OS X 10.8: Sicherheitsfunktion ‚Gatekeeper‘

Mit dem Slogan „Apps noch sicherer laden“ (orig. „Downloading apps is saver than ever“) beschreibt Apple die in Mountain Lion hinzugekommene Funktion, für die es nur recht spartanische Steuerungselemente gibt.

Dennoch nichts, wovor man sich fürchten muss; man kann mit seinem Mac ganz normal weiterarbeiten. Im Gegensatz zum iPhone-Betriebssystem iOS lassen sich nämlich alle Apps installieren und starten, – also auch solche, die nicht aus dem Mac App Store stammen. Hier ein paar Tipps zum Umgang mit Gatekeeper.

Zunächst die offiziellen Informationen des Herstellers über das Security-Feature:

Gatekeeper passt auf und schützt dich davor, schädliche Software zu laden und zu installieren. Egal, woher deine Apps kommen. Und du hast mehr Kontrolle darüber, welche Apps du installierst. Du kannst weiterhin Apps aus dem Web laden und installieren. Und Apps aus dem Mac App Store laden, dem sichersten Ort für Mac Apps.

Oder du nutzt ganz einfach die Standardoption von Gatekeeper und installierst nur Apps aus dem Mac App Store und Apps von identifizierten Entwicklern. So schützt OS X deinen Mac noch intelligenter.

Weitere Informationen von Apple zu Gatekeeper: Sicherheit. Serienmäßig. Daraus:

Mit Gatekeeper wird das Laden von Apps sicherer, denn die Funktion schützt dich davor, aus Versehen schädliche Software zu installieren. Der sicherste Ort, um Apps für den Mac zu laden, ist der Mac App Store. Das liegt daran, dass Apple die Apps genau prüft, bevor sie im Mac App Store zugelassen werden.

Und falls es mal ein Problem mit einer App gibt, kann Apple sie schnell aus dem Store entfernen. Und auch wenn du Software irgendwo aus dem Internet lädst, wird das mit Gatekeeper sicherer. Entwickler bekommen von Apple eine eindeutige Entwickler-ID und verwenden diese, um ihre Apps digital zu signieren. Anhand dieser Entwickler-ID kann Gatekeeper Apps blockieren, die von Entwicklern von Schadsoftware stammen, und überprüfen, dass Apps nicht verändert wurden.

Bei Apps, die von einem unbekannten Entwickler ohne Entwickler-ID stammen, kann Gatekeeper den Mac schützen, indem die Installation dieser App verhindert wird.

Mit Gatekeeper hast du mehr Kontrolle über das, was du installierst.

Gatekeeper bietet drei Sicherheitsoptionen. Wie bisher kannst du natürlich Apps von überall im Web laden und installieren. Oder du wählst die sicherste Option und lädst und installierst ausschließlich Apps aus dem Mac App Store.

Eine weitere Möglichkeit ist die Standardoption. Damit kannst du Apps aus dem Mac App Store sowie Apps laden, die mit einer Entwickler-ID signiert sind. Ist eine App nicht signiert, verhindert Gatekeeper, dass die App installiert wird, und warnt dich, dass sie nicht von einem identifizierten Entwickler stammt.

Du bist dir sicher, dass auch die App sicher ist? Dann kannst du dich manuell über Gatekeeper hinwegsetzen. Dazu klickst du bei gedrückter ctrl-Taste auf die App und wählst aus, dass du die App öffnen willst.

Hier die drei Zeilen User-Interface für Gatekeeper in den „Systemeinstellungen > Persönlich > Sicherheit > Allgemein“:

Weitere Details aus der Hilfedatei von Apple:

Programme aus folgenden Quellen erlauben Sie können Ihren Mac vor Malware schützen, indem Sie nur Apps von Ihnen verifizierten Entwicklern zulassen.
Mac App Store Es werden nur Apps zugelassen, die aus dem Mac App Store geladen wurden.
Mac App Store und verifizierte Entwickler Es werden nur Apps aus dem Mac App Store zugelassen oder von Entwicklern, die von Apple verifiziert wurden.
Keine Einschränkungen Beliebige Apps (ohne Prüfung der Quelle) können geöffnet werden.

Der Text „Programme aus folgenden Quellen erlauben“ (in den Systemeinstellungen und im Hilfetext) lautet im Original „Allow applications downloaded from:“ und bezieht sich ausschließlich auf Apps, die aus dem Internet heruntergeladen werden. Kopiert man etwa ein Programm von einem anderen Mac (USB-Stick, Netzwerk), oder startet man Software, die bereits in der Vergangenheit verwendet worden ist und sich bereits im Festspeicher befunden hatte, bevor man auf Montain Lion upgradete, schreitet der Torwächter nicht ein.

Stellt man auf „Keine Einschränkungen“, erscheint ein Dialog mit Warnung, siehe nächster Screenshot:

Doch auch in dieser Einstellung warnt OS X 10.8 Mountain Lion mit den gleichen Dialogfeldern (quarantaine warning dialog), die schon von Mac OS X 10.7 Lion her bekannt waren.

In der Praxis sieht das unter OS X 10.8 Mountain Lion so aus, wenn man eine vom Internet heruntergeladene Softwareapplikation öffnen möchte, die nicht aus dem Mac App Store stammt (in der Auslieferungszustand-/Standard-Einstellung „Mac App Store und verifizierte Entwickler“):

Wie bereits im Apple-Text erwähnt (interessanterweise wird daraus kein besonders großes Geheimnis gemacht), können solche Programme dennoch ausgeführt werden. Dazu beim Klicken auf eine App (etwa im Finder) gleichzeitig die [ctrl]-Taste drücken. Oder einen Rechtsklick ausführen. Danach den Menüpunkt „Öffnen“ wählen.

Das nächste Bildschirmfoto zeigt die darauffolgende Warnung:
Die App kann schließlich – und zwar ein- für allemal – nach Betätigung der „Öffnen“-Schaltfläche ausgeführt werden.

Weitere vertiefende Betrachtungen zur „ongoing journey toward a more secure, worry-free computing experience on the Mac“ bei ArsTechnica (und dort die nächste Seite) mit Bemerkungen zum App Store allgemein, zu Code Signing, Sandboxing, Quarantäne – und wie immer mit allen hochinteressanten historischen Hintergründen und Zukunftsaussichten.

Außerdem wird eine Methode beschrieben, wie erfahrenere Anwender über einen Terminal-Befehl Gatekeeper austricksen können, nämlich mit folgendem Code (hier für die App NicePlayer, den App-Namen vor Ausführung des Befehls entsprechend ändern):

% xattr -d com.apple.quarantine NicePlayer.app

Aus dem Resümee des umfangreichen Artikels von John Siracusa:

…a reasonable compromise. The real doomsday scenario would be a version of OS X that works like iOS and refuses to run any application that did not come from the App Store, with no „legitimate“ way to work around it. Refusing to run downloaded applications unless they come from the Mac App Store, with two options to behave differently just a click away, is a much more open policy that has almost all the same benefits.

Anyway, that’s all for tomorrow. Today, Gatekeeper’s default behavior leaves the door wide open to nearly all developers, while still providing expert users with all the freedom they desire.

Der deutsche Computer-Fachverlag Heise/Mac & i: Wie sollte ich den Gatekeeper einstellen? Daraus:

Der Gatekeeper schützt zwar nicht allumfassend gegen Malware, bietet aber immerhin etwas mehr Schutz als zuvor. Sie sollten die Grundeinstellung deshalb am besten beibehalten.

MacWorld: Up close with Mountain Lion: Security mit Video und einer Aufzählung von weiteren Sicherheitsmerkmalen.

Dieser Beitrag wurde unter OS X, Tipps und Tricks abgelegt und mit , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s