自己做的软件用快速提权还是让用户手动授权
我做了一个在 mac 平台上的工具,类似于系统工具箱,有些功能需要管理员权限。通常情况下,用户点击相应功能后,系统会弹出一个框,让用户输入密码给 root 权限,授权后软件执行对应操作。
例子:
但是这个过程对于用户更加繁琐,尤其是要手动输入密码,用户也可能忘了电脑密码导致授权失败。
在旧版本 macos 上存在漏洞,可以直接获取到管理员权限,不需要输入密码,想把这个功能加入到程序里,当用户点击后,直接提权并执行任务。而且存在漏洞的 macos 目前有很多人再用(近几年的版本)。提权过程中不会导致电脑崩溃,而且速度快,很丝滑。
所以我的想法是:在不支持漏洞的 macos 上使用传统授权(弹窗输密码),检测到支持漏洞的 macos 上使用快速提权,解决输密码的繁琐。
做好核心功能就好了,安全问题不用考虑用户体验
减少用户操作,提高用户体验。
个人不成熟建议,参考 PDD ,直接 root ,给自己做窝什么“QNMD 苹果,这里是中国”,什么“自古以来”,哪句好用用哪句
别瞎搞,利用漏洞总归不好听,收益太小了。你要是能利用漏洞很稳定搞手机通话录音,随意安装 app ,大家会比较高兴,只是免输入密码不值得
费力不讨好+1
把功能做好分类,能不用 root 的就不用 root ,然后需要 root 的单独放到“高级”菜单里,这些专业用户也不会因为输入密码而觉得烦琐
你的工具软件叫什么名字?对不在乎的人来说是个宣传,对在乎的人来说是个避雷1. 这个问题竟然能够被问出来,也难怪在这个开发者众多的论坛里微信输入法是最受欢迎的输入法2. 号称更安全的 macOS ,看起来也不是那么安全3. 对于漏洞的利用,一般正常人会把它称为 “攻击”你起了个 mac m3 max 的 ID 名,问了个这样的问题,我也不知道你是反串黑还是真心问如果是反串黑,那让我这个果黑都觉得叹为观止如果是真心问,那我只能说你还是别做开发者了
流氓软件就是这么诞生的,最好还是交给用户授权
你如果做的是开源软件,那这样做是可以的;反正源码已经放出来了,用户对此有意见可以让他去审核源码。如果不是,不要使用这种方法。
未经用户授权就提权会不会存在法律风险?
macOS 的安全只是用户在操作权限受限之下所获得的虚假安全感。实测下来安全性不能说没有,但是绝不可能强于 Windows 。
使用漏洞是不好的做法,而且漏洞很可能导致系统不稳定,比如让系统崩溃
真存在这种漏洞的话,苹果早就发补丁包了,是有一种方式授权一次后面就可以不用授权了,最新的系统虽然改了 API ,但是还是可以只授权一次。
一般提权也可以就输入一次密码的,漏洞来搞感觉复杂了?(请问一下是利用什么漏洞,纯好奇
别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问
开源更不能
不能 touchid 提权吗?
利用漏洞..亏你想得出
苹果有 API ,叫帮助程序,只授权一次就行
OP 有点吓人了
出发点是好的,但是我建议你别出发。
真实了。只有专业人士才会注意安全问题,对于用户来说步骤越少越好
两种都做,给用户选择。
看来 PDD 就是 OP 这种开发者开发出来的
告诉用户就行了。
令人惊奇的脑回路,苹果要能让你正常上架那就邪门了,麻烦说出名字,避雷。
2009年11月11日,光棍节,Google发布了Go语言,马上,就有网友在http://code.google.com/p/go/上找到了一个Go语言包文件操作源码/src/…
其实有时候没做什么耗性能的操作,但突然风扇就狂转了。 比如今天我仅仅是 chrome 浏览正常的网页,就听见风扇呼呼响了。要知道我这可是配置还可以的游戏本,又没有运行特别消耗显…
之前主要是在中厂用 java 做业务 目前进了虾皮用 go 做业务。 这一对比,感觉搞不懂 是脑抽了用 go 了吗? 接手的前几天就被无边无际的 json 属性文件恶心到了 …