15.09.2016 11:15
eps 64 26400 Источник

Если у вас установлен Dropbox, загляните в Системные настройки > Защита и безопасность > Конфиденциальность.




TL;DR: Dropbox


  • Показывает фальшивое системное окно macOS, чтобы получить пароль пользователя
  • Добавляет себя в привилегированные процессы без обязательного для всех разрешения
  • Ставит в систему backdoor, чтобы восстановить разрешения, если их явно отберут
  • Эти разрешения толком не использует <irony/>

Заметили что-нибудь необычное на этой картинке? Задумывались когда-нибудь, как оно здесь очутилось? Подумали — может вы добавили его сами, когда Dropbox попросил разрешения управлять компьютером?


Нет, ваша память вас не подводит. Вы не помните, как разрешали это, потому что Dropbox никогда не показывал вам диалог, спрашивающий разрешения — вот такой:



Это единственная официально разрешённая возможность попасть в этот список — но Dropbox никогда не спрашивал у вас этого разрешения. Позже я расскажу, почему это важно, но сейчас проведите удивительный эксперимент: попробуйте удалить его.


«Легко!» — скажете вы. Способ всем известен: нажать «Замок», выделить строчку с Dropbox, удалить его кнопкой «—». И вот, смотрите: его больше нет, верно?


Неверно. У него есть дурная привычка каждый раз возвращаться. Попробуйте заново зайти в систему (или перезапустить программу), и Dropbox снова добавит себя в список разрешённых приложений и галочка напротив него будет установлена. Это настоящее волшебство!


Если же вам не хочется пробовать, посмотрите, как я пробую отключить эту возможность у Dropbox:



Тут возникает два вопроса:


  • Почему это важно?
  • Можно ли как-то снять эту галочку, но продолжить пользоваться Dropbox?

Почему это важно?


Это важно как минимум по трём причинам:


Первая, и самая главная: потому что Dropbox даже не просил разрешения управлять вашим компьютером. «Управлять компьютером» в macOS значит нажимать на кнопки, пункты меню, запускать программы, удалять файлы… Это угроза безопасности, и поэтому программы должны требовать ввода пароля и явного разрешения на попадание в тот список.


И «объяснение» от Dropbox не объясняет, почему они делают этот трюк (англ.)

Interlude: Contrary to Dropbox’s completely spurious “explanation”/obfuscation here, Accessibility has nothing at all to do with granting permissions to files. Accessibility frameworks were first introduced in Mac OS X 10.2 and expanded in 10.3 to allow control of user interface items via System Events and the Processes suite. As anyone can readily see, what that allows is GUI control just as if the program or script was clicking buttons and menu items.


Но, например, вы доверяете Dropbox, и считаете, что они — большая компания, которая не хочет огорчать своих пользователей и не будет делать вещей, не достойных своего честного имени?


Если вы рассуждаете так, вы допускаете две ошибки:


  • Чем больше компания, тем меньше она страдает от расстроенных пользователей. Всё просто: если 1000 человек прочитают эту статью и перестанет пользоваться сервисом (на Хабре их набралось 200 человек — прим. пер.), по большому счёту, ничего не изменится. Глупо считать, что большая компания не пошлёт вас к чёрту от того, что боится потерять всех клиентов и бизнес. Ещё глупее — если вспомнить, что вы у них на бесплатном тарифе. (Вот(англ.) подробный разбор, почему большие компании редко задумываются об этичности своих действий).


  • Что важнее, у вас уже есть серьёзное доказательство того, что Dropbox-у нельзя доверять: он только что получил контроль над системой в обход защиты macOS, и не спрашивая вас. Кроме того, как вы увидели в том удивительном эксперименте, даже когда вы явно отнимаете у него контроль, он игнорирует ваше решение и восстанавливает его. Как он это делает — мы скоро узнаем. (Есть и другие серьёзные причины не верить Dropbox — например, эта — прим. пер.)

Есть и вторая проблема с этим трюком Dropbox-а.


Представим на минуту, что разработчики не желают зла и не хотят сделать с вами ничего плохого. Но, тем не менее, возможность этого у процесса Dropbox есть. Значит, злоумышленник может найти ошибку в коде Dropbox и использовать её, чтобы захватить контроль над вашим компьютером. Пока это лишь потенциальная угроза; но, как и все угрозы, она станет реальной, как только какой-нибудь злоумышленник использует её.


Вся суть системы безопасности ОС — и главная задача системы разрешений macOS — в том, что программа не должна иметь больше полномочий, чем ей требуется для выполнения задачи. Dropbox же либо хранит пароль администратора в явном виде (это очень скверно), либо запускает свой процесс с привилегиями суперпользователя (не менее скверно) — иначе ему пришлось бы спрашивать пароль каждый раз, когда вы удаляете его из разрешённых.


По-моему, эта мера не только скрытная (так как я не давал явного разрешения на такое), но ещё и чрезмерная.


И это третья проблема: для нормальной работы Dropbox-у не нужны ни права суперпользователя, ни доступ к Accesibility API. (Как предположили в комментариях к оригинальной статье(англ.), Dropbox таким образом хочет знать, когда вы делаете снимок экрана; но комментаторы Хабра подтверждают, что публикация снимков работает — видимо, цивилизованным способом, через FSEvents — прим. пер.).


Я провёл длительный тест, чтобы убедиться в его работоспособности, используя его на 3 Маках и Айфоне в течение 10 месяцев, и не обнаружил никаких проблем. Я не мог проверить все возможности службы — я использовал Dropbox обычным образом на обычной OS X. Повторю: не было никаких проблем, и, даже если бы они возникли, тогда бы Dropbox и должен был спросить дополнительные разрешения — как все остальные программы — и уважать моё решение, если я это разрешение отниму.


Кроме того, я сообщил о своих находках службе Apple Product Security, и ждал, смогут ли они заставить разработчиков изменить поведение программы (пока безрезультатно)


Тогда у нас остался только один вопрос:


Как всё это отключить, но сохранить Dropbox.app?


(В комментариях сообщают, что удаление Dropbox обычным методом не удаляет backdoor — прим. пер.)


  • Остановите Dropbox (Значок Dropbox в строке меню > контекстное меню > «Шестерёнка» > Закрыть Dropbox)
  • Удалите каталог /Library/DropboxHelperTools
  • Удалите Dropbox из Защита и безопасность > Универсальный доступ
  • Завершите сеанс и заново войдите в систему.
  • Запустите Dropbox, и увидите это окно:


Как мы уже выяснили, это диалоговое окно врёт (всё ещё верите большой серьёзной фирме?), когда говорит, что Dropbox не будет правильно функционировать; но главный обман в том, что это не то окно, которое должна показывать программа, желающая доступ к Accessibility API. На самом деле, даже с паролем пользователя она не должна попадать в разрешённые в Универсальный доступ. Похоже, ребятам из Dropbox платят зарплату за придумывание хаков для macOS.


И тут небольшая загвоздка: если вы не дадите программе свой пароль, она не попадёт в Универсальный доступ, и будет работать без него — так же хорошо, как раньше. Но при каждом своём запуске она будет снова и снова требовать ваш пароль.


Теперь вам нужно будет смотреть, кто просит пароль, и не давать его какой попало программе. Конечно, вы и без моих советов не должны так делать — но это диалоговое окно выглядит почти как настоящее системное окно самой macOS — и, возможно, уже приучило вас писать в него всё, что просят.


Этот запрос каждый раз неприятен, но не так неприятен, как программа, хакнувшая ваш Мак.


Дополнения


  • Вторая статья: Подробный разбор технологии, которую использует Dropbox для внедрения в систему: Discovering How Dropbox Hack’s Your Mac(англ.)
  • Ответ-извинение от разработчиков в комментариях(англ.) ко второй статье. Сводится к фразам: «Ну вот, вы это заметили, теперь придётся убрать» и «Мы не злодеи, у нас просто плохой код». Ещё уверяют, что окно настоящее системное, не подделка.
Что будете делать?

Проголосовало 1276 человек. Воздержалось 212 человек.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.

Поделиться с друзьями
-->

Комментарии (64)


  1. vserg
    15.09.2016 14:42
    #9809296
    +11

    Страшно жить


  1. nickneo
    15.09.2016 15:06
    #9809334
    +2

    Интересно, а на других системах оно такой же фигней занимается? Если да, то хороший повод перейти на какой нить owncloud или что-то подобное…


    1. dartraiden
      15.09.2016 15:13
      #9809346
      +7

      https://habrahabr.ru/company/rootwelt/blog/301826/


      1. TimsTims
        16.09.2016 01:32
        #9810444

        Самая полезная ссылка, отвечающая на все вопросы из статьи. И всего 1 плюс…


        1. eps
          16.09.2016 01:39
          #9810446

          Дата публикации: 26 мая 2016.

          Автор статьи говорит, что заметил это поведение 10 месяцев назад — за пол-года до Dropbox Infinite.


          А самая полезная ссылка — в самом низу комментариев. Там они, собственно, извиняются


  1. savostin
    15.09.2016 15:07
    #9809336
    +14

    Так вот почему нет официального клиента в App Store.


  1. dmx102
    15.09.2016 15:12
    #9809344
    +1

    Если сначала дать ей пароль, потом сменить пароль пользователя системы и убрать галочку. Будет исправно работать?
    P.S.: Dropbox'ом не пользуюсь.


    1. zagayevskiy
      15.09.2016 16:04
      #9809464
      +2

      Работает и ставит ту галочку. С момента установки как минимум трижды менял пароль. Жесть.


    1. ulltor
      15.09.2016 20:48
      #9810086
      +4

      Смена пароля не поможет, т. к. Dropbox не запоминает пароль пользователя.


      Он распаковывают в папку /Library/DropboxHelperTools/ набор мелких утилит (которые выполняют операции по добавлению Dropbox'а в список Accessibility и др.) и устанавливают им бит suid. С этого момента эти утилиты периодически запускаются Dropbox'ом и отрабатывают с правами суперпользователя.


      Смена пароля не снимет suid-бит, и, соответственно, не отберет у Dropbox'а права.


      Примеры файлов с suid-битами
      ulltor@orion /Library/DropboxHelperTools/Dropbox_u501 $ ls -l
total 528
drwxr-xr-x  4 root  wheel     136 Sep 19  2014 DropboxBundle.bundle
-r-s--x--x  1 root  wheel  139220 Sep 15 16:50 FinderLoadBundle
-r-s--x--x  1 root  wheel    9632 Sep 15 16:50 dbaccessperm
-r-s--x--x  1 root  wheel  116668 Sep 15 16:50 dbfseventsd
drwxr-xr-x  4 root  wheel     136 Sep 15 16:50 mach_inject_bundle_stub.bundle


      1. Saffron
        15.09.2016 21:16
        #9810142

        А что аппловская система установки позволяет любым приложениям ставить себе suid бит?


        1. savostin
          15.09.2016 21:21
          #9810152
          +2

          Запущенным от рута? Отчего бы и нет.


  1. dartraiden
    15.09.2016 15:18
    #9809358

    В демонстрационном видео показали, что десктопный клиент Dropbox предоставляет прямой доступ к облачному хранилищу файлов на уровне файловой системы, без необходимости запускать браузер. Локальный диск «увеличивается» на размер облачного хранилища, файлы доступны напрямую. Облачное хранилище может быть больше по размеру, чем локальный диск.

    Dropbox Infinite интегрируется на уровне ядра.

    https://habrahabr.ru/company/rootwelt/blog/301826/


    1. eps
      15.09.2016 15:23
      #9809362
      +1

      Дата публикации: 26 мая 2016.

      Автор статьи говорит, что обратил внимание на это поведение 10 месяцев назад — за пол-года до Dropbox Infinite


    1. psman
      15.09.2016 16:39
      #9809538

      Для монтирования удаленного диска в папку не нужно столько прав.


      1. dartraiden
        15.09.2016 22:35
        #9810262

        Скорее всего, там не просто монтирование в папку. Потому что в Windows для этой цели ими аж драйвер применяется (в папке с установленной программой лежит).


  1. maxru
    15.09.2016 15:35
    #9809382
    +5

    Снёс (давно хотел, но руки не доходили).

    Кстати, деинсталлятора у dropbox нет, а после ручного удаления (в корзину) папка /Library/DropboxHelperTools остаётся (по очевидным причинам). Её тоже снёс.


  1. dom1n1k
    15.09.2016 15:37
    #9809386
    +10

    Никогда не пользовался дропбоксом, потому что не нравится сама модель его функционирования.

    И что касается «они — большая компания [...] вы допускаете две ошибки»
    Хочу добавить третью — именно большие компании более всего жаждут выкачать из вас персональных данных, потому что у них есть достаточно ресурсов, чтобы их обработать и как-то монетизировать.
    Если я маленький частный сайт, то даже если я соберу каким-то образом со своих клиентов персональные данные, то не очень-то и понятно, как мне их использовать (при условии, что явный и заведомый криминал отбрасываем)? Продать кому-то статистику я не могу, потому что жалкие несколько тысяч клиентов мало кому интересны.
    Или, например, я могу через приложение следить за всеми перемещениями своих пользователей. И дальше что? Чтобы всё это хранить и обрабатывать, нужны куча ресурсов, сервера, трудоемкая разработка анализирующего софта и так далее.
    А у больших компаний это есть.


  1. silvansky
    15.09.2016 15:39
    #9809394
    +1

    После удаления DropboxHelperTools не работает сохраниеие скриншотов в облако, видимо, действительно именно для этой фичи всё и замутили.


    1. silvansky
      15.09.2016 15:40
      #9809396
      +3

      Дополнительные меры защиты:


      sudo touch /Library/DropboxHelperTools
sudo chflags schg /Library/DropboxHelperTools
sudo chflags hidden /Library/DropboxHelperTools


    1. sashamorozov
      15.09.2016 16:00
      #9809446

      Только что по инструкции удалил DropboxHelperTools.

      После запуска Dropbox ожидаемо попросил больше прав, я отказался.
      Сделал скриншот — он залился в облако и скопировал мне ссылку в буфер обмена.


      1. silvansky
        15.09.2016 16:02
        #9809454

        Кстати да, теперь заработало вдруг и у меня. Тогда совсем непонятна цель изощрений. На всякий случай пароль учётки тоже сменил. =)


        1. eps
          15.09.2016 17:00
          #9809586
          +1

          Во второй статье приводится ответ Dropbox на вопрос на похожую тему:


          we need to request all the permissions we need or even may need in the future.

          (выделение моё).


          То есть — возможно — когда-то это стало не нужно, но код оставили и просят пароль просто на будущее.


          Ниже пишут, что права могут быть нужны в некоторых случаях конфликтов (конечно, всё остальное это не оправдывает)


  1. zeronice
    15.09.2016 15:51
    #9809414
    -1

    TeamViewer на Windows (клиент, та часть из которой управляют) поступает так же грязно, запрашивая эскалацию прав, хотя прекрасно запускается и выполняет свои функции и при отказе. Ну и да, при положительном ответе на запрос внедряет свою службу.


    1. Taciturn
      15.09.2016 16:09
      #9809474
      +1

      Не очень прекрасно — без прав невозможно запускать программы требующие этих самых прав.


      1. osj
        15.09.2016 16:25
        #9809504

        А может ли PS без этого доступа работать? Можно ли ему доверять?


        1. eps
          15.09.2016 16:35
          #9809520
          +4

          Ему без такой привилегии никуда: он должен перехватывать нажатия клавиш, нажимать клавиши за вас, переключать раскладку.


          Совершенно ожидаемо просит разрешить это — но, надеюсь, явно просит, без пароля и установки backdoor-а


          1. osj
            15.09.2016 16:36
            #9809528

            Да, просит без пароля, данным окошком. Спасибо за уточнение механизма.


        1. m1ld
          15.09.2016 23:39
          #9810344

          Не знаю как у Пунто, но у Karabiner например четко в документации написано для чего это может потребоваться и если не нужно, то можно не включать https://pqrs.org/osx/karabiner/document.html#axnotifier.


      1. zeronice
        15.09.2016 18:28
        #9809780

        я про клиент — ему достаточно прав для передачи команд управления серверной стороне


    1. melt
      15.09.2016 18:09
      #9809728

      Всегда считал, что TeamViewer нужны админские права для управления службой (которая постоянно в фоне висит и обновляет программу до актуальной версии). По-моему, так и должно быть, разве нет?


      1. eps
        15.09.2016 18:15
        #9809756

        Определённо, нет:


        Установкой и обновлением программ должна заниматься единая системная служба от разработчиков ОС (не обязательно от них, но крайне желательно. Главное, чтобы она была единой).
        Обновления всех программ должны идти по единому сценарию, и, возможно, из единого репозитория. Так было устроено в Linux примерно всегда, и так устроены почти все современные ОС.


        1. melt
          15.09.2016 18:40
          #9809812

          Разумеется, Вы правы, так и должно быть в идеальном мире. Но я имел ввиду, что это нормально для Windows на данный момент. Как это осуществить иначе для программы (той же TeamViewer) не из магазина?


          1. eps
            15.09.2016 18:52
            #9809836

            Тоже не обязательно.


            В Макоси далеко не весь софт в магазине (особенно туда не пускают opensource). Остальные программы (большинство) при каждом запуске скачивают appcast, загружают обновление (если есть), и только после этого просят эскалацию прав для установки (если она нужна).


            У автора статьи главное правило ИБ было приведено только наполовину. Полностью оно звучит так:


            Программа должна иметь только те полномочия, которые ей требуются для выполнения задачи, и только на то время, на которое они нужны.

            Конечно, для ожидания в фоне и загрузки appcast-ов каждые сутки не нужны права суперпользователя. Они нужны только для установки.


        1. khanid
          16.09.2016 14:10
          #9811540
          +1

          Вы винду выкинули из современных ОС.
          Тут такого механизма (достаточно развитого), по сути, нет.
          Отсюда, например, mozilla maintenance service болтается в службах.
          Если ставить её с админскими правами.
          Решает проблему обновления фаерфокса глобально по операционке из под учётки без админских прав.
          Увы, тут само построение системы такое.


          1. eps
            16.09.2016 16:44
            #9811932

            Вы винду выкинули из современных ОС.
            Тут такого механизма (достаточно развитого), по сути, нет.

            Есть Windows Store, NuGet / chocolatey, и система развёртывания софта через Active Directory — что ещё для счастья надо?


            Увы, тут само построение системы такое.

            А как Google Chrome справляется? Он знаменит был тем, что ставился без доп. привилегий, из-под простого пользователя, даже когда прав нет вообще. И, наверняка, без всяких прав и сервисов обновляется


            1. sumanai
              16.09.2016 21:53
              #9812378

              Есть Windows Store

              Нету.
              А как Google Chrome справляется?

              Устанавливается в каталог пользователя. Тот ещё костыль, слабо совместимый с SRP и логикой вообще.


    1. AllexIn
      15.09.2016 18:13
      #9809750
      +1

      Запрашивать эскалацию прав — это не грязно. Даже если они не нужны.
      Это плохое решение, но не более того(тем более TV права таки нужны).
      Грязно — это захватывать права тайком от пользователя. Нужны они или не нужны — тут вообще вторично.


  1. nwalker
    15.09.2016 15:54
    #9809428

    У меня есть смутные подозрения, что это все вызвано некими особенностями OSX, с которыми столкнулись разработчики клиента Dropbox.
    Вообще не вижу других причин тратить столько сил.


    1. iMisanthrope
      15.09.2016 16:35
      #9809522
      +3

      Думаю байка, но был слух, что Джобс желал купить Dropbox ради того, чтоб узнать, как они добавляют значок синхронизации на папки в Finder, ну зеленая галка/синий кружок.
      А по теме – даже если это необходимо для корректной работы, неплохо бы уведомлять об этом стандартным образом, с пояснение зачем.
      Лично для меня это последний гвоздь в крышку Dropbox'а, пошел удалять. Кому интересно, вычистить надо:

      помимо самой программы
      ~/.dropbox
      ~/Pictures/.dropbox
      /Library/DropboxHelperTools
      ~/Library/Caches/com.getdropbox.ropbox
      ~/Library/Containers/com.getdropbox.dropbox.garcon
      ~/Library/Group Containers/com.getdropbox.dropbox.garcon
      ~/Library/Logs/ropbox_debug.log
      ~/Library/Preferences/com.getdropbox.dropbox.plist
      ~/Library/Saved Application State/com.getdropbox.DropboxMetaInstaller.savedState


      1. silvansky
        15.09.2016 17:06
        #9809610

        чтоб узнать, как они добавляют значок синхронизации на папки в Finder, ну зеленая галка/синий кружок.

        Потом подебажить и пофиксить все тормоза с ними.


  1. TimsTims
    15.09.2016 16:14
    #9809478
    +1

    > это диалоговое окно врёт, когда говорит, что Dropbox не будет правильно функционировать
    Здесь автор допускает логическую ошибку в словах, ведь Dropbox ничего не говорит, что не дав пароль, программа не будет функционировать. Значит, окно не «врёт».
    Далее, разбирая непосредственно слова из окна: «чтобы правильно функционировала» — это определение весьма расплавчато. Для нас правильное функционирование означает обычные базовые функции, а для них(dropbox) это может означать вовсе другое. В данном конкретном случае — не дав пароль, программа каждый раз запрашивает заново пароль. Это ли не «неправильное функционирование»? Вполне попадает под это, так-что окно в целом, не врёт.

    Другое дело, конечно, что ни в статье, ни сама компания Dropbox(что очень печально с их стороны) не раскрывают, зачем ей всё-же нужен доступ к таким функциям.
    Где-то, кажется, была статья на хабре, кажется от mail.ru с их облаком, или я.диск — так вот, там была тема, что на макось им не хватает нормальных доступов для стабильной работы, и чтобы не перегружать систему, они устанавливаются глубже в систему, чтобы отслеживать изменения на жестком диске в обход ОС. Сорри, статью найти не могу, но была в этом году.

    upd: нашел: https://habrahabr.ru/company/mailru/blog/307412/ «Особенности файловых систем, с которыми мы столкнулись при разработке механизма синхронизации Облака Mail.Ru»
    > Дело в том, что под macOS нельзя с уверенностью сказать, какое именно событие пришло от файловой системы. Поэтому приходится использовать дополнительные механизмы проверки событий для понимания, что именно произошло с файлом или директорией.


  1. catharsis
    15.09.2016 16:19
    #9809492
    +11


    раньше на странице вакансий у них была эта картинка


    1. Athari
      16.09.2016 05:47
      #9810536
      +3

      Хм...


      Из беты World of Warcraft:



      Это как-то связано?


  1. MacIn
    15.09.2016 16:37
    #9809534

    Как мы уже выяснили, это диалоговое окно врёт (всё ещё верите большой серьёзной фирме?), когда говорит, что Dropbox не будет правильно функционировать;

    Как это определяется? На своем форуме (по ссылке в статье) они говорят, что это нужно для спорных ситуаций с расшареными файлами, когда прав может не хватать. Вы пробовали именно эти сценарии?

    но главный обман в том, что это не то окно, которое должна показывать программа, желающая доступ к Accessibility API.

    Окошко на скриншоте выше этого текста вроде про accessibility и не говорит, просто спрашивает пароль. То, что он на основании него добавился в ac. список — частность.


    1. eps
      15.09.2016 16:55
      #9809566

      Вы пробовали именно эти сценарии?

      Если вам хочется это узнать, стоит спросить в комментариях статьи-оригинала.


      Я (переводчик) замечал эту галочку раньше, снимал, и не мог через месяц понять, как она возвращается. Теперь узнал. Поставил альтернативный клиент, и в нём всё работает без доп. привилегий и без потерь данных.


      То, что он на основании него добавился в ac. список — частность.

      Похоже, существенная частность: продолжение статьи посвящено целиком тому, как Dropbox смог туда попасть. Им нужно было решить парадокс: даже root не может попасть в список Accesibility — для этого нужно щёлкнуть мышкой по нужным окнам, а, чтобы щёлкать, нужен Accessibility API


      1. arturbikbaev
        15.09.2016 17:24
        #9809638

        А какой именно альтернативный клиент установили?


        1. eps
          15.09.2016 18:32
          #9809790

          ODrive (они и раньше хвастались, что грязными трюками не занимаются), но не рекомендую его сильно. В меру бесплатный, но тормозит, и не хватает функций по мелочам.


          Тут важнее психологический момент: без Dropbox вполне можно жить, и другие системы (хуже, но) не сильно хуже. И — он поддерживает несколько сервисов; можно, не меняя программу-клиент, свалить на Яндекс-диск (например), или купить себе Amazon S3, или уже посмотреть на opensource (Syncthing, Owncloud)


          Загляните в App Store (там есть несколько систем / клинетов, и там точно никаких грязных трюков), посмотрите на Alternativeto.net, или на штатный iCloud — он не так плох, как все привыкли думать (смайлик), особенно в macOS 10.12


          1. Goodkat
            15.09.2016 18:50
            #9809832
            +1

            ODrive — они же всё делают через собственный сервер, т.е. добавляется ещё одно слабое звено.


            1. eps
              15.09.2016 18:53
              #9809840

              Соединения со службами, как утверждают, напрямую.


              Но, согласен, это штука, с которой тоже надо поскорее валить на что-нибудь своё.


              1. Goodkat
                15.09.2016 22:39
                #9810264
                +1

                EncFS + FUSE, и можно безопасно хранить свои файлы даже и в чужих облаках.


          1. iMisanthrope
            15.09.2016 20:20
            #9810020
            +1

            Для больших объемов я рекомендовал бы Syncthing. У меня с его помощью между тремя машинами синхронизируется >100 000 фотографий объемом ~1.5Тб, в целом без нареканий, за год-полтора ни разу не было критичной ситуации: были конфликты синхронизации, но они разруливаются минут за 10, но чтоб что-то потерялось или испортилось – ни разу. Минус такого решения – сложно делиться с кем-то, у кого Syncthing не установлен.
            ownCloud пробовал, но давно, тогда был довольно тормозной, сейчас мб ситуация улучшилась.
            А iCloud действительно неплох, делиться опять же нельзя, но свои документы и мелкие файлы держать – в самый раз. Плюс у него приемлемые тарифы и какая-никакая версионность и бэкап из коробки.


  1. Saffron
    15.09.2016 18:11
    #9809740
    +1

    Вот почему клиенты не нужны. Только доступ по webdavfs


    1. Goodkat
      15.09.2016 22:28
      #9810256

      А есть удобный webdav-клиент для OS X?
      OS X тянет файлы с webdav-сервера напрямую, что очень медленно и неудобно.
      Хотелось бы полную локальную копию всех файлов иметь, как это сделано в Dropbox.


      1. Saffron
        15.09.2016 23:25
        #9810328

        > А есть удобный webdav-клиент для OS X?

        Если нет user space webdavfs в макоси — значит его нужно сделать.

        > Хотелось бы полную локальную копию всех файлов иметь, как это сделано в Dropbox.

        rsync вам в помощь.


        1. daggert
          16.09.2016 11:20
          #9811024

          >rsync вам в помощь.
          Это вообще другое. rsync не пробьет NAT каскады, в отличии от dropbox'а и иже с ним.


          1. Saffron
            16.09.2016 11:29
            #9811048

            У вас webdav примонитрован локально. Какие ещё каскады?


            1. daggert
              16.09.2016 11:32
              #9811062

              Не так понял ваш комментарий. Так нормально, да.


  1. berkut7
    15.09.2016 23:04
    #9810292
    -1

    Я сам пользуюсь маком уже много лет и каждая программа на нем ориентирована в первую очередь на удобство пользователя.
    Человек, который устанавливает программу не из appStore должен дважды подумать — почему ее там нет.
    Хочешь безопасности и паранойи — ставь arch и запускай все программы в контейнере, закриптовав при этом все дериктории и разрешив файрволу только 2 порта на вход — 80 и 443, а остальные запретить. Ну и конечно же VPN по отпечатку пальца.


  1. kolabaister
    15.09.2016 23:11
    #9810304

    Странно, но у меня Dropbox работает нормально, но в списке универсального доступа не присутствует.
    Да, при установке спросил пароль, мне и в голову не пришло, что это не системный запрос. Синхронизация работает, в боковом меню файндера присутствует, скриншоты снимаются.
    Единственное отличие, которое вижу — версия ОС — у меня 10,12 sierra, и ставил ее с нуля.


  1. isotoxin
    15.09.2016 23:31
    #9810334
    +1

    Перестал пользоваться Dropbox'ом, как только появился BTSync. Потом BTSync оскотинился и я перелез на Syncthing. Ныне сижу на нем и горя не знаю. Ну да, облака, все дела… Но у меня домашний сервер крутится 24/7 и никакие облака мне особо и не нужны.


  1. billybons2006
    15.09.2016 23:39
    #9810346
    +1

    Да… Стыдно признаться, но после майских указовстатьи подумал, что Dropbox — крупная контора, не будут же они заниматься ерундой. Занимаются и судя по всему, заниматься будут. Если не дырявая винда, а хваленый Apple (Apple, Карл!) такое позволяет с собой сделать… С мая работали параллельно Dropbox и Owncloud, теперь только Owncloud. Надеюсь, хоть этот, хоть годик-другой, но поработает без сюрпризов. Так пойдет, глядишь, все начнут себе малинки ставить и вручную команды вводить в сеансах ftp, как когда-то модемы укрощали…


  1. IGHOR
    16.09.2016 00:08
    #9810374

    В вашей статье нет ссылок на первоисточники.
    Вот например этот твит был сделан 6 дней назад.
    Показывает как именно Dropbox «включает» универсальный доступ для себя.

    Команда покажет запрос к базе который использует Dropbox для манипуляций
    sudo strings /Library/DropboxHelperTools/Dropbox_u501/dbaccessperm | grep INSERT

    А тут 5 дней назад написали объяснение как отключить только «фичу» авто включения универсального доступа, и оставить сервис мониторинга файловой системы рабочим.
    Remove executable and suid bits and lock dbaccessperm file.

    cd /Library/DropboxHelperTools/Dropbox_u502
    sudo chmod -sx dbaccessperm
    sudo chflags uchg dbaccessperm

    Remove (just uncheck) accessibility permission for Dropbox via System Settings.

    А тут ответы от Dropbox/


    1. eps
      16.09.2016 00:25
      #9810402
      +1

      Это статья-перевод (плашка сверху и ссылка на первоисточник снизу).
      Первоисточник написан в конце июля.


      А вот ответ Dropbox — это просто сокровище! Спасибо


      1. IGHOR
        16.09.2016 00:38
        #9810412

        Спасибо, не заметил плашку.