Блокировка удаленного доступа к базам данных в Mac Sequoia и обходные пути в Lazarus/Pascal.

Delphi , Базы данных , База данных

В новой версии macOS Sequoia появилась новая функция безопасности, которая блокирует удаленный доступ к базам данных для приложений, не имеющих соответствующих разрешений. Это создает проблемы для разработчиков Lazarus/Pascal, использующих компоненты для доступа к удаленным базам данных, таким как Firebird, MySQL, PostgreSQL и MariaDB.

Проблема:

macOS Sequoia требует, чтобы приложения, использующие UDP multicast, имели специальное "multicast entitlement". Приложения Lazarus, как правило, не имеют этого entitlement, что приводит к блокировке доступа к базам данных, расположенным в локальной сети. Проблема проявляется как ошибка "No route to host" или аналогичная.

Суть проблемы:

Новая функция безопасности "Local Network Privacy" в macOS Sequoia действует как дополнительный уровень защиты, контролирующий доступ приложений к ресурсам локальной сети. При первом запуске приложения, пытающегося получить доступ к локальной сети, система должна запросить у пользователя разрешение. Если приложение не запросит разрешение или пользователь откажет в доступе, приложение будет заблокировано от доступа к ресурсам локальной сети.

Почему это проблема для Lazarus/Pascal?

Lazarus сам по себе, как и приложения, скомпилированные с его помощью, рассматриваются macOS как сторонние приложения. Без "multicast entitlement" Lazarus не может инициировать запрос на разрешение доступа к локальной сети, что приводит к блокировке доступа к удаленным базам данных.

Решение (временное):

Несмотря на то, что Apple не предоставляет официального способа добавления приложений в список исключений "Local Network Privacy", существуют временные обходные пути, предложенные пользователями:

• Запуск Lazarus из терминала: Запуск Lazarus из терминала, например, из iTerm, может обходить проблему, поскольку терминал уже может иметь разрешение на доступ к локальной сети. Однако это не является полноценным решением, так как проблема остается для скомпилированных приложений.
• Попытка программно инициировать запрос на разрешение: Пользователь wcage03 попытался перевести код Swift, предоставленный Apple, на Free Pascal, чтобы попытаться программно инициировать запрос на разрешение доступа к локальной сети. Однако, эта попытка не увенчалась успехом.

Альтернативное решение (требует исследований и разработки):

• Изучение альтернативных протоколов: Необходимо исследовать, использует ли Lazarus/FPC UDP multicast для доступа к базам данных. Если да, то можно ли использовать unicast или другие протоколы, не требующие "multicast entitlement". Это может потребовать модификации компонентов доступа к базам данных.
• Добавление "multicast entitlement" в Lazarus: Наиболее надежным решением является добавление "multicast entitlement" в сам Lazarus. Это, вероятно, потребует регистрации в качестве разработчика Apple и прохождения процесса сертификации. Это также может потребовать изменений в процессе сборки Lazarus.

UUID и Local Network Privacy:

В документации Apple упоминается важность уникального UUID для исполняемого файла. Необходимо убедиться, что Lazarus и скомпилированные им приложения имеют уникальные UUID, чтобы избежать проблем с Local Network Privacy.

Пример кода (попытка инициировать запрос на разрешение, требует доработки):

Следующий код является попыткой перевести код Swift, предоставленный Apple, на Free Pascal для инициирования запроса на разрешение доступа к локальной сети. Этот код может потребовать значительной доработки и не гарантирует работоспособность.

unit LocalNetworkHelper;

interface

procedure TriggerLocalNetworkAlert;

implementation

uses
  SysUtils, Classes, Sockets;

procedure TriggerLocalNetworkAlert;
var
  ClientSocket: TSocket;
  Addr: TSockAddrIn;
  Host: String;
  Port: Integer;
begin
  // Попытка подключения к локальному адресу для инициирования запроса на разрешение.
  Host := '127.0.0.1'; // Или любой другой адрес в локальной сети
  Port := 8080; // Или любой свободный порт

  try
    ClientSocket := Socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);
    if ClientSocket = INVALID_SOCKET then
      raise Exception.Create('Socket creation failed');

    Addr.sin_family := AF_INET;
    Addr.sin_addr.s_addr := inet_addr(PAnsiChar(Host));
    Addr.sin_port := htons(Port);

    if Connect(ClientSocket, Addr, SizeOf(Addr)) = SOCKET_ERROR then
    begin
      // Ошибка подключения может быть ожидаемой, главное - инициировать запрос.
      // Log the error, but don't raise an exception.
      OutputDebugString(PChar('Connect failed: ' + SysErrorMessage(WSAGetLastError)));
    end;

    CloseSocket(ClientSocket);

  except
    on E: Exception do
      OutputDebugString(PChar('Exception: ' + E.Message));
  end;
end;

end.

Важно:

Этот код является лишь отправной точкой и требует дальнейшего исследования и доработки. Он может не работать в текущем виде.

Заключение:

Новая функция безопасности "Local Network Privacy" в macOS Sequoia создает серьезные проблемы для разработчиков Lazarus/Pascal, работающих с удаленными базами данных. Необходимо найти надежное решение, либо через добавление "multicast entitlement" в Lazarus, либо через использование альтернативных протоколов, не требующих этого entitlement. Временные обходные пути могут помочь в краткосрочной перспективе, но не являются полноценным решением. Сообществу Lazarus/Pascal необходимо объединить усилия для решения этой проблемы.

Создано по материалам из источника по ссылке.

macOS Sequoia блокирует удаленный доступ к базам данных для приложений Lazarus/Pascal из-за новой функции безопасности, требующей "multicast entitlement", что создает проблемы, для которых пока нет надежного решения, кроме обходных путей.

Комментарии и вопросы

Получайте свежие новости и обновления по Object Pascal, Delphi и Lazarus прямо в свой смартфон. Подпишитесь на наш Telegram-канал delphi_kansoftware и будьте в курсе последних тенденций в разработке под Linux, Windows, Android и iOS

:: Главная :: База данных ::