Veränderung der Code Signatur gemeldet

Hallo Entwickler und Nutzer,

seit dem update auf die „Version: 0.43.1 (Dez. 2019) / Platform: macosx, x86_64 / Java: 11.0.4+11-LTS, Azul Systems, Inc.“ erhalte ich von meiner Firewall erstmals seit der vor über einem Jahr durchgeführten Installation von PP die folgende Fehlermeldung beim Start des Programmes (z.B. bei der Verbindung mit dem host „updates.portfolio-performance.info“ oder der EZB sowie anderen Kurslieferanten): „Fehler beim Laden der Internet Access Policy. Code-Signature des PortfolioPerformance Bundles ist nicht gültig.“

Diese Fehlermeldung wird firewallseitig mit folgender Erläuterung unterlegt: „Bislang war das Programm von einem Entwickler signiert, der von Apple zertifiziert ist. Jetzt aber hat es gar keine Code-Signatur mehr. Da wir es schon einmal mit gültiger Signatur gesehen haben, kann es sein, dass das Programm durch Schadsoftware ersetzt wurde. Aber (noch) keine Panik! Angriffe durch Schadsoftware sind selten, daher solltest du auch die Möglichkeit eines Fehlers in der Update-Prozedur des Programms in Betracht ziehen.“

Daraus folgt meine Frage an die Entwickler, ob entwicklerseitig die Signatur mit o.g. Version entfernt worden ist, die update-Prozedur des Programms verändert wurde oder eine andere Erklärung für diese Warnmeldung bekannt ist?

Als Reaktion wird firewallseitig angeboten „Alle Verbindungen von PortfolioPerformance verbieten“ oder „Änderung akzeptieren“. Welche Reaktion soll genommen werden?

Schadsoftware ist nicht auf dem Rechner (es sei denn, diese wurde über PP mitgeliefert).

Mit bestem Dank im Voraus für hilfreiche Antworten
Magellan

Hallo @Magellan

kannst du bitte einmal die neuste Version herunterladen und prüfen, ob die Fehlermeldung dann verschwindet?

Gruß
Marco

Danke @Ragas für den Hinweis, die Antowrt seitens PP auf „suche nach Aktualisierungen“ ist, dass es sich bei der oben erwähnten Version um die aktuelle Version handelt. Gruß Magellan

Es geht mir hier gerade nicht um die Version, sondern um zu überprüfen ob bei dir im Package eine alte Signatur drin ist. Einfach bitte neustes DMG ausprobieren…

Danke @Ragas für die Erläuterung. Das alte DMG (Juni 2018) habe ich nun durch das neue (heute) ersetzt, was zunächst eine andere Fehlermeldung hervorruft: „Die Prüfsumme des Programms stimmt nicht mehr mit dem Wert überein, der zur Identitätsprüfung gespeichert wurde. Das heißt wahrscheinlich, dass das Programm mittlerweile aktualisiert wurde. Es kann aber auch sein, dass das Programm durch Schadsoftware ersetzt wurde.“

Der Eintrag „nicht signiert“ bleibt jedoch bestehen.

Wurde die Prüfsumme geändert?

Leider geht die macOS Signatur nach dem ersten Start der Software kaputt. Das gilt auch für die aktualisierte Version.

Der Grund liegt immer daran dass die verwendete Java Bibliotheken (Eclipse) sich nicht an die macOS Vorgaben halten und ich das auch nicht ändern kann. Zum einen werden bestimmte Dateien in das „Application Bundle“ geschrieben. Zum anderen kann der Update Mechanismus die macOS Signatur nicht mitaktualsieren.

Ich signiere die macOS Version nur aus dem Grund das der erste Start einfacher ist. Ich dachte das ist zumindest besser als gar nichts zu signieren.

Nur interessehalber: welche Firewall Software verwendest Du denn?

Vielen Dank @ Andreas für Deine Auskunft, welche wohl der Grund der beiden Fehlermeldungen der Little Snitch ist. Vor diesem Hintergrund kann ich ja dann wohl risikolos auf „Änderung akzeptieren“ gehen !?

Ja, die Änderungen nimmt PP an sich selber vor…