Fragen zu macOS 10.12 Sierra

[MacFlieger]

Ich möchte den Tresor in dem die Passwörter liegen nur bei Bedarf öffnen. Ic hdachte, das ist exakt die Aufgabe eines Passwortmanagers??

Und genau das ist doch das Verhalten bei Dir.

Nein. Auf eine gewünschte Abfrage kommen 50 unerwünschte.   Unerwünscht sind z.B. alle Abfrogen bei denen mir danach kein Passwort angezeigt wird.

Ja, das stimmt. Das ist nicht das von Dir gewünschte Verhalten. Das Problem ist, dass die Aussage "Ich möchte den Tresor in dem die Passwörter liegen nur bei Bedarf öffnen." nicht wirklich das ist, was Du mit dem Schlüsselbund erreichen willst, bzw. wie der Schlüsselbund funktioniert.

Unter dem Reiter "Zugriff" kannst Du definieren, wie darauf zugegriffen werden kann und welches Programm zugriffsberechtig

t ist.

Ok, verstanden. D. h. ich muss jetzt alle 500 Schlüssel einzeln durchforsten?

Jein, es ist eher die Frage, bei welchen Einträgen möchtest Du, dass das Programm, welches diesen Eintrag angelegt hat, nicht jederzeit ungefragt darauf zugreifen kann. Nur bei diesen musst Du etwas anderes einstellen.

Schön. Die Frage ist doch, ob sie könnten? Ich gebe also mir Unbekannten einen Generallschlüssel für alle Schließfacher in die Hand, vertraue aber darauf, dass sie nur ihr Schließfach aufmachen?

Nein, das hast Du falsch verstanden. Du gibst keinem(!) Programm den Generalschlüssel. Solange es keine Sicherheitslücke in der Implementierung gibt, kann kein Programm auf fremde Einträge zugreifen.

Es funktioniert so:
Es gibt einen Systemdienst "Schlüsselbundverwaltung". Dieser liest und schreibt Einträge in Schlüsselbünde und nur dieser(!) fragt bei einem abgeschlossenen Schlüsselbund nach dem Generalschlüssel.
Ein Programm, welches Einträge schreiben oder lesen will, geht zum Systemdienst "Schlüsselbundverwaltung" und trägt sein Anliegen vor. Ob der Schlüsselbund momentan auf oder zu ist, weiß er nicht, erfährt er auch nicht. Der Systemdienst geht dann an den Schlüsselbund, schaut nach, ob das Programm berechtigt ist, Daten zu lesen, fragt evtl. bei Dir nach dem Generalschlüssel nach und präsentiert dem Programm dann das Ergebnis.

Also quasi der Tresor=Schlüsselbund ist unzugänglich im Keller. Kein Kunde kann selber in diesen Tresor, sondern muss immer einen Bankangestellten um Hilfe bitten. Nur dieser Bankangestellte geht dann in den Keller, öffnet evtl. den Tresor und übergibt nur Daten, auf die der Kunde Zugriff haben darf. Der Kunde kommt nie an den Tresor heran und erfährt weder Generalschlüssel noch Zustand des Tresors.

Was ist denn das für ein "Darf nicht" Mechanismus?

Im Prinzip genau das gleiche wie Benutzerrechte bei Dateien. Auch hier prüft ein Systemdienst, ob Du als Nutzer eine Datei lesen darfst und Du bekommst die nur ausgeliefert, wenn Du es darfst.

Aber warum nutzt das System nicht einen eigenen Tresor? Dann würde es mich auch nicht behelligen wenn ich die von mir individuell eingetragenen Sachen schützen möche.

Das System nutzt einen eigenen Tresor. Da sind alle systemweiten Dinge gespeichert, z.B. WLAN-Kennwort. Zusätzlich gibt es pro Benutzer einen anwenderbezogenen Tresor "Anmeldung". In diesen kommt alles, was den jeweiligen Nutzer betrifft. Klar könnte Apple hier noch zwei Tresore anlegen. Einen für Einträge von Programmen, die zum Betriebssystem gehören und einen für alle anderen Einträge. Das haben sie aber nicht gemacht, sondern es wird alles in einen geworfen.
Du könntest aber einen zweiten (oder noch mehr) Schlüsselbund anlegen, der anders verwaltet wird und dort Einträge machen. Ich weiß nicht, ob ein Programm nur im Schlüsselbund "Anmeldung" suchen lässt oder in allen. Das müsste man mal ausprobieren.

Aber prinzipiell finde ich es einfacher, den Schlüsselbund immer offen zu haben, d.h. der Tresor im Keller ist immer für den Bankangestellten offen, und nur bei den wenigen Fällen, bei denen die Daten an die berechtigten Kunden nicht ohne zusätzliche(!) Prüfung herausgegeben werden sollen, ändere ich den Zugriff.
Das ganze funktioniert, solange es keinen Fehler in der Implementierung gibt, d.h. dass sich z.B. der Bankangestellte durch den Kunden täuschen lässt und dieser ihm eine andere Identität vorgaukelt.

[MacFlieger]

Noch ein Nachtrag: Man merkt manchmal, dass sich der "Kunde" geändert hat und daher der Bankangestellte zunächst nicht mehr weiß, ob der Zugriff auf die Daten bekommen soll. Dann fragt der nämlich nach "xy will auf abc zugreifen. Einmal erlauben oder immer erlauben".

[radneuerfinder]

Im Prinzip genau das gleiche wie Benutzerrechte bei Dateien.

Ich habe mal gelernt, nur Verschlüsselung ist sicher. Und jetzt soll die Sicherheit meiner Passwörter von Prozessrechten abhängen? Von einer über alle OS X/macOS Iterationen sicherheitslückenlosen Implementierung? Ich bin ja nun wahrlich kein Architekt von sicherer Computersoftware, aber das Konzept kommt mir deutlich unsicherer vor, als es sein müßte. Die Zuverlässigkeit von Verschlüsselung gilt ja mittlerweile als ganz gut und überprüft. Sicherheitslücken in Software gelten hingegen nicht gerade als abwesend.

[MacFlieger]

Ich habe mal gelernt, nur Verschlüsselung ist sicher. Und jetzt soll die Sicherheit meiner Passwörter von Prozessrechten abhängen? Von einer über alle OS X/macOS Iterationen sicherheitslückenlosen Implementierung?

Da hast Du sicherlich Recht. Verschlüsselung ist sicherer (aber nicht absolut sicher) als das Verlassen auf die Zugriffsrechte.
Die sicherste Form wäre, wenn der Tresor ständig verschlossen wird und bei jedem(!) Zugriff nur für genau diesen einen Zugriff geöffnet würde. Das wäre zwar unbenutzbar unbequem, aber die sicherste Variante.
Sobald der Tresor länger als für einen Zugriff offen ist, ist es fast egal, ob für 10 Sekunden, 5 Minuten oder dauerhaft. Eine Schadsoftware, die eine Sicherheitslücke benutzen will, würde dann entweder warten, bis der Tresor irgendwann mal geöffnet wird oder selber einen legitimen Zugriff starten, bei dem Du den Tresor öffnen lässt, und danach erst eine Sicherheitslücke ausnutzen und fremde Einträge lesen.
Dieses automatische (oder manuelle) Schliessen nach x Minuten hat meiner Meinung nach nur einen Vorteil: Nach Schliessen des Tresors kann keine fremde Person an Deinen Rechner gehen und ein Programm benutzen, welches automatisch auf Einträge zugreift. Also z.B. Du verlässt Deinen rechnet und jemand anderes loggt sich dann in irgendein Forum unter Deinem Namen ein. Gegen eine Schadsoftware, die eine Sicherheitslücke ausnutzen will, nutzt das gar nichts.
Bei all diesen Sachen gibt es keine ideale Lösung. Alles was sicherer ist, ist automatisch unbequemer. Hier muss man selber finden, wie bequem oder sicher man es haben möchte.

Aber weg von den theoretischen Überlegungen:
Wenn Du unbedingt mit dem automatischen Schliessen des Tresors arbeiten möchtest, bleibt Dir nichts anderes übrig, als mit mehreren Tresoren zu arbeiten, die unterschiedlich geschlossen werden. Z.B. der Tresor "Anmeldung", der von vielen benutzerbezogenen Systemprogrammen benutzt wird, bleibt ständig offen. Ein anderer Tresor wird nach x Minuten geschlossen. Ein weiterer wird immer sofort wieder geschlossen.
Das habe ich noch nie probiert, müsste/könnte aber funktionieren. Zum Testen würde ich mal einen neuen Tresor so anlegen, die gewünschten Einträge da rein schieben und gucken, ob es so funktioniert wie gewünscht.

[radneuerfinder]

Ja das funktioniert. Fürs Internetbanking habe ich einen extra Schlüsselbund, der immer verriegelt ist, außer beim Banking.

[MacFlieger]

OK.
Dann musst Du jetzt nur noch die verschiedenen Tresore anlegen und die Einträge darauf verteilen.

Wie gesagt, sinnvoll und einen Sicherheitsgewinn sehe ich nicht, aber das muss jeder für sich selber entscheiden.

[radneuerfinder]

Seit Jahren ist der Ordner Dienstprogramme bei mir farbig markiert. Das Update hat die Markierung entfernt. Schlimmer, ich bin nicht berechtigt eine neue Markierung zu setzen. Verarsche: die Auswahl farbige Markierung wird mir zunächst angeboten, dann mein Passwort abgefragt, dann heißt es ällerbäatsch.

Ist da bei meiner Installation was falsch, oder ist das der Weg von macOS zu iOS?

Ach, und gibts einen Hack, der die unauffälligen Punkte wieder in unübersehbare NamensMarkierungen zurückwandelt?

[Florian]

Seit Jahren ist der Ordner Dienstprogramme bei mir farbig markiert. Das Update hat die Markierung entfernt. Schlimmer, ich bin nicht berechtigt eine neue Markierung zu setzen. Verarsche: die Auswahl farbige Markierung wird mir zunächst angeboten, dann mein Passwort abgefragt, dann heißt es ällerbäatsch.

Kann ich alles 1:1 nachvollziehen.
Hatte ihn auch immer eingefärbt. Geht nicht mehr und man kann auch mit Admin-Rechten die Dateirechte nicht ändern um so die Einfärbung zu ermöglichen.

Ach, und gibts einen Hack, der die unauffälligen Punkte wieder in unübersehbare NamensMarkierungen zurückwandelt?

Ich nutze halt seit langem Pathfinder, da kann man auf Apples Ideen gelassen reagieren. Auch Totalfinder ist noch farbenfroh und wohl weniger das Feature-Monster als PF.
Ehrenhalber will ich aber erwähnen, dass seit Mavericks der Finder Tags benutzt, und die Farben unter diesen Tags sind, aber eben nur eine Möglichkeit von vielen. Warum das aber zur Kastration der Farb-Labels führen musste, kann ich auch nicht sagen.
Wahrscheinlich nutzten die User das in Ives Augen falsch weil viel zu viel und versauten seine triste GUI-Optik. Das darf natürlich nicht sein.

[radneuerfinder]

Aperture 3.4.5, die neueste Version die unter OS X 10.8 lief, begrüßt mich in macOS 10.12 mit einem Parkverbotsschild. Man soll im AppStore Updaten. Dort heißt es "nicht verfügbar".  Wenn ich Aperture lösche und unter Käufe neu lade, bin ich wieder bei 3.4.5.    Wie komme ich zu Version 3.6, die unter macSierra laufen soll

[radneuerfinder]

Hat sich erledigt. Eine Backup Kopie von Aperture 3.4.5 hat mich durcheinander gebracht.

[radneuerfinder]

http://www.maclife.de/ratgeber/macos-sierra-erstellen-erinnerung-einer-e-mail-10087803.html

[fränk]

Apple hat wohl das anzeigen der Restlaufzeit der Batterie angeschafft. Ich kann zwischen Symbol und Symbol + Prozent auswählen, aber die Restlaufzeit gibt`s nicht mehr.

[Quaestor]

Ja, war in der "Presse" doch großes Thema.
Ist ja bei Tastatur/ Maus nicht anders.

[fränk]

Nö, der Status meiner Apple-Maus am iMac wurde mir heute noch angezeigt.

[Quaestor]

Ja, aber auch nur in Prozent und nicht in Stunden