Mojave: désactiver ou contrôler le «[SOME_APP_NAME] veut accéder au contrôle [ANOTHER_APP_NAME (souvent Finder)]…»?

20

Une nouvelle fonctionnalité de sécurité dans Mojave s'articule autour d'un dialogue système qui vous invite à autoriser l'accès aux applications qui souhaitent contrôler d'autres applications, telles que Finder (je constate que cela se produit fréquemment avec certaines applications comme Epichrome):

image

Existe-t-il un moyen connu de désactiver cela ou d'autoriser certaines destinations (applications contrôlées) à toujours autoriser une telle activité?

Je crois que ce comportement a considérablement changé par rapport aux versions précédentes du système d'exploitation en ce qui concerne l'utilisation de l'onglet "Accessibilité" pour permettre simplement à une application d'apporter des modifications au système.

Voici le nouveau panel: image

ylluminate
la source
Serait-il possible de modifier directement les bases de données sqlite tcc (~ / Library / Application Support / com.apple.TCC / TCC.db et / Library / Application Support / com.apple.TCC / TCC.db, cette dernière étant disponible uniquement pour l'utilisateur root) afin d'accorder à une application des autorisations globales?
Wowfunhappy
Voilà une question intéressante. Je pense que cela mérite une question en soi. Si vous le postez, faites-le moi savoir que j'aimerais le suivre ou si vous ne le souhaitez pas, je pourrais le poster car il semble suffisamment différent pour le justifier @Wowfunhappy ...
ylluminate
1
Terminé. J'avais pensé à l'origine qu'ils seraient trop similaires, mais j'ai suivi vos conseils! (J'espère que cela ne vous dérange pas que j'ai réutilisé votre capture d'écran!) Apple.stackexchange.com/questions/339509/…
Wowfunhappy
1
Je n'ai pas le temps d'enquêter pleinement sur atm, mais je pense que la clé pour y parvenir réside dans /System/Library/Sandbox/TCC_Compatibility.bundle/Contents/Resources/AllowedApplicationsList.plist, qui contient une liste de logiciels qu'Apple permet d'envoyer Événements Apple sans invites. Protégé par SIP, bien sûr, vous devez donc le désactiver. Voir aussi: eclecticlight.co/2018/11/20/…
Wowfunhappy
@Wowfunhappy c'est extrêmement intéressant ... Merci d'avoir trouvé cela. Moi non plus, je n'ai pas le temps de creuser dans cette atmosphère, mais c'est extrêmement prometteur.
illuminez

Réponses:

9

Ajoutez l'application à "Accès complet au disque"

Dans Mojave, sous Security & Privacy, il y a un nouvel onglet appelé "Full Disk Access".

L'ajout de mes applications Applescript personnelles à cette liste (en plus de la liste d'accessibilité existante) a fait disparaître les invites.


Mise à jour 9/26: Après quelques jours d'utilisation supplémentaire, cela semble parfois fonctionner, mais pas de manière cohérente. 🙁

Wowfunhappy
la source
2
Vous devrez peut-être ajouter l'application Applescript à Sécurité et confidentialité - Accessibilité
Chris Yim
@ErickYim Nope, cela ne fonctionne pas de manière cohérente dans Mojave. :(
Wowfunhappy
Cette solution ne cesse de faire l'objet de votes positifs, et bien que j'apprécie beaucoup le représentant, pour être clair, la réponse ne fonctionne pas avec le type spécifique d'invite dans l'OP. Au début, cela semblait parfois empêcher certaines invites, mais cela aurait pu être l'effet placebo. Et en fait, à ce stade, je pense que c'était probablement l'effet placebo.
Wowfunhappy
2

Vous devez autoriser les programmes qui contrôleront l'accès à votre ordinateur via les préférences de sécurité. Accédez à Préférences système / sécurité et confidentialité / confidentialité - accessibilité et ajoutez Finder.app et "SOME_APP_NAME" à la liste des programmes autorisés à contrôler votre ordinateur.

entrez la description de l'image ici

wch1zpink
la source
Merci, malheureusement, je crois que ce comportement a considérablement changé maintenant, selon ma modification ci-dessus que vous verrez maintenant.
ylluminate
2
Avez-vous un compte développeur Apple? Si vous le faites, vous pouvez coder votre application AppleScript. Si votre application AppleScript est signée par du code, cela peut éliminer beaucoup de vos problèmes. i.imgur.com/oL3xZ2d.png Je code toutes mes applications AppleScript et tant que je n'ai pas de propriétés persistantes définies, le code signant mes scripts et applications contourne généralement les tracas du portier
wch1zpink
C'est une très bonne idée @ wch1zpink! Cela ne m'avait pas traversé l'esprit, merci.
ylluminate
Ce n'est pas clair à 100% dans la question - bien que ce panneau existe toujours sous Mojave, il n'a pas l'effet souhaité. Super, super, super ennuyeux! Ce sont des applications que j'ai écrites pour une utilisation sur mon propre ordinateur. Je ne peux pas payer pour un compte développeur juste pour eux!
Wowfunhappy
1
@ wch1zpink Je ne savais pas que les comptes gratuits pouvaient signer des applications mac d'une manière qui leur permettait de passer par Gatekeeper. Quoi qu'il en soit, cela ne s'applique apparemment pas dans cette situation, car dans Mojave, le dialogue apparaît toujours pour les applications signées.
Wowfunhappy
1

Dans le passé, nous avons utilisé la commande de terminal suivante pour donner à l'utilisateur la possibilité d '«autoriser les applications de n'importe où», ce qui a éliminé la nécessité d'ajouter des applications à l'accessibilité:

sudo spctl --master-disable

Cela a très bien fonctionné avec Sierra et High Sierra, mais ce nouvel onglet Automation de Mojave (version publique installée aujourd'hui) semble fonctionner différemment. Même avec le changement de terminal ci-dessus, nous sommes invités à autoriser toutes nos applications à contrôler le Finder et les événements système. Cependant, j'ai trouvé d'autres applications signées par code, comme Adobe Bridge, qui doivent également afficher ce même message. Je ne sais pas s'il y a un moyen de contourner cela.

J'espère que l'acceptation de chaque boîte de dialogue une fois empêchera le message de réapparaître avec les futures mises à jour d'application que nous enverrons. Je vais tester cela maintenant. Sinon, vous devrez tester la route signée développeur / code.

SMurphy
la source
1
Un downvote sans commentaire n'est pas aussi informatif qu'un downvote avec un commentaire. Je ne sais pas qui a donné un ⬇, mais la prochaine fois, laissez un commentaire. Le commentaire ne fonctionne-t-il pas? Est-ce obsolète? Ou quoi?
Dave Land du
Je suppose que quelqu'un a pensé que cela ressemblait à un grave danger pour la sécurité.
keithcurtis
1
Je suis celui qui a rétrogradé cela. Cela n'a rien à voir avec la question, qui concernait spécifiquement les nouvelles boîtes de dialogue Sandbox Apple Event qui sont à la fois sans rapport avec Gatekeeper et exclusives à Mojave.
Wowfunhappy
0

Nous avons le même problème, un utilisateur est invité à autoriser l'exécution de "BASH" et de "RC". Le problème est que nous ne sommes pas sûrs de l'origine des applications.

Après avoir fouillé dans le moniteur d'activité, j'ai trouvé ce qui les utilisait et leur ai permis d'exécuter les fenêtres pop-up qui ne se sont pas reproduites depuis.

Luke.Tan
la source