Seit ein paar Tagen habe ich das seltsame Phänomen, dass Dateien aus Mail und Browser (quasi alle Downloads) auf den Schreibtisch gezogen/heruntergeladen nicht mehr geöffnet werden können … PDFs, JPGs, einfach alles …
Sie werden vom Mac alle in Quarantäne gesetzt – und ich verstehe nicht, warum.

Ansonsten verhält sich der Mac völlig normal, wenn man das von Ventura 13.3 ansonsten behaupten kann.

Ich kann jeweils eine Datei von der Quarantäne per Terminal
xattr -r -d com.apple.quarantine <path_to_the_document>
befreien und dann öffnen, aber mit jeder neuen Datei geht das Spiel von vorne los.



Weiß jemand Rat?

An 13.3 liegt es übrigens nicht, das Update habe ich heute erst gemacht.
Ich hatte gehofft, dass es das Problem wieder glattziehen würde.

Ich mache hier einfach mal weiter.

– die Dateivorschau zeigt den Inhalt komischerweise korrekt an
– man kann die Dateien auf einem anderen Rechner öffnen

Das hilft Dir jetzt leider nicht weiter, aber ein ähnliches Phänomen habe ich kürzlich an einem iMac mit Catalina beobachten können, dort betraf es allerdings Dateien, die von einem per SMB gemounteten Synology-NAS kommen…

Exakt das selbe Problem: Alle anderen Rechner in dieser Umgebung können alle Dateien des Servers problemlos öffnen, nur dieser iMac mit Catalina behauptet, die Dateien seien beschädigt und entsprechend ließen sie sich nicht öffnen.

Auf die Schnelle hatte ich da leider auch keine Lösung parat.

Nur eine Idee: Eventuell ist der "Finder" zerschossen bzw. dessen Einstellungen? Hast Du mal versucht, die Dateien statt über den Finder mit "Forklift" zu öffnen? Oder auch mittels "Pathfinder"?

@Marcel_75@work

… Danke für's Mitgrübeln! Das probiere ich morgen mal am entsprechenden Mac aus, ob Forklift das Problem auch hat und berichte.

Das ist schon sehr seltsam, es gibt auch ein paar Treffer bei google, aber das ist dann alles nicht zielführend oder geht meist in die Richtung App-Start über die Systemeinstellung Sicherheit und Datenschutz. Aber hier ist es ja keine heruntergeladene App, die nicht startet, sondern einfache Dateien.

Wie sieht's in anderen user accounts des Macs aus (ggf. testweise neuen anlegen)?

Datum und Uhrzeit korrekt?

@Marcel_75@work

Forklift hat (leider) das gleiche Problem. Es zeigt in der Vorschau zwar den Inhalt korrekt an, öffnen lässt sich eine solche Datei aber nicht. Da die Datei vom System die Quarantäne erhält, verhält sich Forklift hier wohl "systemkonform". Ein separater Finder-Neustart hilft auch nicht.

@MikeMuc

Interessanter Ansatz – aber nachdem ich in den neuen Systemeinstellungen endlich die Stelle für Datum und Uhrzeit gefunden habe … … daran liegt es leider auch nicht.

@ruphi

Ein komplett neuer Account hat die gleichen Probleme. Ein Bildchen von einer Website testweise auf den Schreibtisch gezogen lässt sich danach nicht öffnen.

@Marcel_75@work

Da hier auch eine Syno steht, habe ich die Shares von dort mal gemountet … der Effekt tritt auch bei allen Dateien vom Server auf. (AFP und SMB gemountet)

Obskur:
Ein paar Dateien gingen aber ersteinmal in Vorschau und Photoshop auf! Andere waren von vornherein defekt. Nach ein-/zwei-mal Öffnen in Vorschau/Shop waren dann plötzlich manche wieder defekt, andere bleiben intakt – trotz verschieben, öffnen, schliessen.
Eines ging jetzt ca. 10x in Vorschau auf, danach war's kaputt.

Außer unterschiedlichen Dateigrößen sehe ich keinen Unterschied.

mateteetasse
früher konnte man, sofern man die Zeit in der Menüleiste eingeblendet hat, da einfach draufkriegende und man bekommt das Datum angezeigt. Und mit Alt+ Klick konnte man direkt in die Einstellungen falls nötig.

Allein an dem Quarantine Flag wird es nicht liegen.
Alle heruntergeladenen oder durch AirDrop hereingekommenen Dateien erhalten ein Quarantäne-Attribut, das das Programm nennt, mit dem heruntergeladen wurde. Außerdem enthält es eine Art Typnummer, die unterschiedlich sein kann, häufig 0x83 oder 0x81. An der Nummer wird anders als bei den dem Gatekeeper-Check unterworfenen Programmen beim ersten Öffnen nichts geändert.
Das Phänomen, das ich im Zusammenhang mit solchen Dateien auf macOS Mojave beobachtet habe, ist der Hinweis, dass die Datei von einem unbekannten Entwickler stamme. Das trat regelmäßig auf an dem Duplikat von mp3-Dateien. In dem Fall hat nämlich der Finder ein Extended Attribut "com.apple.LaunchServices.OpenWith" zusätzlich angehängt, in dem Quicktime als das zu benutzende Programm genannt wird, und das führte anscheinend zu dem beobachteten Phänomen. Mit der jüngsten Version von Mojave passiert das jedoch nicht.

mateteetasse: Oh krass, das klingt wirklich spooky…

Da bin ich ja echt mal gespannt, was das für ein 'bug' sein soll, der zu so einem Verhalten führt.

Nächste Idee: Mal Ventura komplett neu installieren (also per Recovery-Modus und ohne Deine User-Daten, Apps etc. zu löschen)?

Bzw. baue Dir einen 13.3 Ventura Installer, idealerweise auf einer externen SSD. Und dann von dort aus 'drüber bügeln'.

Hab das Problem nicht, aber vielleicht mal Onyx drüber laufen lassen und schauen, ob es irgendwelche Probleme erkennt? Vielleicht ist die Platte oder generelle Dateisystemstruktur angeschlagen. Disk Repair aus dem Recovery Modus heraus könnte man auch probieren. Nur ein paar Ideen...

Ventura liegt auf einem versiegelten Read-Only-Volume. Das Neuinstallieren kann keine Wirkung haben.

Onyx kann keine Probleme erkennen, es verusacht Probleme.

Die Dateien sind ja nicht wirklich defekt. Die Fehlermeldung bedeutet in Wirklichkeit, dass die Quarantänedaten, die an die Dateien angehängt wurden, ungültig sind. Das ist offenbar ein Gatekeeper-Problem. Jede Datei, die den Mac über einen unsicheren Kanal erreicht, muss unter Quarantäne stehen.

Liegen die Programme "Mail" und "Safari" ganz normal auf dem System-Volume? Ist vielleicht ein Virenscanner eines Drittanbieters aktiv?

@MikeMuc
Jahaa, früher konnte man das. Aber früher war auch alles besser.
Jetzt bewirkt alt-klick auf den Datumseintrag rechts oben eine Fokus-Änderung. Logisch!

@Deichkind

… daher kommt man bei den Google-Suchen immer früher oder später bei der Sicherheit in der Systemseinstellung zu einer App eines Fremdentwicklers raus. Aber hier sind's halt Dateien mit Standard-Extensions jpg, png, pdf. Und die genutzten Programme sind Safari, Mail und Finder. Also nix exotisches.


… in deinem Beispiel wäre Quicktime erkannt worden – aber warum sollte da das öffnen verboten werden. Das Programm Quicktime ist doch im System und per se in Ordnung.

… könnte das theoretisch auch heißen, dass eine nicht korrekt installierte App sich diese Extension "gekrallt" hätte und das System jetzt zumacht? Aber das wäre im fraglichen Zeitraum nicht passiert.

@Marcel Bresink

JA, "defekt" war ungenau formuliert, sie sind "nur" in Quarantäne gestellt. Per Terminal kann man sie wieder "freischalten", dann funktionieren sie wieder.
Ist auch gerade der Workaround, aber natürlich kein Zustand.

@Zerojojo
… man soll das Vodoo-App-Zeuch ja nicht nehmen, aber ich kann sagen, dass CleanMyMac auch nichts findet.

… Mail und Safari liegen an ihren angestammten Plätzen. Ich käme nicht auf die Idee, (solche) Programme herumzuschieben.

Das Problem kam aus heiterem Himmel, keine besonderen anderen Vorkommnisse. MIt einem Mal liess sich ein Mailanhang nicht mehr öffnen.

Gibt's eine Möglichkeit, den Gatekeeper zu schütteln?

@Marcel_75@work

Neuinstallation wäre für mich der letzte Schritt – dann ist ja eventuell das Problem weg.

Auch wenn Marcel Bresink sogar davon ausgeht, dass das unter Umständen nichts brächte – ich würde jetzt schon gern wissen, was sowas bewirken kann und wie man das strukturierter lösen kann.
Mein innerer Sherlock zuckt mit der Augenbraue.

@Marcel Bresink

Vergessen: Virenscanner sind keine aktiv. CleanMyMac war nur ein Just-for-Fun-Testversuch aus der Setapp-Kollektion.

Das System ist eigentlich ein recht beschauliches. Zusätzlich nur Adobe Collection und Setapp mit den eher bekannteren Apps, … kein sonstiger Anhaltspunkt am Grundsystem.

Das Problem gibt es seit 31.03. …
An diesem Tag wurde wohl auch ein stilles XProtect Update von Apple verteilt:
XProtectPayloads 95 und XProtectPlistConfigData 2167

… denkbarer Zusammenhang?

Das wäre ja korrekt. Jeder Download muss unter Quarantäne sein. Das Problem ist, dass die Quarantänedaten fehlerhaft sind.

Was liefert bei einer mit Safari heruntergeladenen Bilddatei, die sich nicht öffnen lässt, denn ein
? Normalerweise sollte in Ventura ein Ergebnis nach dem Muster
herauskommen.

Ich würde einfach ein Ventura drüber bügeln:
Evlt. sogar unter einem Sicheren Systemstart
Dann AppStore, Ventura Installer laden, und los geht's. Natürlich vorher ein backup machen!
Evtl. hat das Delta Update von 13.2.1 auf 13.3 nicht alles richtig gemacht. deshalb nochmal den Full-installer drüber schicken.

Edit: sorry grad noch mal nachgelesen, daß das Problem schon vor 13.3 bestand.

Das ist seit macOS 11 nicht mehr möglich. Das Betriebssystem ist versiegelt. Wenn irgendein Bit falsch wäre, würde das System automatisch verworfen und beim ersten Start über einen APFS-Schnappschuss auf das vorige System zurückgerollt.

@macaleks
Jupp, das Problem trat bereits (plötzlich) in 13.2.1 auf. Ich hatte auch naiv gehofft, dass das mit 13.3 eventuell wieder verschwinden würde.

@Marcel Bresink

Ein "xattr -l" auf ein Profilbildchen hier aus machtechnews wirft folgendes im Terminal aus:

Würde trotzdem einfach mal Ventura mit dem Full Installer drüber installieren.
Oder eben doch erst Onyx: Optimieren Aufräumen System i alle aktivieren,
sowie alle (System- etc. Caches) löschen lassen.

Hast Du Clean My Mac vom Rechner wieder runter? Das gräbt sich auch ganz ordentlich ins System ein. Ich meide das wie die Pest. (Zum Deinstallieren Appcleaner benutzen)

@macaleaks

… wenn es gar keine andere Möglichkeit gibt, werd ich wohl frisch installieren.
Aber momentan wäre mir eine Fehlererkennung (noch) lieber. Da es gefühlt spontan auftrat, könnte das ja dann jederzeit wieder passieren? Auch wenn es wohl ein seltenes Phänomen zu sein scheint.
CleanMyMac lässt sich via Setapp auch wieder gut entfernen – und ist zumindest hier nicht der Grund des Übels.

Wie gesagt, der Fehler ist nicht, dass die heruntergeladenen Dateien "unter Quarantäne gestellt" werden, sondern welche Konsequenzen das in diesem Fall hat.
Howard Oakley hat ein auf macOS Mojave vorübergehend auftretendes Phänomen seinerzeit im macOS-Log verfolgt: "documents from an unidentified developer: quarantine misbehaviour in the log" .

Sein jüngster Bericht zur Funktion des Quarantäne-Attributs ist vom Dezember 2021 "Explainer: Quarantine"

@Deichkind

hm, Howard Oakley ist mir da ein wenig zu viel Fachmann.
Obwohl ich bei ihm bei der Recherche auch schon gelandet bin – ich werd aus seinen Artikel aufgrund seiner Expertise nicht wirklich schlau, ob das was für mich bedeutet. Und wenn ja, was.
Wenn ich das richtig sehe, beschreibt er da (halt nur) ganz gut das Problem, das ich gerade habe …

Es gibt in dem Zusammenhang eigentlich keinen "unidentified developer" oder eine verursachende App, die Apple nicht schon kennen würde.

Aber vielleicht verstehe ich das Gesamtkonstrukt nicht genug.
Es folgt für mich zumindest daraus ohne weiteres kein Lösungsansatz.

Oder wie würdest du vorgehen?

Dein Fall ist anders als in dem von Howard Oakley und dem in meinem ersten Beitrag hier beschriebenen Fall:
Andere Fehlermeldung, anderes System.

Ich habe kein System mit macOS Ventura zur Verfügung. Und es bringt nichts, hier Log-Exzerpte aus macOS Big Sur zu präsentieren, seither hat sich auf dem Gebiet erneut viel geändert.
Grundsätzlich würde ich einen Fall mit reibungslosem Verlauf mit jenem dieses Threads hier vergleichen.

mateteetasse: Starte den Mac doch mal im abgesicherten Modus:



Und berichte dann, ob das Phänomen immer noch auftritt.

@Marcel_75@work

Hatte ich schon mal ausprobiert, aber sicherheitshalber jetzt nochmal … ich schreibe den Kommentar gerade im abgesicherten Modus.
Dein heruntergeladenes Profilbild lässt sich … nicht öffnen.

Nur zum Vergleich:
Die gleiche Aktion führt hier (13.2.1 (22D68)) zu einem einzigen Attribut:

@MrChad

ah, das ist auch einen Check wert …
… hier bei einem anderen Mac mit 13.3, bei dem alles funktioniert,
sieht (das gleiche Profilbildchen) so aus …
hm, keine Ahnung, ob man da einen Hinweis erkennt.


lastuseddate, ItemDownloadedDate und der quarantine-hash sind anders – aber das dürfte sich ja aus den unterschiedlichen Zeiten/Aktionen ergeben.
Wie es auf 13.2 aussähe, kann ich hier nicht sagen … aber an 13.3 (mit einer anscheinend wieder geänderten Ausgabe) liegts ja eigentlich nicht.

Was mich stutzig macht, ist der Teil mit dem SandboxBroker.
Liest sich so, als ob "mein" Safari irgendwie ge"sandbox"t und fest mit dem System verheiratet sei und deines nicht.

Der wahre Speicherort "meines" Safari ist wohl
und das Teil meldet sich hier als Version 16.3 (18614.4.6.1.6)

Die Auflistung bei mateteetasse ähnelt jener von Bildern, die ich im Mai 2020 auf macOS Mojave heruntergeladen habe. Die Attribute
com.apple.metadata:kMDItemWhereFroms
com.apple.metadata:kMDItemDownloadedDate
fehlen heutzutage bei in der Sandbox ausgeführten Safari-Tabs. Auch auf dem neuesten Safari für Mojave ist das so.

com.apple.lastuseddate#PS kommt hinzu, wenn das Bild auf dem Mac wenigstens einmal geöffnet worden ist.

Mein direkt bei Mozilla bezogener Firefox hingegen wird nicht in der Sandbox ausgeführt, und so ist die Kollektion der Attribute auch heutzutage wie früher bei Safari.

Das Attribut com.apple.macl wurde erst mit macOS Catalina eingeführt und auch auf dem neuesten macOS Big Sur wird dieses Attribut noch hinzugefügt, ansonsten finde ich dort nur com.apple.quarantine mit dem Hinweis auf den SandboxBroker. Und mit dem Safari auf macOS Ventura wird com.apple.macl normalerweise also nicht mehr angefügt, außer eben bei mateteetasse?

@deichkind

… die Terminalausgabe ist so jeweils auf zwei unterschiedlichen Macbooks, M1 (12:36) und Intel (15:21),
beide Ventura 13.3.
… das Problem auf dem M1 tritt bei beliebigsten PDFs, JPGs, PNGs etc.pp. auf
… ich habe jetzt auch nochmal statt Safari den Firefox und Chrome getestet, bei beiden der gleiche Effekt.

Wozu tendierst du aufgrund deines Kommentars, was da falsch laufen könnte?

@MrChad

Safari hier ist Version 16.4 (18615.1.26.11.22) und eigentlich (ganz normal) aus dem Programme-Ordner.
Wie hast du deinen Speicherort von Safari herausbekommen? Der ist doch ziemlich ungewöhnlich?

@MrChad
Das wäre das Safari von der Wiederherstellungspartition. Das "normale" liegt doch im App-Ordner auf Macintosh HD.
Probier's mal mit dem…

Aus der Erinnerung, bin jetzt nicht am Platz:
Im Finder (Programme-Ordner) mit Rechtsklick den App-Ordner öffnen. Darin befindet sich ein Ordner „Contents“.
Diesen „Contents“-Ordner in ein Terminal-Fenster ziehen.
Dann steht da der Pfad. Fand ich auch seltsam.

Nein, beides stimmt nicht.

In macOS Ventura liegt Safari immer an dieser Stelle. Das ist auch nicht das Wiederherstellungs-Volume (Partition erst recht nicht), sondern der kryptografisch gesicherte Sonderbereich für "Schnelle Sicherheitsmaßnahmen" (Rapid Security Response). Apple kann dort schnell Sicherheits-Fixes für Safari installieren, selbst wenn der Benutzer macOS-Updates ausgeschaltet hat.

Das Exemplar im Programme-Ordner gibt es nicht wirklich, sondern ist nur ein symbolischer Link in den Cryptexes-Ordner.

War verwundert, ist eher das Fehlen des "Safari.SandboxBroker"-Eintrags. Eine Erklärung dafür habe ich im Moment allerdings auch noch nicht.

puh, ich fühl mich langsam etwas überfordert.
nichtmal der "echte" speicherort des safari-browsers ist beim aktuellen mac-sicherheitskonstrukt nachvollziehbar? ist das ganze apple-seitig nicht etwas verbaut? oder hab ich jetzt nur noch wald vor den bäumen?

aber safari allein ist es ja auch nicht, aus mail herausgezogene dateien haben das gleiche problem.

ich muss das mal sacken lassen – aber ich hoffe, alle sind noch nicht genervt vom thema …

Im ersten Schritt würde ich mal prüfen, ob das ungewöhnliche Verhalten nicht durch einen Bösewicht entsteht. Vielleicht mal etrecheck laufen lassen. Sicher ist sicher.

Dann könnte ich mir vorstellen, dass eventuell irgendwas in der Keychain kaputt ist - halte ich für unwahrscheinlich, könnte aber erklären, dass die Checks von Signaturen, Webseiten und so weiter Zertifikate nicht validieren können, was dann sämtliche Server (betrifft dann auch Mail) als unsichere Quellen einstuft und damit das Quarantine-Flag bewirkt.

Vielleicht hilft auch mal die Nutzung von LuLu und BlockBlock um ungewöhnliche Installationen oder Netzwerkaktivitäten aufzuspüren.

Ich könnte mir auch vorstellen, dass vorhergehende Fehler sich durch Spotlight ins System eingegraben haben - den Index vielleicht mal neu aufbauen.

Ist aber alles eher ein Stochern im Dunklen.

Oder mal, z.b. mit SilentKnight, schauen, ob alle Komponenten aktuell sind? Vielleicht klemmt irgendwo eine schiefe Signatur?

@ssb
Danke für deine Tipps, ich geh' das mal an.
Stochern im Dunklen isses ja schon von Anfang an, also mach' ich da gern weiter.

Netzwerk-Themen hatte ich ausgeschlossen, indem ich den Mac über iphone-LTE ins Netz geschickt habe und das auch nichts gebracht hat. Andere Kisten mit ähnlichem Aufbau haben das Problem zudem im Netzwerk nicht.

Einen "Bösewicht" hätte ich in der engeren Wahl, weil es mit Attachments via Mail zu tun hat – aber da wäre ich gespannt, was das denn sein könnte.

Das Zertifikate-Handling mit damit zusammenhängenden Problemen ist mir nicht so vertraut, das Keychain-Programm finde ich etwas ungelenk. Aber mal sehen, ob ich hierzu noch Hinweise im Netz finden kann.

… ich bleib dran und gehe deine Ansätze durch – bis der Schmerz zu groß wird und die Kiste dann eben heiß gebügelt wird.

Und danke @caMpi,
auch das schau' ich mir an.

Daran kann es nicht liegen. Bis auf den App Store stuft Apple immer das gesamte Internet als unsicher ein und es wird jede von außen kommende Datei unter Quarantäne gestellt. Das war schon immer so und hat nichts mit Zertifikaten und Signaturen zu tun.

Manchmal werden auch Dokumentendateien, die mit heruntergeladenen Programmen lokal auf dem Rechner neu angelegt wurden, unter Quarantäne gestellt. Auch das ist normal.

Welcher der Macs ist es denn, der hier zickt? Der mit M1 oder der mit Intel-Prozessor?

Beide liefern zu dem Bild Attribute mir ähnlichem Inhalt, nur auf dem einen kommt jedoch die Fehlermeldung. Demnach liegt es wohl tatsächlich nicht an dem Inhalt der Attribute trotz des für macOS Ventura etwas ungewöhnlichen Aussehens.

Apple geht in dem Dokument “Apple Platform Security Guide” kaum auf die Prüfung von Dokumenten ein. Nur die Prüfung von ausführbarem Code wird dort pauschal beschrieben.

Übrigens: Das Dokument erschien im Dezember 2022 in veränderter Form mit einigen Ergänzungen. Auf der ersten Seite ist jedoch “May 2022” angegeben.

@Deichkind
Es ist ein MacBook Air M1.

Ich lese hier interessiert mit.

Das Problem erinnert an das Problem mit Hackintoshs, bei denen Apps aus dem App-Store als beschädigt gekennzeichnet werden, wenn der Ethernet-Port nicht en0, sondern en1 ist, über die die Apps geladen wurden - oder so ähnlich. Hackintoshs haben ja meist mehrere Ethernet- und Wlan Schnittstellen.

Die Ventura Systemeinstellungen sind m.E. voll mit Bugs und sehr vergesslich, vielleicht haben sich die Netzwerkeinstellungen verdreht.