Homebrew अब बिना हस्ताक्षरित या notarized सॉफ़्टवेयर के लिए Gatekeeper बायपास की अनुमति नहीं देगा

 (github.com/Homebrew)
1 पॉइंट द्वारा GN⁺ 2025-11-14 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • macOS Gatekeeper को ज़बरदस्ती बायपास करके बिना हस्ताक्षरित सॉफ़्टवेयर चलाने के लिए इस्तेमाल होने वाला --no-quarantine फ़्लैग हटाया जाएगा
  • यह बदलाव सुरक्षा मज़बूत करने के उपाय के रूप में किया जा रहा है, और Apple की code signing तथा notarization नीतियों के अनुरूप संचालित होगा
  • macOS Tahoe के Intel के लिए आख़िरी macOS बनने से इस फ़ीचर की ज़रूरत काफ़ी कम हो गई है
  • ARM Mac पर बिना हस्ताक्षरित arm64 code चलाना संभव नहीं है
  • 1 सितंबर 2026 से Gatekeeper जाँच में असफल होने वाले cask का समर्थन बंद कर दिया जाएगा

प्रेरणा

  • Apple और Homebrew दोनों ही Intel Mac समर्थन समाप्त करने की दिशा में बढ़ रहे हैं, और --no-quarantine एक security bypass फ़ीचर होने के कारण इसे बनाए रखने का कोई कारण नहीं है

उपयोगकर्ताओं पर प्रभाव

  • इस विकल्प के हटने से macOS सुरक्षा मानकों के अनुरूप installation environment मिलेगा, और Homebrew अब security bypass फ़ीचर उपलब्ध नहीं कराएगा

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-11-14
Hacker News टिप्पणियाँ

  • मेरी समझ के अनुसार यह बदलाव मुख्य रूप से macOS के cask को ही प्रभावित करता है
    cask का उपयोग dmg या pkg फ़ॉर्मेट वाले बाइनरी ऐप्स इंस्टॉल करने के लिए होता है, और उनमें से ज़्यादातर पहले से signed binaries होते हैं
    Homebrew की open source software को download·compile·install करने वाली क्षमता पर इसका असर नहीं दिखता

    • मैं इस बात से सहमत नहीं हूँ कि मेरे जानने वाले ज़्यादातर लोग cask ज़्यादा इंस्टॉल नहीं करते
      दरअसल Homebrew की दूसरी package managers पर सबसे बड़ी बढ़त cask ही है
      मैं Homebrew को एक isolated prefix में इंस्टॉल करके सिर्फ cask के लिए इस्तेमाल करता हूँ, और उसे PATH में नहीं जोड़ता
      मैं कुछ unsigned apps भी इस्तेमाल करता हूँ
      मेरे हिसाब से signing से ज़्यादा महत्वपूर्ण Homebrew या Debian जैसी curation·verification process है
      अगर --no-quarantine विकल्प हट गया, तो हर update पर manual approval देना पड़ेगा, जो असुविधाजनक है
    • Homebrew डिफ़ॉल्ट रूप से open source को भी binary package (bottle) के रूप में वितरित करता है
      official package list देखें तो वह सैकड़ों पेज लंबी है
      उसमें साफ़ लिखा है कि “हर चीज़ को bottle के रूप में उपलब्ध कराना लक्ष्य है”
      इसलिए इस बदलाव का सीधा असर तो नहीं है, लेकिन यह जानना ज़रूरी है कि अब यह पहले की तरह source build-केंद्रित नहीं रहा
    • Homebrew project leader ने खुद पुष्टि की है — इस बदलाव का formulae पर कोई असर नहीं, यह सिर्फ cask पर लागू होता है
    • इस चर्चा में जिन प्रमुख ऐप्स का ज़िक्र हुआ, वे Librewolf और Freetube हैं
      संबंधित चर्चा: Homebrew Discussions #6334
    • मैं सारे GUI apps Homebrew से इंस्टॉल करता हूँ। अभी 30 से ज़्यादा cask हैं, लेकिन मुझे नहीं पता कि वे signed हैं या नहीं

  • मैंने बहुत पहले से अनुमान लगाया था कि Gatekeeper धीरे-धीरे और सख़्त होगा, और अब वही हो रहा है

    • वास्तव में, एक साल पहले जब macOS 15 Sequoia में Gatekeeper को सख़्त किया गया था, तब लोगों ने इसे नोटिस किया था
      संबंधित लेख: Ars Technica, MacRumors, Daring Fireball
    • अच्छी बात यह है कि Linux laptops लगातार बेहतर हो रहे हैं
      जब तक मेरा M1 MacBook Air धीमा पड़ने लगेगा, तब तक शायद मैं पूरी तरह Linux पर शिफ्ट हो सकूँगा
    • Apple का दूसरे OS की installation रोकना competition को कमज़ोर करता है और लंबे समय में users के लिए भी नुकसानदेह है
      Apple hardware खरीदना इस तरह के व्यवहार को मूक स्वीकृति देना है
    • Gatekeeper को अभी भी disable किया जा सकता है
      Mac के market size और developers के अनुपात को देखते हुए, मुझे नहीं लगता कि Apple इसे पूरी तरह बंद करेगा
    • सच कहूँ तो शुरुआत से ही यह दिशा अनुमानित थी। बस उस समय ऐसी चेतावनियों को नज़रअंदाज़ किया गया था

  • Homebrew pro tool कम और consumer-friendly package manager ज़्यादा है
    forced updates, पुराने versions हटाना, और discussion block करना जैसी वजहों से काफ़ी असंतोष है
    इसलिए मैं MacPorts पर जाने के बारे में सोच रहा हूँ

    • Homebrew में customization लगभग नामुमकिन है, और dependency management भी बुरी तरह अव्यवस्थित है
      maintainers का आक्रामक रवैया भी समस्या है
    • मैंने 20 साल पहले MacPorts से शुरुआत की थी, फिर Homebrew पर गया, लेकिन हाल में फिर MacPorts पर लौट आया हूँ
      वह समय याद आता है जब पुराने PowerBook पर भी बिना समस्या build हो जाता था
    • अब Homebrew लगभग App Store extension जैसा लगता है
    • Homebrew का पुराने macOS versions का support बंद करना निराशाजनक है
      Apple की तरह पुराने versions का support छोड़ना open source spirit के ख़िलाफ़ है
      “Intel support ended” जैसा वाक्य देखकर झटका लगा
    • “pro” और “consumer” के बीच का फ़र्क ही अस्पष्ट है। क्या वास्तव में कोई consumer Homebrew इस्तेमाल करता है, इस पर भी संदेह है

  • मुझे लगता है कि Homebrew maintainers की अमित्रतापूर्ण communication भी एक समस्या है
    तकनीकी रूप से xattr को postinstall स्टेज पर चलाना सही हो सकता है, लेकिन रवैये में सुधार की ज़रूरत है

    • Mike McQuaid की प्रतिक्रिया हद से ज़्यादा थी। सामने वाला शांत था, लेकिन जवाब अनावश्यक रूप से आक्रामक था
    • वे चर्चा को खुला दिखाते तो हैं, लेकिन वास्तव में वह औपचारिक चर्चा मात्र थी

  • शुरुआत में मुझे समझ ही नहीं आया कि इस बदलाव का सही मतलब क्या है
    मैं उलझन में था कि क्या Homebrew से source build रुक जाएगा, या सिर्फ signed binaries ही चल पाएँगे

    • असल में सिर्फ cask प्रभावित है, formulae और bottle वैसे ही रहेंगे
    • macOS के binaries में quarantine flag होता है, और अगर वह सेट हो तो run होने से पहले security check होता है
      --no-quarantine विकल्प हट गया है, लेकिन user खुद वह flag हटा सकता है
      अंततः यह signed binaries को प्रोत्साहित करने की दिशा में धकेलने वाला कदम है
    • discussion जल्दी बंद कर दी गई, इसलिए आगे सवाल नहीं पूछे जा सके
    • MacPorts अभी भी ठीक से काम कर रहा है, इसलिए मुझे लगता है कि Homebrew भी आख़िरकार कोई समाधान निकाल लेगा
      manually built binaries अभी भी चल सकती हैं
    • उदाहरण के लिए ClickHouse जैसे unsigned apps कुछ समय तक इंस्टॉल नहीं किए जा सकेंगे

  • --no-gatekeeper विकल्प हटना अपने-आप में कोई बहुत बड़ी बात नहीं है
    उसका काम सिर्फ com.apple.quarantine attribute को हटाना था
    असली समस्या यह है कि अब सभी cask के लिए Apple Developer Program signing·notarization की आवश्यकता होगी
    open source developers के लिए सालाना $99 की लागत और कानूनी पहचान सार्वजनिक करना बोझिल है
    अच्छा होगा अगर Apple, Xcode Cloud का उपयोग करके free signing की सुविधा दे
    संबंधित चर्चा: #6334, #6482

  • users की सुरक्षा का उद्देश्य समझ में आता है, लेकिन Gatekeeper का App Store revenue tool में बदल जाना समस्या है

    • मुझे नहीं लगता कि सालाना $90 (या $99) फ़ीस बहुत ज़्यादा है
      हालांकि student developers के लिए यह बोझ हो सकती है
      अगर Apple third-party certificate trust की अनुमति दे, तो शायद वह बेहतर होगा

  • --no-quarantine विकल्प और ARM64 signing restriction अलग-अलग चीज़ें हैं
    unsigned apps में attribute हटाने पर भी वे नहीं चलेंगी
    macOS adhoc signing की अनुमति देता है, इसलिए उसका उपयोग करके उन्हें चलाया जा सकता है

    • Gatekeeper com.apple.quarantine attribute के आधार पर तय करता है कि execution block करना है या नहीं
      XProtect और AMFI background में अतिरिक्त checks करते हैं
      attribute हटाने पर, जब तक XProtect block न करे, कोई भी binary चल सकती है
    • ऊपर दिया गया विवरण मोटे तौर पर सही है

  • यह निराशाजनक है कि Homebrew issues को बहुत जल्दी lock कर देता है
    user के नज़रिए से देखें तो Apple की मंज़ूरी के बिना अपने ही कंप्यूटर पर app नहीं चला सकने जैसी स्थिति है

    • Homebrew issues इसलिए lock होते हैं क्योंकि वह discussion केवल Discussions tab में ही allow करता है
    • बहुत समय से maintainers के बारे में यह धारणा रही है कि वे आक्रामक और anti-discussion हैं
    • मैं “Homebrew user-friendly है” इस बात से सहमत नहीं हूँ
    • यहाँ तक कि ऐसा मज़ाक भी किया जाता है कि “Tim Cook के कंप्यूटर को उन्हीं की मर्ज़ी से इस्तेमाल करना होगा”

  • Alacritty भी इस बदलाव से प्रभावित है
    developers के Apple signing fee चुकाने की संभावना कम है
    संबंधित issue: alacritty/alacritty#8749

    • मैं भी Alacritty सहित कई cask इस्तेमाल करता हूँ
      शायद अब alternatives ढूँढने पड़ें
    • संभव है कि installation के बाद quarantine attribute removal script जोड़ देने से समस्या हल हो जाए
    • HN की एक और टिप्पणी में workaround दिया गया है
    • अगर वह open source है, तो मेरा मानना है कि उसे cask की जगह formula से build करना ज़्यादा सही है