Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Mac OS X Beveiliging

10-01-2014, 23:28 door DRB, 38 reacties
Beste Security.nl Lezers,

Ik heb zelf OS X 10.9.1 en een Sophops Anti-Virus en ingesteld van dat mijn mac vergrendeld als ik 10min gebruik.
En ook Monzila Firefox geïnstalleerd (omdat dat vaker wordt geupdate dan safari) en instellingen vergrendeld en als je software wilt installleren dat je je mac wachtwoord moet invullen. En na tuurlijk Vind my Mac.

Dus ik vroeg me af is dit tot nu toe goed beveiligd voor dagelijks gebruik of zou ik het nog veiliger kunnen maken ?
Reacties (38)
11-01-2014, 02:38 door Anoniem
Yep, check: http://www.nsa.gov/ia/_files/factsheets/macosx_10_6_hardeningtips.pdf?
11-01-2014, 11:43 door Anoniem
Is het een iMac of een laptop variant? Je kan overwegen FileVault nog aan te zetten om je harde schijf te encrypten. Dit borgt dat, mocht je de pc kwijtraken om wat voor reden dan ook, externen niet bij je data op de harde schijf kunnen. Tevens verbeterd het de beveiliging als een soort van BIOS- wachtwoord.

- gebruik je standaard een admin account of een normale? Dit kan je scheiden en is een stuk veiliger.

- hoe zit het met je wachtwoord beleid? Heb je voor iedere service hetzelfde wachtwoord of heb je hier scheiding in gebracht?

- kijk eens naar Firefox security extensions: https everyware, disconnect,

- hoe staan je back-up procedures ervoor ?

- heb je virtual machines en zo ja, hier ook nagedacht over security?
11-01-2014, 13:34 door Anoniem
Tja,het hangt helemaal van je zelf af wat je veilig genoeg vind.
Ik denk dat het bij jou gewoon een goede basisbeveiliging is,je kan natuurlijk net zo ver gaan als ik.
Ik heb het iets anders gedaan met mijn Mac's ik heb zowel op mijn Imac en Macbook pro Kaspersky internetsceurity staan.
Daar bovenop gebruik ik nog eens Open Vpn via Mullvad.
Dus al mijn internetverkeer gaat ook nog eens door een tunnel,wat ook nog eens gecodeerd is.
Verder zorg ik dat ik alle software wat ik op mijn Mac's gebruik, ook up to date heb.
Ik controleer regelmatig hierop.
Verder kijk ik iedere dag op deze site,zo hou ik alle mogelijkheden op veiligeidsgebied in de gaten.
11-01-2014, 15:21 door Briolet
Door DRB:En ook Monzila Firefox geïnstalleerd (omdat dat vaker wordt geupdate dan safari)

Als iets vaker wordt ge-update hoeft dat niet veiliger te zijn. Het kan ook betekenen dat het onveiliger is. In iets dat vol lekken zit, zul je ook sneller een nieuw lek vinden dat gepatcht moet worden.
12-01-2014, 01:24 door DRB
Door Anoniem: Is het een iMac of een laptop variant? Je kan overwegen FileVault nog aan te zetten om je harde schijf te encrypten. Dit borgt dat, mocht je de pc kwijtraken om wat voor reden dan ook, externen niet bij je data op de harde schijf kunnen. Tevens verbeterd het de beveiliging als een soort van BIOS- wachtwoord.

- gebruik je standaard een admin account of een normale? Dit kan je scheiden en is een stuk veiliger.

- hoe zit het met je wachtwoord beleid? Heb je voor iedere service hetzelfde wachtwoord of heb je hier scheiding in gebracht?

- kijk eens naar Firefox security extensions: https everyware, disconnect,

- hoe staan je back-up procedures ervoor ?

- heb je virtual machines en zo ja, hier ook nagedacht over security?

Ik maak gebruik van een MacBook Pro late 2012 serie, Thanks voor die tip om te encrypten en een bios-wachtwoord om te zetten. Zelf heb ik wel me account ingesteld als admin. Ik maak geen gebruik van Sleutelhanger omdat je dommer maakt en voor mij gevoel ook niet veilig is omdat dat via iCloud gaat en een Amerikaanse server gaat.
Ook een goeie tip van Https Everyware, Me Back-Ups gaan via TimeMachine met een extere harde schijf. en me Viruale Machine heb ik op Win 8.1 Pro Staan via Hyper-V
12-01-2014, 01:25 door DRB
Door Briolet:
Door DRB:En ook Monzila Firefox geïnstalleerd (omdat dat vaker wordt geupdate dan safari)

Als iets vaker wordt ge-update hoeft dat niet veiliger te zijn. Het kan ook betekenen dat het onveiliger is. In iets dat vol lekken zit, zul je ook sneller een nieuw lek vinden dat gepatcht moet worden.

Dat snap ik ook, maar het wordt wel vaker gepatch dan Safari en naar mij gevoel vind ik Firefox veiliger dan Safari ( Safari gebruik ik wel op me iPhone)
12-01-2014, 01:28 door DRB
Door Anoniem: Tja,het hangt helemaal van je zelf af wat je veilig genoeg vind.
Ik denk dat het bij jou gewoon een goede basisbeveiliging is,je kan natuurlijk net zo ver gaan als ik.
Ik heb het iets anders gedaan met mijn Mac's ik heb zowel op mijn Imac en Macbook pro Kaspersky internetsceurity staan.
Daar bovenop gebruik ik nog eens Open Vpn via Mullvad.
Dus al mijn internetverkeer gaat ook nog eens door een tunnel,wat ook nog eens gecodeerd is.
Verder zorg ik dat ik alle software wat ik op mijn Mac's gebruik, ook up to date heb.
Ik controleer regelmatig hierop.
Verder kijk ik iedere dag op deze site,zo hou ik alle mogelijkheden op veiligeidsgebied in de gaten.

Ik doe eigenlijk het zelfde alleen heb ik geen VPN verbinden erop. En natuurlijk hou ik ook al mijn software up-to-date! en dat ik deze website in de gaten houdt.
12-01-2014, 01:30 door DRB
Door Anoniem: Yep, check: http://www.nsa.gov/ia/_files/factsheets/macosx_10_6_hardeningtips.pdf?

Ey dank je naar zo iets was ik naar opzoek!
13-01-2014, 09:46 door Briolet
Door DRB:.....maar het wordt wel vaker gepatch dan Safari en naar mij gevoel vind ik Firefox veiliger dan Safari ( Safari gebruik ik wel op me iPhone)

Een andere overweging op de mac:
- Firefox draait niet in een sandbox.
- Safari en Chrome draaien in een sandbox.
- Firefox gebruikt geen' click-to-play'.
- Safari en Chrome gebruiken 'click-to-play'.

Dat lijken me veel belangrijkere veiligheidscriteria dan dat een browser veel gepatcht wordt. (of moet worden)
13-01-2014, 11:02 door Anoniem
Door Briolet:
- Firefox gebruikt geen' click-to-play'.
Dit is al heel lang een optionele instelling in about:config
13-01-2014, 11:18 door giant

- Firefox gebruikt geen' click-to-play'.
- Safari en Chrome gebruiken 'click-to-play'.
In Firefox staat click-to-play standaard aan voor Java.
Voor de overige plug-ins kun je click-to-play zelf aanzetten.
13-01-2014, 11:38 door Briolet - Bijgewerkt: 13-01-2014, 11:51
Door giant:In Firefox staat click-to-play standaard aan voor Java.
Voor de overige plug-ins kun je click-to-play zelf aanzetten.

Ik ben geen Firefox gebruiker, maar baseer bovenstaande bewering op een vergelijkingstest tussen deze drie browsers in een Mac magazine van deze maand. (Macwelt 02/14, pagina 73) Daar wordt beweerd dat Firefox 25 geen 'click-to-play' kent. En als ik zelf zoek, kan ik deze optie ook niet vinden. Het gaat hier over de mac versie van Firefox want bij mijn weten moet de windows versie wel 'click-to-play' kennen.

EDIT: Even een test op een site die Java gebruikt, laat inderdaad zien dat Firefox bij Java ook op de mac 'click-to-play' gebruikt.
13-01-2014, 12:47 door DRB
Weet iemand ook hoe je alle java-toepassing uitschakelt?
13-01-2014, 13:24 door Anoniem
Menu-> Extra-> Add-ons-> Plug-ins-> Java(TM) Platform-> "Vragen om te activeren" wijzigen in "Nooit activeren".
De Java Deployment Toolkit staat bekend als kwetsbaar en zou daarom sowieso op "Nooit activeren" ingesteld moeten staan.
13-01-2014, 13:31 door Briolet
Door Anoniem:
Door Briolet:
- Firefox gebruikt geen' click-to-play'.
Dit is al heel lang een optionele instelling in about:config

Ja, dat is foute voorlichting door mijn mac blad. Ik heb de instelling inmiddeld gevonden. Het staat overigens niet onder 'about:config'. Onder about kom je alleen bij licentie-info, privacy regels etc. Ik kon het eerst niet vinden omdat ik het onder 'voorkeuren' zocht. De instellingen zijn echter heel prominent aanwezig onder het menu "Extra:Add-ons", dat ik me dan afvraag waarom een blad deze instellingen genegeerd heeft bij een test. Default is natuurlijk geen 'click-to-play', en de doorsnee gebruiker zal dit ook zo laten staan en heeft het dus niet. De enige uitzondering is bij Java, maar daar is de browser plug-in al standaard in de 3 laatste OS-en verwijderd. Alleen Snow Leopard kent nog een Java browser plug-in, bij alle nieuwere OS-en is hij alleen aanwezig als de gebruiker het weer geïnstalleerd heeft.

Weet iemand ook hoe je alle java-toepassing uitschakelt?

Gewoon Mavericks installeren, dat haalt alle Java van het systeem. In mijn geval moest ik Java 6 weer installeren na de Mavericks upgrade.
13-01-2014, 13:41 door Mira - Bijgewerkt: 13-01-2014, 13:43
Door DRB: Weet iemand ook hoe je alle java-toepassing uitschakelt?

In Snow Leopard via hulpprogrammas/javavoorkeuren. Vanaf Lion zit Java er (standaard) sowieso niet meer op. Lees ook even http://www.macobserver.com/tmo/article/uninstall-or-disable-java-on-a-mac
13-01-2014, 14:00 door Mira - Bijgewerkt: 13-01-2014, 14:00
Door Anoniem: Yep, check: http://www.nsa.gov/ia/_files/factsheets/macosx_10_6_hardeningtips.pdf?

Ik krijg deze melding na poging tot openen in Firefox : Het bestand --- kan niet worden geopend. Het is mogelijk beschadigd of heeft een bestandsstructuur die Voorvertoning niet herkent. Iemand een tip?
13-01-2014, 14:13 door Anoniem
http://www.obdev.at/products/littlesnitch/index.html een must voor elke mac gebruiker.
13-01-2014, 15:17 door Anoniem
Door DRB:Ik maak geen gebruik van Sleutelhanger omdat je dommer maakt en voor mij gevoel ook niet veilig is omdat dat via iCloud gaat en een Amerikaanse server gaat.
Ja, dat had ik ook, bij het zien van de "what's new demo": een grote "Huh? Al mijn password naar de cloud???"

Door Anoniem:Daar bovenop gebruik ik nog eens Open Vpn via Mullvad.
'Kzou toch liever mijn eigen VPN server draaien i.p.v. een remote party.

Door DRB:Ey dank je naar zo iets was ik naar opzoek!
np, ikzelf heb 'm afgelopen weekend ook weer eens gebruikt. Maar pas op met Mavericks met racoon; als je die unload kun je geen opensource-VPN's meer maken met Tunnelblick (dat sinds 3.beta18 ook weer op 10.9 kan).
Er gaan nu ook al tips om de 10.8 racoon binairy erin te zetten, maar da's echt niet nodig (in ieder geval niet op 10.9.1).

Door Mira:Ik krijg deze melding na poging tot openen in Firefox : Het bestand --- kan niet worden geopend. Het is mogelijk beschadigd of heeft een bestandsstructuur die Voorvertoning niet herkent. Iemand een tip?
Ikzelf had met FF er geen probleem mee. Misschien cache legen? Of Safari of Opera al geprobeert? Of openen met acrobat, of direct vanuit Preview.
13-01-2014, 16:31 door Anoniem
Firefox, about:config, plugin settings

In de " about:config " entries van Firefox kan je heel veel aanpassen.
Hoe kom je daar?
Type in de url bar : about:config
enter, waarschuwing; jaha ik zal voorzichtig zijn, enter
in het zoekmenu boven de woorden 'preference name' kan je op trefwoorden van settings zoeken.

Zoek maar op het woord plugin, het woord click.
Zoek deze regels op :
plugins.click_to_play;
plugin.state.flash;
plugin.state.java;

Wat betekenen de cijfertjes?
oa hier uitgelegd : http://www.ghacks.net/2013/07/09/how-to-make-sure-that-a-firefox-plugin-never-activates-again/

Dat zou dan de volgende settings kunnen opleveren
click to play instellen :
plugins.click_to_play;true

click to play instellen voor Flash plugin ":
plugin.state.flash;1

Java plugin permanent uitschakelen, mocht je Java geïnstalleerd hebben of niet al in zijn algemeenheid hebben uitgeschakeld onder algemen Java voorkeuren:
plugin.state.java;2

NoScript
Noscript addon kan ook helpen bij het monitoren van plugins.
In de voorkeuren van Noscript zelf, onder het options voorkeuren paneel, tab embeddings.
De resultaten van die settings kan je weer (deels) terugvinden c..q. controleren in de about:config van Firefox onder de noscript rules.

Bijvoorbeeld :
noscript.clearClick.prompt;true
noscript.forbidJava;true

Mozillazine
Er is bijvoorbeeld een oude meer uitgebreide pagina op MozillaZine te vinden met about:config uitleg en settings. Voor de settings die er in nieuwere Firefox releases zijn bijgekomen zal je een zoekmachine kunnen gebruiken.
http://kb.mozillazine.org/About:config_entries

Alle settings die je zelf aanpast krijgen onder de status kolom de waarde ; user set. Als je die allemaal bijelkaar wil hebbeb kan je daarop sorteren door op de kolomtitle te klikken.

Helaas is het heel jammer dat je niet al die settings in een keer kan selecteren en bijvoorbeeld kopieren naar een textedit document.
Dit voor het geval je issues krijgt door de veranderingen in de about:config , je door de vele aanpassingen er niet meer achter kan komen waarom firefox crasht of minder goed werkt, en je dus firefox prefs in haar geheel moet resetten (dat doe je met opstarten en de 'alt' toets ingedrukt houden, kiezen voor reset).
Je kan altijd voor een reset en kopie van het prefs.js van Firefox maken en dat even ergens anders bewaren (mocht je het weer willen terugzetten).

Waarschuwing!!!
Denk eraan, lopen rommelen in de settings kan een leuk tijdverdrijf zijn.
ALs het idee was om Firefox veiliger te maken, wees er dan zeker van dat de wijzigingen die je aanbrengt daar ook voor zorgen!
Met verkeerde veranderingen kan je ook je browser minder veilig maken.
Vandaar de waarschuwing : "Ik zal voorzichtig zijn, beloofd"
Laat dat waarschuwingspaneel maar aan staan, extra waarschuwing kan nooit kwaad.


Security : Safari of Firefox?
Beide browser zijn denk ik veilig, Firefox is dan misschien niet gesandboxed op de Mac, Safari is weer dieper geïntegreerd in Mac OS X. Tja, wat is dan veiliger?

Voor beide browsers geldt dat je beter een supported browser kan gebruiken.
Heb je een ouder OS X, denk ik dat het verstandig is om niet meer met Safari te browsen op het moment dat duidelijk is dat Apple daarvoor geen security support meer biedt (OS X 10.5 en eerder, je moest eens weten hoeveel mensen met een mijns inziens te oude Safari browsen).

De grote vraag is bijvoorbeeld of Apple Snow Leopard voorlopig nog blijft ondersteunen. Het lijkt er inmiddels een beetje op dat Safari 5.1.10 iets achter loopt op security gebied als je kijkt naar de security fixes die Safari 6 en 7 wel hebben gekregen; wie het weet mag het zeggen.

Mogelijkheden
Firefox biedt meer mogelijkheden om browser aanpassingen te doen dan Safari.
Zowel qua beschikbare addons als mogelijkheden in de about:config entries.
Chrome browsers zijn (buiten de voorkeur settings) alleen aan te passen als je echt verstand van het aanpassen van code hebt.


= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

Voor mogelijke tips kan ik ook nog wel verwijzen naar delen in een andere bijdrage.

Aangaande veiligheid en OS X is het denk ik belangrijk dat je de aanvalsvectoren verkleint.
Vooralsnog richt de Mac malware die er is zich het meest op kwetsbaarheden van een klein aantal programma's, krijg die dan eerst veilig.
Wel zo handig en zo simpel. Toch?

Lees vanaf zin :
" Andere optie? : Focus op concrete Security, namelijk; de getargete AanvalsVectoren en Focus op Realistische, Simpel te bewerkstelligen Oplossingen"

Onder post : https://www.security.nl/posting/374597#posting374702

En het mooie is, de 'Security Leesmarathon' is helemaal niet verplicht, pik eruit wat je kan gebruiken, daar is het voor geschreven.
Scrollen plus scannen op kopjes en inhoud is best simpel.
13-01-2014, 16:49 door Anoniem
Door Mira:
Door Anoniem: Yep, check: http://www.nsa.gov/ia/_files/factsheets/macosx_10_6_hardeningtips.pdf?

Ik krijg deze melding na poging tot openen in Firefox : Het bestand --- kan niet worden geopend. Het is mogelijk beschadigd of heeft een bestandsstructuur die Voorvertoning niet herkent. Iemand een tip?

Overweeg eens pdfs niet online in je Firefox browser te bekijken, maar bekijk ze gewoon met Preview / Voorvertoning programma, nadat je het pdf gedownload hebt en gescand op virussen of malware.
Zet in je Firefox voorkeur settings onder applications bij pdf; always ask (ik zou het bij meer overwegen).
Stel Preview / Voorvertoning in als standaard pdf viewer, als je dat niet al gedaan hebt.

Soms geeft Preview / Voorvertoning jouw genoemde foutmelding als de titel te lang is of er bijvoorbeeld dubbele punten of slashes in de documentnaam zitten.
(Al gaat bij mij het pdf met deze naam gewoon open).

Simpel te proberen oplossing :

Verander even de titel van het document in iets anders korts, bijvoorbeeld " mac.pdf '
kijk eens of je het daarna wel kan openen.
Als dat zo is sla het dan opnieuw op en laat anders de underscores uit de naam weg.

succes

P.s. de hardening tips komen uit de Apple security guide : SnowLeopard_Security_Config_v10.6.pdf
272 pagina's security leesvoer!
:-)
13-01-2014, 18:34 door Briolet
Heb je een ouder OS X, denk ik dat het verstandig is om niet meer met Safari te browsen op het moment dat duidelijk is dat Apple daarvoor geen security support meer biedt (OS X 10.5 en eerder, je moest eens weten hoeveel mensen met een mijns inziens te oude Safari browsen).
Deze tip klinkt goed, maar werkt niet. Ik heb nog tot en jaar geleden met OS X 10.5 gewerkt, maar plots kreeg ik binnen een maand, zowel van Fireox als ook van Chrome de melding dat ze niet meer te updaten waren omdat het OS te oud was. Dat ook deze twee browser het OS niet meer ondersteunden was voor mij de definitieve druppel om het OS op die mac te upgraden. Maar dat betekent dat je op OS x 10.5, bij alle 3 grote browsers alleen met oude versies kunt werken.
13-01-2014, 19:53 door Anoniem
Leuke tips allemaal,ieder doet het beveiligen op zijn Mac op zijn eigen manier.
De reden waarom ik firefox gebruik is,dat ik het prettiger vind werken dan Safari.
Ook binnen Firefox heb ik allemaal plugins,zoals ghostery en addblock+,ook de beveiligings plugins van Kaspersky internetsecurity gebruik ik.
13-01-2014, 20:28 door Anoniem
Door Briolet:
Heb je een ouder OS X, denk ik dat het verstandig is om niet meer met Safari te browsen op het moment dat duidelijk is dat Apple daarvoor geen security support meer biedt (OS X 10.5 en eerder, je moest eens weten hoeveel mensen met een mijns inziens te oude Safari browsen).
Deze tip klinkt goed, maar werkt niet. Ik heb nog tot en jaar geleden met OS X 10.5 gewerkt, maar plots kreeg ik binnen een maand, zowel van Fireox als ook van Chrome de melding dat ze niet meer te updaten waren omdat het OS te oud was. Dat ook deze twee browser het OS niet meer ondersteunden was voor mij de definitieve druppel om het OS op die mac te upgraden. Maar dat betekent dat je op OS x 10.5, bij alle 3 grote browsers alleen met oude versies kunt werken.

Klopt : nee en een beetje ja (?)

Je hebt precies een gaatje te pakken waarop ik niet met zekerheid kan zeggen of dat echt een gaatje is.
Het zit hem in het volgende, je hebt het dan over een intel machine in combinatie met OS X 10.5.

Voor PPC Mac's (met IBM processor, tot en met plm. 2005) is OS X 10.5 het hoogst haalbare OS X.
Voor deze combinatie, een Mac PowerPc en OS X 10.5 , zijn alternatieve browsers te vinden die nog support hebben. Dat is ook wel nodig want het alternatief van het OS X upgraden is er niet.

Nu het gaatje waarvan ik even uit mijn hoofd niet met zekerheid kan zeggen of het een gaatje is (want misschien zijn er wel alternatieve browsers te vinden die met OS X 10.5 in combinatie met een IntelMac werken).
De combinatie waarvan je (voorlopig dan) terecht vaststelt is een beetje een 'luxe' issue (in omgekeerde zin dan).
Als je een IntelMac bezit en je maakt geen gebruik van je upgrade mogelijkheden door naar een hoger OS X te gaan (minimaal 10.6), is het de vraag of je dat qua veiligheid kan compenseren met een browser alleen. En of dat eigenlijk wel een realistisch/zinvol (security) idee is, anders gezegd; of je niet upgraden wel moet nalaten (denk het niet; verstandig in dit specifieke geval is het om juist wel te upgraden).

Door te blijven steken met OS X 10.5 op een IntelMac liet je een (praktische & Security) kans liggen, en/maar je bent vermoedelijk lang niet de enige. Het is zelfs dagelijkse praktijk krijg ik de indruk : veel Mac gebruikers blijven (te) lang hangen op het OS X dat bij aanschaf van het systeem werd meegeleverd.
Na een jaar of pakweg 5 a 6 werkt die Mac nog wel (goed) maar heb je inmiddels waarschijnlijk geen support meer voor je OS X. Spannend is het nu ook wat Apple gaat doen met 10.6 security support, o.a. Java.

De processor-overstap van IBM Powerpc naar IntelMac was daarbij een extra breekpunt, lastigheidje. Voor PPC gebruikers (nog steeds) opgevangen/gecompenseerd door een deels enthousiaste (positief getergde) community die wel nog support geven voor alternatieve mozilla georiënteerde browsers als bijvoorbeeld TenFourFox (die nu geloof ik ergens op de longterm support release 17 zit).

Is upgraden naar een hoger OS X altijd de beste oplossing?
Nee, dat kan je ook niet zo algemeen stellen.

Veel OS X gebruikers en niet in de laatste plaats veel zakelijke gebruikers zijn bijvoorbeeld op Snow Leopard 10.6 blijven steken in plaats van te upgraden naar Lion 10.7 of nog hoger als de hardware dat ondersteunt .
Waarom?
Vanwege software compatibility, universal binaries (dus geschikt voor de oude PPC Mac's en Intel) kunnen nog wel draaien onder 10.6 vanwege een software 'emulator' van Apple zelf, namelijk Rosetta.
In de latere OS X-en zit die Rosetta application niet meer en kan je de (oude universal) software niet meer draaien. Dan moet je dus nieuwere software aanschaffen, niet alle bedrijven hebben zin of vinden het nodig daarin te investeren, misschien omdat de software waarmee ze werken voldoende is of bij gebrek aan budget.

Voor particulieren kan dat ook bewust gelden, ze upgraden dan niet met een 'goede' reden.
Want het komt nogal eens voor dat gebruikers die geen vooronderzoek hadden gedaan, soms teleurgesteld zijn of zwaar de pest in hebben na een upgrade, en dan pas ontdekken dat sommige software niet meer werkt of ondersteund wordt.
Zie dan maar weer terug te komen op je oude lagere OS X versie.
Makkelijk met een backup, moet je die wel hebben of hebben gemaakt voor de upgrade (ook niet heel erg in).

Die upgrade-overstap-teleurstelling kan je natuurlijk ook overkomen als je een nieuwe Mac koopt met het nieuwste OS X.
Heb je braaf alles gemigreerd van je ene Mac naar de andere.
Werkt sommige software niet meer en is het van je oude Mac af (?), misschien heb je die dan tussentijds ook nog wel net verkocht.

Om die teleurstellingen voor te zijn voordat je gaat upgraden naar een hoger OS X kan je onderzoek doen op een site als : http://roaringapps.com

Tot slot, terug naar het verschil tussen OS X 10.5 e 10.6 .
Dat is niet schokkend groot. Ik denk dat het vooral een omschakelings OS X betrof specifiek voor de (toen) nieuw geïntroduceerde IntelMac's.
Bij mijn (voorzichtige weten, check het zelf aub) is het zo dat applicaties die onder OS X 10.5 op een IntelMac werkten ook onder 10.6 op een IntelMac werken.
Applicaties die wel onder OS X 10.5 werkten op een PPC Mac hoeven weer niet per se te werken op een IntelMac onder 10.6.

Oude koek allemaal, maar kan interessant zijn als je bent ingestapt op een (tweedehands) PPC Mac en overgaat op een (tweedehands) IntelMac.
Het zou zo maar kunnen, aanbod genoeg.


(tja, wederom; inhoudelijk antwoord geven levert nogal eens lange reacties op.
Als je er maar wat aan hebt hoop ik dan maar).
13-01-2014, 22:06 door Anoniem
Firewall van de mac inschakelen!
14-01-2014, 10:27 door Anoniem
Correctie op (eigen) bijdrage van 20:28 door Anoniem

Universal binaries applications en gebruik van Rosetta op OS X 10.6 staan los van elkaar.

Universal binaries zijn applications geschreven om te kunnen werken op zowel PPC Mac's als intel Mac's, daar heb je Rosetta onder OS X 10.6 Snow Leopard niet voor nodig (al kan je geloof ik weer wel ergens nog kiezen of je de Applicatie onder 32 bits of 64 bits wil draaien, weet niet of Rosetta daar een rol bij speelt).

Met Rosetta onder OS X 10.6 Snow Leopard kan je applications geschreven voor PPC Mac's draaien.
Sommige applications die wel werkten onder OS X 10.5 op een PPC Mac, werken soms toch niet op een Intel Mac met OS X 10.6 Snow Leopard met gebruik van Rosetta. In dat geval ga je waarschijnlijk over het maximaal ondersteunde OS X heen.

Voorbeeld, heb je een PPC Mac met OS X 10.5.8 en je zoekt bijvoorbeeld een virusscanner, kijk dan of de software leverancier (nog) een universal binary app aanbiedt. Een alleen Intel Mac app zal dan niet werken.
Let daar goed op, sommige antivirus leveranciers doen wel of ze de oplossingen hebben voor een probleem maar dat is natuurlijk alleen het geval als het kàn draaien op je Mac met een bepaald OS X. Nogal eens is de minimum OS X vereiste 10.6, 10.7 of nog later (dus in dat geval niet voor je goed werkende PPC Mac, fijn is dat ;-).

Voor een overzicht van de soort applicaties op je systeem, kan je kijken onder system profiler (apple menu, meer info, kopje Applications). In de laatse kolommen kan je zien onder 'kind' wat voor soort application het is (Intel, PowerPC, Universal, of zelfs Classic). Daarmee hoef je al niet eens op internet te zoeken voor compatibiliteit met Intel, moet je nog wel het Supported OS X uitzoeken.

bij deze ,..
14-01-2014, 10:35 door Briolet
Door Anoniem:Bij mijn (voorzichtige weten, check het zelf aub) is het zo dat applicaties die onder OS X 10.5 op een IntelMac werkten ook onder 10.6 op een IntelMac werken.

Ik weet uit ervaring dat dit niet voor alle programmas geld. Het was o.a. een van de redenen om indertijd één OS X 10.5 mac aan te houden. Twee programmas die ik daar gebruikte, werkten niet onder 10.6. De een crashte, bij de andere was het alleen de ctrl-click die niet herkend werd binnen het programma (Wings3D) zodat je de modellen niet kon roteren. (Wel iets essentieels binnen een 3D modelling programma)

Als je dus met een oud OS wilt blijven werken om die oudere programmas te blijven gebruiken, moet je andere veiligheids maatregelen nemen. b.v. de internet verbinding blokkeren. Ik kan een intern IP b.v. in de router blokkeren. Dan kan die computer nog wel het interne netwerk op, maar niet meer het internet.
14-01-2014, 13:08 door Anoniem
Door Briolet:
Door Anoniem:Bij mijn (voorzichtige weten, check het zelf aub) is het zo dat applicaties die onder OS X 10.5 op een IntelMac werkten ook onder 10.6 op een IntelMac werken.

Ik weet uit ervaring dat dit niet voor alle programmas geld. Het was o.a. een van de redenen om indertijd één OS X 10.5 mac aan te houden.
..
Als je dus met een oud OS wilt blijven werken om die oudere programmas te blijven gebruiken, moet je andere veiligheids maatregelen nemen. b.v. de internet verbinding blokkeren.
...

Ja dat is één mogelijke oplossing.
Wat ook kan is een Dual Boot Systeem.
Heb je het beste van twee (OS X) werelden.

- opstarten met met 10.5 voor 'offline' gebruik van 'dat ene' programma
- opstarten onder 10.6 voor veiliger online gebruik van andere (meer up to date) programma's

Wat misschien ook nog kan is OS X 10.5 in een virtual machine draaien onder OS X 10.6.
Ik heb er geen ervaring mee, het is misschien niet de handigste oplossing voor 3d programma's, omdat die vermoedelijk veel rekenkracht vereisen. Beschikbare rekenkracht wil je dan niet verliezen aan een virtual machine omgeving.

Al met al vind ik per definitie de internet verbinding blokkeren erg rigide.
Afhankelijk van of er nog wel een supported browser te vinden is (beperk jezelf niet tot alleen keuze uit de grote drie).
Afhankelijk hoe breed je ermee het internet op wil (als je alleen de pagina van je bank ermee wil bezoeken en de rest blokkeert, om maar eens wat te noemen, maar daar is ook nog balans in te vinden : browser instellingen en aanvullende addons).
Afhankelijk van de functionaliteit die je je browser toestaat; (Java) scripts, Java, iFrames, Flash, wel/niet toestaan van advertenties, afbeeldingen, trackers en meervoudige verbindingen, andere plugins (eventueel verwijderen), drive by downloads tegengaan, php functionaliteit en redirects aan banden leggen, firewall poortbeheer !!! Poorten dichtgooien, zoveel als kan, programma internettoegang beheer met whitelisting of zelfs per applicatie per poort specificeren, etc. etc. etc etc.
(moet je straks toch nog aan een mozilla browser want die biedt op dat punt meer mogelijkheden dan Safari, ;-).
Nee hoor, vrijheid blijheid natuurlijk

Het voert te ver nu om dat allemaal op detail niveau (met mogelijk daarop weer te vinden uitzonderingen) te gaan doorlopen.
14-01-2014, 14:09 door Shadowlight - Bijgewerkt: 14-01-2014, 17:31
Door DRB: Weet iemand ook hoe je alle java-toepassing uitschakelt?

script:
---------------------------------------------------------------------------------------------------------------------------
#!/bin/bash

(( X = 0 )) ; (( Y = 0 ))
DIRS='
/System/Library/Frameworks/JavaVM.framework
/System/Library/Java
/Library/java
'

(( $# == 0 )) && echo -e "\n Use '+' to enable, '-' to disable.\n" || echo

for DIR in $DIRS
do
case "$#" in
1) [[ $1 = '+' || $1 = '-' ]] && [[ -d $DIR ]] && sudo chmod $1x $DIR ||
{
echo 'Wrong argument...'
exit 1
}
;;
0) ;;
*) echo "Too many arguments..."
exit 2
esac

ls -ld $DIR | awk '{print $1"\t"$3":"$4"\t"$NF}'
[[ -x "$DIR" ]] && (( X += 1 ))
(( Y += 1 ))
done

case $X in
$Y) printf "\n ==> Java enabled <==\n\n" ;;
0) printf "\n ==> Java disabled <==\n\n" ;;
*) printf "\n ==> Java partially disabled <==\n\n" ;;
esac
---------------------------------------------------------------------------------------------------------------------------
14-01-2014, 14:45 door Anoniem
Door Shadowlight:
Door DRB: Weet iemand ook hoe je alle java-toepassing uitschakelt?

script:
---------------------------------------------------------------------------------------------------------------------------
#!/bin/bash

---------------------------------------------------------------------------------------------------------------------------

Zonder enige toelichting een script plaatsen?!!

Vriendelijk verzoek : zou je (voortaan) s.v.p. zo vriendelijk willen zijn om een gegeven script te voorzien van een begrijpelijke mensentaal uitleg :

! -> wat dit script doet
! -> wat de risico's zijn van het gebruik van dit script
! -> wat de alternatieven zijn die een instapgebruiker kan kiezen (niet iedereen zit op dit expert niveau, ik ook niet)
! -> waar dit vandaan komt, meerdere bronnen beschikbaar en door wie en of dit beproefd / beoordeeld is?

Overweeg onderstaande adviezen (voor dummies?) nog eens (erbij) :

- Maak alleen gebruik van de Terminal application als je snapt wat je aan het doen bent
- Weet wat je aan het doen bent
- Probeer niet lukraak een script uit maar kijk eens of je de gegeven oplossing vaker tegenkomt en wat anderen daarvan zeggen (het komt vaak voor dat dit scripts in de reacties erop gecorrigeerd worden omdat er bijvoorbeeld toch een foutje in is geslopen of dat het ook nadeel heeft!)
- Zorg dat je een back-up achter de hand hebt voordat je (zomaar) een script op je Mac loslaat.
Kan je in het uiterste geval altijd nog weer een back-up terugzetten.

Als je niet weet wat je aan het doen bent, had dit je misschien ook wel kunnen overkomen (serious trouble!) :
http://www.neowin.net/news/bitcoin-hoax-dupes-mac-users-into-wiping-their-hard-drives
14-01-2014, 18:11 door Shadowlight - Bijgewerkt: 14-01-2014, 18:24
Mooi, enige uitleg gewenst...

------------------------------------------------------------------------------------------------------------------
#!/bin/bash

# Opzetten variabelen
# X en Y op 0 zetten
(( X = 0 )) ; (( Y = 0 ))

# De directories waar Java zich bevind in een variabele zetten (deze directories gaat het om)
DIRS='
/System/Library/Frameworks/JavaVM.framework
/System/Library/Java
/Library/java
'

# Een regel die geplaatst wordt als je geen argument opgeeft
# in deze situatie worden alleen de rechten, gebruiker:groep en de directories zelf getoond
# er wordt dan niets aangepast
(( $# == 0 )) && echo -e "\n Use '+' to enable, '-' to disable.\n" || echo

# Loopje doorlopen per directory
for DIR in $DIRS
do
case "$#" in
# als er 1 argument is check dan of het argument een "+" of een "-" is
# indien dit het geval is voer dan het commando uit
# het commando zorgt ervoor dat de directory niet meer executable is
# d.w.z dat je er niet meer in kunt
# als het argument geen "+" of "-" is heb je een verkeerd argument
# stop dan het script met onderstaande foutmelding
1) [[ $1 = '+' || $1 = '-' ]] && [[ -d $DIR ]] && sudo chmod $1x $DIR ||
{
echo 'Wrong argument...'
exit 1
}
;;
# als er 0 argumenten zijn doe hier dan niets er hoeft immers geen commando uitgevoerd te worden
# alleen maar een melding gegeven te worden
0) ;;
# Je hebt teveel argumenten opgegeven het commando hoeft hierop
# niet fout te gaan maar we vangen dit toch maar af voor alle zekerheid
*) echo "Too many arguments..."
exit 2
esac

# toon de directory
ls -ld $DIR | awk '{print $1"\t"$3":"$4"\t"$NF}'
# check of de directory een x-bitje heeft, zo ja verhoog dan variabele X met 1
[[ -x "$DIR" ]] && (( X += 1 ))
# verhoog variabele Y met 1 (controle variabele die later nodig)
(( Y += 1 ))
done

# een check of de java directories "wel/niet/gedeeltelijk" openstaan
# wel open (x-bitje gezet op alle betreffende directories) toegang enabled java actief
# niet open (x-bitje niet gezet op alle betreffende ) toegang disabled java niet actief
# gedeeltelijk open (x-bitje op 1 of 2 van de betreffende directories gezet
# (onwenselijke situatie zal in de praktijk niet (mogen) voorkomen)
case $X in
$Y) printf "\n ==> Java enabled <==\n\n" ;;
0) printf "\n ==> Java disabled <==\n\n" ;;
*) printf "\n ==> Java partially disabled <==\n\n" ;;
esac
------------------------------------------------------------------------------------------------------------------


Het enige commando in dit script dat iets aanpast is:

sudo chmod $1x $DIR

dat met een "+" het x-bitje aanzet en met een "-" het x-bitje uitzet
standaard staat het x-bitje op de directories aan.


Ik hoop dat het nu wat beter omschreven is....
14-01-2014, 18:23 door Shadowlight
Output bovenstaand script zonder argument:

$ ./java.sh

Use '+' to enable, '-' to disable.

drw-r--r-- root:wheel /System/Library/Frameworks/JavaVM.framework
drw-r--r-- root:wheel /System/Library/Java
drw-rw-r-- root:admin /Library/java

==> Java disabled <==


Output bovenstaand script met "+" als argument:

$ ./java.sh +

Password:
drwxr-xr-x root:wheel /System/Library/Frameworks/JavaVM.framework
drwxr-xr-x root:wheel /System/Library/Java
drwxrwxr-x root:admin /Library/java

==> Java enabled <==

Output bovenstaand script met "-" als argument:

$ ./java.sh -

Password:
drw-r--r-- root:wheel /System/Library/Frameworks/JavaVM.framework
drw-r--r-- root:wheel /System/Library/Java
drw-rw-r-- root:admin /Library/java

==> Java disabled <==
14-01-2014, 21:40 door Anoniem
Door Shadowlight: Output bovenstaand script zonder argument:
..
$..

Dank voor je uitgebreide reactie.

Permissie beheer is in sommige gevallen een effectieve aanpak, of en hoe dat in dit geval is, daar heb ik nog vragen bij.
Ik ken de permissie code s niet uit mijn hoofd en het kost me de nodige moeite om helder te krijgen wat je nu precies wil bewerkstelligen (unix dummie).

Permissie toegang op alleen admin (of root?) eigenaar zetten?
Hoe zit het dan met privilege escalatie? Java kan dan wel uitgevoerd worden als er maar ergens een keer een admin password is ingevoerd of het wordt aangeroepen door een programma dat root rechten heeft.
Misschien werkt iemand wel standaard onder een admin account (komt wel eens voor, schijnt), en dan?

Wat gebeurt er als je permissie herstelcontrole draait onder een admin account of zelfs vanaf een andere OS X boot disk / medium?
Moet je dan je permissies weer terug downgraden (of upgraden naar alleen admin / root toegang)?

Anders kan ook, niet zo unix-elegant als die van jou.
Dummie aanpak en als alternatief (?) heel simpel, werkt al jaren goed.

Topher Kessler, April 12, 2012
"Disabling Java via the command line in OS X is not easy"
Maar een jdk isoleren / zippen/ verwijderen weer wel!*

http://reviews.cnet.com/8301-13727_7-57413258-263/disabling-java-via-the-command-line-in-os-x-is-not-easy/

Twee mogelijke oplossingen voor 1 vraag, kiest u maar.

* Let op, hij staat er weer (de nieuwe dan) als je een Java update binnenhaalt via software update, Java update's afvinken dan.
15-01-2014, 02:58 door Shadowlight
De methode van mijn script werkt als volgt:
voor zowel de user, group als other weergegeven als drwxrwxrwx in het meest open geval staat voor

Directory Read Write eXecute (user) Read Write eXecute (group) en Read Write eXecute (de rest van de wereld)

Op het moment dat eXecute van het geheel weggehaald wordt "chmod -x" (drw-rw-rw-) zijn de directories voor niemand meer benaderbaar (behalve dan voor root (de administrator)) die het eXecute-bit ook weer aan kan zetten "chmod +x".

Vandaar dat het commando ook voorafgegaan wordt door sudo (switch-user-do) welke zonder de -u username vlag en argument het commando als root uitvoert . (zie ook "man chmod" en "man sudo" voor meer informatie).

Bij de methode die in het script gebruikt wordt hoef je niet per user de toegang tot java te disabelen.
19-01-2014, 17:31 door Anoniem
@ Shadowlight

Natuurlijk benieuwd naar je (slimme) methoden, geprobeerd wat toe te passen daaruit.
Niet op Java directories maar gewoon op aangemaakt 'testfoldertje' op het bureaublad.

Het enige commando wat me gelukt is toe te passen is deze

chmod -x /testfoldertje

Dat levert dan de volgende 'Custom' permissies voor 'testfoldertje' op :
- de lokale user waarmee en waaronder de folder is aangemaakt
- wheel
- everyone

Het lukt dan inderdaad niet om 'testfoldertje' te openen, ik krijg dan een melding als ; "The folder "testfoldertje" can't be opened because you don't have permission to see it's contents."

Ik heb nog geprobeerd delen uit je scripts toe te passen in de hoop de permissies zo te krijgen dat er nog om een password werd gevraagd om de folder te openen.
Dat lukte niet (geen verstand van unix commando's).
Daarmee krijg ik ook niet helder welke delen uit je eerdere tips als commando in het terminal window zijn te pasten en toe te passen op directories om te zien wat dat dan doet.

Testen voer ik sowieso niet uit op systeem directories, vandaar 'testfoldertje' .

Hoe zit het nu, als ik nog vragen mag?
19-01-2014, 23:44 door Anoniem
Misschien een beetje of topic,maar ik heb een vraag.
Hoe kan je met Safari altijd de private browsing optie inschakelen,wanneer je Safari opstart?.
Je moet het altijd met de hand aanklikken wanneer je er gebruik van wil maken.
Privacy heeft ook een klein beetje met veilgheid te maken,dus vandaar mijn vraag.
Ik gebruik OSX Maverics 10.9.1 op mijn Imac late 2012 en op Mijn nieuwe Macbook pro late 2013
Ik gebruik dan wel firefox op beide Macs,maar wilde het gewoon even weten hoe het met Safari zit.
Bedankt.
20-01-2014, 23:51 door Shadowlight - Bijgewerkt: 20-01-2014, 23:52
Door Anoniem: @ Shadowlight

Natuurlijk benieuwd naar je (slimme) methoden, geprobeerd wat toe te passen daaruit.
Niet op Java directories maar gewoon op aangemaakt 'testfoldertje' op het bureaublad.

Het enige commando wat me gelukt is toe te passen is deze

chmod -x /testfoldertje

Dat levert dan de volgende 'Custom' permissies voor 'testfoldertje' op :
- de lokale user waarmee en waaronder de folder is aangemaakt
- wheel
- everyone

Het lukt dan inderdaad niet om 'testfoldertje' te openen, ik krijg dan een melding als ; "The folder "testfoldertje" can't be opened because you don't have permission to see it's contents."

Ik heb nog geprobeerd delen uit je scripts toe te passen in de hoop de permissies zo te krijgen dat er nog om een password werd gevraagd om de folder te openen.
Dat lukte niet (geen verstand van unix commando's).
Daarmee krijg ik ook niet helder welke delen uit je eerdere tips als commando in het terminal window zijn te pasten en toe te passen op directories om te zien wat dat dan doet.

Testen voer ik sowieso niet uit op systeem directories, vandaar 'testfoldertje' .

Hoe zit het nu, als ik nog vragen mag?


Met "chmod -x" zet je de toegang voor iedereen behalve root dicht.
De enige manier om er dan weer bij te kunnen komen zonder root te zijn, is een "chmod +x" te gebruiken of via een userswitch die dan weer via sudo loopt welke niet aan te raden is.

Om het script te gebruiken bij je testen hoef je alleen maar de "DIRS" variabele aan te passen, b.v.:

DIRS='
/testfoldertje
'

en natuurlijk de overige directories, zoals het voorbeeld ook al aangeeft, wel verwijderen dan.
28-01-2014, 14:11 door Anoniem
Extra info : Harden your Mac against malware attacks

https://discussions.apple.com/docs/DOC-3291


(@ Shadowlight, ik zal er nog eens naar kijken, bedankt).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.