Dat er ransomware rondzwerft wil nog niet zeggen dat het er ook op komt.

Dat is het excuus van de meeste Linux/MacOS fans.

Klopt Linux != Windows

Windows/MacOS hebben de grootste aanvalsvector: Closed source en overmatige 'home calling' zijn m.i. de grootste risicofactoren. Windows grenst imo aan ransomware. (Komt bij mij niet buiten een vm). MacOS verandert 'gewoon' je beveiligingstweaks bij iedere update.

Leuk dat u naar ons refereert, maar hier staat op Linux/MacOs na 10 jaar de teller nog steeds op NUL.

Nee dus. Het verwijderd zijn van de ransomware komponent geeft helemaal geen aanwijzing omdat er niet staat wat er voor in de plaats komt. "Dit" slaat juist op het stuk dat is weggelaten.

In de originele tekst staat:

MacOS informeert gebruikers simpelweg niet, dus dat zou schijnveiligheid kunnen zijn.

https://www.security.nl/posting/780351/%22Mac-gebruikers+weten+niet+wanneer+malware+wordt+gedetecteerd+en+verwijderd%22

Dat zal wel balen zijn voor Microsoft. Bij hun eigen systeem lijkt het vooral te gaan om mailtjes met kwaadaardige
bijlagen en links, Office documenten met gevaarlijke macro's, en dat soort "dingen van alledag".
Dat is toch wel heel wat waarschijnlijker dat een gebruiker in een bedrijf dat per ongeluk doet dan "besmette applicaties
downloaden". Kortom daar is ruimte voor verbetering van Windows!

Bijna niemand installeert buiten de store om . Dat gebeurd alleen in een microsoftomgeving. Zoals altijd hebben die gasten de verkeerde bril op want MacOS != Windows

Ik heb toch echt de nodige tools en applicaties die buiten de store om geïnstalleerd zijn op mijn MacOS. Sterker nog, ik denk dat dit zelfs 80% buiten de store om geïnstalleerd is.

Ja en bij mij met Windows ook, dus wat is nu je punt?

Onzin, er zijn op de Mac ook genoeg apps die niet in de store staan.
Vandaar dat er in Gatekeeper een instelling is om naast de store ook apps te kunnen installeren van trusted developers, dus waar er een signed certificaat van in MacOS zit.
Ook Microsoft Office kun je gewoon downloaden van de Microsoft website, geen store voor nodig.

Maar installeer jij of andere MAC gebruikers vaak applicaties op aanwijzing van mensen die je bellen of mailen, en ga
je die dan downloaden bij de door hen aangegeven bron? Dat is waar het om gaat denk ik.
En hoe makkelijk (ik weet het niet) kun je op een MAC even een programma'tje downloaden en meteen runnen, bijvoorbeeld
iets als TeamviewerQS op Windows is: gewoon een linkje op een webpagina wat je aanklikt, een stuk of twee a drie
"ja het is allemaal OK ik vertrouw het wel" klikjes doen en hoppa je draait externe software?
Of is dat beter geregeld?

Dat is de standaard dat overal werkt.als de gebruiker het voor het zeggen heeft dan is hij de facilitator.
Overtuig die gebruiker om zat zaken te doen, geld overmaken of zo ....

Dat doe ik ook bij Windows niet zo maar, als "iemand" mij even belt.

Trouwens TeamViewer staat ook in de MS store.

Maar ik hem TeamViewerQS even gedownload, ik moet een paar keer klikken (dmg openen, app opstarten, melding dat die van het Internet is gedownload) en hij werkt. 2 keer meer klikken als in Windows denk ik.

Ok maar hier is keer op keer sprake van mensen die dat wel doen, en die zouden beschermd moeten (kunnen) worden.


Als je nou 1 MAC systeem in een gezin hebt, of je hebt er een staan bij je ouders die eventueel het slachtoffer zouden
kunnen worden van zo iets, kun je het dan zo configureren dat zij wel normaal met die machine kunnen werken, maar
dat dit soort dingen (nieuwe software installeren of tijdelijk runnen) niet zomaar kan, dat ze jou daar dan eerst over
moeten bellen ofzo?

Dat punt is al gemaakt. Wel het draadje lezen: Dat er ransomware rondzwerft wil nog niet zeggen dat het er ook op komt

Het is een keuze of een gebruiker op macos (ook) beheerder is , en dergelijke dingen kan doen .
Een niet-beheerder gebruiker kan die installaties niet doen .

Het kost wel wat 'gedoe' , want programma's die met enige regelmaat updates nodig hebben (firefox,chrome) moeten dus hun update gedaan krijgen door de beheerder-gebruiker . Idem natuurlijk voor normale OS updates .
(Iig als die browsers van buiten de app store geinstalleerd zijn. Niet gekeken of/hoe het gaat als ze in de app store zitten)

Ik heb niet uitgezocht of je voor sommige 'trusted' programma's die auto-update gewoon kunt laten doen zonder dat de beheerder-gebruiker ingelogd moet zijn .

In een gezinssituatie is dat wel te overzien , bij "ouders waar je eens in de paar weken langsgaat" wordt het wat zichtbaarder dat er een applicatie soms staat te zeuren om z'n update te installeren.
Als ze alleen Safari gebruiken is het veel minder zichtbaar .

Maar best goed geschikt om een heel behoorlijke drempel op te werpen tegen het "via social engineering installeren van gevaarlijke tools" . In elk geval in de situatie waarin de eindgebruiker normaal geen frequente noodzaak heeft om van alles te installeren en toe te voegen.


MacOS heeft ook nog het concept van een 'guest' account, maar dat is wel echt beperkt - het is een gebruiker waarvan de hele homedir weer gewist wordt na logout.
Voor letterlijk gast gebruik - "mag ik even mail checken/internet browsen op jouw compu" is dat geschikt, maar niet in situatie waarin dezelfde gast wat vaker terugkomt, want alles - bookmarks, downloads zijn telkens weer weg.

Ik werk altijd onder een useraccount. Het beheerders account gebruik ik misschien 1 of 2x keer jaar. (de laatste jaren zelfs minder).

Firefox update bij mij gewoon zonder een beheerderswachtwoord te moeten intikken.

Hm. Het voorbeeld was niet verzonnen, want op mijn Mac krijgt het useraccount wel de melding dat er weer een firefox update beschikbaar is, maar klik ik daar op als user loopt het vast op het feit dat de user de updater niet kan starten.

Misschien is het verschil een systeembrede firefox installatie, versus een user-lokale installatie .

Maar ik heb dat niet diepgaand uitgezocht .
(ook niet geprobeerd of bv teamviewer door de niet-beheer user lokaal te installeren is . Je hoop/verwacht dat de rechten die TV nodig heeft zodanig zijn dat een user ze niet kan geven,ook niet alleen voor zichzelf).

"Ik heb niet uitgezocht of je voor sommige 'trusted' programma's die auto-update gewoon kunt laten doen zonder dat de beheerder-gebruiker ingelogd moet zijn ."

op mijn fedora en rhel / rocky machines staat vol automatisch dagelijkse updates aan en al 20y geen issue gehad. af en toe dan een reboot [ivm een patch op kernel] en verder needrestart gebruiken. life is good.

Ok ja dat zou wel slecht zijn als dat zo werkt. In Windows was dat in het begin ook zo maar dat is allang opgelost.
Als je een "normale gebruiker" bent en het systeem is helemaal geconfigureerd dat alleen administrators iets mogen
installeren, dan nog wordt het OS en dat soort software gewoon geupdate. En zo moet het ook zijn natuurlijk, anders
krijg je bij een dergelijke configuratie dat het systeem gaat achterlopen op updates.
Ook in Linux kun je dit inrichten, al is het meestal niet default en al is het natuurlijk zo dat je er weer speciaal aan moet
denken dat in te richten (want "de mensen willen niet dat hun systeem automatisch beheerd wordt"). Wel zie ik steeds
vaker dat bijvoorbeeld virtuele machines die je one-click deployed in hosting omgevingen dit standaard aan hebben
staan. Die worden natuurlijk relatief vaak gekocht door mensen die er niks van weten (webontwerpers enzo).


Nou ik denk dat updates gewoon "meteen" moeten gebeuren, niet pas als er iemand langsgaat.
Dus hopelijk is Apple al zo ver dat dit kan. Nog mooier zou zijn als het default zo ging.


Aha dat is wat je ook hebt op een Chromebook. Dat is in de praktijk vaak net te onhandig inderdaad, behalve als je
dagelijks gebruik allemaal loopt via 1 website waarvan je de naam wel kunt onthouden en intypen.
(we hebben dat op het werk, bijvoorbeeld)

Omdat hier voor update services tijdens de installatie geïnstalleerd worden.

De eerste installatie, zal je dit nog steeds met admin rechten moeten doen.

Jammer dat de desktop _gebruik_ ervaring met Linux gewoon ontzettend klote blijft, maar inderdaad is het voor beheerdersautomation wel erg prettig.

(ja, BTDT).

Zelf-followup :
specifiek TeamViewer kun je (met een standaard installatie) niet op MacOS installeren als gebruiker zonder admin rechten.

Met een klein google rondje is dat een bekend "probleem" - en was ook een echt probleem in omgevingen met beheerde mac clients toen de covid hysterie net uitbrak en "even langskomen op kantoor zodat IT het kan toevoegen" opeens niet meer kon.

Met een klein google rondje lijkt 'admin user' toch een barriere te zijn voor andere clients die kunnen screen sharen (webex, teams, zoom etc) , een aantal settings zijn nodig (in privacy/security) die alleen een admin user kan zetten.

Bij elkaar is MacOS met een user zonder admin recht dan toch een redelijke barriere voor de scam helpdeskers, als een gebruiker "geholpen" moet worden met z'n Internet (bankier) omgeving.

Als het blijkbaar met de juiste smaak installatie wel mogelijk is dat dingen als firefox/chrome zichzelf updaten zonder ingelogde admin user (de systeem patches van macos kunnen beslist op de "auto update" stand gezet worden ) dan kun je het systeem redelijk gerust aan onhandige gebruikers geven.

Het artikel is wat suggestief neergezet.
De suggestie is dat de toegang tot deze onderdelen van macOS niet zou zijn beschermd.
Onzin dus, want dat is het zeker wel ! Ik haat dit soort zaaien van onzekerheid. Iets waaraan Microsoft zich te vaak schuldig maakt (zoek maar op Microsoft en FUD).

Beetje een domme opmerking want dan heb je niet verder gekeken dan je neus lang is. Linux is alleen maar een kernel en geen desktop. Er zijn honderden distro’s die een desktop aanbieden. Als jij zegt dat die allemaal klote zijn ben je duidelijk verpest door een systeem waar je op start moest klikken om te stoppen.

Ik reageer hier wel eens, meestal anoniem, ik installeer het liefst open source, op mac, linux en vroeger ook op windows. Buiten de store om dus, maar dat zal niet zo interessant zijn om te lezen. Wat ik gewoon een keer wil zeggen is dat dit een prettig forum is, en dat het geweldig is dat je op deze manier hier anoniem kunt reageren. Echt top, en vrij uniek.