V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
L1vld
V2EX  ›  程序员

自己做的软件用快速提权还是让用户手动授权

  •  
  •   L1vld · 14 天前 · 2669 次点击

    我做了一个在 mac 平台上的工具,类似于系统工具箱,有些功能需要管理员权限。通常情况下,用户点击相应功能后,系统会弹出一个框,让用户输入密码给 root 权限,授权后软件执行对应操作。
    例子:

    但是这个过程对于用户更加繁琐,尤其是要手动输入密码,用户也可能忘了电脑密码导致授权失败。

    在旧版本 macos 上存在漏洞,可以直接获取到管理员权限,不需要输入密码,想把这个功能加入到程序里,当用户点击后,直接提权并执行任务。而且存在漏洞的 macos 目前有很多人再用(近几年的版本)。提权过程中不会导致电脑崩溃,而且速度快,很丝滑。
    所以我的想法是:在不支持漏洞的 macos 上使用传统授权(弹窗输密码),检测到支持漏洞的 macos 上使用快速提权,解决输密码的繁琐。

    28 条回复    2024-04-03 16:10:10 +08:00
    cocong
        1
    cocong  
       14 天前
    做好核心功能就好了,安全问题不用考虑用户体验
    Seria
        2
    Seria  
       14 天前
    减少用户操作,提高用户体验。
    Forbidden
        3
    Forbidden  
       14 天前   ❤️ 2
    个人不成熟建议,参考 PDD ,直接 root ,给自己做窝
    什么“QNMD 苹果,这里是中国”,什么“自古以来”,哪句好用用哪句
    kmvvv
        4
    kmvvv  
       14 天前
    别瞎搞,利用漏洞总归不好听,收益太小了。你要是能利用漏洞很稳定搞手机通话录音,随意安装 app ,大家会比较高兴,只是免输入密码不值得
    sky96111
        5
    sky96111  
       14 天前 via Android
    费力不讨好+1
    yolee599
        6
    yolee599  
       14 天前 via Android
    把功能做好分类,能不用 root 的就不用 root ,然后需要 root 的单独放到“高级”菜单里,这些专业用户也不会因为输入密码而觉得烦琐
    czfy
        7
    czfy  
       14 天前   ❤️ 15
    你的工具软件叫什么名字?对不在乎的人来说是个宣传,对在乎的人来说是个避雷

    1. 这个问题竟然能够被问出来,也难怪在这个开发者众多的论坛里微信输入法是最受欢迎的输入法
    2. 号称更安全的 macOS ,看起来也不是那么安全
    3. 对于漏洞的利用,一般正常人会把它称为 “攻击”

    你起了个 mac m3 max 的 ID 名,问了个这样的问题,我也不知道你是反串黑还是真心问
    如果是反串黑,那让我这个果黑都觉得叹为观止
    如果是真心问,那我只能说你还是别做开发者了
    niuMare
        8
    niuMare  
       14 天前
    流氓软件就是这么诞生的,最好还是交给用户授权
    HojiOShi
        9
    HojiOShi  
       14 天前
    你如果做的是开源软件,那这样做是可以的;反正源码已经放出来了,用户对此有意见可以让他去审核源码。

    如果不是,不要使用这种方法。
    Xc1Ym
        10
    Xc1Ym  
       14 天前
    未经用户授权就提权会不会存在法律风险?
    HojiOShi
        11
    HojiOShi  
       14 天前
    @czfy macOS 的安全只是用户在操作权限受限之下所获得的虚假安全感。实测下来安全性不能说没有,但是绝不可能强于 Windows 。
    ysc3839
        12
    ysc3839  
       14 天前 via Android
    使用漏洞是不好的做法,而且漏洞很可能导致系统不稳定,比如让系统崩溃
    ybz
        13
    ybz  
       14 天前
    真存在这种漏洞的话,苹果早就发补丁包了,是有一种方式授权一次后面就可以不用授权了,最新的系统虽然改了 API ,但是还是可以只授权一次。
    objectxiang
        14
    objectxiang  
       14 天前
    一般提权也可以就输入一次密码的,漏洞来搞感觉复杂了?(请问一下是利用什么漏洞,纯好奇
    Dipous
        15
    Dipous  
       14 天前
    别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问
    opentrade
        16
    opentrade  
       14 天前
    @HojiOShi 开源更不能
    mxT52CRuqR6o5
        17
    mxT52CRuqR6o5  
       14 天前 via Android
    不能 touchid 提权吗?
    callmesmc
        18
    callmesmc  
       14 天前 via iPhone
    利用漏洞..亏你想得出
    eairjhioaegnh
        19
    eairjhioaegnh  
       14 天前
    苹果有 API ,叫帮助程序,只授权一次就行
    BwNVlwSq
        20
    BwNVlwSq  
       14 天前
    OP 有点吓人了
    344457769
        21
    344457769  
       14 天前
    出发点是好的,但是我建议你别出发。
    q218946
        22
    q218946  
       14 天前
    @cocong 真实了。只有专业人士才会注意安全问题,对于用户来说步骤越少越好
    libook
        23
    libook  
       14 天前
    两种都做,给用户选择。
    shinsekai
        24
    shinsekai  
       14 天前
    看来 PDD 就是 OP 这种开发者开发出来的
    jeesk
        25
    jeesk  
       14 天前
    告诉用户就行了。
    flyqie
        26
    flyqie  
       13 天前 via Android
    令人惊奇的脑回路,苹果要能让你正常上架那就邪门了,麻烦说出名字,避雷。
    GeekGao
        27
    GeekGao  
       13 天前
    低情商:半吊子开发。
    GeekGao
        28
    GeekGao  
       13 天前
    高情商:你需要用系统的 API 进行 Authorization Services API
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   1509 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 17:11 · PVG 01:11 · LAX 10:11 · JFK 13:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.