Schwerwiegende Sicherheitslücke in Safari ..

Auch interessant der Kommentar dazu:

http://www.macmark.de/blog/osx_blog_2009-01.php#safari_rss_bug

Gruss
Sven

Hi Sven,
die Sandbox - Methode ist zwar sehr sicher, aber auch sehr aufwendig. Wer hat schon die Zeit, stundenlang zu testen, ob man das eine oder andere doch zulassen sollte. Dabei läuft man Gefahr, eine unsichere Handlung doch zu zu lassen.

Außerdem ist dem Blogger nicht bewusst, dass OS-X nicht alle Passwörter im Schlüsselbund sichert.
Dann nämlich, wenn man einen Nutzer mit "automatisch anmelden als" eingerichtet hat. liegt dessen Passwort ungeschützt in einer Datei... auf der Festplatte. Das muss so sein, da das System beim Starten noch keinen Zugriff auf den Schlüsselbund des Nutzers hat. Und wenn das so ist, müssten dann nicht auch die Passwörter der anderen Nutzer irgendwo herumliegen?! Richtig!

Hilfreich ist es auch dem "root" oder "superuser" ein eigenes Passwort zu verpassen. Dann wird es für Angreifer schwierig, irgendwelche "sudo" Skripte ohne das richtige passwort ausführen zu lassen ...

Es zeigt sich aber wieder: sicher ist wirklich nichts

Gruss
Juergen

"liegt dessen Passwort ungeschützt in einer Datei"


Im Klartext, also nicht als Prüfsumme?

Hi Juergen 
Man das ist ja der pure Wahnsinn... was Du / Ihr alles wisst!
Ich finde das immer etwas erschreckend... dann merke ich immer, wie wenig ich weiss...grummel
Ich glaube einige Menschen sind wirklich mit nem  im Po geboren worden  , Du auch, nä?

...und ja, Du hast recht, so wirklich sicher ist nichts, ausser das nichts sicher ist.
Ich versuche daher so bewusst wie es mir nur möglich ist im Internet zu Surfen. Passwörter habe ich gar nicht im Schlüsselbund, wüsste ich jedenfalls nicht und auch nicht auf´m Rechner gespeichert, mal abgesehen von 2 Foren in denen ich bin, Mail und Adium.
Alles andere was eventuell für Fremde interessant sein könnte, habe ich auf der ex. Platte liegen, die nur bei getrennten Internet eingeschaltet wird.
Online Banking wird binnen Sekunden erledigt.
Ich hoffe damit auf dem richtigen Weg zu sein.

Ach so, was meinst DU denn damit:

Hilfreich ist es auch dem "root" oder "superuser" ein eigenes Passwort zu verpassen. Dann wird es für Angreifer schwierig, irgendwelche "sudo" Skripte ohne das richtige passwort ausführen zu lassen ...

Ist das so etwas wie ein Masterpasswort?

Gruss
Sven   

"liegt dessen Passwort ungeschützt in einer Datei"


Im Klartext, also nicht als Prüfsumme?

Rein hypothetisch wäre das egal... eine Prüfsumme ist nichts anderes als das Ergebnis einer mathematischen Gleichung mit dem Passwort als Unbekannten und der Prüfsumme als Ergebnis. Da der Lösungsweg, also die Art der Berechnung auf jedem Mac gleich sein sollte, ist die Auflösung dieser Gleichung für mathematisch Begabte sicherlich nicht schwierig ...

Gruss
Juergen 

...
Ich glaube einige Menschen sind wirklich mit nem  im Po geboren worden  , Du auch, nä?
 

In der achten Klasse haben wir den 8086 XT Intel PC in Assembler programmiert. Das fand ich schnell langweilig. Die acht Apple II in unserer Schule fand ich damals schon interessanter ...
Bis dann der erste Mac, ein LC II, im Haus war musste noch der TI-99 4/A meines Bruders für erste Programmier-Projekte herhalten.

Ach so, was meinst DU denn damit:Ist das so etwas wie ein Masterpasswort?

Richtig! Versteh das so: als angemeldeter Admin darfst Du viel, z.B. Deinen mac einrichten und verwalten, aber der Root oder Superuser darf alles z.B. ungefragt Deine Festplatte im laufenden Betrieb löschen  ...
Viele Systemprozesse werden im Namen des Root ausgeführt. Hat hier ein Programmierer geschlampt, kann dies von Schadsoftware ausgenutzt werden.

Gruss
Juergen

 

"Rein hypothetisch wäre das egal... eine Prüfsumme ist nichts anderes als das Ergebnis einer mathematischen Gleichung mit dem Passwort als Unbekannten und der Prüfsumme als Ergebnis. Da der Lösungsweg, also die Art der Berechnung auf jedem Mac gleich sein sollte, ist die Auflösung dieser Gleichung für mathematisch Begabte sicherlich nicht schwierig ..."

Was eine Prüfsumme ist, ist mir bekannt-die Frage war eine andere.
Und nein, eine mathematische Begabung reicht nicht zum 'Zurückrechnen' aus - dafür muß der Algorithmus nicht nur bekannt, sondern auch hinreichend unsicher sein (Wo kämen wir sonst hin..., wo bliebe unsere Glaubwürdigkeit?).

Und nein, eine mathematische Begabung reicht nicht zum 'Zurückrechnen' aus - dafür muß der Algorithmus nicht nur bekannt, sondern auch hinreichend unsicher sein (Wo kämen wir sonst hin..., wo bliebe unsere Glaubwürdigkeit?).

Ein allgemein bekannter Algorithmus ist immer unsicher. Daher werden die meisten Verschlüsselungsmechanismen durch den Anbieter mit "nicht-veröffentlichten" Komponenten abgesichert.
Zur Frage ... Antwort: nicht im Klartext!

Gruss
Juergen