mac 下装 pkg 的时候,输入密码是否有安全隐患呢?

295 天前
 ttgo
这个密码是输入给谁了?是系统的 installer ,还是那个 app??
1698 次点击
所在节点    Apple
9 条回复
99999999999999
295 天前
吐槽下 windows 是啥都要管理员权限
yyzh
295 天前
@99999999999999 看软件的设计了,目前见你装 chrome,腾讯会议或者有道翻译时就不需要管理员
starryloki
295 天前
可以用 Suspicious Package 在安装前看一下 pkg 运行了哪些脚本
geelaw
295 天前
输入给系统还是那个(安装)程序其实区别不大,因为最终效果包括(安装)程序以高权限运行。通常来说一旦一个程序以高权限运行一次,它就可以固化这一权力,比如把自己变成高权限自启动服务,甚至修改系统。因此纠结这个问题在主流的桌面系统安全模型下意义不大,必须首先信任(安装)程序才可以(向系统)输入密码。

主要的担忧应该是:如何识别输入密码对话框是某个特定程序(自己或者通过系统)发起的?假设有一个恶意程序反复检查是否有安装程序将要提权,发现时率先显示假的凭据窗口,则输入密码会导致安全问题。

在受限用户下输入密码提权是很难确保安全的,即使考虑 Windows 的“要求输入凭据之前按 Ctrl+Alt+Delete”,也需要配合公钥体系才能较好解决这个问题。恶意程序可以率先发起提权请求,于是用户按了 CAD 之后再输入密码,虽然密码不能被恶意程序读取,但还是会被恶意程序截获权限。公钥体系可以确保提权对话框提示目标程序的签名,因而避免一切未经根证书间接信任的恶意程序。

标准操作是使用快速用户切换,完全切换到已经是高权限的环境下去运行受信任的(安装)程序。登录之前,可以先按 CAD 确保是系统的登录对话框而不是别的程序假冒的。
gpt5
295 天前
可以从 pkg 里把 app 提取出来,一样运行。
q534
295 天前
一直不知道在 mac 上怎么看程序的签名。win10 程序安装提权会有明确的全屏提示
jorneyr
295 天前
肯定有风险,如果软件想做坏事。
ysc3839
295 天前
有,pkg 安装过程可以执行程序,输密码就会给 pkg 里面的程序 root 权限。
ysc3839
295 天前
@q534 搜索了一下,只能通过命令行工具检查,首次打开 app 时没签名会提示

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1018825

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX