( Czo | 2022. 01. 30., v – 17:55 )

Ezek meglepoen "furcsa" dolgok. Nezzuk visszafele. Big Sur-nal mindeki kiakadt, a Gatekeeper mukodesen. Viszont a Gatekeeper 10.7 sorozat kozepen erkezett (valamikor 2011-2012 evvege kornyeken), es azota is igy kb igy mukodik. Minden alkalmazas inditasa elott OCSP keres megy, hogy ervenyes-e a certifikacio, amivel az appot alairtak, illetve valamikor 10.14-ben indult el (tehat Mojave alatt) opcionalisan a binarisok bellyegzese es ellenorzese. Ha nem volt notarizalva, az attol ott, meg ugyonugy elindult. En probaltam ezt tobbszor megsniffelni, de nem talaltam nyomat pl a foldrajzi helyzetnek, se az idopontnak, mert a requestbe semmi ami erre utalt volna. Az app notarizalasanak ellenorzesehez benne volt annak a hashje es benne volt a cert hashje is, de minden a szokasos OCSP-nek megfeleloen. Ami viszont RETTENTOEN fura, hogy a vilag brozerei is, pont ugyonigy ellenorzik a tanusitvanyok visszavonasanak a tenyet. Ha pl meglatogatom a https://github.com/ -ot, az onnan leerkezo certben levo OCSP URL szinten http:// es nem https://. Tehat webes certeknel, nem baj ez, csak az Applenal :D

A Moris torteneteknel irt dolgok is rettento furak. A 10.15 volt az, ami kihajitott egy csomo, korabban deprecatednek itelt API-t. Ezt nehany fejleszto zokon vette, de az Apple mindig is ilyen volt az elmult 10-20 ev soran. Szoval itt annyira nagy meglepodes nincs (szerintem). De pl. itt van a VPN-es, Firewallos dolog. 10.10 ota van erre "rendszerszintu" API (a Network Extension Framework resze, ez hozta el a "szabad" VPN-ezest iOS-re is), elotte minden fejleszto ezt Kernel Extensionokkel oldotta meg (es 10.10 utan, toltak tovabbra is ezt). Marmint jott az adott VPN szoftver, telepitett egy kext-et (mint linuxon a kernel modul), majd ezzel mar el tudta teriteni azt amit el akart. Korabban az Apple funek fanak adott kext letrehozasra/alairasra jogosultsagokat, aminek az az elborzadt vilag lett a vegeredmenye, hogy pl a Dropbox-ek is mindenaron kext-et akartak telepiteni (en is kertem, kaptam is, igy a hackintoshon is alairt kexteket hasznaltam). Igy az Apple bejelentette korabban, hogy korlatozni fogja kinek, milyen celra ad kext alairasi jogot. No, a VPN es Firewall lett az egyik ilyen dolog, amire nem jar alapbol alairas. Igy viszont ha a kikapcsolhato SIP be van kapcsolva, akkor nem lehet a kextet betolteni. Tehat 10.15-nel mindenki atmenekult ide, amikor jott a feketeleves, hogy vannak dolgok, amikre ennek az API-nak nincs rahatasa. De, rootkent, siman lehet terminalban pfctl-t hasznalni, ha az ember ki akarja filterezni ezeket. Az OS tartalmaz 10-15 eve tun deviceot, de a korabban hasznalt tun/tap kext is lebuildelheto es betoltheto. Az opensource "openvpn", "openconnect" es az "openfortivpn" is mukodik ezekkel, raadasul ezek annyira "rosszul" mukodnek, hogy siman VPN-be zavarhatoak igy, a nativ API-val VPN-be nem beletolhato Apple szolgaltatasok is.

Nekem pl. szemely szerint, kidobta a 32 bites appjaimat a 10.15 es elkezdett megfogni jopar hasznalt egyeb JAVA vackot. A Big Sur kb kinyirta a regi brozeremet, amivel meg tudtam Flash-t es JAVA-t hasznalni, de buildeltem belole sajatot, belecsomagolt regi javaval es mukodo flash playerrel, igy kb visszakaptam mindent, ami kellhet. Monterey ide-oda, a jol megirt alkalmazasok kompatibiliesek :D Van meg olyan, nap-mint-nap hasznalt szoftverem (ClipMenu), ami annyira regi, hogy meg a legelso unibines korszakbol valo. x86_64 mellett tartalmaz i386 es ppc_7400 kodot is, 2009-es, 3.2-es Xcode buildelte, igazi orok darab.