Neu in Big Sur
macOS 11: Apple-Prozessoren starten nur noch signierte Apps
Habt ihr schon unseren vormittäglichen Eintrag über Apples immer ernster formulierte Warnmeldungen gelesen, der sich damit beschäftigt hat wie kompliziert es vor allem für unbedarfte Anwender geworden ist, Mac-Applikationen zu starten, die von ihren Machern nicht signiert wurden. Falls nicht, nur zu. Wir warten hier so lange:
Wir kommen noch auf das Thema, da die im Text angerissene Möglichkeit, dass zukünftige Versionen des macOS-Betriebssystem nur noch Apps Starten werden, die über eine valide Signatur verfügen, offenbar schneller als erwartet eintreten wird.
Wie Apple jetzt im Kleingedruckten der Release Notes zu den macOS Big Sur 11 Universal Apps angibt, werden zukünftige Mac, die nicht auf Intel- sondern auf Apple-Prozessoren setzen, nur noch signierten Code ausführen. Punkt.
Immerhin wird Apple auch Nutzern ohne kostenpflichtigen Entwickler-Account das lokale Signieren gestatten, da diese Signaturen jedoch nicht von Apple beurkundet werden können, bleiben die Warnmeldungen erhalten.
Neu in macOS 11 auf Macs mit Apple-Prozessoren, startend mit der nächsten Beta-Version von macOS Big Sur 11, wird das Betriebssystem erzwingen, dass jede ausführbare Datei mit einer gültigen Signatur versehen sein muss, bevor sie ausgeführt werden darf.
Es gibt keine spezifische Identitätsanforderung für diese Signatur: es genügt eine einfache, lokal ausgestellte Ad-hoc-Signatur, die Signaturen enthält, die nun automatisch vom Linker erzeugt werden. Dieses neue Verhalten ändert nichts an der seit langem etablierten Richtlinie, dass unsere Benutzer und Entwickler beliebigen Code auf ihren Macs ausführen können, und soll die Ausführungsrichtlinien auf Macs mit Apple-Prozessoren vereinfachen und das System in die Lage versetzen, Codeänderungen besser zu erkennen.
Seriously Apple? Wenn das so kommt, Wechsel ich endgültig in Windows Lager …
Besser direkt zu Linux
Apple ist und bleibt ein Fall für die Wettbewerbsbehörden!
Du hast aber schon den gesamten Artikel gelesen?
Und warum?
Warum? Es kann auch Software selbst signiert werden und dann muss man kein Geld an Apple zahlen
Software selbst signieren ist aber nicht so einfach.. habs mal probiert für die Apple TV und bin kläglich gescheitert lol
Noch kann Software selbst signiert werden. Spätestens im nächsten oder übernächsten vollen Update ist damit sicher auch Schluss.
Apple schränkt macOS Schritt für Schritt immer weiter ein und das schon seit Jahren. Immer ein kleines bisschen mehr mit jedem großen Update, sodass der Nutzer sich auch langsam dran gewöhnen kann ohne die Einschränkungen wirklich zu bemerken. Das Ziel dürfte ein geschlossenes System ähnlich wie iOS sein. Volle Kontrolle, maximaler Umsatz unter dem Deckmantel der Sicherheit.
Ich bin jedenfalls sehr skeptisch, was die Zukunft des Macs betrifft. Das finde ich auch ziemlich schade.
das sehe ich genauso, ich bin mit meinem Arbeitsrechner schon bei Windows angekommen und wenn ich so etwas lese weiß ich auch ganz genau warum.
Offenbar nicht richtig gelesen oder verstanden ;)
Auf 64-bit Windows erlaubt Microsoft ebenso nur signierte Treiber (bei 32 Bit kommt eine Warnung). Im Gegensatz zu Apple müssen diese von Microsoft signiert werden und können nicht vom Entwickler selbst signiert werden – wo ist das also jetzt besser und ein Anlass, von Apple zu Microsoft zu wechseln?
Dann müsstest Du schon konsequent zu Linux wechseln, wo es solche Zwänge gar nicht gibt.
@MacManux: Das ist natürlich nur die halbe Wahrheit. Die Treibersignaturprüfung lässt sich zur Installation sehr einfach deaktivieren und anschließend wieder aktivieren. Der Treiber funktioniert dann weiterhin.
Hier geht es aber nicht um Gerätetreiber, sondern um simple Anwendungen. Und die kann man unter Win problemlos ausführen. SmartScreen ist zwar etwas ähnliches, aber längst nicht so restriktiv, wie es Apple hier macht. Sorry, aber das wird vielen Nutzern nicht gefallen, was Apple da vor hat.
Mein MBA Late 13 sollte eigentlich auch mal ersetzt werden durch einen modernen Laptop, aber inzwischen reicht mir mein stationärer Ubuntu-PC völlig aus. Auf solch ein geschlossenes System habe ich keine Lust mehr. Einzig das iPad ist in meinen Augen konkurrenzlos.
Mein MBA Early 13 läuft auch noch super, sollte der den Geist aufgeben wechsle ich auch zu Linux. Ich hoffe ja seit Jahren, dass es auch im mobilen Sektor endlich mit Linux vorangeht, schon alleine um einen Gegenpool gegen Apple und Android zu haben.
…uuuuund da haben wir’s.
Mac-iOS ten, ähh eleven
Ein Schritt in die völlig falsche Richtung. Bin froh mir nach meinem MacBook Air wieder nen Windows Laptop gekauft zu haben. So gut iOS auch wirklich ist, so nervig ist Mac OS.
Es gibt einen simplen Terminal-Befehl, um das kurzzeitig auszuschalten. Danach muss man die App einmal starten. Anschließend kann man den Befehl rückgängig machen und das System merkt sich das für diese App.
sudo spctl –master-disable zum Ausschalten und
sudo spctl –master-enable zum Einschalten im Anschluss.
Wohl dem der sudo-Rechte hat
Und der Command funktioniert auf Big Sur Beta auch noch?
Sonst wäre der Kommentar für die Katz :)
Absolut richtiger Schritt. Wer ernsthaft glaubt, Apple wäre scharf auf die 100 EUR pro Jahr für den Developer Account, dem ist auch nicht mehr zu helfen.
Es geht um ein Mindestmaß an Quellensicherheit und jeder, der sich mal außerhalb des Apple Mikrokosmos umsieht, kann täglich erleben, wie a) Software aus nicht nachvollziehbaren Quellen massiven Schaden anrichtet und b) so gut wie keine Nachvollziehbarkeit der Quelle möglich ist.
Klingt sinnvoll
Richtig
Naja mit dem Argument braucht man auch nicht mehr aufstehen. Das Risiko unter der Dusche auszurutschen wurde durch Grohe analysiert. Aus diesem Grund darf nur noch Evian Wasser – besonders weich und mindert die Verletzungen – durch den Wasserhahn laufen….
Oder einfacher: wenn die Leute sich Mist auf den Rechner packen; deren Problem
1. Der Vergleich von dir fließt genauso schnell dahin wie das von dir genannte Wasser
2. also muss sich in deinen Augen jeder genau mit Computern auskennen? Das entspricht so leider nicht der Realität
Geb dir da recht! Ich als digital nativ kann seriöse Quellen von den unseriösen unterscheiden genau wie phishing Mails von echten. Aber der Großteil der Anwender kann das eben nicht wenn ich da zum Beispiel an meine Eltern denken und die sind mit 50 und 54 definitiv noch nicht alt aber haben da deutliche Probleme, von dem her richtige Entscheidung von Apple was die App Signaturen angeht. Macht mein Leben etwas leichter ;-)
@Kimbo und genau darin liegt die Gefahr. Selbstüberschätzung. Du kannst genauso eine E-Mail erhalten, welche du angefordert hast, die einen verseuchten Anhang hat. (Manipuliertes Word Dokument durch ein Virus)
Oder eine seriöse Download-Quelle wird gehackt. Oder der Update-Server Z. B. Handbrake
Angriffsfläche ohne Ende, und das auch für digital Natives.
@revosback ja da ist mir gerade nix besseres eingefallen
Meine Mama ist 75 und erkennt den Scheiß auch und löscht solche Mails. Oder ruft dann bei der Bank an ;)
Natürlich ist es so, dass jeden Million Honks aufstehen. Da gilt aber für mich die Duschlösung – Pech gehabt + again what learned
Du willst mir jetzt sagen, dass Apple nicht scharf auf das Geld ist? Dann wäre der Betrag sicherlich nicht bei 100€ und erst recht nicht jährlich.
Weil 100€ für einen Berufstätigen Software Developer ja auch sooooo viel im Jahr sind. Ich wüsste gar nicht, wie man DAS noch bezahlen könnte. Müsste man wohl dann den Job kündigen… Anyways Netflix ruft! Ah wait… Komm Mal in der Realität an, sie könnten realistisch viel mehr verlangen und es wäre fair, machen es aber nicht um kleinen Entwicklern eine Chance zu geben. Und sich über 100€ als Ausgabe für seinen Beruf beschweren während man vermutlich das drei bis vierfache für sein tägliches Home Entertainment im Jahr ausgibt (Netflix allein sind über 120€ im Jahr…) Schreit etwas nach Doppelmoral.
Problematisch finde ich aber auch, dass Apple Apps nicht nur auf Basis von Security-Richtlinien offiziell im Store vermarktet, sondern auch, wie in vor allem in letzter Zeit hier zu lesen, Business-Entscheidungen und -Prioritäten einfließen lässt, also kategorisch Apps ausschließt, die in Konkurrenz zu einem von Apple angebotenen Produkt stehen. Beispiel f.lux: Selbst wenn ein Nutzer die Farbregelung von f.lux der des Night Mode von mac OS vorzieht, wird A. dennoch die App nicht im offiziellen Store vermarkten auch wenn keine Security-Bedenken bestehen und es wird so für nicht-Experten schwierig f.lux zu installieren.
Sicherheit?!
Ihr glaubt auch wirklich noch an den Weihnachtsmann! Nur so ist gewährleistet das ihr alle auch weiterhin Zwangsabgaben an Apple zahlen sollt. Die haben euch so bei den Eiern das ihr da auch nicht mehr raus kommt :) redet euch aber ruhig ein Apple sei an eurer Sicherheit interessiert :))))
Zu a) möchte ich gern auf den Artikel von heute Morgen, 21. hinweisen:
Nutzer verlieren Jahre an Bildern: Adobe bestätigt: Lightroom-App löscht Fotos und Presets unwiederbringlich
Signierte App, bekannter Brand, grosse Firma, nachvollziehbare Quelle und massiver Schaden.
Innerhalb Apple Mikrokosmos.
.
Und wenn man schaut, wie Apps/Firmen mit Benutzerdaten umgehen, die aus den Apple Stores geladen werden, dann hat das weniger mit Quellensicherheit zu tun, als mit (schon fast) krimineller Energie und Bösartigkeit. Das ist unabhängig davon, von wo eine App her kommt.
Läuft bei mir seit 15 Jahren sehr sehr gut und sicher ohne den scheiss.
App Store ist Mist. Vermeide ich wenn immer es geht. Hatte mal ein Update mit einem bug. Der war zwar sofort vom Entwickler repariert. Aber Apple brauchte 4 Wochen für die Freigabe.
So etwas geht bei Produktiv Systemen gar nicht. Der sehr nette Entwickler hat mir für die Zwischenzeit ein direkt Programm gegeben. Sonst wäre ich geliefert gewesen.
Wir wissen doch alle, dass es hier nur Fußraum geht und in den App Store zu zwingen und dann noch in eine Abofalle.
Also langsam brauche ich keine Apple mehr.
Noch einen so einen und ich bin auch raus.
Nach 20 Jahren.
Übertreibt halt nicht gleich in euren Kommentaren. Das Signieren ist auch Entwicklern ohne kostenpflichtige Developer-Program-Mitgliedschaft möglich. Wo ist also das Problem? Es wird sicherlich auch wieder findige Entwickler geben, mit deren Hilfe man das abschalten kann.
Wenn es so einfach ist, kann es ja dann auch jeder Kriminelle machen – somit braucht es das nicht weil es nicht funktioniert, oder?
Klar, aber es gibt halt eine explizite Warnmeldungen. Und man kann nicht mal einfach so „zufällig“ die Software starten.
Außerdem kann eine Signatur für ungültig erklärt werden und dann startet es halt gar nicht mehr bzw. noch komplizierter.
@revosback naja wenn die Meldung jedes Mal hochkommt wenn man die Anwendung startet, nervt das schon. Auch ist ja dann immer noch ausgeschlossen, dass die App dann Code nachlädt. Weiterhin betrachte ich das nur als ersten Schritt von Apple – die wollen mal schauen wie das ankommt um es dann Schritt für Schritt zuzumachen;)
Der Nutzer signiert das Programm, nicht der Entwickler. Damit ändert sich das „Starten mit Rechtsklick“ dann in ein „Signatur erstellen“, danach läuft wie bisher auch Software aus allen möglichen Quellen.
Bitte. Und ihr glaubt hier alle das die Mutti, die Oma oder oder oder etwas selbstständig signieren können und sich das auch zutrauen?
Wer das nicht möchte, bleibt einfach bei Intel. Wo ist das Problem? Apple wird noch lange zweigleisig fahren.
Wenn das Signieren nichts kostet, sollte es doch für die Entwickler kein Thema sein oder?
Kleingedrucktes Lesen. Die oben angesprochene Signatur gilt nur für den lokalen Rechner, sprich müsste vom Nutzer gemacht werden.
Was ein Quatsch. Was würde es bringen Code nachträglich zu signieren? Locally steht hier für die Entwicklermaschine und nicht beim Nutzer selbst. Es geht schließlich darum Code-Modifikationen zu entdecken… damit keiner in der Mitte heimlich Code einschleusen kann. Und damit das Zertifikat gesperrt werden kann im Falle von Maleware.
Außerdem wird das signieren automatisch beim compilieren erledigt.
Für den Nutzer ändert sich nichts.
Ich stell mir das für so Tools wie brew extrem aufwendig vor. Für Leute die ihren Mac als Entwicklungsumgebung benutzen kann das echt zum KO-Kriterium werden. Dann werde ich mir vermutlich als Entwicklungsumgebung eine Linux-Kiste zulegen, so sehr ich Mac eigentlich mag.
Oder eben den Mac unter Linux betreiben. Ich nutze Win 10 unter Bootcamp mittlerweile mehr als MacOS ♂️ Mein nächster Rechner wird ein XPS…
Könnte Homebrew nicht automatisch jedes heruntergeladene Executable automatisch ad-hoc signieren?
Mit welchem Account?
Eher werden die bereits signierten Bottles heruntergeladen.
Auch da wird wieder einmal ein Tool drüber gebügelt und fertig. Ging mit Code signer auch schon problemlos!
Wann wird man dann nur noch aus dem Store laden können? Das ist doch das eigentliche Ziel…
wäre das Beste bzw sicherste.
+1
Ja damit Apple auch da von sämtlichen Apps 30% kassieren kann. Fände ich gut als Aktionär!
Wenn ich ne Software habe ohne Signatur kann ich selber eine erzeugen, damit es läuft? Was für ein blödsinn, dann kann es doch auch so weiter laufen. Im Normalfall muß man ohne Signatur eh 2-3 irgendwas bestätigen! Und wer es bis dahin nicht gemerkt hat, dem ist auch nicht mehr zu helfen.
„Dieses neue Verhalten ändert nichts an der seit langem etablierten Richtlinie, dass unsere Benutzer und Entwickler beliebigen Code auf ihren Macs ausführen können, und soll die Ausführungsrichtlinien auf Macs mit Apple-Prozessoren vereinfachen und das System in die Lage versetzen, Codeänderungen besser zu erkennen“
D.h. es ändert sich nicht viel für den Nutzer, nur ein weiteres Plus an Sicherheit
Als es damals hieß, man wollte das „Beste aus zwei Welten“, war klar, dass es nicht gut ausgehen wird. :(
Mit MSIX erstellte, installierbare Programme müssen meine Wissens nach ebenfalls über ein Zertifikat verfügen. In Visual Studio kann man dafür einfach und kostenlos ein Zertifikat erzeugen – ist dann die mindeste Sicherheitsstufe, reicht aber zum Ausführen beim Ausführen (außer die Einstellungen beim Benutzer verbieten das). Ich lasse heraus, dass ein sicheres Zertifikat unter macOS ebenfalls schnell erstellt ist (vermutlich in Xcode möglich). Von daher sehe ich hier wenig Probleme darin..
Digital native? Ich weiß ja nicht wie alt du bist, ich bin 55 und die meisten jungen Leute, die ich kenne, könnte man bestenfalls als mäßig gebildete Anwender für Informationssysteme bezeichnen, während die heute 55 jährigen noch DOS Befehle und Shortcuts kennen und wissen was ein 1 bit und 1 Byte ist und wie ein Netzwerk funktioniert, weil sie es sich selbst beibringen mussten und nicht Papa das Internet reparieren konnte, wenn bei den lieben kleinen digital natives wieder die Welt untergeht wenn Instagram nicht funktioniert
Klingt wie eine Blaupause von Zuhause. Junior 18, ich 53. Weisheit der Welt mit Löffeln gefressen, aber wehe es läuft nicht. :-)
+1
Bester Beitrag! Hängt mir zum Hals raus, wie sich junge Menschen immer zu weit aus dem Fenster hängen und „ältere“ als dumm abtun. Ich gehöre auch noch zu denen, welche mit MS-Dos gearbeitet haben. Ach was war das toll! Alles sauber und vollkommen unter Benutzerkontrolle. (alles sauber und clean, selbst nach Jahren der Nutzung) Auch gehöre ich zu denen, welche beim C64 im Code romgeschnuppert haben, um sich in Games einen Vorteil zu verschaffen. Das können die heute alle nicht mehr und suchen dafür eine App ;-)
Gilt natürlich nicht für alle! Aber die meisten halten sich für Cracks, weil diese schon seit ihrer Geburt ein Handy in der Hand halten und auf Porno Seiten surfen.
so isses!
Früher gabs EDV Zusatzkurse in der Mittel- und Oberstufe. Basic, Cobol etc. lernen. :-)
Nicht nur Software sondern die Hardware wird mich davon abhalten weiter Apple Geld in den Rachen zuschieben
Ciao MacBook, war schön mit dir. Hallo ZenBook :)
Mein Rechner, meine Regeln. Ciao MacBook.
Das könnte auch ein Weg für einen alternativen AppStore unter iOS sein – sollten die Kartellbehörden Apple zum öffnen des Systems zwingen
Bitte die Überschrift korrigieren ;) Danke
So, ich gehe zurück zu Windows. Reicht jetzt langsam…
Habe gerade für Freund ein neues Notebook eingerichtet:
…bei Windows 10 im S Modus, vorinstalliert, ist das genau so.
Man kann aber über einen Link ein Programm laden, diesen S Modus zu löschen.
Eine Rückkehr ist zum S Modus ist ausgeschlossen.
Dachte dabei, dass in diesem Sicherheitsmodus Microsoft mit jedem Programm kassiert
und kontrolliert.
Wird bei Apple nicht anders sein.
Sorry ich habe diesen Satz nicht so richtig verstanden:
„Immerhin wird Apple auch Nutzern ohne kostenpflichtigen Entwickler-Account das lokale Signieren gestatten, da diese Signaturen jedoch nicht von Apple beurkundet werden können, bleiben die Warnmeldungen erhalten.“
Weiß man wie das lokale signieren aussieht? Ein Leser hat hier kommentiert, dass es nicht so einfach sein wird.
Kann ich die App trotz Warnmeldung starten?
Naja, damit ist der Weg zum geschlossenen System geebnet – ich bastel mir jetzt was eigenes. Damit ist Mac für mich geschichte. Das ist krein PC mehr, das ist ein „Personal-iPhone“.
Auch wenn Entwickler noch selbst signieren können – das ist ein Unding. Ich lasse mich auf nem PC nicht derart bevormunden. Schade drum..
Das war’s. Tschüs, Apple. Jetzt reicht es mir endgültig mit Eurer Arroganz und Bevormundung.
Gilt das auch für Terminal-Apps und Shell-Skripte? D
Wenn nicht, bringt der Schutz nicht wirklich viel. Und wenn doch, gibt es dann noch sowas wie Homebrew oder Macports?
Apple versucht hier seine Anwender zu schützen und das ist auch gut so. Jede App lässt sich problemlos öffnen. Ich finde die Funktion sehr gut, allerdings die Umsetzung etwas unglücklich. Einfach mit rechter Maustaste beim ersten Start anklicken und schon gehts. Lieber so, als wenn ich mir irgendwelchen Mist auf den Rechner hole. Mit dem Warnhinweis wird jedoch nochmal daran erinnert, in sich zu gehen, ob die App wirklich sicher ist, oder nicht.