যদি ম্যাক কোড সাইনিংয়ের সাথে হস্তক্ষেপ করা হয় তবে কী ব্যর্থ হতে পারে?


11

ম্যাক অ্যাপ্লিকেশনটির ডিজিটাল স্বাক্ষরটি ভেঙে গেলে কোন বিরক্তি বা আসল সমস্যা দেখা দিতে পারে?

ম্যাকের অ্যাপ্লিকেশনগুলিতে ডিজিটালি স্বাক্ষর করা যেতে পারে। স্বাক্ষরটি কোনওভাবে ভেঙে গেলে, আমি জানি কিছু অ্যাপ্লিকেশন এটি লক্ষ্য করতে পারে। তবে আমি জানি না যে এগুলি কী বিব্রতকর হবে বা সত্যই জিনিসগুলি ভেঙে দেবে:

  • ওএস এক্স ফায়ারওয়াল সঠিকভাবে একটি অ্যাডহক স্বাক্ষর সেট করতে সক্ষম নাও হতে পারে, যার ফলে বারবার অনুরোধ করা হবে "আপনি কি অ্যাপ্লিকেশন চান [[..] 'আগত নেটওয়ার্ক সংযোগ গ্রহণ করতে?"

  • প্যারেন্টাল কন্ট্রোল দ্বারা অনুমোদিত অ্যাপ্লিকেশনগুলি আর চালিত হতে পারে?

  • কীচেইন অ্যাক্সেসটি ভেঙে যেতে পারে?

  • কেউ কেউ বলেছেন অ্যাপল সফ্টওয়্যার আপডেট ব্যর্থ হতে পারে। যদি সত্য হয়, তবে আমি আশ্চর্য হই যে এটি কি কোড স্বাক্ষরকারী স্বাক্ষরের উপর নির্ভর করে, বা পুরো অ্যাপ্লিকেশনটির সাথে কিছু মিল না-হ্যাশ বা বিওএম ফাইলগুলি থেকে প্রাপ্ত তথ্যগুলির কারণে ঘটবে ।

নীচে আরও পটভূমি তথ্য।


কোড স্বাক্ষরের বিশদটি ব্যবহার করে দেখানো যেতে পারে:

codesign --display -vv /Applications/iTunes.app/

... যা নিচের মত কিছু উত্পাদ হবে (কিন্তু হবে না পরিবর্তন সম্পর্কে সতর্ক):

[..]
CDHash=86828a2d631dbfd417600c458b740cdcd12b13e7
Signature size=4064
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
[..]

স্বাক্ষরটি ব্যবহার করে বৈধ করা যেতে পারে:

codesign --verify -vv /Applications/iTunes.app/

যা ফল দেয়:

/Applications/iTunes.app/: valid on disk
/Applications/iTunes.app/: satisfies its Designated Requirement

... বা (কোনও অ্যাপ্লিকেশানের ./Contents/ রিসোর্স ফোল্ডারে কেবল কিছু অতিরিক্ত ফাইল রাখার সময়ও):

/Applications/iTunes.app/: a sealed resource is missing or invalid

... বা (উপরের বার্তার চেয়ে খারাপ):

/Applications/iTunes.app/: code or signature modified

কোড সাইনিংটি OS 9 বা তার আগের দিকে ফিরে যায় তবে বর্তমান বাস্তবায়ন 10.5 চিতাবাঘে চালু হয়েছিল । আরস টেকনিকিকা লিখেছেন :

কোড সাইন ইন একটি ক্রিপ্টোগ্রাফিকভাবে যাচাইযোগ্য পরিচয় কোডের সংকলনের সাথে সংযুক্ত করে এবং নিশ্চিত করে যে সেই কোডটিতে কোনও পরিবর্তন সনাক্ত হয়েছে। জড়িত দলগুলি সম্পর্কে কোনও গ্যারান্টি দেওয়া হয় না। উদাহরণস্বরূপ, আপনি যদি অ্যাকমে ইনক। দ্বারা স্বাক্ষরিত একটি অ্যাপ্লিকেশন ডাউনলোড করেন তবে আপনি এ সম্পর্কে কিছুই প্রমাণ করতে পারবেন না যে এটি একই সত্তা থেকে অ্যাকমে ইনক হিসাবে দাবি করা হয়েছিল you

এই উদাহরণটি গ্রাহকের দৃষ্টিকোণ থেকে প্রযুক্তির সর্বাধিক দরকারী প্রয়োগকে হাইলাইট করে। আজ একটি ম্যাক ওএস এক্স অ্যাপ্লিকেশন আপগ্রেড করার সময় [10.4 টাইগার, এভিবি] এ, ব্যবহারকারীকে প্রায়শই পুনরায় যাচাই করতে অনুরোধ করা হয় যে এই অ্যাপ্লিকেশনটি ব্যবহারকারীর নাম এবং পাসওয়ার্ড পুনরুদ্ধার করতে কীচেইন অ্যাক্সেসের অনুমতিপ্রাপ্ত। এটি একটি ভাল সুরক্ষা বৈশিষ্ট্যের মতো বলে মনে হচ্ছে তবে ম্যাক ব্যবহারকারীদের প্রতিবার যখনই প্রদর্শিত হবে অন্ধভাবে "সর্বদা অনুমতি দিন" ক্লিক করতে প্রশিক্ষণ দেওয়া হ'ল এটি সত্যই। এবং প্রকৃতপক্ষে, গড় ব্যবহারকারী কী করতে চলেছেন, একটি বিযুক্তকারীর মাধ্যমে এক্সিকিউটেবল চালাবেন এবং ম্যানুয়ালি কোডটি নিরাপদ কিনা তা যাচাই করুন?

অন্যদিকে, একটি স্বাক্ষরিত অ্যাপ্লিকেশন গাণিতিকভাবে প্রমাণ করতে পারে যে এটি সেই একই বিক্রেতার কাছ থেকে এটি একই অ্যাপ্লিকেশনের নতুন সংস্করণ যা আপনি অতীতে বিশ্বাস প্রকাশ করেছিলেন। ফলাফলটি এমন একটি ডায়ালগ বাক্সের সমাপ্তি যা আপনাকে এমন কোনও পছন্দকে নিশ্চিত করতে জিজ্ঞাসা করছে যার সুরক্ষার যাচাই করার কোনও যুক্তিসঙ্গত উপায় আপনার নেই।

10.5 চিতাবাঘের ফায়ারওয়ালের জন্য অ্যাপল ব্যাখ্যা করেছেন :

আপনি এই তালিকায় কোনও অ্যাপ্লিকেশন যুক্ত করার সময়, ম্যাক ওএস এক্স ডিজিটালি অ্যাপ্লিকেশনটিতে স্বাক্ষর করে (যদি এটি ইতিমধ্যে স্বাক্ষর না করা থাকে)। যদি অ্যাপ্লিকেশনটি পরে পরিবর্তন করা হয় তবে আপনাকে এতে আগত নেটওয়ার্ক সংযোগগুলিকে অনুমতি বা অস্বীকার করার অনুরোধ জানানো হবে। বেশিরভাগ অ্যাপ্লিকেশনগুলি নিজেরাই সংশোধন করে না এবং এটি একটি সুরক্ষা বৈশিষ্ট্য যা আপনাকে পরিবর্তনের বিষয়ে অবহিত করে।

[..]

সিস্টেমের দ্বারা বিশ্বস্ত কোনও শংসাপত্র কর্তৃপক্ষ দ্বারা ডিজিটালি স্বাক্ষরিত তালিকার মধ্যে নেই এমন সমস্ত অ্যাপ্লিকেশনগুলিকে ইনকামিং সংযোগগুলি পাওয়ার অনুমতি দেওয়া হয়েছে। চিতাবাঘের প্রতিটি অ্যাপল অ্যাপল অ্যাপল দ্বারা স্বাক্ষরিত হয়েছে এবং আগত সংযোগ গ্রহণের অনুমতিপ্রাপ্ত। আপনি যদি ডিজিটালি স্বাক্ষরিত অ্যাপ্লিকেশনটিকে অস্বীকার করতে চান তবে আপনার প্রথমে এটি তালিকায় যুক্ত করা উচিত এবং তারপরে স্পষ্টত অস্বীকার করুন।

10.6 স্নো চিতাবাঘে, পরবর্তীটিকে আরও স্পষ্ট করা হয়েছে (এবং অক্ষম করা যেতে পারে) "স্বাক্ষরিত সফ্টওয়্যারটিকে স্বয়ংক্রিয়ভাবে আগত সংযোগগুলি গ্রহণ করার অনুমতি দেয় allow বৈধ শংসাপত্র কর্তৃপক্ষের দ্বারা স্বাক্ষরিত সফ্টওয়্যারটিকে নেটওয়ার্ক থেকে অ্যাক্সেস করা পরিষেবাদি সরবরাহ করার অনুমতি দেয়"।

ম্যাক ওএস এক্স 10.6 ফায়ারওয়াল: স্বাক্ষরিত সফ্টওয়্যারকে স্বয়ংক্রিয়ভাবে আগত সংযোগগুলি পাওয়ার অনুমতি দিন

(10.6 এ, 10.5.1 বিকল্পগুলি "সমস্ত আগত সংযোগগুলিকে মঞ্জুরি দিন", "কেবলমাত্র প্রয়োজনীয় পরিষেবাগুলিকে মঞ্জুরি দিন" এবং "নির্দিষ্ট পরিষেবা এবং অ্যাপ্লিকেশনগুলির জন্য সেট অ্যাক্সেস") "সমস্ত আগত সংযোগগুলি অবরুদ্ধ করুন", বা একটি তালিকার জন্য একটি পছন্দসই রূপান্তরিত করা হয়েছে or অনুমোদিত অ্যাপ্লিকেশন এবং বিকল্পগুলির মধ্যে "স্বাক্ষরিত সফ্টওয়্যারকে স্বয়ংক্রিয়ভাবে আগত সংযোগগুলি গ্রহণ করার অনুমতি দিন" এবং "স্টিলথ মোড সক্ষম করুন"। 10.5.1 আপডেটের আগে "কেবলমাত্র সমস্ত প্রয়োজনীয় সংস্থাগুলি ব্লক করুন" বলা হয়েছিল।)

(অ্যাপল) অ্যাপ্লিকেশনগুলির জন্য যেগুলির কোনওভাবে তাদের মূল স্বাক্ষর ভেঙে গেছে, এই অ্যাডহক স্বাক্ষরটি কোনওরকমে অজানা নাও থাকতে পারে এবং এটি কনফিগারড, এমডিএনএসরেসপন্ডার এবং রাকুনের জন্য সমস্যা সৃষ্টি করেছে বলে জানা যায়


আমার ধারণা, টেন্টেলের উত্তরটি সবই বলেছে (এবং আমি যতই চেষ্টা করি না কেন: স্বাক্ষরগুলি ভঙ্গ করে এমনকি কীচেইন অ্যাক্সেসের জন্য আমাকে এখনও একটি সতর্কতা দেখানো হয়নি)। তবুও, আমি ভাবছি কেউ যদি সমস্যার মুখোমুখি হয়। আশা করি প্রশ্নটি খুব দীর্ঘ নয় ... ;-)
আরজান

শংসাপত্রের ট্যাগ যুক্ত করা হয়েছে
কোয়াকোটা কুইসোট

ভাল: কেচেইনের সাথে সামঞ্জস্যপূর্ণ করতে কেউ সাফারি 4 বিটাতে (উপরে তার ট্যাবগুলি সহ) পুনরায় স্বাক্ষর করেছেন: ম্যাকোসেক্সটস
আরজান

উত্তর:


1

কোড স্বাক্ষরকরণ কোনও অ্যাপ্লিকেশনকে 'ব্রেক' করবে যেখানে একটি উদাহরণ:

  • কীচেইন অ্যাক্সেস.এপ আপনাকে পাসওয়ার্ডগুলি দেখার অনুমতি দিবে না যদি এটি সনাক্ত করে যে এটির সাথে কোনও ছলচাতুরী হয়েছে।

সূত্র: অ্যাপল মেইলিং তালিকা এবং জাহের্মির অপ্রতুলতা


অবশ্যই, এখন আপনি এটি উল্লেখ করেছেন, এটি আমার প্রথম পরীক্ষার জন্য আমার ব্যবহার করা উচিত ! :-)
আরজান

3

আমি আপনাকে যা বলতে পারি ক্যান্ডিবার, এটি প্রচুর লোকের দ্বারা ব্যবহৃত আইকন কাস্টমাইজেশন অ্যাপ্লিকেশন হ'ল কমপক্ষে ফাইন্ডার এবং ডক (এবং সম্ভবত কিছু অন্যান্য কোর সিস্টেম অ্যাপ্লিকেশন) এর ডিজিটাল স্বাক্ষর ভেঙে দেয় কারণ এটি সংস্থান ফাইলগুলিকে পরিবর্তন করে, এবং এখনও পর্যন্ত কিছুই নেই এই কারণে সমস্যা হিসাবে রিপোর্ট করা হয়েছে। সুতরাং কোর ওএস উপাদান ব্যবহার করে একটি বন্য অভ্যন্তরীণ নমুনা বলবে - বেশি কিছু নয়!

সম্পাদনা: স্নো চিতাবাঘে আমার ডকের জন্য কোড কোড স্বাক্ষর পরীক্ষা করার ফলাফল:

⚛$ codesign --verify --verbose /System/Library/CoreServices/Dock.app/
/System/Library/CoreServices/Dock.app/: a sealed resource is missing or invalid
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-big.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/expose-window-selection-small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/finder.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/frontline.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_large.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_medium.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/indicator_small.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-l.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-m.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-sm.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/scurve-xl.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashempty.png: resource modified
/System/Library/CoreServices/Dock.app/Contents/Resources/trashfull.png: resource modified

আহা, আমি একটু তদন্ত করব! কিছু ম্যানুয়াল পরিবর্তিত আইকনগুলি অন্য কিছু অ্যাপ্লিকেশনগুলির জন্য কোড সাইন ভাঙেনি। নির্মাতারা নিজেরাই ২০০৮ সালে লিখেছিলেন: আপনার অ্যাপ্লিকেশন আইকনগুলি হাত দ্বারা পরিবর্তন করার ক্ষেত্রে, আপনি এটি করতে স্বাগতর চেয়ে বেশি! একটি সতর্কতা হিসাবে: যদি অ্যাপল কোনও ভবিষ্যতে ম্যাক ওএস এক্স গৌণ আপডেটে অন্তর্নির্মিত কোড সাইনিং সক্ষম করে, তবে আপনার অ্যাপ্লিকেশনগুলি আর আরম্ভ করবে না। অ্যাপল থেকে তাদের পরিকল্পনার কোনও ধারণা না পাওয়া পর্যন্ত আমরা এই বৈশিষ্ট্যটি অক্ষম করে নিরাপদে এড়াতে চাইছি। - macupdate.com/info.php/id/8948?rord=mod
আরজান

আমি স্নো চিতাবাঘে আমার ডকে হাত-সংশোধন করার পরে ফলাফলটি যুক্ত করেছি ...
দ্য টেন্টকেলে

আহ, বোকা। এখনও অবধি আমি যা পরীক্ষা করেছি তা হ'ল প্রোগ্রাম আইকন (ফাইন্ডারের প্রাপ্ত তথ্যের মাধ্যমে একটি নতুন আইকন আটকানো), প্রোগ্রাম নিজেই কোনও আইকন ব্যবহার করে না। ঠিক আছে, কোড সাইন ইন নিশ্চিত হয়ে গেছে। ক্যান্ডিবার বিকাশকারীটির মন্তব্য আমার কাছে এখনও কিছুটা ভীতিজনক, তবে হঠাৎ বর্তমান (অ-) প্রভাবগুলি পরিবর্তন করার সময় অ্যাপল প্রচুর লোককে সমস্যায় ফেলবে।
আরজান

ভাল পরীক্ষাটি হল একটি নেটওয়ার্ক-মুখী অ্যাপ্লিকেশনটিতে সংস্থানগুলি সংশোধন করা এবং সাইন ইন করে অ্যাপ্লিকেশন ফায়ারওয়াল থেকে স্বয়ংক্রিয় পাসথ্রো থামায় কিনা তা দেখুন ...
দ্য তাঁবু

(হুঁ, ক্যান্ডিবার বিকাশকারী ম্যাকআপডেট থেকে জানুয়ারী 10 ম 2008 এর মন্তব্য সরিয়ে দিয়েছে। গুগল ক্যাশে এখনও এটি দেখায়, তবে দৃশ্যত ওএস এক্স 6.1 এর জন্য একটি নতুন সংস্করণ রয়েছে যাতে সমস্যাটি সমাধান হয়ে গেছে, বা ক্যান্ডিবার ঘুমন্ত কুকুরকে মিথ্যা কথা বলতে চায়) ।? আসুন ধরে নেওয়া যাক তাহলে কোনও সমস্যা নেই!)
আরজান

0

আর্স টেকনিকার স্নো চিতাবাঘ পর্যালোচনাতে স্নো লেপার্ডে কোড সাইন ইন করার কিছুটা বিশদ ব্যাখ্যা সরবরাহ করা হয়েছে । আমি যতদূর বলতে পারি, কোড সাইনিং ব্রেকিং সত্যিই কিছু ভঙ্গ করবে না। যাইহোক, এটি অ্যাপ্লিকেশনগুলিকে অবিশ্বস্ত করে তুলবে যার অর্থ তাদের আরও ক্রিয়াকলাপ যাচাই করা উচিত।


এটি আসলে 10.5 চিতা পর্যালোচনা। যদিও 10.6 পর্যালোচনাটির একটি দুর্দান্ত উক্তিটি: "এবং আসুন আমরা" ম্যাক ওএস এক্স "প্রযুক্তিগুলি ভুলে যাব না যা আমরা পরে শিখেছি আইফোনের জন্য তৈরি হয়েছিল এবং ম্যাকের জন্য প্রথমে ঘোষিত হওয়ার ঘটনা ঘটেছে (কারণ আইফোনটি এখনও একটি গোপন ছিল), কোর অ্যানিমেশন এবং কোড স্বাক্ষরের মতো। - arstechnica.com/apple/reviews/2009/08/mac-os-x-10-6.ars
আরজান

0

আমি অন্য দিন আমার ডিস্ক অনুমতিগুলি মেরামত করছিলাম (ডিস্ক ইউটিলিটি থেকে), এবং এই সতর্কতা পেয়েছি:

Warning: SUID file "System/.../ARDAgent" has been modified and will not be repaired.

তাই কিছু ঘটবে। আমি জানি না যে তা কত তাৎপর্যপূর্ণ।


আকর্ষণীয়, বিশেষত অ্যাপল "ম্যাক ওএস এক্স 10.5 এ এই তালিকাভুক্ত করেছে: ডিস্ক ইউটিলিটির মেরামত ডিস্ক অনুমতি ম্যাসেজগুলি যা আপনি নিরাপদে উপেক্ষা করতে পারেন" এ at support.apple.com/kb/TS1448 অ্যাপল কোনও শব্দ কীভাবে পরিবর্তিত হয়েছে এবং কেন তা করছে না এ সম্পর্কে কোনও শব্দ নেই ' যদিও ব্যাপার ... codesign --verifyসত্যই কি কোনও ভাঙা স্বাক্ষর দেখায়?
আরজান

0

কোড সাইনিংয়ের বর্তমান প্রয়োগটি বেশ দাঁতবিহীন এবং সম্ভবত আইফোন বিকাশকারীদের সুবিধার্থে দরজা থেকে বেরিয়ে এসেছিল। আশা করি ভবিষ্যতে এটি কোনও সময়ে বাধ্যতামূলক হয়ে উঠবে এবং আশা করি সেই সময়ের মধ্যে এটিও অনেক সহজ এবং সস্তা হয়ে উঠবে।

আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.