Das manuelle Aktualisieren des Schlüsselbundeintrags verhindert den nächsten Zugriff von GUI-Tools danach: Fragt immer nach Erlaubnis

Ich bin mit Tunnelblick und Viscosity darauf gestoßen. Durch Hinzufügen einer Konfiguration zu diesen VPN-Tools ist es in der GUI während der ersten Verbindung möglich, Benutzer und Pass anzugeben und im Schlüsselbund zu speichern. Die nächsten Verbindungen verwenden dann die gespeicherten Anmeldeinformationen aus dem Schlüsselbund.

Wenn ich jedoch das Passwort im Schlüsselbund mit dem Befehl des Sicherheitsterminals (add-generic-password -Usaw) oder über die Anwendung für den Schlüsselbundzugriff ändere, zeigen sowohl Tunnelblick als auch Viscosity die „Berechtigung zum Zugriff auf den Schlüsselbund: [Erlauben, Immer zulassen, Abbrechen ]"-Dialog, wenn ich das nächste Mal versuche, eine Verbindung herzustellen.

Gibt es eine Möglichkeit, diesen Dialog zu verhindern?

  • Ich habe ein wenig im Tunnelblick-Quellcode nachgesehen, konnte aber keine Überprüfung auf "Schlüsselbund-Manipulation" oder irgendetwas finden, das diesen Dialog von Tunnelblicks Seite erzwingen könnte.
  • Handelt es sich um einen konfigurierbaren Schutz auf Betriebssystemebene?
Wenn Sie einen Schlüsselbundeintrag außerhalb der Anwendung bearbeiten, erscheint es mir sinnvoll, dass OS X Sie auffordert, zu bestätigen, dass die App darauf zugreifen kann. Erinnert es sich nicht an diese Einstellung, wenn Sie auf Immer zulassen klicken?
Mit "Allow Always" merkt es sich, bis das Passwort (erneut) geändert wird. Allerdings bezweifle ich, dass es sinnvoll ist, dass dies nicht konfigurierbar ist. Sie benötigen (zweimal) erhöhte Benutzerrechte, um den Eintrag zu ändern, weshalb Sie beim ersten Zugriff erneut informiert werden sollten. Ich verstehe, dass eine "Integritätsprüfung" nützlich sein könnte, aber es ist keine abfangbare Warnung, es ist ein GUI-Popup, sobald Sie versuchen, auf den Schlüsselbund zuzugreifen (wenn ich den Tunnelblick-Quellcode richtig verstehe).
Mehrere Anwendungen können auf ein einzelnes Schlüsselbundelement zugreifen. In Ihrem Fall ändern Sie zufällig das Element und versuchen, es erneut in derselben Anwendung zu verwenden, aber Sie ändern es erneut außerhalb des Geltungsbereichs der Anwendung, die Sie zuvor für die Verwendung autorisiert haben. Daher macht es durchaus Sinn, dass OS X bestätigen möchte, dass Sie den Zugriff auf die aktualisierten gespeicherten Anmeldeinformationen zulassen möchten, genau wie wenn eine Anwendung versucht, auf ein Schlüsselbundelement zuzugreifen, das es nicht erstellt hat.

Antworten (1)

Für macOS Sierra:

Um ein Objekt hinzuzufügen und den Zugriff zu erlauben (mit Benutzeraufforderung), verwenden Sie die Option „-T Application“. (Mehrere Anwendungen können verwendet werden)

security add-generic-password -a "account" -s "name" -w 'password' -c aapl -T /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

Um dann den Zugriff ohne Benutzeraufforderung zu ermöglichen, müssen Sie die ACL für das Objekt ändern:

security -v set-generic-password-partition-list -s "name" -S "apple:"

Die Syntax der Partitionsliste ist nicht sehr gut dokumentiert. Möglicherweise können Sie anhand der Ausgabe von "security dump-keychain" sehen, wie Tunnelblick die ACL verwendet.

Quelle: Mann Sicherheit

Ich denke, dies ist die richtige Antwort, aber Sie und die Dokumentation schlagen vor, security dump-keychainnach Beispieloptionen für zu suchen -S, aber ich kann dort nichts sehen, was ich als Beispiel verwenden könnte :(
Das manuelle Aktualisieren des Schlüsselbundeintrags verhindert den nächsten Zugriff von GUI-Tools danach: Fragt immer nach Erlaubnis
AntwortenHierDatenschutz-Bestimmungen1y, 0v