OS X 10.11: Rootless blokkeert ook niet-kwaadaardige apps

Door: Raymon - 34 reacties

Een van de verbeteringen in OS X 10.11 El Capitan is de Rootless-beveiliging. Apple noemt dit System Integrity Protection en het zorgt ervoor dat kwaadaardige apps geen systeembestanden kunnen wijzigen. Prima beveiliging, maar er is ook een keerzijde.

Veel programma’s die de functionaliteit van OS X uitbreiden, werken niet meer. De ontwikkelaars van Flashlight (onze review) en TotalFinder laten weten dat hun software niet compatibel is met OS X 10.11.

Zowel Flashlight als TotalFinder zijn in weze plugins voor Spotlight en Finder die systeembestanden aanpassen. Ook hulpprogramma’s als Alfred en Quicksilver worden door Rootless onbruikbaar gemaakt. Power Users kunnen met deze tools vertalingen, gespecialiseerde zoekmachines en snelle acties zoals het versturen van een iMessage-bericht aan Finder toevoegen.
Schermafbeelding 2014-12-09 om 14.45.37

Jailbreak voor Mac?

In OS X 10.11 worden enkele van de functies van Flashlight en TotalFinder opgenomen, maar nog lang niet alles. De ontwikkelaars van TotalFinder zitten met de handen in het haar en vragen zich af of hun software wel als product voor consumenten kan blijven bestaan.

De enige manier om de tools te laten werken is het uitschakelen van System Integrity Protection. Een handeling die tech-savvy gebruikers via de herstelmodus van OS X kunnen uitvoeren, maar de gemiddelde consument wil zijn vingers en niet aan branden. De beveiliging uitschakelen zou gelijk staan aan het jailbreaken van je Mac en dat durven zelfs de ontwikkelaars van hulpprogramma’s voor Spotlight en Finder nog niet aan te raden.
disable-sim-001

Reacties

34 reacties
  • Profielfoto
    KiDo

    Lekker dicht blijven timmeren die hap en alle ontwikkelaars van je platform wegjagen. Ik vind dat ze maar raar bezig zijn met OS X sinds Yosemite.

  • Profielfoto
    Dashter

    Rootless een van de verbeteringen van OS X? Wat een grap. Ik zou rootless enkel omschrijven als de zoveelste malware die het open karakter van een OS verstoort, om het gaandeweg meer en meer naar een gesloten OS dicht te timmeren. Ik wil baas blijven over mijn eigen systeem.

    Het is eng een computer te moeten jailbreaken om nog van een beetje vrijheid over je eigen systeem te kunnen genieten.

  • Profielfoto
    tinus_omt

    De doelgroep gebruikt dit soort programma’s niet en de mensen die het wel leuk vinden om op deze manier te experimenteren kunnen gewoon de beveiliging uitzetten.

  • Profielfoto
    Hydræ

    Het is een stukje functionaliteit opofferen voor beveiliging. Het moet niet mogelijk zijn om systeembestanden aan te kunnen passen, maar het OS moet daarentegen wel een platform voor apllicaties en mogelijkheden zijn.

    Maak van je plug-in een standalone app, zoals de ontwikkelaars zelf al voorstellen.

  • Profielfoto
    kasuja

    hmmm jammer… Dat waren juist zo leuke/handige toevoegingen aan MacOS die dankzij Rootless niet meer mogelijk zijn.

    Wellicht dat Apple zelf de ontbrekende functionaliteit alsnog toevoegt of ontwikkelaars de mogelijkheid geeft deze toe te voegen via plugin’s

  • Profielfoto
    Dashter

    Het is een stukje functionaliteit opofferen voor beveiliging. Het moet niet mogelijk zijn om systeembestanden aan te kunnen passen, maar het OS moet daarentegen wel een platform voor apllicaties en mogelijkheden zijn.

    Maak van je plug-in een standalone app, zoals de ontwikkelaars zelf al voorstellen.

    Ik zou het toch leuk vinden moest die Rootless via een eenvoudige switch in systeemvoorkeuren uit te schakelen zijn, er is genoeg nuttige functionaliteit die belemmerd wordt door Rootless, zoals bv. de twee genoemde apps in het artikel.

    Verder is het plugin-karakter net de grote kracht, ik wil geen standalone app maar iets dat zich volledig kan integreren in mijn systeem:)

  • Profielfoto
    LT Barclay

    Lekker dicht blijven timmeren die hap en alle ontwikkelaars van je platform wegjagen. Ik vind dat ze maar raar bezig zijn met OS X sinds Yosemite.

    Dan moet je Linux o.i.d gaan gebruiken. Dan heb je alle vrijheid die je hebben wil.
    De meerderheid van de OSX gebruikers zullen hier hoogst waarschijnlijk geen last hiervan hebben.

  • Profielfoto
    Dashter

    Dan moet je Linux o.i.d gaan gebruiken. Dan heb je alle vrijheid die je hebben wil.
    De meerderheid van de OSX gebruikers zullen hier hoogst waarschijnlijk geen last hiervan hebben.

    Da’s toch geen uitleg om iets goed te praten? De meerderheid van Windows 10-gebruikers ondervindt ook geen last van alle metadata die heimelijk naar de Microsoft-servers wordt verstuurd, maar daardoor is het toch niet plots OK om het te doen?

  • Profielfoto
    Verdult

    Hebben programma’s zoals karabiner en NoEjectDelay hier ook last van?

    (Ik heb geen superdrive meer in men MBP, vervangen door SSD, mijn eject key is nu een forward delete)

  • Profielfoto
    Verdult

    Hebben programma’s zoals karabiner en NoEjectDelay hier ook last van?

    Een korte search later en het lijkt erop dat 10.11 ondersteund wordt.

  • Profielfoto
    Nosferius

    Dashter, voor de gemiddelde gebruiker is er niks slechts aan de hand. De gemiddelde gebruiker doet niets met dingen als Xtrafinder omdat het weinig tot niets toevoegt aan het gebruiksgemak als je niet ook echt diep in je systeem duikt.

    Mensen die dat wel nodig hebben bezitten ook de kennis en kunde om de security gemakkelijk aan te passen zodat het wel kan, dit hoort bij de standaard handelingen als je een nieuw systeem opzet of upgrade … die customize je naar je gebruikerseisen.

    Jammer dat er dan mannetjes gaan klagen over het moeten uitvoeren van een paar kleine handelingen om een programma te installeren die stukken dieper in je systeem kan komen dan simpele programmatuur.

    Die security toevoeging zelf is wenselijk en op langer termijn volledig noodzakelijk en dus juist props voor het invoeren ervan, het beschermt de gemiddelde consument!

    Als jij dat niet goed genoeg vind als argument waarom er niks aan de hand is dan ligt dat niet aan Apple of ons.

  • Profielfoto
    spacefreek

    De doelgroep gebruikt dit soort programma’s niet

    Ik wil je bedanken voor m’n lach van de dag, wat een priceless uitspraak

  • Profielfoto
    IsSidha

    Dashter, voor de gemiddelde gebruiker is er niks slechts aan de hand. De gemiddelde gebruiker doet niets met dingen als Xtrafinder omdat het weinig tot niets toevoegt aan het gebruiksgemak als je niet ook echt diep in je systeem duikt.

    Mensen die dat wel nodig hebben bezitten ook de kennis en kunde om de security gemakkelijk aan te passen zodat het wel kan, dit hoort bij de standaard handelingen als je een nieuw systeem opzet of upgrade … die customize je naar je gebruikerseisen.

    Jammer dat er dan mannetjes gaan klagen over het moeten uitvoeren van een paar kleine handelingen om een programma te installeren die stukken dieper in je systeem kan komen dan simpele programmatuur.

    Die security toevoeging zelf is wenselijk en op langer termijn volledig noodzakelijk en dus juist props voor het invoeren ervan, het beschermt de gemiddelde consument!

    Als jij dat niet goed genoeg vind als argument waarom er niks aan de hand is dan ligt dat niet aan Apple of ons.

    +1

    je doet je huis toch ook op slot als je weg gaat.. of is dat ook onhandig omdat je dan weer een sleutel mee moet nemen.. dan laat je ‘m lekker open maar dan ook niet huilie huilie doen als de boel weg is

  • Profielfoto
    Dashter

    @Nosferius: Nou, daar ga ik dus in de verste verte niet mee akkoord… Daarbij gaat het mij helemaal niet over vermeende beveiliging o.i.d., maar wel over de steeds verdere afname van de rechten van de koper van een OS.
    Het gaat om het principe dat je als gebruiker volledige toegang zou moeten krijgen tot het softwarepakket dat je gekocht hebt. Dit zonder de grijze zone te moeten betreden van de legaliteit van jailbreaken.

    @IsSidha: Als jij je huis wil openen nadat je het op slot deed hoef jij toch ook niet met een haarspeld het slot open te peuteren in de hoop dat je niets stuk maakt? Je krijgt van de deurfabrikant een sleutel hem zonder problemen te openen, wat bij de analogie naar Apple een switch in de systeemvoorkeuren zou betekenen. Wat Apple nu doet is een op voorhand gelockte deur in je huis installeren, en als je binnen wil moet je maar met een koevoet tewerk gaan.

  • Profielfoto
    Nosferius

    Dashter, Ik noem nergens jailbreaken of de legaliteit hiervan.

    Ik ook weet niet of jij weet wat root level access is en waarom je dat vrijwel nooit zomaar aan een programma van twijfelachtige oorsprong wilt geven … met root level access kan een programma letterlijk alles met je data en OS doen (verwijderen, aanpassen, stelen, corrumperen, etc.).

    Ze (software programmeurs) kunnen ook langer nadenken en een background user maken die access heeft tot de strict noodzakelijke files (iets met ACL), hier moet je dan met je admin wachtwoord bij installatie toestemming voor geven … eigenlijk zoals nu altijd al gaat maar met een nieuwe reden erbij en dan is het ook opgelost, niet zo moeilijk is het wel … komen die lui die nu zeuren vast nog wel achter.

    Het Mac OS is verder al tijden gratis en heeft een gebruikslicentie en is geenszins jouw eigendom, lees de kleine letters maar, je mag bij de meeste software niks aanpassen omdat je anders je gebruikscontract (die EULA) breekt en strafbaar bent (wat ook de reden is dat jailbreaken illegaal is, bij die handeling schend men het contract);) het “kopen” van software is dus niet hetzelfde als er eigenaar van zijn! Je mag het gebruiken, thats about it! Voor meer info: http://www.webopedia.com/DidYouKnow/Hardware_Software/OwningSoftware.asp

    Enne, koevoet? Kom op zeg, je installeert het OS, je start opnieuw op vanaf je recovery partitie en klikt op de utilities -> security settings, vinkje uitzetten en klaar … dus waar gaat het feitelijk om? De luiheid dat je het niet vanuit sys.prefs. kan doen? Het is niet alsof je dit dagelijks aan of uit moet zetten.

  • Profielfoto
    iMaf

    Net de update geïnstalleerd, Alfred doet gewoon zijn werk hoor! Geen enkel probleem.

  • Profielfoto
    Eprom

    Het gaat om het principe dat je als gebruiker volledige toegang zou moeten krijgen tot het softwarepakket dat je gekocht hebt.

    Er staat toch nergens in de aankoopvoorwaarden van dat je “volledig toegang” zou moeten krijgen bij aankoop. Je koopt het recht op een goed werkend en VEILIG besturingssysteem! Nu Apple een extra beveiliging inbouw is het weer niet goed?

  • Profielfoto
    defores

    Maar waarom zou total finder wijzigingen aan systeembestanden moeten aanbrengen? Bovendien een power user gebruikt de shell (stuk effectiever).
    Voor de rest heb je API’s die daar voor bedoeld zijn (het heet ook niet voor niks systeem bestanden).

  • Profielfoto
    menno9

    Dus als ik apps van Internet download zoals een VLC of andere apps worden deze ook geblokkeerd mits ik dus de beveiliging uitzet? Of heeft dat hier niks mee te maken?

  • Profielfoto
    bmeerdink

    Power users kunnen rootless (ofwel: “System Integrity Protection”) uitschakelen.

    Maar het lijkt me een goede zet van Apple, Mac hebben weinig last van malware, maar dat komt niet vanzelf. Daar moet Apple wel continu voor werken.

    Uiteraard zal over een tijdje elk ander OS dit overgenomen hebben. En wat betreft niet-compatible apps: die kunnen vast aangepast worden zodat ook zij veiliger werken. Lijkt me op zich ook nuttig en nodig. Systeembeveiliging wordt een steeds groter issue.

  • Profielfoto
    Franky Mac

    @Menno9
    Nee, gelukkig niet. Apps van buiten de Appstore, zoals VLC zul je gewoon kunnen installeren, net zoals nu. Alleen programma’s zoals TotalFinder die systeembestanden, die door OSX in een actief systeem in het geheugen zijn geladen aanpassen, om zo de functionaliteit van bijv. de Finder uit te breiden, die kunnen dat niet meer bij El Capitan.

  • Profielfoto
    BomC

    @Verdult: Karabiner werkt prima in de Beta van OSX10.11 – ik typ dit op een Extended Keyboard terwijl ik het geluid met F12 even harder zet:smile:

  • Profielfoto
    BomC

    Het probleem is misschien niet eens zozeer dat Apple al dan niet root level-toegang mogelijk of onmogelijk maakt, maar dat ze van het ene op het andere moment hun beleid veranderen en daarmee ontwikkelaars het leven moeilijk maken. Voor beide standpunten (toegang of niet) zijn argumenten te bedenken, maar als je het elf OS-versies lang hebt toegestaan moet je op zijn minst kunnen uitleggen waarom het nu ineens niet meer mag. Een beetje horkerig gecommuniceerd (of liever:niet). Maar da’s ook niet echt nieuws.

  • Profielfoto
    Alexander Henket

    Het gemis van TotalFinder is niet groot genoeg om de extra beveiliging uit te schakelen. Voor wie meer wil weten waarom TotalFinder zo werkt als het werkt, lees hier.

    Het probleem voor mij is een gebrek aan productiviteit in de Finder die TotalFinder (en DefaultFolder) voor mij oplost. De Finder laat zich niet uitbreiden via normale plug-ins zoals de Windows Verkenner bijvoorbeeld wel heeft. Daarom bestaat er bijvoorbeeld iets als Tortoise SVN voor Windows en niet voor OSX.

    Waarom de Finder niet voldoet heeft John Siracusa van Ars Technica al vaak genoeg en uitgebreid toegelicht (link). Ik heb ook PathFinder die in principe dienst kan doen als vervanging van de Finder, maar zoals eerder opgemerkt verkies ik toch ook een plug-in boven een afzonderlijke applicatie. Daarnaast vind ik PathFinder vrij matig in vormgeving en Nederlandse taal.

    Ik ben, denk ik / uiteindelijk, wel blij met de verhoogde beveiliging, maar ik ben nog niet tevreden met de huidige situatie. Apple is net als onze regering schuldig aan zwalkend beleid wat schadelijk is voor het ecosysteem. Daarnaast vind ik dat power users in toenemende mate in de steek worden gelaten in hardware en software.

    “Dan ga je maar de shell” is tenslotte ook een vrij lullige opmerking die te kort door de bocht is. Ik werk ook vrij veel in de shell. Werken in de shell werkt heel goed voor sommige dingen, en niet goed voor andere. Als ik werkelijk puur in een shell wilde/moest/kon werken dan werkte ik inderdaad wel op Linux.

  • Profielfoto
    Maikelw

    Dus iets als cDock werkt dan ook niet meer? Wauw ik moet steeds meer handelingen uitvoeren om mn computer bruikbaar te houden :S

  • Profielfoto
    bmeerdink

    @ahenket: het artkel van Siracusa is van 2003! Een betere link is http://arstechnica.com/apple/2003/04/finder/
    Het zou kunnen dat Apple in die 12 jaar de Finder wat verbeterd heeft. Maar ook al heeft Finder nadelen, ik vind het hacken van het OS (dat is zo ongeveer wat TotalFinder doet als ik het goed begrijp) geen prettig idee. Er moet toch een betere manier zijn.

    Overigens, als ik goed geïnformeerd ben dan loopt bv. iets als Alfred 2 wel gewoon onder El Capitan. Zie: http://forums.macrumors.com/threads/os-x-el-capitan-working-not-working-apps.1890772

  • Profielfoto
    defores

    @BomC

    Het in eerste instantie niet de bedoeling dat je als ontwikkelaar aan systeem bestanden gaat prutsen (op geen enkel platform). Bovendien biedt een OS de API’s waar je gebruik van kan maken, dat is nu juist ook de bedoeling van API’s.

    Mijn inziens is het niet dat het moeilijker voor de ontwikkelaars maar meer een correctie tikje.

  • Profielfoto
    Franky Mac

    Die API’ s moeten dan wel aanwezig zijn, als een ontwikkelaar iets met het systeem wil doen en er is geen API voor, dan kan hij het nu vergeten.

    Door Rootless mode zullen diverse programma’s een update moeten krijgen, bijvoorbeeld met de huidige versie van SuperDuper kun je geen El Capitan systeem herstellen, doordat systeembestanden beveiligd zijn en alleen bepaalde geautoriseerde processen ze kunnen wijzigen. Gelukkig zijn de ontwikkelaars bezig om hier oplossingen voor te bedenken. Zie hier voor meer info:
    http://www.shirt-pocket.com/blog/index.php/shadedgrey/comments/uncovering_our_rootlessness/

  • Profielfoto
    Alexander Henket

    @bmeerdink: Dat artikel was antiek ja, daarom des te interessanter dat het relevant blijft, maar niettemin dank voor de update. Zoals @Franky Mac ook al stelt heeft de Finder nu net niet het soort uitbreidingsmogelijkheden die je op allerlei plaatsen in OSX wel vindt. Apple weigert de Finder wezenlijk te verbeteren (de tabs implementatie was ook halfbakken) en dat steekt op een gegeven voldoende om ontwikkelaars uit te dagen oplossingen te vinden. Binary Age is er zo een. Dat bedrijf zal nu andere apps moeten gaan maken of zichzelf opheffen. Zoals wel vaker kun je bepaalde dingen ten goede en ten kwade aanwenden (MacKeeper/Genieo) en zoals wel vaker leggen de goede het af tegen het misbruik.

    Ik heb in de lopende betaperiode voor 10.11 Apple gevraagd (en naar ik begrijp velen met mij) om de functionaliteit van TotalFinder in de Finder op te nemen of Binary Age te kopen. Toevoegen van de ontbrekende plug-in architectuur is ook een optie.

  • Profielfoto
    polansky

    Nog heel even en ook het vinkje “Sta programma’s toe die zijn gedownload bij ‘willekeurige bron'”, zal ook wel snel verdwijnen.

    Dan worden ontwikkelaars gedwongen om gebruik te maken van de Mac App store.

    Apple is heel hard bezig om misschien een OS voor dummies te maken, maar de hardcore gebruiker jaagt zij net zo hard weg. Bovendien zal niet iedere ontwikkelaar het zien zitten om 30% van zijn omzet af te staan aan Apple.

    Dat betekent dus voor gebruikers uiteindelijk een prijsverhoging van 30% accepteren voor hun software of accepteren dat er minder programma’s zullen worden ontwikkeld voor Mac OS X.

    Windows 10 wordt steeds aantrekkelijker, ondanks dat Windows zo lek is als een mandje.

  • Profielfoto
    bmeerdink

    @ahenket: Ik vind nu juist dat de Finder veel handiger geworden is. De tabs werken uitstekend. De padbalk en de navigatiekolom gebruik ik ook veel. Ik open vaak een nieuwe tab met Command-(dubbel)click en sleep soms ook een tab los als ik iets wil vergelijken. Een nieuwe map maken uit een selectie vind ik ook een nuttige optie. Misschien dat je met TotalFinder last hebt van de remmende voorsprong: als je niet alle opties van Finder kent bij gebrek aan ervaring ermee denk je al gauw dat het een gebrekkig instrument is. Het tegendeel is waar.

    Wat betreft de kritiek van de ‘powerusers’ op OSX: ze gebruiken bij Apple zelf natuurlijk ook OSX, en daar zitten ook veel powerusers bij. Ik denk dat het vooral een kwestie is van ontdekken hoe je iets het handigste kunt doen, of het nu via een onder de Option-toets verstopte optie is, via een sneltoets, een context menu, selecteren en slepen, of de terminal, een ingebouwde utility of een zelfgemaakt scriptje.

  • Profielfoto
    bmeerdink

    @polansky: Je bent een beetje FUD aan het verspreiden hoor, het installeren van apps buiten de App Store zal blijven. Ik doe het door de waarschuwings-popup te controleren, niet door de globale controle uit te schakelen.

    Overigens schuiven ook Google en Microsoft duidelijk op in de richting van Apple’s aanpak. Ik vind het ook goed als ontwikkelaars zorgen dat de herkomst van hun applicaties steeds geverifieerd kan worden via certificates. Of de distributie dan via de app store gaat of niet is secundair. 30% is trouwens in de meeste gevallen geen onredelijke fee voor de service die Apple levert.

  • Profielfoto
    polansky

    @Bmeerdink, dat is maar helemaal de vraag.
    Dat vinkje staat standaard op het ‘niet’ kunnen downloaden van externe content die niet via Apple wordt aangeschaft.

    Ik heb al heel wat mensen aan de lijn gehad die dachten dat je alleen nog maar via de Mac App store software kon downloaden. Puur omdat ze niet weten dat je hiervoor het vinkje moet uitschakelen (en waarbij je ook nog eens admin rechten moet hebben). Je moet er namelijk wel even naar zoeken als je niet thuis bent in de instellingen.

    Het is een kleine stap voor Apple om die hele mogelijkheid weg te halen.
    Voor OS X Mountain Lion zat deze hele functionaliteit er niet in.
    En zo had het mijn inziens ook moeten blijven,

    Denken dat Apple softwaredevelopers niets gaat opleggen op dit gebied is heel kortzichtig en je hoofd in het zand steken. Zeker omdat Apple al redelijk vaak developers allerlei eisen heeft opgelegd die niet altijd beter zijn voor de softwareontwikkelaars, maar wel goed zijn voor de inkomsten van Apple zelf.

    Het is maar een kleine stap voor Apple om deze verplichting (software alleen verkopen via de Mac App store) op te leggen.

    En als je al wat langer meedraait in OS X updates, dan zie je gewoon dat OS X en iOS heel erg dicht naar elkaar toe aan het groeien zijn. Niks FUD dus. Gewoon oplettendheid waarbij je ziet welke koers Apple aan het varen is. Misschien beter om je roze bril af te zetten en niet alles wat Apple doet als zoete koek te slikken.

  • Profielfoto
    bmeerdink

    @polansky: als je bijvoorbeeld VLC of Calibre of Virtualbox of Libreoffice of Alfred wilt installeren, om maar een paar nuttige apps te noemen dan volstaat het om na het installeren in het context menu (rechter muistoets) ‘Open’ te kiezen en de popup door te klikken. No problem at all.

    Je kunt ook wel aan het soort apps (voor velen ongeveer onmisbaar) zien dat die echt niet geblokkeerd gaan worden door Apple, dat zou zelfmoord zijn.

    Dus, stop de FUD. OSX is geen iOS, hoogstens zal Apple OSX en iOS zover ontwikkelen dat je er ook (sommige) iOS resp OSX apps mee kunt draaien. Maar de ervaring zal suboptimaal zijn vanwege het grote verschil tussen touchscreen en PC. Zoals Microsoft ondervond en zal blijven ondervinden. Dat maakt dat scenario minder waarschijnlijk, hoewel misschien een iPad+toetsenbord een PC enigszins kan vervangen.

    Ik heb er trouwens geen enkele bezwaar tegen als Apple de developers zover krijgt dat ze de stabiliteit van mijn systeem niet in gevaar brengen (sandboxing is een goede zaak).