программное обеспечение со знаком:: установщик — системное программное обеспечение и инструмент установщика пакета (Apple *.pkg)
Делает кто-либо знает несколько деталей о программном обеспечении со знаком и /Applications/Utilities/Installer.app? Я не нашел больше в Википедии и Руководстве UNIX (man 8 installer).
Вот действительная подпись от iLife 11 Installer.app:
Это означает, что я могу быть на 100% уверен, что ничто не изменяется? Это означает, что я могу доверять этому PKG, потому что это подписывается Apple? Или я получал что-то не так?
2 ответа
Подписываемое программное обеспечение, просто означает, что было проверено кем-то как verisign, или кто бы ни. Проблема с программным обеспечением со знаком, то, что, если Ваша OS не проверяет по уважаемым подписывающим лицам программы, она может очень хорошо быть изменена. Но если кто-то как яблоко или verisign действительно подписывает его, и Вы получили его непосредственно от хорошего поставщика, Вы можете вполне уверенный что это привычка быть измененными. Что-то как iLife не было бы пропущено на Mac, если бы в него вмешались.
В сущности подписываемое программное обеспечение, похоже при покупке чего-то с гарантией. Любой может гарантировать что-то, но не все будет соответствовать той гарантии.
Когда Apple распределяет программное обеспечение и обновления, она подписывает пакет, чтобы гарантировать, что ничто не было изменено, так же к подписям PGP на электронных письмах. Корневой сертификат Центра сертификации Обновления программного обеспечения Apple установлен с операционной системой, и можно просмотреть его в Keychain Access.app.
По существу эта подпись гарантирует, что программное обеспечение было распределено и проверено от Apple, и что в это не вмешались или изменили. Точно так же, как электронное письмо PGP при изменении содержания сообщения подпись не будет соответствовать. Я видел людей, которые попытались загрузить "предварительно взломанное" или пиратское программное обеспечение (для iLife, iWork и т.д.), и их установщик не был подписан; человек, который изменил пакет, удалил подпись из пакета и перераспределил его (или просто создал очень похоже выглядящий установщик).
Если Вы получаете программное обеспечение посредством Обновления программного обеспечения или загружаете официальные патчи/обновления с apple.com, программное обеспечение должно быть подписано Центром сертификации Обновления программного обеспечения Apple. Если это не, это не является подлинным (строгость Apple является хорошей вещью).
Править: Корневым сертификатом является Корневой центр сертификации Apple. Сертификат распределения программного обеспечения утвержден (не уверенный в терминологии) Корневым центром сертификации Apple.