The Apple Geek

Хочу дать немного пищи для ума. Многие пользуются сервисом Evernote (я – в том числе) и хранят в нём достаточно много информации. И она бывает достаточно конфиденциальной. Например, это могут быть пароли к каким-то сервисам, лицензионные ключи и много другого, что совсем не предназначено для посторонних глаз.

Разработчики Evernote не альтруисты, и они хотят заработать деньги. Поэтому предлагается бесплатная и платная версии. Подписка на Premium в год стоит $45.

Давайте внимательно посмотрим на то, чем различается бесплатная и платная версии сервиса (я цитирую русскую версию):

Вот что получают премиум-пользователи Evernote

• Увеличенный до 500 МБ* в месяц объем загружаемых заметок
• Возможность прикреплять, синхронизировать и получать доступ к любому файлу на всех платформах и устройствах
• Поиск текста в изображениях внутри в PDF
• Усиленную безопасность с применением протокола SSL при входе в систему и передаче данных
• Приоритетное распознавание текста в изображениях
• Приоритетное обслуживание и поддержка
• Отсутствие рекламы
• Другие эксклюзивные возможности — совсем скоро!

(more…)

Для параноиков или людей, серьёзно относящихся к безопасности в рамках организации, одним из первых порывов при настройке клиентских операционных систем является отключение возможности подключения внешних носителей информации вроде USB-дисков. На сайте АНБ (да, это именно USA National Security Agency, Central Security Service) я обнаружил рекомендацию, как это реализовать. Нужно удалить два kext’а – один для USB, второй – для Firewire:

$ sudo rm -Rf /System/Library/Extensions/IOUSBMassStorageClass.kext/
$ sudo rm -Rf /System/Library/Extensions/IOFireWireSerialBusProtocolTransport.kext/

У пользователей не должно быть прав администратора, иначе они запросто восстановят kext’ы (ладно, обычный пользователь вряд ли восстановит, но более-менее искушённый это сделает без проблем).

Но не забывайте, что при обновлении операционной системы файлы скорее всего появятся, и их нужно удалять регулярно. Вариант – создание стартовых скриптов, проводящих эту операцию при перезагрузке. Ещё один – создание каталогов с особыми правами с такими же именами (не пробовал).

А более правильный вариант – это развёртывание в сети централизованной системы аутентификации и авторизации OpenLDAP на Mac OS X Server. В этом случае в профиле пользователя в Mobility Management можно очень просто запретить использование не только съёмных USB-носителей, но и CD/DVD/etc. Исследование того, как именно это происходит, это тема для отдельной статьи, я пока ответить не могу. Но хочу :-)