1234987

Neue Entwickler-Richtlinien von Apple: Sandbox

08.12.2011 | 16:07 Uhr |

Apple will ab März 2012, dass Anwendungen im Mac App Store in der "App Sandbox" von OS X 10.7 laufen. Was nach einem sehr speziellen technischen Detail klingt, kann künftig entscheiden, welche Art Software überhaupt noch erlaubt ist

Icon Mac App Store
Vergrößern Icon Mac App Store
© Apple

Sandbox ist ein klassischer Begriff aus dem Bereich der Softwaresicherheit und hat deutliche Auswirkungen auf das, was Nutzer in Zukunft mit Mac-Software machen können. Die Änderung der Apple-Richtlinien bedeutet, dass Mac-App-Store-Programme künftig in der neuen " App Sandbox " eingeschlossen sind. Dies hat klare Vorteile bei der Sicherheit, schränkt den Funktionsumfang aber deutlich ein. Mac Apps dürfen keinesfalls mehr direkten Zugriff auf Systembestandteile oder andere Programme haben. Es ist genau festgelegt, was Programme dürfen. Dafür gibt es die so genannten " Entitlements ", bestimmte Zugriffsrechte für Programme. "Beim App Sandboxing muss der Entwickler jeder App eine Liste von Befugnisrechten beilegen und das Betriebssystem verwendet nun diese Liste, um die App von außen in eine Sandbox zu stecken.", erklärt Entwickler Marcel Bresink (" Tinker Tool "). Die neue "App Sandbox" funktioniert wie ein Nudelsieb ohne Löcher. Der Entwickler muss ausdrücklich angeben, warum die App bestimmte Rechte haben muss, zum Beispiel warum eine App das Adressbuch auslesen soll. Software aus dem Mac App Store darf dann von Haus aus also fast nichts, Zugriff auf das Netzwerk, Nutzerdaten und weitere Dinge gibt es nur gegen Genehmigung.

iOS als Vorbild für Apps in Sandbox

Sicherheitsexperte Florian Oelmaier hält diese Herangehensweise grundsätzlich für "einen sinnvollen Schritt". Vorreiter ist hier iOS - dort sind Apps schon immer in einer Sandbox eingeschlossen und können nichts im System verändern. An Apples neuem Konzept für den Mac App Store gibt es aber derzeit auch Kritik: "Sandboxing an sich ist eine sehr gute Sache, die von allen Entwicklern begrüßt wird", so Marcel Bresink. "App Sandboxing dagegen ist im Moment noch völlig unausgereift. Apple selbst hat es bisher erst bei zwei kleinen Programmen geschafft, das App Sandboxing im eigenen Hause umzusetzen, nämlich bei Textedit und Vorschau . Beide Programme lassen sich recht einfach in Situationen bringen, in denen die neue Sandbox einen Absturz der Programme hervorruft. Die Qualität der derzeitigen Umsetzung ist also nicht akzeptabel."

Eingeschränkte Software für mehr Sicherheit

Com.apple.security.app-sandbox, dies ist das strenge Framework, in das sich Mac Apps in Zukunft einschließen sollen und das Entwicklern Sorgenfalten macht. Mit der Einführung des Mac App Store hat Apple schon eine Blaupause gegeben, wie Programme gestaltet sein sollen, wenn Apple die Kontrolle darüber hat. Dort sind viele sonst übliche Funktionen bereits verboten, beispielweise Treiber zu installieren oder Programmen Root-Rechte zu verleihen. Das schränkt zwar potenziell Funktionen ein, bewahrt den Nutzer aber vor gefährlichem Schabernack. Denn Anwendungen, die das Passwort des Rechner-Admins kennen, dürfen fast alles. Früher hatte Software fast freie Hand. Dies sorgt aber auch für Komfort: Angeschlossenes Zubehör wird automatisch erkannt, praktische Plug-ins erweitern Funktionen von Programmen und vieles mehr.

0 Kommentare zu diesem Artikel
1234987