El Capitan: Mac-Tools wie Bartender im Konflikt mit neuen Sicherheits-Funktionen
Mit OS X El Capitan integriert Apple auch neue Funktionen zur Systemsicherheit, darunter „System Integrity Protection“, ein Feature, das Schreibzugriffe auf Systemdateien selbst mit Adminrechten unterbindet. Ausgenommen davon sind lediglich das OS-X-Installationsprogramm und Software-Updates.
Apple erklärt die neue Funktion wie folgt:
A new security policy that applies to every running process, including privileged code and code that runs out of the sandbox. The policy extends additional protections to components on disk and at run-time, only allowing system binaries to be modified by the system installer and software updates. Code injection and runtime attachments to system binaries are no longer permitted.
Gerade mit Blick auf die zuletzt bekannt gewordenen Sicherheitsprobleme auch bei OS X, sind solch strengere Restriktionen an sich sehr begrüßenswert. Allerdings kann Apple diesen Zugriff nicht generell blockieren, denn Entwickler und auch fortgeschrittene Anwender haben den Anspruch, ihr Betriebssystem über die von Apple gegebenen Möglichkeiten hinaus zu modifizieren. Somit bleibt eine Hintertür, die allerdings nicht einfach zu finden ist und damit auch nicht mal eben versehentlich geöffnet wird.
Die Entwickler von Bartender, einem Tool zur freien Konfiguration der Menüleiste, haben nun eine Anleitung für das Deaktivieren der Sicherheitsfunktion veröffentlicht. Auch ihre Software ließe sich sonst unter OS X El Capitan nicht mehr nutzen. >Der Vorgang verlangt einen Neustart im Wiederherstellungsmodus und geht somit nicht ohne Aufwand vonstatten. Die zusätzliche Sicherheitsfunktion dürfte daher nicht allen Mac-Entwicklern schmecken, aber aus Anwenderseite betrachtet ist die Entwicklung positiv: Das System wird sicherer, der Weg zur freieren Nutzung bleibt dabei allerdings nicht komplett versperrt. (Danke Daniel)
Jupp. Jetzt gehts doch langsam in die Richtung iOS. Bin kein Freund von diesem rootless mode. Wie lange noch, bis wir einen Jailbreak brauchen?
Ich denke nicht, dass es komplett versperrt wird, iOS öffnet sich ja anscheinend mit Version 9 auch mehr. Definitiv eine Begrüßenswerte Entscheidung finde ich. Solange es immer noch eine Möglichkeit gibt, selbst entscheiden zu können, dass die Systemdaten von einem Programm oder einen Anwender selbst modifiziert werden dürfen.
Die Vergangenheit zeigt aber, dass viele Anwender eben nicht wissen was sie tun. Oder einfach überall auf „Ja“ „weiter“ oder „ok“ klicken ohne mal kurz die Meldung zu lesen.
Deshalb für mich sehr begrüßenswert. Natürlich wenn der Anwender immer noch ohne Jailbreak kann.
Das sind die, die von Windows kommen.
Leider stimmt das so weit.
98% der Anwender „wissen“, dass gleich der ständig gleiche Dialog erscheint und schon wird „durchgeklickt“, ohne zu denken :-/
Ein Problem, dass auch Windows hat.
Ich wäre dafür irgendwo im jeweiligen Benutzerprofil geschützt bei Einrichtung zu hinterlegen, welcher User-Typ am PC arbeitet (Default von mir aus „Hausfrau“) und damit wieder Abfragen zur Entscheidung einzublenden und ansonsten halt ein Hinweis, dass diese Aktion aus Sicherheitsgründen nicht möglich ist.
@Nick: ich kam von Windows (ist jetzt auch ein paar jahre her) und muss sagen, unter Windows hatte ich mich mehr mit meinem Rechner beschäftigt. Da wusste ich noch wo und in welcher datei ich was umschreiben konnte/kann und das war super. Seit ich bei meinem Mac bin weiß ich was es heißt anwender zu sein. Ich glaub mit dem Stand heute hatte ich noch nie so wenig ahnung von meinem Rechner, erschreckend aber trauriger weiße bin ich damit glücklich.
Naja, hängt immer davon ab, wer der User ist…
Für die Hausfrau um die Ecke vmtl. ne echt tolle Sache, für Entwickler oder Power User wohl eher störend…
Daher wine gute Lösung, denn der PowerUser weiss ja sowieso wie deaktivieren.
Der normale Anwender würde es aber sicherlich vergessen die Option zu aktivieren.
Das gleiche Problem gibt es leider aktuell beim Flashlight Projekt für den Mac.
Ich finde ja eh dass sowas wie Bartender eigentlich schon in OS X integriert sein sollte. Inzwischen sammelt sich einfach zu viel in der Menüleiste an
Da hast Du Fecht. Auf der einen Seite fördert Apple massiv kleine Laptop Bildschirme, aber eine Lösung für die Erweiterungen in der Menüleiste haben sie immer noch nicht, dabei könnten in ganz einfach sein, indem zB einige Erweiterungen die nicht direkt sichtbar sein müssen, in eine Klappliste verfrachtet werden. Oder Apple denkt sich noch was besseres aus.
Ich habe das problem auch festgestellt. Ich nutze seit 10.8 ML Magican um die geschwindigkeit der Lüfter manuell zu steuern. Selbst das funktioniert jetzt nicht mehr.
Ich nutze aktuell von Bartender eine Beta/Vorab-Version und die funktioniert einwandfrei mit der aktuellen OS X 10.11 public beta – auch ohne „herumpfuschen“ im System
Schön zu hören, danke!
Ist auch richtig so, die einzige Funktion, die das Deaktivieren dieser Sicherheitsvorrichtung benötigt ist, wenn du System-Icons aus der Menüleiste in Bartender angezeigt bekommen willst. Soll bspw. Time Machine in die Bartender Leiste muss man diesen umständlichen Schritt gehen, was aber zumindest bei mir auch nicht sauber funktioniert, ist ja auch Beta.
Nachdem man seine gewünschten Einstellungen getroffen hat, kann man die Sicherheitsvorrichtung auch wieder aktivieren!
Ich nutze auch Bartender und kann bestätigen, dass nach dem Update wieder alles mit aktiviertem SIP funktioniert.
Viel mehr fehlt mir allerdings der TotalFinder, der von SIP völlig blockiert wird. Auch die Alternative XtraFinder ist betroffen.
Wer mit diesen Tools arbeitet merkt nun, welchen Bedienkomfort Apple im Finder vermissen lässt. Man wird total ausgebremst.
Ich hoffe sehr, dass Apple bis zur finalen Version noch die Möglichkeit einbaut, in den Sicherheitseinstellungen SIP per Schalter und Passworteingabe für einzelne Apps zu deaktivieren (und evtl. nach der Installation wieder zu aktivieren ohne die Funktionalität zu behindern).
Grundsätzlich ist die erhöhte Sicherheit auch mir willkommen. Leider werden ausgerechnet Tools für Poweruser „sabotiert“.
Welche Bartender Version erlaubt denn das verschieben der Systemsymbole? Die 1.3.1 läuft zwar wieder sauber, allerdings nur für zusätzliche Tools, nicht die Systemeigenen.. LaunchControl könnte jetzt auch ein Update vertragen, da müsste man SIP auch deaktivieren :(
Apple wird immer mehr zum High-End-Hausfrauen-Laden. Bin mal gespannt, wann Progs wie LittleSnitch die Existenzgrundlage genommen wird. Und: Warum muss ein System, das zu den sichersten (Linux mal ausgenommen) der Welt zählt, noch viel viel sicherer werden. Für mich klingt das, wie Hysterie auf der User-Seite und vorgeschobene Argumente zum Restriktionsausbau auf Apple-Seite. Wenn ich mir das neue Windows anschaue, dann liegt für mich die Vermutung nahe, dass beide in die gleiche Richtung zielen: ungestörtes Abgreifen von Nutzerdaten.
1. Ein System kann grundsätzlich nicht sicher genug sein! Niemals!
2. Der Normal-User soll und muss sich nicht um die Sicherheit kümmern müssen. Das ist begrüßenswert. Der fortgeschrittene Nutzer oder Power-User oder Entwickler kann sich hingegen seine benötigten Türen öffnen.
3. Wenn ich kein Zusatzprogramm wie LittleSnitch mehr brauche – was ist so schlimm daran? Auch das begrüße ich, wenn es ins System eingebunden wird.
4. Was haben Restriktionen (die in diesem Fall keine sind) mit dem Abgreifen von Daten zu tun? Eher das Gegenteil wird erreicht. Wenn ein System abgeschottet wird fällt es Malware oder Anderen schwerer Deine Daten abzusaugen.
Zu 1.) Das sicherste Betriebssystem ist das, das nicht mit dem Internet verbunden ist. Ist es das, was Du meinst? Oder: Das Betriebssystem darf dem Nutzer keinerlei Möglichkeiten der Modifizireung dessen an die Hand geben, was die Programmiergötter aus Cupertino für die Gemeinde vorgesehen hat.
Zu 2.-4. Die Punkte stimmen, wenn man blindes Vertrauen in die positiven Beweggründe Apples hat. Das hat sich bei mir leider in den vergangenen Jahren gen Null entwickelt: MacOs-Entwicklung in Funktionalität und Design an den Kunden vorbei, wachsende nachHause-Telefonitis und hingerotzte neue Versionen und Updates, die für manche alles nur schlechter gemacht haben. Wenn mir so ein Unternehmen dann auch noch die Möglichkeit von Fehlerkompensation durch Drittprogrammierer nimmt, frage ich mich schon, ob da der Sicherheitsgedanke nicht eifach nur vorgeschoben ist.
Genau, Apple macht das alles absichtlich, denn Tim ist eigentlich bei MS beschäftigt und will Apple verschwinden lassen, dazu werden absichtlich Fehler eingebaut und nun sogar zementiert, so dass du selbst nichts mehr beheben kannst…
Aha! Und was will uns der Autor damit sagen? Ironie ist ja ne tolle Sache. Nur wenn sie ohne Inhalt benutzt wird, nennt man das schwadronieren.
Hatte grad heute das Problem, dass ich keine Python Module ändern/löschen konnte. Hat ewig gedauert, bis ich das Problem lokalisiert hatte