Big Sur 11.2 beta 2 ne limite plus les firewall tiers, Réactions à la publication du 14/01/2021 |
Bienvenue invité ( Connexion | Inscription )
Big Sur 11.2 beta 2 ne limite plus les firewall tiers, Réactions à la publication du 14/01/2021 |
14 Jan 2021, 10:40
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 335 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Un des gros reproches fait à Big Sur était qu'Apple s'était arrogé le droit de limiter la portée des logiciels firewall tiers.
Pour résumer les choses, les extensions de tierces parties, indispensables pour un logiciel de contrôle du réseau, devaient passer par une bibliothèque Apple qui excluait 50 des applications de la société. Ainsi, les Firewall ne pouvaient voir les communications réseau de ces applications. La société vient de faire marche arrière dans la 11.2 beta 2. Sur cette version, les pare-feux peuvent enfin contrôler sans exception tout le trafic, entrant et sortant, des machines. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
14 Jan 2021, 11:51
Message
#2
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 975 Inscrit : 6 Apr 2007 Lieu : Un peu plus à droite... Membre no 84 228 |
Heureusement car c'était vraiment limite comme choix…
|
|
|
14 Jan 2021, 12:39
Message
#3
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 444 Inscrit : 9 Apr 2004 Membre no 17 402 |
Très sage décision, (je n'y croyais pas), mais l'incohérence était tellement énorme qu'Apple aurait été en mauvaise posture pour défendre son marketing "confidentialité".
Mais le fond du problème reste intact: Apple pousse le plus fort possible dans les domaines qu'elle trouve stratégiques (ici les communications des binaires et applis avec la maison-mère). Et si ça gueule trop fort, une petite reculade, mais ce n'est que partie remise… -------------------- Exif Photoworker: Renommez et organisez vos photos et vidéos en quelques clics (téléchargement et période d'essai gratuits).
|
|
|
14 Jan 2021, 14:07
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 378 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Pour ma part j'utilise un VPN avec son serveur DNS forcé et un Firewall dédié avec analyse dynamique du traffic sur base de Raspberry Pi 4: Pi Hole + pivpn + développements persos
Cela me permet de contrôler tout autant ce qui échange avec mon Mac qu'avec mon iPhone, avec bien plus de souplesse et en coupant court aux échanges très douteux comme du DoH (DNS over https) ou du https avec Certificate pre-pinning qu'on ne peut pas intercepter en clair (donc pas analyser). Je recommande vivement ce type de VPN, de préférence dédié et séparé de son routeur pour limiter la surface d'attaque, pour ceux qui veulent sécuriser leurs communication ad-minima. Au passage PI Hole débarrasse d'un maximum de malware, traceurs et publicités, augmentant les performances et l'autonomie, et rendant l'analyse du restant bien plus facile! PS: le petit truc en plus. Vous pouvez envoyer les Logs via rsyslog sur un service externe comme PapertrailApp (gratuit avec limites) pour pouvoir générer des alertes suivant les évènements (connexion ssh au hasard) et vous garder la possibilité de faire une analyse post-mortem en cas de gros gros problème. Ce message a été modifié par iAPX - 14 Jan 2021, 14:30. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
14 Jan 2021, 16:31
Message
#5
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 627 Inscrit : 26 Jun 2010 Lieu : Paris Membre no 155 873 |
Heureusement car c'était vraiment limite comme choix… Avec DTrace (qu'Apple a laissé crever dans son coin) c’était la même chose, DTrace ne pouvait pas accéder aux certains exécutables Apple. Security (soit disant) by obscurity + énorme couche du BS marketing... @iAPX j'ai opté pour un router "Mikrotik - Hex S". Il faut presque tout ce que je désire : Firewall, router, DNS (static), toutes sortes de VPN (y compris VPN genre sstp abandonnés par Apple), etc. Pas de truc genre PI Hole, malheureusement, mais les mises à jours sont fréquentes, peut être ça viendra... https://www.amazon.fr/MikroTik-Hex-Gigabit-...200&sr=8-17 Ce message a été modifié par vlady - 14 Jan 2021, 16:45. -------------------- Macbook 16" M1 Pro 32GB/1TB + Studio Display, Dell Precision 3640 i7-10700K/32GB, Fedora 36 Linux, Casque Sony WH-1000XM4, iPhone 6s 64GB
|
|
|
14 Jan 2021, 17:05
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 5 725 Inscrit : 5 Oct 2005 Membre no 47 298 |
Mon plus gros reproche, c'est les modifications pour le plaisir de faire des modifications. Certains programmes Apple ont perdu certaines fonctions qu'ils avaient gagnées au fil des mises à jour. Je me sers d'une version MacOS vielle d'il y a cinq ans sur un ancien iMac et pas mal de choses sont plus pratiques que ce qu'il y a maintenant.
Quant à Mail, après transfert de la sauvegarde dans le nouvel iMac, j'ai eu toutes les boîtes à lettres en double, la plupart vides, évidemment. Ce message a été modifié par DefKing - 14 Jan 2021, 17:09. -------------------- Performa 6400, G4 AGP, iMac G5 20", iMac 21,5 core i3 et iBook G4 14".
|
|
|
14 Jan 2021, 18:37
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 197 Inscrit : 12 Feb 2001 Lieu : Entre 2 Technics SL 1210 MKII Membre no 36 |
Pour ma part j'utilise un VPN avec son serveur DNS forcé et un Firewall dédié avec analyse dynamique du traffic sur base de Raspberry Pi 4: Pi Hole + pivpn + développements persos Cela me permet de contrôler tout autant ce qui échange avec mon Mac qu'avec mon iPhone, avec bien plus de souplesse et en coupant court aux échanges très douteux comme du DoH (DNS over https) ou du https avec Certificate pre-pinning qu'on ne peut pas intercepter en clair (donc pas analyser). Je recommande vivement ce type de VPN, de préférence dédié et séparé de son routeur pour limiter la surface d'attaque, pour ceux qui veulent sécuriser leurs communication ad-minima. Au passage PI Hole débarrasse d'un maximum de malware, traceurs et publicités, augmentant les performances et l'autonomie, et rendant l'analyse du restant bien plus facile! PS: le petit truc en plus. Vous pouvez envoyer les Logs via rsyslog sur un service externe comme PapertrailApp (gratuit avec limites) pour pouvoir générer des alertes suivant les évènements (connexion ssh au hasard) et vous garder la possibilité de faire une analyse post-mortem en cas de gros gros problème. Oui, mais pas facile à mettre ne place pour une personen qui met un peu les mains dans le cambouis, ou alors il ne faut faire que ca. Et ce n'est souvent pas possible. A la base Apple avec leurs systèmes ne devaient pas être plus simple que les autres systèmes ? Mon plus gros reproche, c'est les modifications pour le plaisir de faire des modifications. Certains programmes Apple ont perdu certaines fonctions qu'ils avaient gagnées au fil des mises à jour. Je me sers d'une version MacOS vielle d'il y a cinq ans sur un ancien iMac et pas mal de choses sont plus pratiques que ce qu'il y a maintenant. Quant à Mail, après transfert de la sauvegarde dans le nouvel iMac, j'ai eu toutes les boîtes à lettres en double, la plupart vides, évidemment. Et oui, c'est devenu un gros bazar où il faut etre ultra geek, se tenir au cournt jour après jour si on ne veux pas sombrer dans une galère au quotidien. OS lourd, devenu inutilisable comme précédement : je ne vois pas ou est lévolution là... Où sous 10.6 on avait tout simplement Little Snitch, tout deviens complètement délirant maintenant. -------------------- Apple MacPro 3.1 : 2x3ghz, RAM 24Go, 2x3To, 2xSSD, ATI Radeon HD 5770, OSX 10.6.8
Apple MacBookPro 8.1 : 2.7Ghz, RAM 8Go, 2x1To, OSX 10.6.8 Apple Mac G4 DA : 1.33Ghz, RAM 1.5Go, Zip250, Raid0 2x250Go, GeForce Ti, AudioMedia III, DC30+, OS9.22 & OSX 10.4 Hachintosh HP XW4600 : Intel C2D E8400, RAM 3x1Go, HD 250Go, 64Bits, NVidia Quadro FX 380, Mac OSX v10.6.8, Carte Réseau GB interne Hachintosh HP Compaq Pro 6300 SFF : Intel i7-3770, RAM 2x4Go 1600, HD 160Go, 64Bits, nVidia Quadro K600, Mac OSX v10.11.6 & Windows 10 OS9 & OSX 10.6.8 ARE STILL ALIVE ! |
|
|
14 Jan 2021, 20:16
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 378 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
... A la base Apple avec leurs systèmes ne devaient pas être plus simple que les autres systèmes ? ... Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau. Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible. Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut. Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres. Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois. PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais. Ce message a été modifié par iAPX - 14 Jan 2021, 20:26. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
14 Jan 2021, 21:19
Message
#9
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 197 Inscrit : 12 Feb 2001 Lieu : Entre 2 Technics SL 1210 MKII Membre no 36 |
Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau. Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible. Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut. Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres. Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois. PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais. Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours. Il faut savoir ce que l'on cherche à filter et là tout est le problème. J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps... Merci en tout cas pour l'explication. Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné ! Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté. -------------------- Apple MacPro 3.1 : 2x3ghz, RAM 24Go, 2x3To, 2xSSD, ATI Radeon HD 5770, OSX 10.6.8
Apple MacBookPro 8.1 : 2.7Ghz, RAM 8Go, 2x1To, OSX 10.6.8 Apple Mac G4 DA : 1.33Ghz, RAM 1.5Go, Zip250, Raid0 2x250Go, GeForce Ti, AudioMedia III, DC30+, OS9.22 & OSX 10.4 Hachintosh HP XW4600 : Intel C2D E8400, RAM 3x1Go, HD 250Go, 64Bits, NVidia Quadro FX 380, Mac OSX v10.6.8, Carte Réseau GB interne Hachintosh HP Compaq Pro 6300 SFF : Intel i7-3770, RAM 2x4Go 1600, HD 160Go, 64Bits, nVidia Quadro K600, Mac OSX v10.11.6 & Windows 10 OS9 & OSX 10.6.8 ARE STILL ALIVE ! |
|
|
14 Jan 2021, 21:48
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 15 378 Inscrit : 4 Jan 2006 Lieu : dtq Membre no 52 877 |
Il l'est: le firewall intégré dans macOS est vraiment accessible, avec l'option "Block all incoming connections" (Bloquer toutes les connexions entrantes) disponible et vraiment efficace et devrait être conseillé par défaut tant il résout de problèmes, à commencer par un scan réseau. Ce paramétrage m'a permis de découvrir en 2005 grâce à mon Mac Mini un malware Windows+Linux sur mon réseau qui avait échappé à mon antivirus et mon firewall Windows de l'époque, malware vraiment très étrange par ses cibles, je dirais quasi unique pour l'époque. Très ciblé. Très dangereux. Invisible. Mon organisation sert aussi à me protéger des connexions sortantes qui ne sont pas gérées par ce firewall, incluant des domaines litigieux (malwares, traceurs, publicités) ou des adresses IP en Russie ou en Chine que j'ai choisi de filtrer par défaut. Ça rend beaucoup plus efficace l'analyse du traffic sortant restant, puisque débarrassé des merdes des uns et des autres. Et malheureusement il y a de la complexité, mais aussi un coût pour l'achat du matériel, mais on est à moins de 2€/mois. PS: j'ai eu une demande sur les détails d'implémentation Pi Hole + pivpn, que j'ai fourni avec grand plaisir, incluant l'astuce pour que ça marche derrière du NAT (un routeur quoi), je vais revenir dessus mais ça sera probablement un lien sur un sujet en anglais. Merci pour l'explication mais lors de l'utilisation de firewall, même en ayant un peu de connaissance dans les "idioties" que certains arrivent à pondre pour essayer de rentrer dans les machines ou pour faire n'importe quoi (dans quel but ?), un novice comme moi à du mal à déceler ce qui est mauvais de bon vu le nombre de choses pondues plus ou moins tout les jours. Il faut savoir ce que l'on cherche à filter et là tout est le problème. J'ai suivi un temp de loin l'idée du pi hole mais ensuite pour le mettre en oeuvre, bu le temp à passer il y aura sans doute un truc plus simple au bout de quelques temps... Merci en tout cas pour l'explication. Une solution vennant d'un gros éditeur serait effectivement une vrai solution pour tout le monde, mais avec leurs rivalités de gamins ce n'est pas gagné ! Donc on peux comprendre la paranoïa que peut avoir certaines personnes et de l'autre coté, certains se reponsent trop sur les editeurs en proposant un mot de passe sur la porte d'entrée mais laissant les fenêtres ouvertes de l'autre coté. Au lieu de me défendre sur ma paranoïa évidente, faisant un métier pour lequel c'est une qualité ("Même les paranoïaque ont des ennemis" - Nixon), je vais plutôt aborder un autre aspect: se défendre. L'idée est d'avoir plusieurs couches de sécurité, indépendantes, comme des sortes d'armures les unes sur les autres, une Matryoshka de sécurité. La première consiste à ne pas charger ni utiliser n'importe quelle Application. Mobile ou sous macOS. La seconde à ne pas utiliser un compte Administrateur lors de leur usage. La troisième à paramétrer le Firewall de macOS pour refuser toute connexion entrante. Avoir une DNS et un Firewall externe, qui ne peuvent être contournés par une corruption via une attaque de macOS/iOS/iPadOS ou un changement dans les règles de sécurité de ceux-ci. etc etc. PS: j'ai été exposé à des merdes comme jamf pro qui ouvrent des tonnes de failles sécurité, pour nous surveiller alors qu'affaiblissant incroyablement la sécurité de la compagnie, des besoins et des contraintes très disjointes (surveiller vs. protéger), et j'ai coupé les c...lles de ces merdes sans remord depuis l'extérieur. Mon réseau, mes règles. D'ailleurs Jamf a une note B au test de SSLLabs sur leurs serveurs, quoique se présentant une société "de sécurité", et mon ti'serveur dans son coin une note A (qui ira sur A+ obligatoirement ce printemps). Ce message a été modifié par iAPX - 14 Jan 2021, 23:22. -------------------- Utilisateur de Mac depuis 1985 et possesseur de Mac depuis 2005. Utilisateur d'un PC Lenovo au travail, sous Windows, qui renforce ma passion pour les Mac!
|
|
|
15 Jan 2021, 13:40
Message
#11
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 154 Inscrit : 10 Jan 2003 Lieu : Casablanca - Maroc - à 1000 Km d'un vrai SAV Apple compétent Membre no 5 563 |
C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs.
-------------------- MacBook Pro 16" I9 2.3GHz. -
|
|
|
15 Jan 2021, 17:42
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 507 Inscrit : 3 Dec 2001 Lieu : Mulhouse dans le 68 ! Membre no 1 493 |
C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs. D'une certaine facon c'est deja le cas avec des application validees par Apple sur son store, et la propension qu'a MacOS à brider de plus en plus tout ce qui ne viens pas du store. Sachant qu'Apple ne peux pas developper tout ce qui existe comme apps, c'est une bonne maniere de contourner ce probleme qu'ils ont trouvé. -------------------- "Steambox" : Aerocool DS Cube / i7-4970 / ASUS Z97m-plus / 16Go RAM / Radeon RX6800 FE/ 4x SSD / Corsair RM750
iPad Pro 12,9 iPad3 Retina 16Go (wifi) iPad Mini 2 Retina 16Go (3G+wifi) iMac M1 2022 iMac Core2Duo late 2009/ 8Go / 9400M + Mod SSD Mes vieux Macs : PowermacG5 Dual 2.5Ghz / 5Go / nVidia 6800 UltraDDL PowerMac G4 Dual 1.42Ghz / 1,5Go / Radeon9800 Pro MacEdition+ATIsilencer mod/ 250Go RAID0 PowerMac G4 Quicksiler 2x800Mhz iBook G3 600 Late2001 /HD 5400tr / Ubuntu Nintendo Switch + Switch Lite + New 3DS XL + 2DS |
|
|
16 Jan 2021, 17:13
Message
#13
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 154 Inscrit : 10 Jan 2003 Lieu : Casablanca - Maroc - à 1000 Km d'un vrai SAV Apple compétent Membre no 5 563 |
C'est dingue quand même, au train ou ça va, un jour un ne pourra plus utiliser que des logiciels apple sur nos macs. D'une certaine facon c'est deja le cas avec des application validees par Apple sur son store, et la propension qu'a MacOS à brider de plus en plus tout ce qui ne viens pas du store. Sachant qu'Apple ne peux pas developper tout ce qui existe comme apps, c'est une bonne maniere de contourner ce probleme qu'ils ont trouvé. Pour être honnête je n'ai rien contre le fait qu'ils valident les applications avant de les mettre sur le store, ça permet d'éviter les malwares etc, mais sont ils de bonne foi ? Pour exemple une application que j'utilisais sur IOS "Wifi Scan" de WiTagg, elle permettait de voir la qualité de son signal wifi, et de voir les points d"'accès a proximité, ben apparement elle a été interdite du store ... -------------------- MacBook Pro 16" I9 2.3GHz. -
|
|
|
16 Jan 2021, 17:32
Message
#14
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 873 Inscrit : 5 Dec 2004 Lieu : Namur Membre no 28 224 |
C'est pareil sous ubuntu, on nous pousse des snaps via la boutique intégrée et les autres applications sont toujours installables via la ligne de commande.
A la limite c'est sous windows que c'est le plus ouvert car on trouve des exe et des msi quasi pour tout -------------------- MacStudio M1 Max - 64 Go RAM - macOS 14
MacBookPro M1 Max - 64 Go RAM - macOS 14 MacPro 5,1 24x3,46 Ghz - RX580 - 64 Go RAM - macOS 14 - OCLP |
|
|
Nous sommes le : 18th April 2024 - 18:43 |