge Infos drüber. Aber war ja auch nur ein aktuelles Beispiel.
 
Eigentlich hat Apple die Frage nach SINNVOLL oder NICHT selbst vor Jahren beantwortet.

Youtube:

ab Minute 1:30
 
  • Gefällt mir
Reaktionen: hr47
Welche genau? In Bezug auf Datenschutz? Oder in Bezug auf "Zoom kompromittiert Dein System wenn Du es installierst und dabei Kamera und Mikro freigibst"?

Die Probleme mit Zoom resultierten aus nicht passwortgeschützten Meetings, deren Links öffentlich auf Twitter gepostet wurden.
Daraufhin führte ZOOM sofort passwortgeschützte Meetings ein.
Nun kann man sagen, das Zoom dies schon vor der Nutzungsexplosion durch Corona längst hätte tun sollen. Das eigentliche Leck aber war aus meiner Sicht ein fahrlässiger Benutzer - wie so oft, nein eigentlich fast immer...
 
ich gebe zu, dass ich für dein Risiko keine Lösungsidee hätte.
Leider, leider, gibt es auch keine Lösung.

Es gibt sie nur mit signierter Software, die vorab bekannt gibt was vom System genutzt wird.
So wie es eben derweil läuft.

Entwickler, die sich außerhalb der Norm bewegen, geben aus dem Grund den MD5 oder SHA zu ihrem Paket an.

Aber welcher Anwender weiß damit etwas anzufangen?
Und vor allem wer kennt noch die Summen in Jahren?

Signatur ist der derzeitige einzige Weg für den Main-Stream.

Viele Grüße
 
Google mal "Warnungen Zoom", da bekommst du jede Menge Infos drüber. Aber war ja auch nur ein aktuelles Beispiel.
Ich kenne diese, finde nun aber keinen Bezug zum Thema. Auch wenn Zoom in der Vergangenheit eine privileged escalation durchgeführt hat, bspw. direkt zu "root", dann hat das ja nichts mit dem Thema an sich zu tun, eher mit der Warnung eine solche
App einzusetzen (und ich beziehe da alle anderen Apps dieser Art und Weise mit ein - Zoom ist ja hautpsächlich, und dann teilweise auch fälschlich, bezogen auf Datenschutz auf dem Radar gelandet). Der User benötigt die App, warum auch immer, und das
Programm "braucht" Berechtigungen.

Soll heißen: Da bringen Warnungen bezgl. Zugriff Kamera und Co nichts, wenn dies benötigt wird, da klickt der normale User einfach weiter weiter weiter, Hauptsache es geht. Daher sind solche Warnungen, von denen sich MS ja auch in der Quantität
verabschiedet hat, kein Mittel um die Sicherheit wirklich signifikant in der Masse der Installationen zu erhöhen. Sie sorgen für Frust und Unverständnis. Mir ist das gleich, ich weiß was ich brauche und weiß was ich mache, aber Lieschen Müller nicht ;-)
 
  • Gefällt mir
Reaktionen: maba_de und hr47
Signatur ist der derzeitige einzige Weg für den Main-Stream.
ich hatte neulich die Meldung, dass ich ein Programm wegen Fehlens der Notification nicht ausführen kann und es nur in den Papierkorb legen konnte. Vermutlich ein Bug, aber es ist krass, dass es diese Meldung schon vorgefertigt gibt.
Ich denke, der Weg, den Apple hier gehen will, ist klar.
Und das ist dann der Tag, an dem ich umsteige. Bis jetzt bin ich bei 18 Jahren macOS Nutzung, aber das würde mir dann reichen.
 
  • Gefällt mir
Reaktionen: dg2rbf und hr47
Ganz schwieriger Fall…

Ich behaupte, ich kann Dich da sofort täuschen.
Das Risiko liegt darin, dass die meisten wohl die alte Software nochmals aus dem Netz laden.

- ich, als Bösewicht, lade mir eine ungepflegte alte Software
- ich erstelle eine Anwendung mit genau dem gleichen Namen, Icon etc.
- ich lege die „Originalanwendung“ als Ressource in meine App (schön noch mit hidden flag)

Du lädst sie Dir und öffnest sie.
Oh, Mikrofon geht nicht und ziehst sie Dir in Deine freigegebenen Apps mit Mikrofonzugriff.

Perfekt für mich als Bösewicht. Du hast Dir selbst mein Schadcode genehmigt.
Das geniale: Ich musste nicht mal was signieren etc.
Und da meine App ein Wrapper um die eigentliche Anwendung ist, wirst Du nie was merken.

Und somit verbleibe ich, auch wenn da unsere Meinungen auseinander gehen werden mit der Antwort; nein.

Viele Grüße

Ich rede hier aber nicht von alten Anwendungen, die man sich aus "seriösen" Quellen heruntergeladen hat, sondern von ehemals kaufbaren Anwendungen deren aktuellste Installationsroutine man selber aufbewahrt hat.

Darüber hinaus trifft dein Beispiel doch auch auf alle Apps zu, die solche Funktionalitäten enthalten, aber bei der App-Überprüfung übersehen wurden?
Ich entwickle nur auf Windows (+ plattformübergreifend in PHP) und nicht auf MacOS/IOS - daher meine Frage: Ich weiß ich das nicht aus eigener Erfahrung.
 
Ich finde die Diskussion auch spannend. Wir werden wahrscheinlich aber auch keinen gemeinsamen Nenner finden. Lediglich einzelne Verbesserungsvorschläge kommen da zustande.

Immerhin. Finde ich jedenfalls spannender, als dem 1.000 Benutzer zu erklären, welches MacBook für ihn vielleicht und warum und überhaupt am besten wäre:) Und warum man CleanMyMac nicht verwenden sollte...
 
  • Gefällt mir
Reaktionen: fischerttd
Ich kenne diese, finde nun aber keinen Bezug zum Thema. Auch wenn Zoom in der Vergangenheit eine privileged escalation durchgeführt hat, bspw. direkt zu "root", dann hat das ja nichts mit dem Thema an sich zu tun, eher mit der Warnung eine solche
App einzusetzen (und ich beziehe da alle anderen Apps dieser Art und Weise mit ein - Zoom ist ja hautpsächlich, und dann teilweise auch fälschlich, bezogen auf Datenschutz auf dem Radar gelandet). Der User benötigt die App, warum auch immer, und das
Programm "braucht" Berechtigungen.

Soll heißen: Da bringen Warnungen bezgl. Zugriff Kamera und Co nichts, wenn dies benötigt wird, da klickt der normale User einfach weiter weiter weiter, Hauptsache es geht. Daher sind solche Warnungen, von denen sich MS ja auch in der Quantität
verabschiedet hat, kein Mittel um die Sicherheit wirklich signifikant in der Masse der Installationen zu erhöhen. Sie sorgen für Frust und Unverständnis. Mir ist das gleich, ich weiß was ich brauche und weiß was ich mache, aber Lieschen Müller nicht ;-)

Ich finde, auch für erfahrene Anwender ist die Information grundsätzlich nützlich. Auch sollte die Freigabe nicht einfach per MessageBox "Ja/Nein" erfolgen. Es gäbe hier Wege, dies fast ohne Einschränkungen beim Benutzerkomfort umzusetzen, die aber leider nicht genutzt werden.
 
  • Gefällt mir
Reaktionen: dg2rbf
Mir würde die Info bei der Installation reichen, bzw. ein Fenster was ich dem Programm an Rechten einräumen möchte. Von mir aus kann bei jedem Programmstart die Info kommen auf was das Programm zugreift und dass lässt sich aber auch deaktivieren, denn alleine solche Meldungen sind nervig.
Wenn bei einem Update, oder sonstigen, weitere Berechtigungen benötigt werden, kommt der entsprechende Hinweis.
 
Mir würde die Info bei der Installation reichen, bzw. ein Fenster was ich dem Programm an Rechten einräumen möchte.
Ja, das meinte ich. Und diese Information müsste einmalig mit dem Admin-Passwort bestätigt werden. Würde vollkommen reichen.
 
Ich rede hier aber nicht von alten Anwendungen, die man sich aus "seriösen" Quellen heruntergeladen hat, sondern von ehemals kaufbaren Anwendungen deren aktuellste Installationsroutine man selber aufbewahrt hat.

Deshalb meinte ich: Das Risiko liegt darin, dass die meisten wohl die alte Software nochmals aus dem Netz laden.

Dich mit archivierter Software würde das in der Tat treffen.
Da lehne ich mich aber weit aus dem Fenster, dass das eine homöopathische Dosis an Anwendern für Apple ist.

Aber leider, auch wenn es wieder nicht "schmecken" wird, entkoppelt sogar der Software-Hersteller selbst die Kompatibilität zu zukünftigen Systemen.
Diese Funktionalität ist nämlich nicht Bestandteil des Kaufvertrages. Das ist bei nahezu allen so.
Das spielt Apple natürlich total in die Karten.

Somit ist dieser Fall (auch wenn ich es verstehen) auch kein Argument für die Änderung der derzeitigen Implementierung.

Darüber hinaus trifft dein Beispiel doch auch auf alle Apps zu, die solche Funktionalitäten enthalten, aber bei der App-Überprüfung übersehen wurden?
Ich entwickle nur auf Windows (+ plattformübergreifend in PHP) und nicht auf MacOS/IOS - daher meine Frage: Ich weiß ich das nicht aus eigener Erfahrung.

Ein Punkt, de ich bei Apple selbst auch seit Jahren kritisiere.
Aber es sind zwei Dinge, die es getrennt zu betrachten gilt.

Mein vorhin geschildertes Szenario ist derart trivial, dass viele ohne Gatekeeper reinlaufen würden.
Das ist auch in der Vergangenheit passiert.

D.h. mit signierten Anwendungen schafft Apple schon eine sehr große Barriere.
Diese ist nicht die Signatur (Erhalt des Zertifikates) selbst, sondern die Registration bei Apple mit Ausweis, Gewerbeschein etc.

Des Weiteren hat Apple bei einer signierten Anwendung die Macht diese laufunfähig zu setzen.
Meinem Wissenstand nach wurde dieser Mechanismus bislang ein mal bei einer Anwendung mit Schadcode angewandt.
Aber Details weiß ich leider nicht.
Ob das jetzt gut oder schlecht ist, und welche anderen Risiken das birgt ist aber wieder ein anderes Thema.

Was mich aber bei der Einführung bei Gatekeeper "gestört" hat war die Verbreitung des Irrglaubens, dass der Anwender jetzt gegen Schadcode geschützt ist.
Das ist eben, wie Du auch anmerkst, genau nicht so. Der Anwender (ich rede von "Normalos") baut das Vertrauen zu Apple auf "die schützen mich".
Und genau das stimmt nur bedingt. Sie haben Algorithmen, die versuchen Schadcode zu entdecken, aber es entkoppelt nicht den eigenen Verstand anzuwenden.
Wie immer im Leben. Allerdings profitiert Apple von diesem subjektiven Gefühl der Sicherheit.

Eigentlich noch viel schlimmer ist mittlerweile, dass viele Anwender die ganze Sache mit Datenschutz assoziieren.
Dabei ist das wieder eine völlig andere Baustelle. Eine Anwendung, die mit "Developer ID" signiert ist und schön alle Anwenderdaten sammelt wird "niemals" eine Sperrung erfahren.
Warum auch, da sie kein Schadcode ausführt und ihren Zweck ordentlich erfüllt.

Damit die Brücke zum ursprünglichen Thema:

Die Dialoge geben uns ein Gefühl der Kontrolle und wir können es sogar auf Kommando abschalten (da müssen wir Apple glauben).
Aber ob bei Zugriff der Drittanbieter Unfug damit passiert ist alles nicht klar.

Viele Grüße
 
  • Gefällt mir
Reaktionen: KOJOTE, dg2rbf und hr47
Was mich aber bei der Einführung bei Gatekeeper "gestört" hat war die Verbreitung des Irrglaubens, dass der Anwender jetzt gegen Schadcode geschützt ist.
Das ist eben, wie Du auch anmerkst, genau nicht so. Der Anwender (ich rede von "Normalos") baut das Vertrauen zu Apple auf "die schützen mich".

Wie gesagt wusste ich das nicht aus eigener Erfahrung, hatte es aber stark vermutet:)
Da die Wahrnehmung des erfahrenen Anwenders eine ganz andere als die von eher unbedarften ist, es aber deutlich mehr von letzteren gibt, kann man Apples Strategie hier sogar teilweise verstehen.

Würde tatsächlich professionell auf potentielle Sicherheitsrisiken hingewiesen werden, würde die Mehrzahl der Benutzer dies als "Apple ist plötzlich gaaaanz unsicher geworden" deuten (ähnlich wie damals bei Windows Vista, das technisch keinesfalls unsicherer als sein Vorgänger XP war), untermauert und gepusht von den zahlreichen pseudo-professionellen Webseiten, die es hier so gibt.
Daher wählen sie den umgekehrten Weg und wiegen diese Anwender, die einen beträchtlichen Teil ihrer Kunden ausmachen, in künstlicher Sicherheit.
Wirtschaftlich durchaus nachvollziehbar.

Das man aber auch versierten Entwicklern verbietet, ihre App notwendige Einstellungen selbst vornehmen zu lassen (wenn der Benutzer sie bereits ausdrücklich in der App genehmigt hat), ist meiner Meinung nach schlicht falsch. Wie du schon selbst sagtest, sorgt das zum einen dafür, das nützliche Apps plötzlich nicht mehr verwendet werden, weil der Benutzer an der Installation scheitert oder fälschlicherweise in den Glauben getrieben wird, das er hier "gehackt" wird... Der User neigt dann eher dazu, dies mit der Unfähigkeit oder vermeintlichen kriminellen Absichten des Entwicklers zu verbinden.
Zum anderen erhöht es nicht die Sicherheit, sondern senkt nur den Benutzer-Komfort. Die Schadcode-Suche bei der APP-Freigabe wäre genauso erfolgreich oder "umerfolgreich" wie ohne diese nervige "Funktionalität".

Apple aber kann im Zweifelsfall immer sagen: Es war ja der User, der letztendlich die Einstellungen persönlich vorgenommen hat und ist aus dem Schneider. Hier wird der eben noch in Sicherheit gewogene dann plötzlich doch in die Pflicht genommen...

Jedenfalls danke für diesen Einblick - fand ich sehr interessant.👍
 
  • Gefällt mir
Reaktionen: dg2rbf
Schöner Fall von "Selbstüberführung", oder?:)

Naja, ich sage seit Jahren, Mac OS wird interessanter für Angreifer je höher die Verbreitung. Damit einhergehend der Versuch des Hersteller hier für Sicherheit zu sorgen und das teilweise mit Mitteln wie intial im Thread angesprochen.

Und Schadcode fange ich mir nicht zwingend mit einer App ein die ich installiere, da gibts andere Wege, Wege die an den Zertifikaten und den Dialogen vorbeiführen oder sich letztere, durch zuviel erscheinen dieser, auch zu Nutze machen.
 
  • Gefällt mir
Reaktionen: dg2rbf
Schöner Fall von "Selbstüberführung", oder?:)

@hr47 Deshalb hast Du in Deiner Eingangsfrage nach "persönlicher Meinung" gefragt und nun gibt es hier die Vertreter von mindestens zwei Meinungen. Wenn wir eine Strichliste für die Aussage führen würden: "Die größte Gefahr sitzt vor dem Computer", dann könnten wir diese Liste bestimmt um den Äquator wickeln :) Meinungstechnisch wird man wohl nie alle Lager auf einen Nenner bringen, was in dem Fall auch gar nicht notwendig ist. Wir drehen uns also im Kreis, wenn wir daraus eine Diskussion machen. Im Endeffekt ist es auch wie die Frage: "Was war zuerst da? Die Henne oder das Ei?"

Nachklapp: Ich würde lieber weniger Zeit damit verbringen, den Usern zu erklären wie wichtig Datensicherungen sind und diese auch ausgeführt werden ;)
 
...
 
Zuletzt bearbeitet:
Zurück
Oben Unten