我做了一个在 mac 平台上的工具,类似于系统工具箱,有些功能需要管理员权限。通常情况下,用户点击相应功能后,系统会弹出一个框,让用户输入密码给 root 权限,授权后软件执行对应操作。
例子:
但是这个过程对于用户更加繁琐,尤其是要手动输入密码,用户也可能忘了电脑密码导致授权失败。
在旧版本 macos 上存在漏洞,可以直接获取到管理员权限,不需要输入密码,想把这个功能加入到程序里,当用户点击后,直接提权并执行任务。而且存在漏洞的 macos 目前有很多人再用(近几年的版本)。提权过程中不会导致电脑崩溃,而且速度快,很丝滑。
所以我的想法是:在不支持漏洞的 macos 上使用传统授权(弹窗输密码),检测到支持漏洞的 macos 上使用快速提权,解决输密码的繁琐。
28 条回复 • 2024-04-03 16:10:10 +08:00
 |
1
cocong 27 天前
做好核心功能就好了,安全问题不用考虑用户体验
|
 |
2
Seria 27 天前
减少用户操作,提高用户体验。
|
 |
3
Forbidden 27 天前  2
个人不成熟建议,参考 PDD ,直接 root ,给自己做窝
什么“QNMD 苹果,这里是中国”,什么“自古以来”,哪句好用用哪句 |
 |
4
kmvvv 27 天前
别瞎搞,利用漏洞总归不好听,收益太小了。你要是能利用漏洞很稳定搞手机通话录音,随意安装 app ,大家会比较高兴,只是免输入密码不值得
|
 |
5
sky96111 27 天前 via Android
费力不讨好+1
|
 |
6
yolee599 27 天前 via Android
把功能做好分类,能不用 root 的就不用 root ,然后需要 root 的单独放到“高级”菜单里,这些专业用户也不会因为输入密码而觉得烦琐
|
 |
7
czfy 27 天前 15
你的工具软件叫什么名字?对不在乎的人来说是个宣传,对在乎的人来说是个避雷
1. 这个问题竟然能够被问出来,也难怪在这个开发者众多的论坛里微信输入法是最受欢迎的输入法 2. 号称更安全的 macOS ,看起来也不是那么安全 3. 对于漏洞的利用,一般正常人会把它称为 “攻击” 你起了个 mac m3 max 的 ID 名,问了个这样的问题,我也不知道你是反串黑还是真心问 如果是反串黑,那让我这个果黑都觉得叹为观止 如果是真心问,那我只能说你还是别做开发者了 |
 |
8
niuMare 27 天前
流氓软件就是这么诞生的,最好还是交给用户授权
|
 |
9
HojiOShi 27 天前
你如果做的是开源软件,那这样做是可以的;反正源码已经放出来了,用户对此有意见可以让他去审核源码。
如果不是,不要使用这种方法。 |
 |
10
Xc1Ym 27 天前
未经用户授权就提权会不会存在法律风险?
|
 |
12
ysc3839 27 天前 via Android
使用漏洞是不好的做法,而且漏洞很可能导致系统不稳定,比如让系统崩溃
|
 |
13
ybz 27 天前
真存在这种漏洞的话,苹果早就发补丁包了,是有一种方式授权一次后面就可以不用授权了,最新的系统虽然改了 API ,但是还是可以只授权一次。
|
 |
14
objectxiang 27 天前
一般提权也可以就输入一次密码的,漏洞来搞感觉复杂了?(请问一下是利用什么漏洞,纯好奇
|
 |
15
Dipous 27 天前
别听楼里那帮洁癖的,如果是面向小白用户的话一个弹框授权会让一些用户体感认为“更不安全”。具体想得到有价值的回馈可以去小红书问问
|
 |
17
mxT52CRuqR6o5 27 天前 via Android
不能 touchid 提权吗?
|
 |
18
callmesmc 27 天前 via iPhone
利用漏洞..亏你想得出
|
 |
19
eairjhioaegnh 27 天前
苹果有 API ,叫帮助程序,只授权一次就行
|
 |
20
BwNVlwSq 27 天前
OP 有点吓人了
|
 |
21
344457769 27 天前
出发点是好的,但是我建议你别出发。
|
 |
23
libook 27 天前
两种都做,给用户选择。
|
 |
24
shinsekai 27 天前
看来 PDD 就是 OP 这种开发者开发出来的
|
 |
25
jeesk 27 天前
告诉用户就行了。
|
 |
26
flyqie 26 天前 via Android
令人惊奇的脑回路,苹果要能让你正常上架那就邪门了,麻烦说出名字,避雷。
|
 |
27
GeekGao 26 天前
低情商:半吊子开发。
|
|
28
GeekGao 26 天前
高情商:你需要用系统的 API 进行 Authorization Services API
|
Select Language