[img=right]http://www.macfreak.nl/base/data/news/images/Lion-icon.png[/img]...tenminste, als je als developer je applicatie in de Mac App Store wilt blijven verkopen.

Een van de (wat mij betreft) onderbelichte features in OS X 10.7 Lion is dat de programma's die onder Lion draaien nu ook van 'sandboxing' gebruik kunnen maken, net als in iOS.

Sandboxing is de techniek dat een applicatie alleen maar toegang heeft tot een eigen, afgeschermde, omgeving (de zandbak) waarin de applicatie zijn ding mag doen. Toepassen van deze techniek verhoogt daarom de veiligheid van een OS in ruime mate.

Niet iedereen is even gecharmeerd van het toepassen van een sandbox in een desktop OS, omdat dit in sommige gevallen de functionaliteit van een Applicatie beperkt. En voor een aantal applicaties kunnen de toegangsrechten van nature niet beperkt blijven tot de eigen omgeving, denk bijvoorbeeld aan een FTP programma.

Apple heeft nu via een email aan de geregistreerde OS X developers laten weten dat per ingang van 1 maart 2012 de sandbox verplicht wordt voor alle applicaties die in de Mac App Store staan.
Dat betekent zoals het er nu naar uitziet, dat bijvoorbeeld programma's als [ituneslink=http://itunes.apple.com/nl/app/textexpander-for-mac/id405274824?mt=12]TextExpander[/ituneslink] of [ituneslink=http://itunes.apple.com/nl/app/transmit/id403388562?mt=12]Transmit[/ituneslink] hun plek in de Mac App Store gaan kwijtraken.

Uiteraard blijven deze programma's nog steeds beschikbaar via de site van de betreffende programmeurs en via een dienst als MacUpdate, maar het huidige platform raken ze kwijt, tenzij Apple natuurlijk een strikt toegepaste uitzonderingsregel maakt voor dit soort applicaties. Tot nu toe lijkt dat er echter niet op.

Wat vinden jullie: is de verhoogde veiligheid het waard om dit soort applicaties te gaan verliezen uit de Mac App Store?

Als ze dit doorvoeren raken ze een groot deel van de apps kwijt. Games en dergelijke kunnen natuurlijk prima in een sandbox draaien maar er zijn er inderdaad zat die dat niet kunnen.

Idiote beslissing in mijn ogen

Dit doet vermoeden dat Apple angst heeft voor het virus, trojan en worm geweld dat een windows pc dagelijks te verduren heeft. Zoals Microsoft er tot op heden onvoldoende in is geslaagd om een goed oplossing te bieden is Apple bang om in hetzelfde schuitje te belanden. Steeds meer effort moet dan in het veilig maken en houden van het OS worden gestoken. Daar waar op het Windows platform al heel wat expertise is opgebouwd komt Apple op dit terrein nog maak pas kijken.

Sandboxing is dan een manier om het probleem aan te pakken, of in ieder geval de zwarte piet bij developer of gebruiker te leggen. Wie alleen bij de Mac App store zijn spulletje aanschaft heeft gegarandeert het veiligste OS ooit. Wie dat niet doet neem zelf het risico. Dat is Apple dan niet aan te rekenen. Door deze taktiek bespaart Apple zichzelf heel wat ergernis en vooral geld. Slim bekeken dus.

Dit kan beide kanten op gaan vind ik...

Apple heeft erg innovatieve concepten van zijn iDevices naar zijn desktoplijn overgezet, maar dat rigoureus sandboxen hoort er niet bij. Op een desktop OS willen mensen hun documenten via de Finder kunnen benaderen, en ze openen in een programma naar keuze. Dit is een van de redenen waarom ik een iDevice niet zo handig vind voor professioneel gebruik; tenzij apps het ondersteunen om documenten aan elkaar door te spelen is het erg moeilijk om aan iets te werken dat de functies van 1 applicatie overstijgt...

Moest Apple alle applicaties standaard in een sandbox laten draaien, maar ons de mogelijkheid geven om de applicatie extra privileges toe te kennen (zij het via een instelling in de system preferences of een wachtwoord-popup) dan ben ik wel helemaal voor :D

(Bewerkt door Zeef om 12:32, 3-11-2011)

Maar Apple verplicht toch alleen de apps die in de appstore staan tot sandboxing?

Wat dat aangaat geen enkel probleem wat mij betreft. Pas als Apple gaat bepalen dat er alleen nog maar apps uit de appstore geïnstallerd kunnen worden (zoals op iDevices) is er sprake van een alarmfase wat mij betreft.

Hopelijk wil Apple op dit moment de appstore applicaites als 100% veilig kunnen aanbieden en daarom de niet gesandboxte apps weigeren. Zolang die wel gewoon buiten de store om geïnstalleerd kunnen worden is het prima.

Ik ben het helemaal eens met odo, +1

Veiligheid is heel wat waard , en zal zeker bij Apple geen ondergeschoven kindje zijn ...

En bescherming tegen  al die kwaadwillenden heeft natuurlijk ook een prijs.

Zo lang ik op mijn desktops kan kiezen tussen AppStore of niet, vind ik het prima .Niet alleen slim, maar ook verstandig beleid lijkt me zo.

Het percentage 'onwetenden' die 'ongewild' ergens in trappen zal wel even groot blijven danwel groter worden, maar de schade blijft zo toch wel beperkt... Tenminste , dat lijkt me zo .

Prima uitleg meneer Apple !

Psychomac

Hm, ik kom al genoeg tegen dat ik niet aan mijn eigen spullen kan zitten.

Ik ben 't eens met Zeef: Als je zelf programma's meer rechten kunt geven dan is dat wel de oplossing.

Ontwikkelaars van programma's die noodzakelijkerwijs met hun tengels aan andere documenten moeten zitten rigoureus de toegang tot de app store ontzeggen lijkt me geen goed plan.

Bert

karel apple om 11:56, 3-11-2011

Niet iedereen is even gecharmeerd van het toepassen van een sandbox in een desktop OS, omdat dit in sommige gevallen de functionaliteit van een Applicatie beperkt. En voor een aantal applicaties kunnen de toegangsrechten van nature niet beperkt blijven tot de eigen omgeving, denk bijvoorbeeld aan een FTP programma.

Ik ben benieuwd of hier niet een hoop onnodig angst gezaaid wordt. Natuurlijk wordt er rekening gehouden met wat programma’s moeten kunnen, ook ten aanzien van bestandstoegang. Een belangrijk element hiervan is het volgende, uit de onovertroffen Lion review van John Siracusa:

Apple has chosen to solve this problem by providing heightened permissions to a particular class of actions: those explicitly initiated by the user. Lion includes a trusted daemon process called Powerbox (pboxd) whose job is to present and control open/save dialog boxes on behalf of sandboxed applications. After the user selects a file or directory into which a file should be saved, Powerbox pokes a hole in the application sandbox that allows it to perform the specific action.

Dus als de gebruiker expliciet toestemming geeft voor toegang dan blijft dat mogelijk.