Zweischneidiges Schwert: Ab März 2012 müssen alle Programme im Mac App Store „App Sandboxing“ nutzen
Mit OS X Lion (10.7) hat Apple diesen Sommer seinem Desktop-Betriebssystem nicht nur eine Fülle neuer Bedienelemente, wie das Launchpad, beschert, sondern auch an der Sicherheit des System gearbeitet. (Hier die Übersicht aller 250+ Mac OS X Features.)
Ein großer Schwerpunkt liegt beim sogenannten „Sandboxing„, das um die „App Sandbox“ ergänzt wurde. Sandboxing bedeutet, dass eine Anwendung vom restlichem System abgeschirmt wird und mangels Schreib- und anderen Zugriffsrechten keinen Schaden an anderen Programmen oder dem System selbst anrichten kann.
Das Sandboxing für eine App zu aktivieren ist noch optional, ursprünglich war die Frist für die Entwickler auf den 1. November festgelegt worden, wurde jedoch nun zum 1. März 2012 verlängert. Ab dann müssen alle Entwickler, die ihre Mac Anwendungen im Mac App Store anbieten möchten, von dieser Funktion Gebrauch machen. Allerdings ist die Implementierung nicht kompliziert und läuft vollautomatisch ab. In Xcode müssen die Entwickler lediglich einen Haken bei der Checkbox „Enable Entitlements“ setzen.
Alles in allem klingt das zunächst ja nicht schlecht. Das Sandboxing hat jedoch nicht nur positive Folgen für den Nutzer. Durch diese Umstellung der Zugriffsberechtigungen können Anwendungen nicht mehr jede beliebige Funktion ausführen. Nur noch die folgenden Zugriffe auf Bereiche außerhalb der Laufzeitumgebung der App werden sich nutzen lassen:
- Lese-/Schreibzugriff auf den Filme-Ordner und die iTunes Filme des Nutzer
- Lese-/Schreibzugriff auf den Musik-Ordner des Nutzer
- Lese-/Schreibzugriff auf den Bilder-Ordner des Nutzer
- Lese-/Schreibzugriff auf den Download-Ordner des Nutzer
- Lese-/Schreibzugriff auf das Adressbuch des Nutzer
- Lese-/Schreibzugriff auf den Kalender des Nutzer
- Video- und Fotoaufnahme mit der integrierten iSight-Kamera
- Tonaufnahme mit dem integriertem Mikrofon
- Nutzung von USB-Geräten
- Lese-/Schreibzugriff auf die der Nutzer mit einer Open-/Save-Dialogbox zugreift
- Vererbte Child-Prozesse der Parent-Sandbox
- Ausgehende und eingehende Netzwerkzugriffe zur Verbindung mit anderen Geräten
- Nutzung von des Core Location Framework um die geographische Position des Computer zu bestimmen
Weiterhin können Entwickler aktuell zumindest temporär weitere Berechtigungen nutzen, bis ihre bestehenden Anwendungen an die neuen Regelungen angepasst wurden.
Mit diesen beschränkten Zugriffsrechten können jedoch einige Anwendungen ab März nicht mehr im Mac App Store weiterbestehen. Macrumors nennt hier mit CoverSutra, einer Erweiterung für die Menüleiste um iTunes fernzusteuern, ein gutes Beispiel. Zwar können Anwendungen auf den Musikordner zugreifen, allerdings können sie nicht mehr fremde Anwendungen, wie iTunes, steuern. Ebenso sind auch Dateisystembrowser betroffen, Backupprogramme und viele andere. Möglicherweise werden sich auch keine Plug-Ins mehr in diese Anwendungen integrieren lassen.
Noch können wir jedoch nicht genau einschätzen, wie drastisch die Folgen sein werden. Wer weitere Berechtigungen für seine Anwendungen benötigt kann beim Einreichen seiner App im Mac App Store einen Antrag auf die Befugnisse stellen. Laut Apple „muss eine Begründung mitgeliefert werden“. Wünschenswert wäre es, dass Apple auch weiterhin diese Schiene fährt und es Entwicklern ermöglicht auf Antrag weitere Systemressourcen zu nutzen.
Letztlich wird Apple sein Entwickler-Community – und damit auch die Nutzer der im Mac App Store angebotenen Anwendungen – wohl nicht zu sehr einzuschränken. OS X ist nicht iOS und zu drastische Anforderungen würden das Angebot des Mac App Stores weit weniger interessant machen. Langfristig dürfte es in Apples Interesse sein, so viele Entwickler wie möglich zum Software-Vertrieb über den Mac App Store zu bewegen. Noch befinden wir uns auf der Suche nach den besten Kompromissen.
Naja, man kann seine software ja weiterhin online anbieten (ohne was an apple zu bezahlen) oder über den Cydia Store (der hoffentlich bald auf den Mac kommt) :D
Beim Mac hat man solche beschrenkungen nicht nötig.
Die Entwickler die ihre software nicht damit beschneiden möchten brauchens auch nicht, hoffentlich bleibt das auch so ;)
Wieso Cydia Store?
Sowas wie Cydia ist doch garnicht notwendig, bei OSX hast du alle Rechte.
Freeman wollte trotzdem einen für Mac machen^^
Cydia wird immer mit dem Jailbreak in Verbindung gebracht, als wäre es eine Einheit. Das ist so FALSCH!!!
Der Sinn von Cydia ist es eine Alternative zu Apples AppStore zu schaffe die keine Vorschrifften beachtet, in der man alles anbieten darf.
Der Vorteil für den Anwender das alle Programme Zentral zu finden sind.
@sebproof: Du meinst sowas wie AppBodega.com? Ja … sowas müsste man mal erfinden ;-)
Cydia lässt sich am besten mit den Linux Software Center vergleichen. Wer weiß was er tut will es auch auf dem Mac und natürlich auch auf windows
? Sandboxing zum Schütze des Rechners (da würde auch ein entsprechendes Tool helfen) oder Schutz von Apple Eigenentwicklungen ?
Ein Schelm wer kommerzielle Interessen dabei im Auge hat. Mit fällt da spontan der Aufschrei ein, als Microsoft den IE erstmalig fest implementiert hatte. Nachtigall …. ;€
Ich liebe eure kurzen und knackigen Überschriften :p
Noch sieht das ja alles nett aus. Aber es zeigt, wo Apple hin will. Und das bereitet mir bei aller Sicherheit Bauchschmerzen.
Was mich stutzig macht sind gerade solche Apps wie 1Password und Growl, die im Sandbox Prinzip keine Funktion bzw. nur noch eingeschränkte Funktionen haben. Growl wäre in einer Sandbox nutzlos, und 1Password würde die Browserschnittstelle verlieren mit der das direkte Einloggen verbunden ist. Oder darf andersrum Safari geerbte Prozesse von 1Password aufnehmen??
Aber solange es nicht möglich ist bestehende Lizenzen auch für den MacStore zu portieren und man doppelt zahlen muss, wie im Falle von 1Password und darüber hinaus noch gezwungen wird, weil die außerhalb des MacStore erhältliche Version nicht mehr weiter veröffentlicht wird, kann mir der Mac AppStore sowas von gestohlen bleiben. Im iPhone/iPad AppStore habe ich schon soviel ausgegeben das man mich als „Power-Käufer“ bezeichnen könnte, aber im Mac AppStore habe ich bislang noch keinen Cent ausgegeben und das wird auch so bleiben bei den Regelungen. Einzig der Preis konnte bei ein paar Apple eigenen Apps überzeugen…
Es betrifft Programme aus dem AppStore, nicht diejenigen, die nach belieben installierst.
Virenscanner???
Am Mac? Von was träumst du eigentlich Nachts ;)
Ich sehe im Sandboxing eher den Vorteil dass man keinen Scanner braucht. Allerdings sind auch Mac Nutzer nicht vor Trojanern gefeilt und die besten Sicherheitsvorkehrungen helfen nicht, wenn der Anwender die Schwachstelle ist.
Ich gebe zu, dass ich im Moment „nur“ ein IOS-User bin (iPhone + iPad), aber ich gehe davon aus, dass es auch in der „Mac-Welt“ es sowas wie ein Virenscanner gibt. Oder leben die Mac-User auf einer Insel der Seligen?
Am Mac sind Virenscanner tatsächlich eine Seltenheit, da es nur sehr wenig Malware gibt.
@O_o
Danke für deine konstruktive Antwort – etwas was leider hier im Forum nicht eine Selbstverständlichkeit ist.
Ich bin nicht sicher, ob der Weg Anwendungen so zu kapseln, das diese zwar sicher sind, aber das gesamte System applikatorisch sehr begrenzt wird.
Vielleicht wäre ein besserer Weg, wenn Apple in die Sicherheit des kompletten Sytems investieren würde, allein um dem Vorwurf entgegegen zu treten sich immer mehr in eine eigene, proporitäre Welt abzukapseln. Sonst wird es demnächst kein Microsoft bushing mehr geben, sondern der im Moment coole Apple-Flair sich drehen in Richtung Buh-Mann (siehe Patentstreit mit Samsung).
Virenscanner an sich schaden dem system und es wird unnötig träge das möchte ich meinem mac nicht antun dann lieber sicherheits beschränkungen. Lg
Ein guter Schritt um sich von Windows weiter anzuheben und das noch Mac OS auf eine gemeinsame Basis mit iOS zu stellen. > ein System für alles, vielleicht an 2013/14 auf ARM Basis
Diese Änderung zeigt mir, wo Apple mit dem Mac hin möchte: Applikationen wie unter iOS nur mehr über den App Store! Und wenn das tatsächlich der Fall wird, wars das für mich mit der Apple Welt. So schmerzlich das auch sein wird…
1Password und Growl (um nur 2 zu nennen) dürften damit dann im App Store Geschichte sein!?