[img=right]http://images.apple.com/macosx/images/indexdashboardicon20050412.gif[/img]Inmiddels is Tiger al weer ruim een week onder ons. De echte nerds en die-hard Apple-fans stonden uiteraard in de rij bij één van de dealers in Nederland toen de officiële verkoop op 29 april jongstleden om 18:00 startte. Ook ondergetekende behoort tot de serie Mac-lijpen die Tiger bijna in de tram onderweg naar huis al op zijn Powerbook 12” aan het installeren was. Okee, niet helemaal, want ik ben voor de volledig schone installatie gegaan. Soms is dat gewoon lekker, helemaal van schoon af aan beginnen en zeker zo’n belangrijke upgrade verdient het.
Het nadeel van zogenaamd early adopter zijn is natuurlijk ook dat je de eerste bent die de problemen in een nieuw besturingssysteem mag opsporen, of althans, zo lijkt het soms als je de fora er op na slaat. Alhoewel ik het gevoel heb dat het vergeleken bij bijvoorbeeld Panther reuze meevalt, zijn er toch de nodige problemen te bespeuren op het wereld wijde web.

De websites staan vol vol over Dashboard, en niet per se in positieve zin. Uiteraard heeft een ieder zijn of haar mening over de bruikbaarheid van Dashboard maar in dit geval gaat het om een “zwakheid” in het systeem. In een notendop: widgets worden via Safari volledig automatisch geïnstalleerd tenzij dit door de gebruiker uitgezet wordt. Enorme problemen zijn hier niet van te verwachten aangezien er in op systeem-niveau verder niets veranderd kan worden.

Toch kan het voor de nodige irritaties zorgen: wie zit er in hemelsnaam te wachten op allerhande Windows-vormgegeven reclame-boodschappen als je op F12 drukt? Het zal zo'n vaart niet lopen aangezien de widgets via dit "gat" alleen maar in de Dashboard-balk terechtkomen, maar toch. Apple zal ongetwijfeld binnen afzienbare tijd met een update uitkomen die deze zwakheid weer verhelpt. Mocht je ondertussen toch niet veilig voelen achter je Mac, dan is het een goed idee om in de voorkeuren van Safari -tabblad “Algemeen”- het vinkje uit te zetten bij “Open ‘veilige’ bestanden bij downloaden”. Een andere optie is om de map "Widgets" in de Bibliotheek van je Thuismap op "Alleen lezen" te zetten.

Het moge duidelijk zijn: gezien de snelheid waarmee dit nieuws het web rondgaat zou je denken dat de fundamenten van het OS ernstig zijn aangetast. Dit is duidelijk niet het geval, aangezien er niet verder gekomen wordt dan de widgets-balk in Dashboard. Maar het geeft toch ook steeds meer aan dat de complexiteit van OS X zeer zeker meer van dit soort "gaten" tot gevolg zal hebben.

Toch kan het voor de nodige irritaties zorgen: wie zit er in hemelsnaam te wachten op allerhande Windows-vormgegeven reclame-boodschappen als je op F12 drukt? Het zal zo'n vaart niet lopen aangezien de widgets via dit "gat" alleen maar in de Dashboard-balk terechtkomen,

Heb het even zitten testen. En inderdaad de widget wordt geinstalleerd, maar als je op F12 drukt komt het NIET op het scherm. Daarvoor is de actie van de gebruiker voor nodig.

Tip: selecteer alle widgets in je library en geef ze een kleurtje (color Label:) zo kun je makkelijk zien welke er bij geplaatst zijn!!

(Bewerkt door andre65 om 22:29, 9-05-2005)

Het is leuk dat je dat citaat pakt, en het nog eens extra onderstreept... Want dat is precies wat ik zeg

Dit gaat weer om niets. Bangmakerij en stemmingmakerij die het niet verdiend om hier overgenomen te worden. Stel je wil graag per ongeluk adware op je dashboard installeren. Je moet dan:
1) Een niet zo fijne website vinden met een onder een normale link verborgen dashboard widget.
2) Op de link klikken om de widget te downloaden
3) In je Dashboard hem vanuit de bar naar je desktop slepen.

Lijkt me nog niet eenvoudig.

Trouwens, om van een adware widget af te komen moet je:
1) De widget uit je Library folder verwijderen.

Om dit nou te vergelijken met de adware ellende die je onder Windows kan tegenkomen vind ik wel erg ver gaan. Ook het voorstel om de widgets folder onder je Library nu maar op Read-Only te zetten slaat natuurlijk nergens op. Daar maak je het jezelf alleen maar moeilijk mee als je eens een keer een nieuwe widget wil gaan gebruiken.

(Bewerkt door BuzzE om 23:14, 9-05-2005)

Hé, ik doe er persoonlijk lekker helemaal niets aan... Ik vind het een storm in een glas water, zoals ik aan het einde nog eens aanstip. Een van de vele die we het afgelopen jaar hebben gehad.

Maar ja, mocht je je echt zorgen maken moet je wel weten wat je er eventueel aan kan doen.

Niets aan de hand? Ik ben geen programmeur, maar las op een van de fora dat je een excecutable code aan een widget mee kunt geven die wel degelijik schade aan kan richten. Een persoon beweerde een code geschreven te hebben die de home-folder kan wissen. Is dit onzin, of kan dit? Ook kunnen widgest gemaakt worden die precies lijken op de apple widgets (de wereldklok bijvoorbeeld) maar in werkelijkheid compleet anders zijn...

Ik ben ook geen programmeur maar ik kan ook code schrijven die je home directory wist. Zonder beledigend te worden hoor maar tegen stomminiteiten is geen enkel OS opgewassen. Widgets zijn Javascript en absoluut niet zo krachtig...

Net zoals in het leven moet je niet overal erg bang voor worden maar gewoon nuchter nadenken, wordt het leven een stuk rustiger.

"Your initial thought upon hearing about this situation may have been, “It’s just JavaScript. How much damage can it do?” The answer is, a lot – widgets aren’t just JavaScript, and for those parts that are, Apple has taught JavaScript a few new tricks that Web browsers never dreamt of.

Widgets are owned by the user, and can do anything that a user can do. For instance, they can remove files from your home directory without asking permission. They can run anything from the command line that a user can. They can call any AppleScript that a user can. If you’re now starting to get a little nervous, you’ve got the right idea."

Quote van: http://www.macworld.com/news/2005/05/09/dashboard/index.php?lsrc=mwrss

Een mogelijk scenario:

Iemand biedt in dit forum een widget aan van de Nederlandse gouden gids. Leuk, denk je: klik. Met je klik download je een widget die zich meteen in je Library/widget-folder nestelt. Dit gaat (als default in Safari) automatisch.

Wat je niet weet en ziet is dat de zogenaamde Gouden Gids-widget de naam World Clock draagt en er precies zo uit ziet (iemand heeft dit al voor elkaar gekregen: http://www1.cs.columbia.edu/~aaron/files/widgets/

Dan druk je f12 in om de Gouden Gids-widget op te starten. Deze zie je niet en je haalt je schouders op en gaat verder.

Wanneer je een later een extra Wereld Klok wilt gebruiken, activeer je zonder het te weten de 'Gouden Gids-widget' die er uit ziet als de World Clock.

Oops....

BelangrijK:

"Safari does this not only for widgets you explicitly click on, but also for widgets that are silently, automatically downloaded by a web page's META refresh tag. So a malicious website can auto-install potentially malicious widgets without you even realizing the installation happened."  

(Bewerkt door Opzijnkop om 16:20, 10-05-2005)

Leuk en aardig Opzijnkop maar je mist mijn punt... nooit zomaar widgets installeren, eigenlijk gewoon nooit iets installeren waarvan je de bron niet kunt verifieeren. Ik snap alle heisa echt niet, als ik een Widget download komt ook Safari nog heel expliciet met de melding dat het software is en of je wel verder wilt gaan. Zoals ik al zei, downloaden van onbekende bronnen brengt onbekende gevaren met zich mee....

Je krijgt in verdachte gevallen zelfs een waarschuwing.
Waar Unknown staat, staat dan de naam van de gedownloadete widget.


(Bewerkt door michelvdb om 20:03, 10-05-2005)

Het punt volgens mij is, is dat je op een hyperlink in een forum kunt klikken en dat je je daarmee ongezien een widget binnenhaalt. "Open safe files after downloading" staat namelijke standaard (default) aangevinkt in Safari onder Tiger. Natuurlijk heb ik (en jij) deze uitgevinkt, maar heeft iedereen dat gedaan? Een waarschuwing is op zijn plaats. Daarmee probeer ik heus geen paniek te zaaien, maar iedereen moet "Open safe files after downloading" even uitvinken. Dat is alles...  

@ michelvdb: deze zag ik ook toen ik een 'evil' widget wilde openen, maar bij vele andere derde partij widgets heb ik deze waarschuwing niet gezien.

Op versiontracker liep ik tegen het volgende pakketje aan:

http://www.versiontracker.com/dyn/moreinfo/macosx/26482

Ik heb het zelf nog niet uitgebreid getest, maar het kan een soort van "first line of defence" zijn.

Ik vind het persoonlijk echter wel wat overdreven allemaal...
Maar goed, thats just me!

@KJ: OpZijnKop heeft wel een punt, zoals al eerder in het forum aangegeven door anderen: Het is mogelijk om met de standaard instellingen van Safari een Widget te installeren zonder enige bewuste actie. Omdat Apple eigen toevoegingen heeft gedaan aan zijn JavaScript parser, die ook commandline acties toelaten onder andere hebben ze dus, ongetwijfeld met de beste bedoelingen, een mijnenveld geopend. Zie daarvoor het aangehaalde macworld artikel.

Het is flauw om aan te halen dat je niet op rare sites moet komen: Dat doe je nu eenmaal als je langer op het net zit een keer. Soms is het direct duidelijk aan het domein en soms ook helemaal niet. Weet jij of 'stephan.com' gevaarlijk is? Daar staat een demo widget bijvoorbeeld. De rust die ik als Apple/Safari gebruiker op het Internet normalerwijs ervaar wil ik graag zo houden.

Apple slaat hier m.i. de plank heel hard mis en zal hiervan terug moeten komen in 10.4.1. Bij mij staat het Safari vinkje voor veilige bestanden alvast uit tot die tijd. Simpelste oplossing voor Apple: Haal .wdgt uit de veilige bestandsextensies en maak sleur en pleur installatie door bestanden op de Bibliotheek folder te slepen weer mogelijk net zoals in Classic op de Systeemmap