Apfelinsel

Mac-Software => Thema gestartet von: Gerhard am April 08, 2016, 09:19:12

Titel: HTTP-Download
Beitrag von: Gerhard am April 08, 2016, 09:19:12
Hallo,

ist es richtig, dass Apple den http-download unterbindet? Habe festgestellt, dass bei PhotoLine der Menupunkt "Nach Update suchen..." nicht funktioniert.
Auskunft vom Entwickler Huber
"Apple in seiner unendlichen Weisheit hat beschlossen, dass http-Downloads unsicher sind und daher vorsorglich gesperrt.
Damit das wieder geht, muss man in der Info.plist (eine der Ressourcen-Dateien) einen Eintrag reinsetzen.
Wir werden das zur nächsten Version machen."

Oder ist das vom Softwareentwickler Computerinsel nur vergessen worden?
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 08, 2016, 09:46:28
???
Wie und warum soll Apple denn HTTP-Downloads (also faktisch HTTP-Verbindungen) unterbinden? Dann würden ja nur noch SSL-verschlüsselte Websites funktionieren.
Und warum sollte dann ein simpler Eintrag in eine Plist HTTP-Verbindungen wieder ermöglichen?
Klingt mir etwas verworren.
Titel: Re: HTTP-Download
Beitrag von: Gerhard am April 08, 2016, 13:06:44
Deshalb frag ich ja hier nach.
Mir kam die Antwort sehr dubios vor.
Angeblich soll dieser Menupunkt in Windows funktionieren. Haben die dann was falsch programmiert für Mac?
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 08, 2016, 13:30:33
Keine Ahnung was die da wirklich meinen.
Ein HTTP-"Download" ist ja nichts anderes als eine stinknormale HTTP-Verbindung. Nix besonderes. Dann dürften ja auch Browser nicht mehr funktionieren. Sehr sehr merkwürdig.
Und was soll eine "vorsorgliche" Sperrung nutzen, wenn man die durch einen einfachen Eintrag seitens des Entwicklers aushebeln kann?
Titel: Re: HTTP-Download
Beitrag von: Gerhard am April 08, 2016, 13:39:22
kennst Du die Software "Photoline"? Von Computerinsel. So ein quasi Ersatz für Photoshop.

Ich wundere mich auch, denn dieser Menupunkt ist in vielen Softwareprodukten drin "Nach Update suchen..." und dann wird man per InterNet direkt auf die Homepage des Anbieters oder sonst wo hin geleitet.  ;(
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 08, 2016, 14:24:34
Ja, die Software kenne ich vom Namen her, habe sie mal kurz zwecks Test als Photoshop-Ersatz installiert und angeschaut und dann mit Grausen wieder gelöscht. Ich kam damit gar nicht zu Recht.

Aber das hilft alles nix. Der Entwickler müsste einfach mal genauer erläutern, was jetzt das Problem eigentlich ist.
Titel: Re: HTTP-Download
Beitrag von: mbs am April 08, 2016, 15:29:26
ist es richtig, dass Apple den http-download unterbindet?
[...]
Oder ist das vom Softwareentwickler Computerinsel nur vergessen worden?

Ja, beides trifft zu.  :)

Programme, die auf und für OS X El Capitan entwickelt wurden und die üblichen Schnittstellen für Web-Kommunikation verwenden, dürfen kein unverschlüsseltes HTTP mehr verwenden, es sei denn, der Programmierer fügt intern dem Programm eine "Weiße Liste" von Domains bei, die auch unverschlüsselt noch kontaktiert werden dürfen oder er deklariert das ganze Programm als "HTTP-unsicher".

"Auf und für El Capitan" heißt konkret, dass der Entwickler seine Software mit den Bibliotheksversionen gelinkt hat, die zu OS X 10.11 gehören. Viele Programmierer, die ihre Software von Yosemite auf El Capitan umstellen, vergessen leider, auch die dabei nötige HTTP-Anpassung durchzuführen.

Apple will damit die Entwickler dazu zwingen, alle Programmstellen, bei denen Web-Kommunikation stattfindet, zu überdenken und sicherer zu gestalten. El Capitan-Programme müssen sich an spezielle Regeln halten, die von Apple "App Transport Security (ATS)" genannt werden und vom Betriessystem aktiv überwacht werden. Die gleichen Regeln gelten auch für iOS ab Version 9.0.

Standardmäßig werden sogar HTTPS-Verbindungen gesperrt, wenn der Server weder "Forward Secrecy", noch "TLS Version 1.2 oder höher" beherrscht. Diese Regeln können ebenso per Whitelisting außer Kraft gesetzt werden.

Peinlich war in diesem Zusammenhang übrigens auch, dass Apple zunächst selbst vergessen hat, die Apache-Version in OS X Server 5 auf TLS 1.2 umzustellen. Native El Capitan-Programme konnten deshalb Apples native "Profi-Web-Server-Installation" für El Capitan nicht mehr verwenden, weil das Betriebssystem sich selbst als zu unsicher eingestuft hat. Das geht erst seit 3 Wochen mit OS X Server 5.1.
Titel: Re: HTTP-Download
Beitrag von: Gerhard am April 08, 2016, 16:04:05
wow.
Danke für Deine ausführliche Antwort.
Darf ich dies dem Entwickler der Photoline zukommen lassen? Vielleicht wissen die das gar nicht.

Ich nutze PhotoLine auch nur für sporadische Einsätze in den Fällen, wenn mein Capture One pro nicht mehr kann.  ;)
Und dafür ist mir PS einfach viel zu teuer.
Titel: Re: HTTP-Download
Beitrag von: mbs am April 08, 2016, 16:25:46
Darf ich dies dem Entwickler der Photoline zukommen lassen? Vielleicht wissen die das gar nicht.

Die wissen das garantiert. Sie wissen ja auch, wie man die Sache behebt und haben das ganze korrekt beschrieben.

Wie gesagt ist das eigentliche Problem, dass fast alle Entwickler diese obskure Änderung vergessen. Übliches Szenario: Man hat bisher unter Yosemite entwickelt und das Programm mit Yosemite und El Capitan getestet. In beiden Systemen funktioniert alles völlig fehlerfrei. Das Feature zum Suchen nach Updates hat man vor 10 Jahren mal programmiert und man weiß, dass das "sowieso schon ewig" funktioniert, weil die Funktion millionenfach fehlerfrei benutzt wurde. Auch wenn man diese Funktion noch einmal testet, funktioniert sie korrekt, weil das Programm unter Yosemite kompiliert wurde.

Dann stellt man als Entwickler seinen eigenen Computer eines Tages auf El Capitan um und entwickelt die Software mit der neuesten Version von Xcode weiter. Die millionenfach getestete Funktion zum Suchen nach Updates klappt dann plötzlich nicht mehr, weil Apples Entwicklungsumgebung ein und denselben Code nun in etwas übersetzt, was nicht mehr genau so funktioniert wie früher (das ist eigentlich ein Unding). Da man selbst auch Nullkommanix an diesem Programmteil geändert hat, hat man das natürlich nicht erneut getestet …
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 08, 2016, 16:33:37
Ah, danke für die Erklärung, so ist das verständlich.
Titel: Re: HTTP-Download
Beitrag von: radneuerfinder am April 09, 2016, 00:05:56
Ist es nicht tatsächlich weise Entwickler zu zwingen mehr Sicherheit wie https und Forward Security einzubauen?
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 09, 2016, 09:22:49
Sie zu zwingen, finde ich nicht.
Sie zu zwingen, darüber nachzudenken, finde ich schon. :)
Vermutlich meintest Du das aber, oder?
Titel: Re: HTTP-Download
Beitrag von: radneuerfinder am April 09, 2016, 12:52:49
Nö, ich meine den gleichen Zwang, der z. B. bei Gebäuden zum Einbau von Brandschutztüren führt.
Titel: Re: HTTP-Download
Beitrag von: Jochen am April 09, 2016, 13:38:14
Nö, ich meine den gleichen Zwang, der z. B. bei Gebäuden zum Einbau von Brandschutztüren führt.

Oder Einbau von Rauchmeldern. ;D


Jochen
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 09, 2016, 14:31:13
Nö, ich meine den gleichen Zwang, der z. B. bei Gebäuden zum Einbau von Brandschutztüren führt.

Hmm, so einen Zwang (also praktisch eine Unterbindung von HTTP-Verbindungen) finde ich nicht gut. Zu viele  Verbindungen (auch dieses Forum) gehen aktuell noch nur über HTTP.
Titel: Re: HTTP-Download
Beitrag von: Florian am April 09, 2016, 17:06:07
Updates finde ich da schon etwas anderes. Besteht doch de Gefahr, dass Malware nachgeladen wird, wenn der Kanal nicht geschützt ist.

Insofern finde ich den Zug von Apple gut, nur die Kommunikation war wohl wieder mal nicht das Gelbe vom Ei. Man könnte auch eine Übergangsfrist einräumen usw. Wie auch immer, wir oder die Entwickler werden sowieso nicht gefragt. :)
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 10, 2016, 08:48:57
Aber in das System einzubauen, dass HTTP-Verbindungen für Updates nicht überdacht (geändert) werden müssen, aber sämtliche anderen HTTP-Verbindungen schon, dürfte ziemlich schwierig und auch fehleranfällig sein.

Da finde ich die Methodik, die Entwickler hier zum Nachdenken anzuregen, es aber nicht komplett zu unterbinden, schon für eine gute Lösung.

Inwieweit das deutlich genug kommuniziert wurde, weiß ich nicht. Aus dem text von mbs lese ich aber schon heraus, dass das bekannt gemacht wurde, aber solche Sachen eben in Vergessenheit geraten, wenn man sie nicht sofort umsetzen muss.
Titel: Re: HTTP-Download
Beitrag von: radneuerfinder am April 10, 2016, 10:45:00
Ob die konkrete Massnahme sinnvoll ist, kann ich nicht beurteilen. Eine Anregung zum Nachdenken bringts meiner Meinung nach oft nicht.
Titel: Re: HTTP-Download
Beitrag von: Florian am April 10, 2016, 11:19:36
Sehe ich auch so. Verschlüsselung hat es eh schwer, auch manche Entwickler schlampen da gerne.
Man könnte es auch andersherum sehen: Ist Apple mit diesem Schritt nicht eh viel zu spät dran?

Ich meine, es geht hier ja nicht um die Entwickler und ihre Programmierfreiheit, sondern um die Sicherheit der Benutzer. Die auch immer mehr in fremden Netzen surfen/updaten.
Ein besserer Vergleich wären da vielleicht die Feuermelder und -Löscher in Hotels. Man kann eben als Gast darüber nicht bestimmen, also gibt es gesetzliche Vorschriften (die natürlich allzu oft auch nicht befolgt werden, analog geht das eben).

Ich weiß auch nicht genau, wie Apple gewarnt hat, aber so etwas muss man mit nervenden Alarmmeldungen einhämmern. Weil es eben genau ist, wie Du schreibst: So etwas wird oft verschoben und vergessen.
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 10, 2016, 12:02:52
Äh, meinst Du das Ernst oder verstehe ich Dich falsch?
Als Apple bei iOS kein Flash zuliess, gab es einen Riesenaufstand, weil viele (fast alle) Videos damals nicht funktionierten. Aber betroffen waren immerhin "nur" Videos. Dann stellten die Betreiber langsam um und heute sind fast alle Videos sichtbar.
Wenn Apple jetzt komplett HTTP-Verbindungen verbietet, dann läuft doch fast keine WWW-Verbindung mehr, bis der Großteil aller Sitebetreiber auf SSL umgestellt hat. Ja, es wäre von Vorteil, dadurch einen ähnlichen Anreiz bekämen wie bei den Videos, aber Hand aufs Herz: Möchtest Du so lange verzichten und glaubst Du wirklich, die stellen wegen Apple flächendeckend in kürzester Zeit alle(!) auf SSL um?
Titel: Re: HTTP-Download
Beitrag von: warlord am April 10, 2016, 12:46:36
Ich meine, es geht hier ja nicht um die Entwickler und ihre Programmierfreiheit,

Doch, beim aktuellen Trend, wie Apple Sicherheit herzustellen versucht (angefangen beim Sandboxing, weitergeführt mit Dingen wie ATS) , geht es eben schon sehr stark darum, Entwickler in ihrer Programmierfreiheit einzuschränken. Sicher kann man mit sturen und automatisiert durchgesetzten Regeln einiges an Sicherheitslecks und Malware verhindern. Man verhindert mit dem Vorgehen aber eben auch eine Reihe (bereits vorhandener und zukünftiger) sinnvoller Möglichkeiten. Und die Frage sei erlaubt, ob man damit nicht mehr Schaden anrichtet, als Gutes tut.

Vollständig verhindern kann man Sicherheitslecks mit solchen Massnahmen sowieso nicht. Und selbst wenn man zum Schluss kommt, dass der daraus resultierende Nutzen grösser ist, als der damit angerichtete Schaden, halte ich stur durchgesetzte Leitlinien nur dann für sinnvoll, wenn sie auf Konsens von wirklichen Experten beruhen. Apple hat sich bis jetzt in meinen Augen nach wie vor nicht als extrem hoch einzuschätzender Experte hervorgetan, was Sicherheit angeht. Die Regeln eines Mittelschullehrers dürften für einen Grundschüler zwar sinnvoll sein. Ein Hochschulprofessor wird sich aber nicht ganz zu Unrecht etwas angepisst fühlen, wenn ihm ein Mittelschullehrer Regeln diktiert.

Ein weiterer Aspekt der (bei ATS schätzungsweise zwar (noch) nicht zutrifft, aber doch) bedacht werden sollte ist, dass Entwickler mit solchen Massnahmen häufig in die offiziellen Bibliotheken gezwungen werden und alternative (womöglich bessere) Lösungen unterbunden werden können. Damit wird einerseits die Entwicklung besserer (auch sicherer) Alternativen erschwert oder verhindert und es werden Möglichkeiten geschaffen, (z.B. durch Regierungen verordnet) Hintertüren einzubauen bzw. die Umgehung solcher Hintertüren zu unterbinden.

Nachtrag:
Und zu guter letzt: ist es nicht etwas schizophren, durch Gängelung von Entwicklern (vermeintliche) Sicherheit herstellen zu wollen, während man gleichzeitig selbst die Benutzer immer mehr in unsichere Cloud-Dienste zwingt?
Titel: Re: HTTP-Download
Beitrag von: Florian am April 10, 2016, 16:37:44
Äh, meinst Du das Ernst oder verstehe ich Dich falsch?

Es geht hier um Programm-Updates. Man kann natürlich in mein „surfen/updaten“ etwas hineinlesen, aber im Gesamtzusammenhang ist das doch klar. Die Leute nutzen oft und vermehrt offene bzw. fremde Netze und aktualisieren auch ihre Software dort. Vielleicht sogar gar nicht willentlich in dem Moment, sondern per Automatik.

warlord: Verständliche Kritik. Diesen Fall um die Updates empfinde ich aber als nicht in diese Kategorie gehörend.
Was die Experten angeht: Apple stellt ja seit geraumer Zeit ein. Sogar bekannte Leute sind dabei. Der Wille ist wohl vorhanden, stellt sich nur die Frage ob dann weniger Bevormundung als Resultat herauskommt oder eher mehr.
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 10, 2016, 16:51:30
Es geht hier um Programm-Updates.

Schon. Aber wenn Apple nur HTTP-Verbindungen für Updates unterbinden soll, aber nicht HTTP-Verbindungen für andere Zwecke, dann müsste Apple eine Methodik implementieren, dass das OS erkennt, ob die jeweilige Verbindung für Updates oder für was anderes genutzt wird. Solch eine Erkennung halte ich für sehr schwierig und sicherlich problembehaftet, d.h. Apple müsste hier eine Menge Gehirnschmalz investieren und trotzdem noch der nicht unerheblichen Gefahr von Fehlerkennungen ins Messer laufen. Das halte ich nicht für praktikabel. Oder übersehe ich da eine einfache Methode?

HTTP komplett verbieten ist einfacher (meiner Meinung nach aber auch nicht 100%ig sicher, denn woran wird eine Http-Verbindung erkannt? ), hat aber aktuell zu viele Nebeneffekte.
HTTP auf Wunsch des Entwicklers (durch Setzen der jeweiligen Option) zu erlauben, ist ebenfalls einfach, zwingt den Entwickler nur zum Nachdenken/Reagieren, aber nicht zum Wechsel.

Klar wünschenswert wäre es, wenn man Entwickler stärker zu verschlüsselten Verbindungen motivieren könnte, keine Frage. Aber ich sehe da keine praktikable Möglichkeit seitens des OS.
Titel: Re: HTTP-Download
Beitrag von: Florian am April 10, 2016, 21:36:22
So langsam komme ich dahinter, über was wir aneinander vorbei reden.

Schon. Aber wenn Apple nur HTTP-Verbindungen für Updates unterbinden soll, aber nicht HTTP-Verbindungen für andere Zwecke, dann müsste Apple eine Methodik implementieren, dass das OS erkennt, ob die jeweilige Verbindung für Updates oder für was anderes genutzt wird.

Nö, die unterscheiden nicht, sondern es geht um alle Verbindungen, die das Programm initiiert. Update ist halt hier im Thema das *ähem* Thema. Darum habe ich mich darauf verengt.

Das geschieht nicht über eine Filterung, sondern wie mbs das schrieb:
Zitat
Programme, die auf und für OS X El Capitan entwickelt wurden und die üblichen Schnittstellen für Web-Kommunikation verwenden, dürfen kein unverschlüsseltes HTTP mehr verwenden, es sei denn, der Programmierer fügt intern dem Programm eine "Weiße Liste" von Domains bei, die auch unverschlüsselt noch kontaktiert werden dürfen oder er deklariert das ganze Programm als "HTTP-unsicher".

Wo ist jetzt das Problem?
Wer nicht verschlüsseln kann oder will, der umgeht das eben. Immerhin wurde er mal auf den richtigen Weg hingewiesen und muss aktiv davon abkommen.
Und aus welchen Grund er verschlüsselt nach Hause telefoniert, ist doch egal. Einmal die Verbindung/en absichern und fertig.
Einem Browser o.ä. ist so etwas natürlich unmöglich, daher muss es natürlich Ausnahmen geben. Trotzdem sollten Browser verschlüsselt aktualisiert werden. :)
Titel: Re: HTTP-Download
Beitrag von: MacFlieger am April 11, 2016, 08:07:05
OK, ich denke, ich habe Dein "Sehe ich auch so." aus Antwort 18 falsch verstanden. Ich hatte das in der Richtung verstanden, dass Du es auch so siehst, dass man die Entwickler zu Verschlüsselung zwingen muss/sollte und daher HTTP komplett unterbinden sollte. Mein Fehler.