Процедура нотаризации Electron приложения для macOS 10.14.5

[Koneru]

Спасибо, для Linux и Windows сборка приложения происходит за 3-5 минут, для macOS теперь 20+. Интересная ситуация, главное что старые приложения не из стора теперь невалидны, несмотря на подпись.

[arxanter]

Обновили Gatekeeper. Нотаризировать предыдущие сборки довольно-таки легко. Но факт в том, что как-то тихо это нововедение произошло, на it-порталах это не обсуждали. А неудобств доставило прилично.

[kahi4]

Т.е. теперь для open source тоже нужно подписывать? Получается, даже чтобы распространять бесплатное ПО на Mac OS нужна девелоперская учетная запись, которая вдобавок платная, да ещё и по подписке?

[Koneru]

Уже давно сертификаты платные(99$/y), без них блокировало установку, но была возможность продолжить из настроек, теперь это тоже запретили.

[shifttstas]

Почему запретили? Правый клик + открыть или изменение настроек GateKeeper в системе.

PS что плохого в том, что большинство пользователей будут использовать только подписанные приложения? Тем кому надо — отключат опцию и будут ставить всё что угодно.

[Koneru]

arxanter:

Если приложение подписано, но не нотаризировано то при попытки установки gatekeeper будет блокировать попытку установки, говоря что приложение ненадежное( там нет кнопки — «установить в любом случае») ©

У меня старенькая Sierra, поэтому не могу подтвердить. Данное поведение, вроде, для не подписанного приложения также актуально.

[arxanter]

У неподписанного, насколько я помню, будет кнопка -«Установить на свой страх и риск» или в настройках безопасности появится кнопка разрешить подозрительному приложению доступ. Но я не проверял поведение неподписанного приложения в 10.14.5. Могу завтра провести опыты)

[shifttstas]

Правый клик мыши + открыть, обычно так работало.

[ShadowMaster]

Ничего не запретили. В Каталине подписанные, но не нотариально заверенные приложения ведут себя как неподписанные. Но это не значит, что их невозможно запустить.

[arxanter]

Не задумывался по поводу open source под MacOS. Получается что так. Все ради защиты и безопасности)

[namikiri]

Всё ради защиты пользователей от мышления.

[DarthVictor]

А какой именно софт?

sudo brew cask install myopensoftware

более не работает?
Может кто-нибудь скинуть пример софта, я проверю.

[arxanter]

Проверил vlc, поставил новую версию(скачав дистрибутив) и проверил валидатором



Нашел вот такой пункт в списке изменений MacOs 10.14.5(link)



Но, не имею представления, что подразумевается под Kernel extensions.

[DarthVictor]

Тоже не понял, вообще этот GateKeeper по идее отключается, но я не могу найти неподписанного софта для проверки. Даже kde-ешный софт оказался подписанным.

[creker]

Драйвера и прочие модули, которые подгружаются в пространство ядра. Те самые *.kext

[creker]

Нет. На 10.14.5 неподписанный софт работает так, как работал. Если чего-то не нравится, то в настройках безопасности придется дать разрешение на запуск. Единственное, есть отдельная категория уж очень тупых проверок, которые непонятно почему и как срабатывают, но блочат файлы так, что их вообще ничем не открыть. Даже в hex редакторе не посмотреть. Какой-то корявый карантин — меткой специальной помечается файл и все пропало. Пока не удалишь через терминал ее, ничего с файлом сделать невозможно. Но такое редко происходит.

Mac apps, installer packages, and kernel extensions that are signed with Developer ID must also be notarized by Apple in order to run on macOS Catalina.

Тут вот намек, что нотаризация касается как раз подписанного софта. Корректно подписанный софт дополнительно еще требует нотаризации — т.е. подтверждение, что эта конкретно версия софта никем посторонним не тронута. Если что, тикет нотаризации можно отозвать.

Notarization also protects your users if your Developer ID signing key is exposed. The notary service maintains an audit trail of the software distributed using your signing key. If you discover unauthorized versions of your software, you can work with Apple to revoke the tickets associated with those versions.

Т.е. если утек ключ, то можно не отзывать сертификат, тем самым ломая вообще все подписанные им приложения, а заблокировать только конкретные версии приложения по тикету нотаризации. Вариант отзыва сертификата, но одобрения запуска подписанных им приложений до даты отзыва, им не подходит получается. Судя по тому, что нотаризация проверяет на всякие вредоносные признаки, они хотят таким образом контролировать софт, распространяемый вне AppStore.

[kahi4]

Да, имеет смысл. Даже идея появилась: автосборщик с подспиской приложения из сорцов. Типа trevis ci. Если загружаешь бинарник с этого сайта, то можешь быть уверен что собрано оно из того репозитория и той ветки, которая указана. Жаль здравая идея портится монопольностью сервиса, выдающего эти сертификаты (и хотением за это денег).

[token]

Ой, в задницу Эппл с их нововведениями, чем дальше тем больше макось превращается в сборник какого то барахла.

[namikiri]

Мыши всё равно продолжат плакать и колоться. Яббл же, а не какой-то этот ваш вот да.

[Develar]

Как автор electron-builder, замечу, что планов это как-то упростить в ближайшее время нет.

[arxanter]

Приятно удивлен, что вы русскоговорящий. Процесс не сильно затруднен, сложно было составить картинку, как всё завести. Документация дополнится под изменения и описание процесса? Просто, как я понял, она в приватном репозитории и нет возможности написать для неё PR.

[Develar]

Документация в ветке docs. Я сам не буду улучшать документацию, скорее уж лучше поправить реализацию, так как текущий подход противоречит концепции 1-click :)

[Koneru]

Так же для корректной нотаризации нам потребуется определить права доступа
к ресурсам системы для нашего приложения. build/entitlements.mac.plist

arxanter, не подскажешь, пожалуйста, где можно взять полный перечень прав доступа к системе? Также не совсем понятно кудаТ.к. это единственное что выглядит индивидуальным для каждого приложения.

[arxanter]

Вот тут можно посмотреть

[Koneru]

Спасибо, это то что нужно.

[pirate_tony]

отключить карантин:

sudo defaults write com.apple.LaunchServices LSQuarantine -bool NO

или стереть расширенные атрибуты самого app:

xattr -c $yourapp

атрибуты выставляет macOS при взаимодействии с файловой системой. Те программы которые используют функции чтение/запись могут согласовать атрибуты и для скачанного запускаемого файла выставить атрибут если что-то пошло не так. К слову скачанные файлы (любые) в macOS имеют различные атрибуты. Например ссылку откуда был скачан файл

[creker]

Да, вот это та самая гадость, которая тихо блокирует любые манипуляции с файлами, даже просмотр их содержимого в редакторе. Нередко происходит, когда скачиваешь на мак что-то с битой цифровой подписью. Файл тихо помечается атрибутом и запрещаются любые действия с ним, только перенос в корзину. Даже кнопка в настройках не появляется как обычно бывает, когда макось запрещает запуск приложения из интернета. Идут по пятам винды со встроенным UAC и антивирусом, но сделано все коряво.

И в каталине в этих самых com.apple.LaunchServices собираются еще сильнее закрутить гайки, судя по докладу на WWDC

[arxanter]

Спасибо за информацию. Сам сразу не смог найти описание этого

[proea]

а хватит писать на электроне. хватит низгопробного софта. я не о конкретно выше, я о всем ПО. пишут на электроне который кушает ресурсы и мало толку.

пишите нативные приложения и делайте мир лучше

[arxanter]

В самом начале статьи я писал, что давайте не будем разводить обсуждения на эту тему. Выбор на чем и как писать дело личное. Одобрил ваш комментарий только для того, чтобы поставить минус.

[proea]

писать на чем угодно и писать качественный продукт, которым бы гордились даже пользователи — разные вещи

[creker]

На электроне такие приложения и пишут. Пример, vscode, всеобщий любимец.

[eSKon]

Всё понимаю, безопасность, все дела, но…
Вот эти все телодвижения для создания релизов, что под макось, что под айос последнее время занимают неоправданно много времени. Макось люблю (в отличии от айос), не потому-что фанат эпла, а потому-что нормальный юникс с дружественной мордой, а с brew или ports так вообще песня. Но вот разработка под него требует постоянно каких-то второстепенных усилий, которые зачастую времени отнимают больше чем сама разработка. Что-то здесь неправильно…