Homebrew erlaubt keine Umgehung von Gatekeeper für nicht signierte oder nicht notariell beglaubigte Software mehr

Hacker-News-Kommentare

• So wie ich die Änderung verstehe, betrifft sie in erster Linie nur casks unter macOS
  Casks werden zur Installation binärer Apps im Format dmg oder pkg verwendet, und die meisten davon sind bereits signierte Binärdateien
  Die Fähigkeit von Homebrew, Open-Source-Software herunterzuladen, zu kompilieren und zu installieren, scheint davon nicht betroffen zu sein

  • Ich stimme der Aussage nicht zu, dass die meisten Leute kaum Casks installieren
    Eigentlich ist cask der einzige Punkt, in dem Homebrew besser ist als andere Paketmanager
    Ich installiere Homebrew in einem isolierten Prefix und nutze nur cask, ohne es zum PATH hinzuzufügen
    Ich verwende auch einige unsignierte Apps
    Wichtiger als die Signatur ist meiner Meinung nach ein kuratierter und geprüfter Prozess wie bei Homebrew oder Debian
    Wenn die Option --no-quarantine verschwindet, muss ich bei jedem Update manuell bestätigen, was unpraktisch ist
  • Homebrew verteilt Open Source standardmäßig ebenfalls als Binärpakete (bottles)
    Die offizielle Paketliste umfasst hunderte Seiten
    Dort steht ausdrücklich, dass „das Ziel ist, alles als bottle bereitzustellen“
    Deshalb hat diese Änderung zwar keine direkte Auswirkung, aber man sollte wissen, dass Homebrew nicht mehr so quellcodezentriert ist wie früher
  • Ein Leiter des Homebrew-Projekts hat es selbst bestätigt — diese Änderung betrifft formulae nicht, sondern ausschließlich casks
  • Als typische in dieser Diskussion genannte Apps wurden Librewolf und Freetube genannt
    Zugehörige Diskussion: Homebrew Discussions #6334
  • Ich installiere alle GUI-Apps mit Homebrew. Derzeit habe ich mehr als 30 Casks, aber ob sie signiert sind, weiß ich nicht genau

• Ich habe schon seit Langem erwartet, dass Gatekeeper schrittweise verschärft wird, und genau das passiert jetzt

  • Tatsächlich ist den Leuten das schon vor einem Jahr aufgefallen, als Gatekeeper in macOS 15 Sequoia verschärft wurde
    Verwandte Artikel: Ars Technica, MacRumors, Daring Fireball
  • Zum Glück werden Linux-Laptops immer besser
    Wenn mein M1 MacBook Air langsam wird, kann ich wahrscheinlich komplett auf Linux umsteigen
  • Dass Apple die Installation anderer Betriebssysteme blockiert, schwächt den Wettbewerb und schadet langfristig auch den Nutzern
    Apple-Hardware zu kaufen bedeutet, ein solches Verhalten stillschweigend zu billigen
  • Gatekeeper lässt sich weiterhin deaktivieren
    Angesichts der Marktgröße des Mac und des Entwickleranteils halte ich es für unwahrscheinlich, dass Apple das komplett unterbindet
  • Eigentlich war diese Entwicklung von Anfang an absehbar. Nur wurden solche Warnungen damals ignoriert

• Homebrew ist eher ein verbraucherfreundlicher Paketmanager als ein Werkzeug für Profis
  Es gibt viel Unmut über erzwungene Updates, das Aussortieren alter Versionen und das Unterbinden von Diskussionen
  Deshalb überlege ich, zu MacPorts zu wechseln

  • Homebrew lässt sich fast gar nicht anpassen, und auch das Abhängigkeitsmanagement ist chaotisch
    Problematisch ist auch die aggressive Haltung der Maintainer
  • Ich habe vor 20 Jahren mit MacPorts angefangen, bin dann zu Homebrew gewechselt, aber kürzlich wieder zu MacPorts zurückgekehrt
    Ich vermisse die Zeiten, in denen selbst auf einem alten PowerBook noch problemlos gebaut werden konnte
  • Inzwischen wirkt Homebrew fast wie eine Erweiterung des App Store
  • Es ist enttäuschend, dass Homebrew die Unterstützung für ältere macOS-Versionen einstellt
    Wie Apple die Unterstützung alter Versionen fallen zu lassen, widerspricht dem Open-Source-Geist
    Die Formulierung „Intel support ended“ hat mich schockiert
  • Die Unterscheidung zwischen „für Profis“ und „für Verbraucher“ ist unscharf. Ich frage mich, ob überhaupt Verbraucher Homebrew benutzen

• Ich finde, die unfreundliche Kommunikation der Homebrew-Maintainer ist das Problem
  Technisch ist es richtig, xattr im Postinstall-Schritt auszuführen, aber der Umgangston muss besser werden

  • Mike McQuaids Reaktion war überzogen. Die andere Seite blieb sachlich, aber er wurde unnötig aggressiv
  • Sie tun nur so, als sei die Diskussion offen, tatsächlich war es eine rein formale Debatte

• Ich habe zunächst nicht verstanden, was diese Änderung genau bedeutet
  Ich war verwirrt, ob dadurch Source-Builds mit Homebrew blockiert werden oder nur signierte Binärdateien ausgeführt werden können

  • Tatsächlich ist nur cask betroffen, formulae und bottles bleiben unverändert
  • Binärdateien unter macOS haben ein Quarantine-Flag, und wenn es gesetzt ist, erfolgt vor der Ausführung eine Sicherheitsprüfung
    Die Option --no-quarantine ist verschwunden, aber Nutzer können das Flag weiterhin selbst entfernen
    Im Ergebnis ist das eine Maßnahme, die in Richtung signierter Binärdateien lenkt
  • Die Diskussion wurde früh geschlossen, sodass keine weiteren Fragen gestellt werden konnten
  • MacPorts funktioniert weiterhin gut, daher wird Homebrew wohl letztlich auch einen Weg finden
    Selbst gebaute Binärdateien lassen sich weiterhin ausführen
  • Zum Beispiel sind unsignierte Apps wie ClickHouse vorerst nicht installierbar

• Die Entfernung der Option --no-gatekeeper ist an sich keine große Sache
  Sie diente lediglich dazu, das Attribut com.apple.quarantine zu entfernen
  Das eigentliche Problem ist, dass nun für alle Casks Signierung und Notarisierung über das Apple Developer Program verlangt werden
  Für Open-Source-Entwickler sind die jährlichen 99 US-Dollar und die Offenlegung der rechtlichen Identität eine Belastung
  Es wäre gut, wenn Apple über Xcode Cloud kostenloses Signieren ermöglichen würde
  Zugehörige Diskussion: #6334, #6482

• Ich verstehe das Ziel, Nutzer zu schützen, aber es ist problematisch, dass Gatekeeper zu einem Mittel zur Monetarisierung des App Store geworden ist

  • Ich halte die jährlichen 90 US-Dollar (oder 99 US-Dollar) nicht für übertrieben
    Für studentische Entwickler kann das aber belastend sein
    Es wäre besser, wenn Apple Vertrauen in Zertifikate von Drittanbietern zulassen würde

• Die Option --no-quarantine und die ARM64-Signaturbeschränkung sind zwei verschiedene Dinge
  Unsignierte Apps lassen sich auch nach Entfernen des Attributs nicht ausführen
  macOS erlaubt jedoch ad-hoc-Signaturen, sodass sie sich damit ausführen lassen

  • Gatekeeper entscheidet anhand des Attributs com.apple.quarantine, ob die Ausführung blockiert wird
    XProtect und AMFI führen im Hintergrund zusätzliche Prüfungen durch
    Wenn man das Attribut entfernt, kann jede Binärdatei ausgeführt werden, solange XProtect sie nicht blockiert
  • Diese Erklärung ist im Großen und Ganzen korrekt

• Es ist schade, dass Homebrew Issues so schnell sperrt
  Aus Sicht der Nutzer bedeutet das, dass man ohne Apples Zustimmung keine Apps auf dem eigenen Rechner ausführen kann

  • Homebrew sperrt Issues, weil Diskussionen nur im Tab Discussions erlaubt sind
  • Schon seit Langem sagen viele, dass die Maintainer aggressiv und diskussionsfeindlich seien
  • Der Aussage „Homebrew ist benutzerfreundlich“ stimme ich nicht zu
  • Es gibt sogar schon den Witz, dass man „Tim Cooks Computer nach seinem Willen benutzen“ müsse

• Alacritty ist ebenfalls von dieser Änderung betroffen
  Es ist unwahrscheinlich, dass die Entwickler die Kosten für die Apple-Signatur zahlen werden
  Zugehöriges Issue: alacritty/alacritty#8749

  • Ich nutze ebenfalls mehrere Casks, darunter Alacritty
    Vielleicht muss ich nach einer Alternative suchen
  • Möglicherweise lässt sich das Problem einfach lösen, indem man nach der Installation ein Skript zum Entfernen des Quarantine-Attributs hinzufügt
  • Ein anderer Kommentar auf HN enthält eine Umgehungsmethode
  • Wenn es Open Source ist, gibt es eigentlich keinen Grund, es als Cask auszuliefern; meiner Meinung nach sollte man es als Formula bauen