TidBITS#1114, 20 februari 2012

Het grote nieuws van deze week en bijna onze hele aflevering, draait rond OS X 10.8 Mountain Lion, dat Apple heeft uitgebracht in een voorvertoningsversie voor ontwikkelaars. Rich Mogull, die vroeg door Apple werd ingelicht dankzij zijn positie in de Macintosh-beveiligingswereld, legt uit wat er nieuw en interessant is aan Mountain Lion en en gaat daarna meer in detail in op Gatekeeper, de nieuwe beveiligingstechnologie in Mountain Lion die belooft de mogelijkheid van een malware-epidemie te elimineren. Voor diegenen die nog in het heden leven, legt Adam uit hoe hij een vervelend prestatieprobleem in 10.7 Lion opspoorde en oploste. Bij de vermeldenswaardige software-updates van deze week zitten Default Folder X 4.4.9, VLC 2.0, Bookle 1.0.4 en Airfoil 4.6.5.

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.

Oplossen van iCloud-gerelateerde vertragingen in Lion

Ik heb onlangs een paar gekmakende prestatieproblemen opgelost op mijn originele aluminium MacBook met Mac OS X 10.7 Lion en ik wilde mijn bevindingen met anderen delen om soortgelijke problemen te helpen voorkomen. Het interessantste van de problemen was de techniek die ik tegenkwam voor het isoleren van de schuldigen, die niet rauwe prestaties betroffen, maar de batterij.

Ik moest de gehele vlucht naar de Macworld werken aan een boek, maar ik wist dat mijn MacBook-batterij, hoewel ik die net had laten vervangen, problemen zou gaan geven gedurende de lange vlucht van Detroit naar San Francisco. Dus draaide ik de helderheid van mijn scherm tot op het laagste niveau, schakelde Wi-Fi en Bluetooth uit en stelde mijn Energie-instellingen op de meest spaarzame stand.

Maar hier gaat het over de levensduur van de batterij op moderne Mac-laptops. Het gaat meer over CPU-activiteit dan iets anders. Dat wil zeggen, je MacBook kan vrij pittig aanvoelen, maar als een van de Intel Core 2 Duo's kernen in beslag wordt genomen wordt door een andersoortige toepassing, zal de levensduur van de batterij er enorm onder lijden.

Het slechtste programma in dit gebied, in mijn ervaring, is Firefox. Dat komt deels omdat ik de neiging heb om een aantal tabbladen open te hebben, die elk een soort van dynamische aspect gegenereerd zouden kunnen hebben doordat JavaScript of Flash voortdurend op de achtergrond zouden lopen. Maar wat de reden ook is, als ik Activiteitenweergave opende op mijn MacBook, zou Firefox meestal meer CPU gebruiken dan enig andere toepassing. Om die reden heb ik de overstap naar Google Chrome op de MacBook gedaan, Chrome isoleert elk tabblad als een onafhankelijk proces, waardoor het makkelijker wordt om te zien of een bepaald tabblad problemen veroorzaakt en het te stoppen. Belangrijker nog, in Chrome werkt Flash als een ander proces, genaamd Shockwave Flash (Chrome Plug-in Host), dus is het makkelijk te zien in de Activity Monitor indien Flash problemen veroorzaakt en zo ja, dan dat proces afsluiten.

Dit wetende en omdat ik Wi-Fi in het vliegtuig hoe dan ook uitgeschakeld had, stopte ik Google Chrome. De enige programma's waarin ik dus werkte waren Pages, BBEdit, waar het boek over gaat en Keyboard Maestro. De laatste gebruikte ik om Pages meer toetsenbord-georiënteerd te laten zijn. Ik dacht dat dit een vrij minimale belasting zou zijn en me tot een 4 uur levensduur van de batterij zou geven.

Ik was dus nogal teleurgesteld toen ik keek na 15-20 minuten werken naar de batterij-indicator keek en zag dat hij slechts ongeveer 2 uren voorspelde. Wat kon in vredesnaam mijn kostbare batterijkracht opeten?

Een kort uitstapje naar Activiteitenweergave onthulde een proces dat ik nog niet eerder had gezien met de naam Mingler en het gebruikte een volledige core, het schommelde rond de 97% CPU-gebruik. (Activiteitenweergave toont de procenten per core dus als je een 12-core MacPro hebt kunnen 12 verschillende processen 100% aangeven). Ik stopte Mingler vanuit Activiteitenweergave en bedacht me dat ik eens uit moest zoeken wat het proces deed en ging door met mijn werk. Mijn verwachte batterijduur verbeterde wel iets maar de schade was al gedaan en ik kon nog geen 3 uur meer doorwerken.

Min of meer hetzelfde gebeurde op de vlucht terug maar eenmaal thuis aangekomen werd de prestatie nog slechter en een ander probleem stak zijn lelijke hoofd op in Activiteitenweergave. Dit was de rokende revolver: de naam was SafariDAVClient. Een korte zoektocht op internet leverde op dat SafariDAVClient en Mingler beiden te maken hebben met iCloud bladwijzer-synchronisatie. (Hoewel ik Safari niet als standaard browser heb ingesteld, gebruik ik het wel voor bepaalde en iCloud bladwijzer-synchronisatie een goede manier om de Safari bladwijzers te beheren op mijn iPhone.)

Omdat iCloud de hoofdlijst van de bladwijzers in de cloud bewaard, schakelde ik eenvoudig het synchroniseren van de bladwijzers uit in het iCloud-voorkeurenpaneel in de Systeemvoorkeuren, veranderde de naam van het bestand Bookmarks.plist in de map ~/Library/Safari in oldBookmarks.plist en schakelde Bladwijzers synchroniseren weer in. Een nieuwe versie voor mijn bladwijzers werd opgehaald vanuit de iCloud en ik heb SafariDAVClient noch Mingler op zien duiken. (Ik verwacht ze beiden nog gewoon hun werk doen maar dat ze weinig werk omhanden hebben en stilletjes in de achtergrond opstarten en afsluiten.)

Het probleem bleek dus een iets beschadigd Bookmarks.plist bestand in Safari dat iCloud bladwijzer synchronisatie zo in de war bracht dat het een enorme hoeveelheid processorkracht opslurpt en daarmee ook de batterij leeg trekt.

Ik begrijp dat dit allemaal erg specifiek is en als je een duidelijke mindere prestatie in Lion opmerkt is het zeker de moeite om te kijken of Firefox of iCloud Bladwijzer synchronisatie het probleem veroorzaakt. Maar in werkelijkheid is de kans klein dat een van deze problemen ook bij jouw computer zo optreedt. Maar je kunt natuurlijk met ruwweg dezelfde techniek als ik gebruikte op zoek door Activiteitenweergave te laten draaien met de lijsten gesorteerd op %CPU-kolom en oplet of er een iets vreemds boven komt drijven.

Uiteraard kun je, als je geïnteresseerd bent in een volledige bespreking van prestatieproblemen op je Mac, Joe Kissell's standaardwerk "Take Control of Speeding Up Your Mac" lezen. We hebben net een kleine update gemaakt met wat Lion-specifieke informatie die zeer binnenkort uitkomt; deze is gratis voor alle eigenaren van het boek.

OS X 10.8 Mountain Lion loert op iOS

Apple heeft vanaf 16 februari 2012 een developer preview van OS X 10.8 Mountain Lion beschikbaar gemaakt en heeft bekendgemaakt dat de nieuwe versie van het besturingssysteem deze zomer uitkomt (of winter, voor onze vrienden in het zuidelijk halfrond) en dat het woord "Mac" voortaan niet meer in de naam voorkomt.

Deze upgrade van 10.7 Lion naar 10.8 Mountain Lion is niet bedoeld als een grote revisie zoals van 10.6 Snow Leopard naar 10.7 Lion. De basis van de gebruikerservaring blijft grotendeels dezelfde, met een reeks verbeteringen die voortbouwen op de in Lion geïntroduceerde veranderingen. Aangezien Mountain Lion nu nog maar in pre-release is, mag je dit artikel niet als een bespreking lezen. In het mij door Apple geleverde demonstratiesysteem waren niet alle functies geactiveerd en er zal waarschijnlijk nog veel veranderen voordat het klaar is voor het grote publiek.

Leven in de iCloud -- Mountain Lion maakt de ervaring tussen iOS en de Mac één, maar behoudt terzelfder tijd de verschillen die belangrijk zijn voor elk platform. iCloud wordt de lijm van het ecosysteem van Apple en speelt een grotere rol dan ooit tevoren. Wanneer je bijvoorbeeld voor het eerst een gebruikersaccount instelt, dan vraagt Mountain Lion je iCloud-informatie en laadt vervolgens al je informatie en zelfs aankopen in de Mac App Store (tenzij je een andere Apple ID voor iCloud en de Mac App Store gebruikt). Net zoals in de goede oude tijd van MobileMe, kun je zelfs je Mail, Contacten en Agenda-accounts synchroniseren als ze op een andere met Mountain Lion uitgeruste Mac die verbonden is met je iCloud-account waren geconfigureerd. (iCal en Adresboek zijn hernoemd zoals in iOS, zodat ze nu bekend staan als Agenda en Contacten.)

De dienst "Documents in the Cloud" van iCloud wordt op verscheidene punten verbeterd. In een demo van Apple zag ik bijvoorbeeld dat wanneer je een document bewerkt op een iOS-apparaat, de veranderingen onmiddellijk naar een Mac-versie van het document worden gepusht, zelfs wanneer het geopend is in de Mac-applicatie. Bovendien introduceert Mountain Lion een nieuwe Documentbibliotheek waar je kunt kiezen tussen iCloud-documenten en lokale bestanden.

Mountain Lion neemt ook nog andere functies over van iOS en past ze ook aan aan een desktopbesturingssysteem. Hieronder vallen enkele apps, maar de belangrijkste veranderingen zijn functies op systeemniveau: Berichtgeving, "Share Sheets" en Twitter.

Berichtencentrum -- In de korte tijd dat ik Mountain Lion heb kunnen gebruiken, is Berichtencentrum heel nuttig gebleken, zelfs al is de ondersteuning ervoor beperkt tot een handvol programma's. Een bericht is een korte boodschap die op het scherm verschijnt en je attent maakt op iets zoals een nieuwe binnenkomende sms, een agenda-event, of de volgende stap in een multiplayer-spel. Berichten zijn gelukkig heel configureerbaar, zodat je kunt controleren welke aspecten van je digitale leven berichten worden. Momenteel biedt Berichtencentrum twee soorten berichten, stroken die kort verschijnen en dan weer verdwijnen en meldingen die blijven tot je ze dicht klikt of naar het programma in kwestie gaat.

Om je berichten te zien, veeg je met twee vingers van de rand van het trackpad of klik je op het kleine berichtensymbool uiterst rechts van de menubalk. Je bureaublad schuift een beetje naar links en een kolom met berichten wordt weergegeven in precies dezelfde stijl als het iOS-Berichtencentrum. Het is een heel intuïtieve actie en knap om snel iets zoals nieuwe e-mailberichten of agenda-afspraken te bekijken.

Omdat Apple Mail waarschijnlijk veel berichten zal pushen, is er ook een nieuwe Favorieten-markering zodat je de contacten kunt kiezen waarvan een bericht het berichtencentrum activeert. Dit wordt ook gebruikt in het hierna besproken Share Sheets.

Eerst dacht ik dat de introductie van Berichtencentrum in OS X het einde van het populaire Growl-berichtenhulpmiddel zou betekenen, maar hoe meer ik Berichtencentrum gebruik, hoe meer ik ervan overtuigd ben dat Growl nog altijd een belangrijke rol kan spelen voor wie nood heeft aan meer flexibiliteit voor hoe berichten worden weergegeven of geavanceerde functies zoals het sturen van berichten over computers.

Zoals bij de meeste functies die ik in dit artikel bespreek, ondersteunt Apple berichten met een nieuwe API voor ontwikkelaars, zodat ontwikkelaars berichten in hun eigen programma's kunnen integreren.

Share Sheets -- "Share Sheets" voegt in programma's die dit ondersteunen een nieuwe knop toe om het actuele item naar een ander programma te "sturen". Deze functie werkt zoals de functie "Open In" in iOS, zodat je gegegevens rechtstreeks tussen programma's kunt delen zonder kopiëren en plakken. (Het is een beetje zoals een vereenvoudigd menu-item Voorzieningen en zal hopelijk meer worden gebruikt dan Voorzieningen.)

Share Sheets spitst zich toe op foto's, video's, koppelingen en documenten en je kunt ermee delen in andere programma's en onlinediensten; zelfs bestanden rechtstreeks naar AirDrop sturen behoort tot de mogelijkheden. Share Sheets zijn context-bewust, dat wil zeggen een gedeelde notitie kun je naar Mail of Berichten sturen, maar niet naar iPhoto. Bestanden in de Finder kun je rechtstreeks delen vanuit Geef Snel Weer-vensters. En als je op een webpagina staat, dan kun je met enkele klikken de volledige pagina in een e-mailbericht delen of als een koppeling in Twitter.

Twitter, Safari en webdelen -- Net zoals bij iOS, is Twitter ook sterk geïntegreerd in Mountain Lion. Zodra je je Twitter-account hebt toegevoegd in het vernieuwde voorkeurenpaneel E-mail, contacten, agenda's, kun je met Share Sheets meteen dingen naar Twitter sturen.

Zie je een webpagina die je bevalt? Je hoeft ‘m nu niet meer te kopiëren en in je Twitter-programma te plakken, maar je kunt ‘m direct uit Safari "tweeten". Er is ook sprake van integratie met je adresboek, al heb ik nog niet uitgevonden hoe dat werkt. Voor het opstellen van een nieuwe tweet komt in iedere applicatie een invoerscherm naar voren, dus je hoeft niet meer over te schakelen naar een Twitterprogramma. Je kunt er bovendien voor kiezen om je locatie (tot op stad-niveau) mee te sturen.

Apple heeft ook ondersteuning voor Flickr- en Vimeo-accounts toegevoegd, zodat je foto's en video kunt delen. Bovendien wordt nu een aantal Chinese diensten voor het delen van foto's en video ondersteund, als onderdeel van een systeembrede-serie verbeteringen voor Chinese Mac-gebruikers. Zo maakt Apple duidelijk hoe serieus het bedrijf die markt neemt.

Safari volgt eindelijk het voorbeeld van Chrome en maakt nu gebruik van een gedeelde adresbalk voor zoekopdrachten én het invoeren van url‘s. Het typen in de adresbalk zal je ofwel naar een internetsite brengen ofwel een zoektocht starten met een zoekmachine naar keuze. En na het overbrengen van mijn gebruikersaccount vanaf mijn andere Mac bleef Bing behouden als voorkeurszoekmachine.

Notities en Herinneringen -- Twee iOS-apps, Notities en Herinneringen, debuteren op de Mac. Notities vervangt Plaknotities en is volledig compatibel met iCloud. Naast het synchroniseren van notities over verschillende apparaten, ondersteunt Notities op de Mac ook opmaak, ingebedde afbeeldingen en zelfs bestanden als bijlage. Met de verdwijning van Plaknotities krijg je nu de mogelijkheid om notities "op je bureaublad te prikken". En ja, je kunt ook ieder lettertype gebruiken dat je maar wilt.

Aangezien Notities op iOS nog niet de mogelijkheid voor deze uitgebreide opmaak biedt, worden notities "vertaald" zodat hun uiterlijk past op het kleinere apparaat. Toen ik een afbeelding aan een notitie toevoegde werd deze op mijn iPhone niet weergegeven, maar er was wel een ikoon om aan te geven dat er een bijlage bij zat.

Herinneringen doet ook z'n intrede op de Mac en behoudt daarbij vrijwel alle functies die in iOS aanwezig zijn, op locatie-bepaalde herinneringen na. Zowel Notities als Herinneringen kunnen ingesteld worden om met CalDAV te werken en ondersteunen dus ook andere diensten dan iCloud.

Eenheid in Berichten -- Vaarwel iChat, hallo Berichten! Volgens Apple hebben gebruikers al meer dan 100 miljoen keer berichten verstuurd via iMessage op iOS. Berichten is een complete restyling van iChat, waarbij zowel de functies van de videochat-app FaceTime, als die van Berichten op iOS aan het programma toegevoegd zijn. Berichten is nu verkrijgbaar in beta, tenminste voor Lion-gebruikers.

Naast deze uiterlijke verbeteringen, is op de Mac nu ook volledige ondersteuning aanwezig voor iMessage-berichten. Hierbij wordt je berichtenstroom over alle apparaten gesynchroniseerd. Als iemand een bericht stuurt naar een van je iMessage-mailadressen, dan zal ditzelfde bericht tegelijk op al je apparaten verschijnen. Berichten die direct naar je telefoonnummer gestuurd worden (i.p.v. naar een e-mailadres) zie je alleen op je iPhone verschijnen. Je kunt bijlagen tot 100 MB meesturen, ook video. Ieder bericht wordt in z'n geheel versleuteld.

Berichten ondersteunt ook het sturen van groepsberichten en alle andere mogelijkheden die iChat biedt. Ik was een beetje bang dat Schermdeling zou verdwijnen (voor mij de enige manier om bepaalde familieleden te helpen om online te blijven) maar gelukkig is deze functie ook gebleven.

Bij al deze veranderingen bracht vooral het programma Berichten het besef dat ik nu gedachteloos heen en weer kan hoppen tussen verschillende apparaten. Ik heb dit een dag lang getest op mijn iPhone, iPad en Mac en heb daarbij geen enkele rekening gehouden met welke programma's allemaal draaiden, actief of niet. Ik bewoog me van het ene naar het andere apparaat en hield daarbij een doorgaande conversatie in stand. Het maakt niet uit of de ontvangeer op een iPhone of Mac zit. Ik kan ze berichten sturen, FaceTime gebruiken en bestanden uitwisselen. Hier zien we een kleine voorbode van de mogelijkheden van de Cloud.

Gamen krijgt een flinke boost -- Een van de meest pakkende onderdelen van de presentatie van Apple was de demonstratie van een nek aan nek-race in Real Racing 2. Hierbij zat de ene speler op een iPad, de ander op een Mac en dit apparaat streamde tegelijkertijd beelden naar een HD-televisie.

Mountain Lion brengt ook het iOS-Game Center naar de Mac. Behalve sociale mogelijkheden (het vinden van vrienden en gebruiken van scoreborden) biedt Game Center ook voice-chat, synchronisatie van je status, notificaties en platform-onafhankelijk multiplayer-gamen. Als de specifieke game het ondersteunt, kan je middenin het spel, van je iPhone zo overspringen naar je Mac en daar onmiddellijk verder spelen.

En de nieuwe functie AirPlay Mirroring in Mountain Lion betekent dat je je prestaties kunt projecteren op een groot televisiescherm in HD-beelden (720p), streaming-functionaliteit die je ook buiten het gamen kunt gebruiken. Als je hierbij gebruik maakt van een Apple TV, dan zal Airplay Mirroring zorgen dat de schermresolutie op je Mac ook op het beeldscherm gebruikt wordt (of andersom als je dat wilt: in dat geval weerspiegelt de resolutie van je Mac die van de TV). Overigens kon ik deze functie niet testen, want Airplay Mirroring gaf de melding dat mijn Apple TV niet op de juiste softwareversie draaide).

Als professioneel spreker ben ik weliswaar geïnteresseerd in Airplay Mirroring naar een televisie toe, maar nog liever zou ik materiaal van mijn iOS-apparaat naar de Mac sturen, die ik dan weer zou verbinden met een beamer. Dan kan ik rustig het podium op en neer lopen terwijl ik ondertussen notities en diagrammen teken ... via de iPad, zó op het grote scherm.

Gatekeeper -- Met Gatekeeper wordt een flinke stap genomen in de geschiedenis van Mac-beveiliging. Ik geef toe dat ik hier speciale belangstelling voor heb, gezien beveiliging mijn dagelijks werk is.

Niets kan mensen tegenhouden om malware te schrijven, maar Gatekeeper wil ervoor zorgen dat we nooit getuige zullen zijn van een malware-epidemie op de Mac. Het programma beperkt het soort gedownloade programma's dat op je Mac mag draaien. Het is een uitbreiding van de File Quarantaine-functie die met 10.5 Leopard geïntroduceerd is. Het programma helpt je om programma's die mogen draaien te beperken tot de verzameling Mac App Store-programma's, of een combinatie van deze programma's met een verzameling programma's van specifieke genoemde ontwikkelaars (die bijvoorbeeld hun programma's ondertekenen met een door Apple uitgegeven certificaat). Voor Mac-gebruikers die willen voorkomen dat ze Trojaanse paarden of andere malware downloaden, is Gatekeeper een aantrekkelijke optie om veiliger te werken. Ik geef in het volgende artikel een gedetailleerde beschrijving van Gatekeeper: "Gatekeeper op de Mac slaat de deur in het gezicht van malware-epidemieën" (16 februari 2012).

De toekomst ligt in de (i)Cloud -- Hoewel veel van de vroege verslaggeving over Mountain Lion zich zal richten op de invloed van iOS op OS X, is het echte verhaal de groeiende rol van iCloud. iCloud is de lijm die het Apple-ecosysteem bijeen houdt. In toenemende mate worden gebruikersinstellingen, gegevens en communicaties van de Mac opgeslagen en beheerd in iCloud. In "De toekomst is wegwerpen" (24 juni 2011), schreef ik:

Mountain Lion is tot op heden de duidelijkste indicatie dat Apple deze visie deelt. Als ze er in slagen zal de manier waarop we onze computers, tablets, telefoons en misschien zelfs onze televisies gebruiken nooit meer hetzelfde zijn.

Gatekeeper op de Mac slaat de deur in het gezicht van malware-epidemieën

Er zijn drie manieren om een computer aan te vallen. Er fysieke toegang toe verkrijgen, deze via het netwerk aanvallen of de gebruiker er toe verleiden iets te laten draaien wat ze niet zouden moeten doen. Macs zijn redelijk goed beschermd tegen twee van de drie.

Als je een sterk wachtwoord gebruikt en je harde schijf versleutelt met FileVault, kan alleen een ingenieuze aanvaller zich toegang verschaffen. Macs die up-to-date zijn, zijn redelijk veilig tegen directe netwerk-aanvallen en wanneer kwetsbare plekken zichtbaar worden, maakt een combinatie van anti-exploitatie functies het de zware jongens een stuk lastiger (tenminste onder Mac OS X 10.7 Lion). Dus bij fysieke en netwerk-aanvallen staan wij Mac gebruikers er vrij goed voor.

Maar de derde aanvalsvorm? Nu, dat is een beetje een probleem, aangezien wij mensen, zelfs de meest paranoïde onder ons, ten prooi kunnen vallen aan misleiding. Het is een probleem waarvoor we geen erg goede oplossingen hadden… tot nu toe.

OS X 10.8 Mountain Lion bevat een transformatieve beveiligingstechnologie genaamd Gatekeeper. Het is een belangrijke nieuwe sprong voorwaarts in besturingssysteem-beveiliging die is ontworpen om de mogelijkheid van een aanvaller om gebruikers te verleiden tot het installeren van kwaadaardige software drastisch terugdringt. Het kan de sleutel zijn tot het voorkomen van een toekomstige malware-epidemie.

Wijzelf zijn de zwakste schakel -- Vroeger hoefde ik mensen alleen maar te vertellen dat er niets aan de hand was zolang ze maar uit de krochten van het internet bleven, maar tegenwoordig loert het gevaar overal. Aanvallers weten dat zelfs de meest paranoïde computergebruikers niet in staat zijn om alle mogelijke gevaren te onderkennen, en gebruiken geavanceerde psychologische trucs om ons te verleiden kwaadaardige programmatuur op onze computers te draaien.

En er waren ook niet veel mogelijkheden om ons afdoende te beschermen tegen gevaarlijke downloads. Zowel Mac OS X als Windows beschikken over "zwarte lijsten" met daarop bekende malware en de bijbehorende browsers werpen blokkades op om te trachten te voorkomen dat we gevaarlijke zaken downloaden, of om ons er in ieder geval voor te waarschuwen. Antivirus-programma's van andere aanbieders gaan nog een stap verder in hun "zwarte lijst"-aanpak, met omvangrijke overzichten van gevaarlijke zaken die we beter niet kunnen downloaden. Maar dit is nou typisch zo'n race die de "goeden" nooit kunnen winnen, zeker niet als je beseft dat er op dit moment elke dag tienduizenden (echt!) nieuwe versies van kwaadaardige programmatuur opduiken.

Het is zelfs zo erg, dat de meeste aanbieders van antivirus programma's voor de bedrijfsomgeving voor een tegenovergestelde aanpak hebben gekozen, met "witte lijsten", zodat alleen vooraf goedgekeurde programmatuur gedraaid kan worden; helaas worden onze computers daardoor wel een soort van extra-beveiligde inrichting. Dat werkt misschien op kantoor, maar is voor een thuisgebruiker niet acceptabel.

Ga maar na, ons soort gebruikers installeert regelmatig nieuwe programmatuur, van overal en nergens vandaan. Vaak uit betrouwbare bronnen zoals de Mac App Store en bekende leveranciers, maar velen onder ons schromen er niet voor om af en toe handig lijkende zaken van onbekende herkomst binnen te halen. En zelfs als we er voor kiezen om uitsluitend zaken te doen met betrouwbare bronnen, dan geldt nog dat de slechterikken er inmiddels zeer bedreven zijn om ons een rad voor ogen te draaien en ons zo ver te krijgen dat we programma's draaien waarvan we niet eens in de gaten hebben dat het programma's zijn.

Dat is dan ook precies de reden waarom iOS zoveel minder beveiligingsproblemen kent dan Android, of welk willekeurig standaard besturingssysteem. iOS gebruikers kunnen uitsluitend apps uit de App Store downloaden (tenzij het apparaat ontsloten is middels een jailbrake natuurlijk, maar daarvoor moet je bewust gebruik maken van een aantal beveiligingslekken). Al die apps leven in hun eigen, afgeschermde sandbox [een "zandbak", nvdv] en zijn op zijn minst vluchtig door Apple gecontroleerd. Het systeem is verre van perfect (het grootste probleem is de last die het toelatingsproces met zich meebrengt voor bona-fide ontwikkelaars), maar heeft tot nu toe wel kunnen voorkomen dat kwaadaardige programmatuur zich kon verspreiden. Android kent, vanwege het minder restrictieve verspreidingsbeleid, veel meer beveiligingsaanvallen (onderzoekers ontdekten onlangs een Android botnet met meer dan 100.000 besmette apparaten). Een aantal gebruikers van Android en Symbian zijn er zelfs toe overgegaan om antivirus-programmatuur op hun mobieltjes te installeren.

De Mac App Store biedt Mac-gebruikers iets vergelijkbaars als iOS, met betrekking tot veiligheid, maar met minder restricties op programma's. Programmatuur wordt beoordeeld voordat het beschikbaar komt en kan eenvoudigweg worden ingetrokken als er toch iets mis zou blijken te zijn. Vanaf 1 maart 2012 moeten alle nieuwe programma's gebruik maken van een sandbox, zodat de schade die kwaadaardige programmatuur of programmatuur met een onvoorzien beveiligingslek aan je computer kan toebrengen geminimaliseerd wordt. Maar hoewel de Mac App Store uiteraard een veel veiliger bron is dan het grote boze internet weerhoudt niets ons er van om, in tegenstelling tot iOS, ook programmatuur afkomstig van andere bronnen te installeren. En als we even stil staan bij alle restricties de de Mac App Store opwerpt dan moge duidelijk zijn dat niemand van ons een situatie wenst waarbij Apple de enige is die bepaalt welke programmatuur we op onze Macs draaien.

Gatekeeper maakt alles anders -- Gatekeeper is een nieuw onderdeel van OS X 10.8 Mountain Lion dat tot doel heeft om Macs de beveiliging van iOS te geven, zonder voorbij te gaan aan de verschillen tussen beide platforms. Gatekeeper combineert een aantal technologieën die Apple in afzonderlijke vorm al in een aantal eerdere versies van Mac OS X introduceerde, met de Mac App Store en een nieuw soort van beveiligings-certificaat dat Apple (gratis) aan ontwikkelaars zal verstrekken.

Gebruikers kunnen Gatekeeper via een nieuwe instelling in het venster Beveiliging van de Systeemvoorkeuren kiezen welke programma's gedraaid mogen worden, afhankelijk van waarvandaan ze gedownload werden:

Ongeachte welk van de drie mogelijkheden je kiest kun je altijd handmatig een programma goedkeuren. Apple biedt een overzichtelijke interface om daarbij vergissingen en ondoordachte handelingen te voorkomen; het lijkt dan ook verstandig om bij voorkeur te kiezen voor de tweede optie ("Mac App Store and identified developers") en overige programmatuur alleen te draaien als je er honderd procent zeker van bent dat het veilig is

Niet eerder hadden we een in OS X ingebouwd hulpprogramma om ons, mochten we daartoe de wens of behoefte hebben, tegen onszelf te beschermen. Gatekeeper zorgt er voor dat het veel minder waarschijnlijk wordt dat Mac gebruikers (zeker de gebruikers die niet de noodzakelijke kennis en ervaring hebben om mogelijke gevaren te onderkennen), kwaadaardige programmatuur installeren.

Voor de volledigheid combineert Gatekeeper een eenvoudige versie van een "witte lijst" met een snufje "zwarte lijst" met malware en twee opties voor het identificeren van vertrouwde programmatuur. Laten we elk van deze mogelijkheden eens onder de loep nemen.

Zo werkt Gatekeeper -- Gatekeeper borduurt voort op de Bestandsquarantaine-optie die voor het eerst verscheen in 10.5 Leopard en controleert ieder gedownload programma voordat het voor de eerste keer draait. Het laat programma's alleen draaien als ze aan je instellingen voldoen, als er niet aan geknoeid is (als ze tenminste een digitale handtekening hebben) en ze vrij zijn van bekende malware op Apples lijst.

Dit laatste is een snuifje van de zwarte lijst tegen malware die ik noemde; in dat opzicht is er niet veel veranderd, maar het het is logisch dat Apple de meest voorkomende en lastigste malware automatisch wil kunnen identificeren.

De witte lijst van Gatekeeper is het compleet tegenovergestelde van hoe de meeste antivirus-gereedschappen voor consumenten werken. In plaats van te proberen om problemen te voorkomen met een zwarte lijst van bekende slechteriken, laat een witte lijst alleen die dingen toe waarvan we redelijk zeker weten dat ze deugen. Met andere woorden, Gatekeeper is een stap in de richting van de draconische witte-lijstaanpak die antivirus-bedrijven op bedrijfsniveau gebruiken, maar eentje die wel de bruikbaarheid behoudt die nodig is voor thuisgebruikers die niet beperkt moeten worden tot een korte lijst van toegelaten software.

En de sleutel tot het gebruik van witte lijsten, waarmee Apple meer dan enig andere verkoper van besturingssystemen kan wegkomen dankzij hun strakke controle op ontwikkeling, zijn de combinatie van een verzameling van vertrouwde software in de Mac App Store en identificatie van vertrouwde ontwikkelaars via digitale handtekeningen.

Met de strengste instelling van Gatekeeper kun je alleen van de Mac App Store gedownloade programma's installeren. Dit zijn de best te vertrouwen programma's, omdat ze handmatig zijn doorgelicht door Apple, ze sandboxing gebruiken en de code gesigneerd is. Dat betekent niet dat iets kwaadaardigs niet door de mazen naar binnen kan glippen, maar als dat gebeurt, is de kans groot dat het zal worden ontdekt, aan Apple doorgegeven en uit de Mac App Store verwijderd. Het programma staat dan nog wel op jouw systeem, hoewel Apple het zou kunnen verwijderen met een beveiligingsupdate, zoals ze deden met MacDefender vorig jaar (zie "Beveiligings-update 2011-003 pakt MacDefender-malware aan", 31 mei 2011).

In de middelste instelling kun je ook programma's installeren van geïdentificeerde ontwikkelaars. De code is dan niet doorgelicht of gesandboxed, maar wel gesigneerd om de mogelijkheid uit te sluiten dat er achteraf mee gerotzooid werd. Omdat een Apple Ontwikkelaars-ID terug te voeren is op een geregistreerd lid van het Apple Developer Program, is er ook een verband te leggen wanneer er een kwaadaardig programma wordt uitgegeven. Als dat eenmaal is ontdekt kan Apple dat digitale certificaat onmiddellijk op de zwarte lijst zetten om de rest van de gebruikers te beschermen. Opnieuw ben ik zeker dat er ooit wel iemand het systeem zal bespelen en kwaadaardige programma's zal uitgeven, maar de kans dat dit op grote schaal zal gebeuren zijn veel kleiner dan voorheen. (Je lokale zwarte certificatenlijst krijgt eens per dag een update.)

Ten slotte is er nog een handmatig proces om te installeren wat en wanneer je maar wilt, ongeacht wat je hebt ingesteld. Deze programma's zullen wel de controle aan de zwarte malwarelijst ondergaan om het bekendste slechte spul te onderscheppen.

Een van de belangrijkste aspecten van Gatekeeper is de gebruikersinterface. Wanneer je een instelling hebt gekozen, word je niet geplaagd door waarschuwingen, tenzij je probeert om iets te installeren dat niet aan je instellingen voldoet. Als je probeert om software van een onbetrouwbare bron te installeren, geeft de waarschuwing geen mogelijkheid om door te klikken en het toch te installeren. Klikken zonder een waarschuwing te lezen (of te begrijpen) is een ernstige ontwerpfout in beveiliging, dus het uitschakelen van die optie verhoogt de efficiëntie en waarde van Gatekeeper enorm.

Als je een programma toch wilt installeren, moet je erop Control-klikken en het handmatig mogelijk maken in een contextueel menu. (Apple waarschuwde me dat mijn testsysteem een andere manier van werken heeft dan de officiële versie van de voorbeschouwing, dus ik kan je het precieze proces niet laten zien.)

Velen van ons namen aan dat Apple ooit de mogelijkheid zou bieden om alleen installatie van Mac App Store-programma's toe te laten om de beveiliging van doorsneegebruikers te verbeteren. Wanneer ik erover sprak met de pers en beveiligingsdeskundigen, zei ik dat ik er zelfs naar uitzag, vooral voor vrienden en familie die zelden ingewikkelde software draaien. Maar zo'n vereiste zou ontwikkelaars benadelen wier software gewoonweg niet aan de sandboxing-eisen van Mac App Store kan voldoen, of die de Mac App Store niet willen gebruiken. De toevoegingen van de ontwikkelaars-ID-optie lost dat probleem direct op en geeft een mooie balans tussen flexibiliteit en controle.

Er zijn nog altijd gebieden waar Gatekeeper niet helpt. Het controleert programma's niet die op op cd's of dvd's, usb-schijven of andere fysieke media staan die aan de Mac hangen, het bekijkt alleen gedownloade programma's. Ook controleert Gatekeeper alleen complete, uitvoerbare programma's, dus het zal je niet beschermen tegen een kwaardaardig Flash-spelletje of Java-applet dat in je webbrowser draait (hoewel op nieuwe Macs deze beide standaard uit staan).

Waarom Gatekeeper van belang is -- Op dit moment komt het gevaar voor de Mac vooral van Trojaanse paarden. Zelfs bij de huidige versies van Windows (Windows Vista en Windows 7) zien we veel minder zelf-vermenigvuldigende virussen. Met dank aan de anti-misbruik strategie die gestart is in Windows en die nu ook standaard is Mac OS X, zijn de moderne besturingssystemen veel moeilijker te misbruiken dan een paar jaar geleden. Het gebeurt nog steeds, maar het vereist meer vaardigheden en het is daarom veel verleidelijker om nietsvermoedende gebruikers om de tuin te leiden.

Een jaar geleden schreef ik een artikel met de titel "Het beveiligingsverleden van Apple bepaalt de toekomst" (27 januari 2011) en daarin zei ik dat het grootste veiligheidsrisico gevormd wordt door de steeds verfijndere technieken die internetcriminelen gebruiken om ons te misleiden. De verkopers van besturingssystemen kunnen het uiteraard niet helpen dat wij bereid zijn om onze financiële gegevens aan criminelen over te dragen of aan nepsites, maar ze kunnen het wel ingewikkelder maken om de besturing van onze computers over te nemen.

Daar begint Gatekeeper. Ik twijfel er niet aan dat er ook weer mensen zullen zijn die Gatekeeper zullen kunnen omzeilen, of die ons er toe zullen verleiden om onbetrouwbare software te installeren. Maar Gatekeeper zal het wel een stuk lastiger maken om dat op grote schaal te doen. Gatekeeper beperkt de mogelijkheden van de aanvallers om zaken te automatiseren, verhoogt de kosten van de aanval en reduceert zo de economische voordelen (en geloof me, de belangrijkste reden dat internetcriminaliteit nog steeds bestaat is dat er geld mee verdiend kan worden). Het zal niet uitgeroeid worden, maar samen met de andere veiligheidsmogelijkheden van Mac OS X zal Gatekeeper de kans om slachtoffer te worden van een aanval flink reduceren.

Op een bepaald moment, misschien wel snel, zal iemand een crimineel programmaatje uploaden naar de Mac App Store, of dit met een vals Developer-ID op het internet verspreiden en de media zullen roepen dat dit het einde van de onschuld betekent.

Het zal er niet toe doen. Iedere aanval die de koppen haalt is een afgeweerde aanval. En achter de woede van de media zullen nog wat incidenten schuil gaan, maar het zal geen epidemie zijn.

TidBITS Volglijst: belangrijke software-updates, 20 februari 2012

Default Folder X 4.4.9 -- St. Clair Software heeft Default Folder X 4.4.9 uitgebracht. De belangrijkste verandering is de mogelijkheid om favoriete mappen toe te voegen met de hulp van een contextueel-menu in de Finder. Deze nieuwe versie van de verbetering voor Open en Bewaar-dialogen ondersteunt nu ook Automator onder Mac OS X 10.7 Lion en ondersteunt de nog te verschijnen versie van de Pro Import AE plug-in voor After Effects van Automatic Duck. De update lost ook een aantal problemen op, zoals een bug die ervoor zorgde dat programma's (zoals Sandvox) crashten bij het openen van URL‘s en een probleem waardoor Default Folder X favoriete mappen vergat op sommige netwerkschijven. ($ 34,95 nieuwe versie, $ 10 korting voor TidBITS members, gratis update, 10,6 MB, toelichting)

VLC 2.0 -- VideoLAN heeft VLC 2.0 uitgebracht (koosnaam Twoflower), een belangrijke update voor dit gratis, open-source programma voor het afspelen van verschillende video-bestandssoorten. Op het niveau van de gebruikersinterface is het programma volledig herzien en stapt het over op een interface met één enkel scherm. Onder de motorkap is het programma sneller geworden met multi-core processors, met MKV- en MOV-films, ondersteunt het meer codecs (zoals ProRes AVC/Intra) en passen ondertitels beter in het scherm. Er is ook ondersteuning voor Blu-ray, hoewel dit nog "experimenteel" wordt genoemd. Zie een lange lijst met mogelijkheden en ondersteunde formaten op de website van VideoLAN. (Gratis, 24 MB)

Bookle 1.0.4 -- Stairways Software heeft Bookle 1.0.4 uitgebracht. Deze EPUB-lezer voor de Mac is een samenwerking tussen Adam Engst van TidBITS en Peter Lewis van Stairways Software (zie "Even voorstellen: Bookle, een Epub-lezer voor Mac OS X", 6 februari 2012). Deze update lost een klein probleem op met het voor het eerst vertonen van sommige boeken, maakt vertoning van letters tot 160 punten mogelijk en ondersteunt (eigenlijk ongeldige) EPUB's met niet-gecodeerde spaties in referenties naar de inhoudsopgave. Deze versie toont nu default UTF-8 om problemen te omzeilen met het tonen van sommige tekens en voegt zogenaamde tooltips toe in de werkbalken, zodat er betere ondersteuning is voor VoiceOver. ($ 9,99 nieuwe versie in de Mac App Store, gratis update, 2,6 MB)

Airfoil 4.6.5 -- Rogue Amoeba heeft Airfoil 4.6.5 uitgebracht. Deze versie brengt nieuwe mogelijkheden maar er komen tegelijkertijd oude mogelijkheden terug. Zoals met andere recente updates van Rogue Amoeba wordt het programma geleverd met de nieuwste versie van het Instant On component (5.0), die in staat is om audio op te nemen van zg. "sandboxed"-programma's uit de Mac App Store. Verder kunnen Airfoil-speakers nu op afstand diverse bronnen bedienen, zoals Pandoras Box, Musicality, Muse en de Pandora-speler van Muse Controller. De update maakt het weer mogelijk dat video opgenomen wordt van Netflix in de modus voor volledig scherm en herstelt de compatibiliteit met Apple Remote en Keyspan-afstandsbedieningen in Mac OS X 10.7 Lion. Verder is er nu een mogelijkheid om opgenomen audio te configureren in de Audio/MIDI-configuratie en kun je de Apple Lossless encoder/decoder gebruiken voor hogere audiokwaliteit. ($ 25 nieuwe versie, gratis update, 9,8 MB, toelichting)

ExtraBITS, 20 februari 2012

Bij de interessante bits van deze week zit een blik op de nieuwe iTunes U, nog een Tech Night Owlpodcast voor Adam, de recentste idiote app-afwijzing van Apple, een video van het "Ouders in het tijdperk van mobiel internet"-panel van Macworld | iWorld, een humoristische kijk op de nadelen van e-boeken en de uitleg van Glenn over waarom het nieuwste veiligheidslek met betrekking tot onveilige sleutels niet zo zorgwekkend is voor lezers.

Het klaslokaal... met iTunes U -- Fraser Speirs duikt diep in iTunes U nu de dienst van het gratis aanbieden van iTunes Storelezingen is gepromoveerd tot een eigen iOSapp. Speirs geeft les op een privéschool in Schotland en is een Apple Distinguished Educator wiens agenda de laatste tijd vol zat met reizen en spreekbeurten over hoe hij een programma, waarbij alle leerlingen een iPad kregen, heeft opgezet.

Bookle, bugs van Apple en het papierloze kantoor bij de Tech Night Owl Live -- Adam is weer eens gast van Gene Steinberg bij Tech Night Owl Live om te praten over het uitkomen van Bookle, over de problemen die Apple heeft gehad met Security Update 2012-001 en Mac OS X 10.7.3 en over hoe de iPad eindelijk het tijdperk van het papierloze kantoor zou kunnen inluiden.

Air Dictate 2.0: nieuwste idiote afwijzing bij de App Store -- De geschiedenis tot zover: Avatron maakte de Air Dictate-app, gebruikmakend van de spraakdictering van de iPhone 4S, om met apps die op je Mac draaien spraak te dicteren. Nadat het in eerste instantie was goedgekeurd haalde Apple de 1.0 versie uit de App Store, met de vermelding dat Avatron van een niet openbare manier gebruik maakte om Siri aan te roepen, dus herzag Avatron Air Dictate 2.0 om die interfacebenadering uit te sluiten. Nu wijst Apple de app af wegens gebrek aan het voldoen aan de handelsmerkrichtlijnen van Apple, ondanks het feit dat de app nergens het woord "Siri" of het Siri-ikoontje gebruikt of iets anders dan de standaard iOS-interface voor het starten van het dicteren wanneer je de iPhone naar je oor brengt.

MacVoicesTV oudersgroep van Macworld | iWorld -- Tonya Engst praat over het opvoeden van kinderen in het tijdperk van het beeldscherm als deelneemster aan de "Ouders in het tijdperk van het mobiele internet"-groepsdiscussie van Macworld | iWorld 2012 onder leiding van Chuck Joiner van MacVoicesTV.

De onverwachte nadelen van e-boeken -- Met een flinke knipoog, duikt Cracked (ja, Cracked) in de valkuilen van de overgang van onze samenleving van het gedrukte boek naar e-boeken op onze iPads en Kindles, van het niet meer hebben van een extra steun voor je IKEA-bed tot de afnemende impact van boekverbrandingen.

Fout in webcertificaat niet gevaarlijk -- Twee onderzoeksgroepen maakten bekend dat onvoldoende keuze uit willekeurige priemgetallen, waarmee versleutelingen voor de certificaten voor SSL/TLS van website worden verkregen, betekent dat de privégedeelten van de sleutels verkregen kunnen worden. Gelukkig is het geen fout in een algoritme en het lijkt slechts een klein deel van sites te treffen. Lees de complete uitleg in het verslag van Glenn Fleishman bij Boing Boing.

Dit is TidBITS, een gratis wekelijkse technologie-nieuwsbrief met recent nieuws, bekwame analyse, en grondige besprekingen voor de Macintosh- en internet-gemeenschappen. Geef het gerust door aan je vrienden; beter nog, vraag of ze een abonnement willen nemen!

Niet-winstgevende en niet-commerciële publicaties en websites mogen artikelen overnemen of een link maken als de bron duidelijk en volledig vermeld wordt. Anderen gelieve ons te contacteren. We kunnen de precisie van de artikelen niet garanderen. Caveat lector. Publicatie-, product- en firmanamen kunnen gedeponeerde merken zijn van hun ondernemingen.