heise :"Mac OS X schlampt bei Passwörtern "

revo schrieb:
Entschuldigung, wenn ich platze, aber einige hier stellen sich echt blöd an. Apple ist ja sooo toll und macht nix falsch, Windows ist viel schlimmer. Der eigene Kropf fällt nicht auf, wenn 95% der anderen einen Buckel haben, ja?

Folgender Fall: Ich nehme mein PB mit in die Bibliothek, gehe Kaffee trinken. Oder ich sitze im Zug, und gehe pinkeln oder schlafe ein, ohne meinen Kopf auf das PB zu betten. Soll es alles geben. Jedenfalls ist es weg. Und zumindest in der Bibliothek im Ruhezustand.
So, wenn ich jetzt wichtigere Dinge auf dem PB habe als den letzte Nacht runtergeladenen Pornofilm, dann kann ich schon ganz schön blöd aus der Wäsche gucken. Das würde ich unter Windows auch. Klar. Aber Microsoft bewirbt Win ja auch nicht als Hochsicherheitssafe für die Daten. Das tut Apple. Von daher ist dieser ungefixte Bug echt eine Frechheit, zumal wenn ich als typischer Apple-Anwender mir wenig Gedanken mache (jaja, klar, so sollte es nicht sein, aber auch da tut Apple ja alles, damit die User so denken) und mein PB wie beworben im Ruhezustand mit mir rumtrage. So, ich würde nie Windows benutzen, habe vorher Linux benutzt (sechs Jahre lang) und habe nun glücklicherweise einen Apple. Ich mag ihn und würde ihn nicht hergeben, aber trotzdem bleibt Apples Verhalten hier absolut verantwortungslos. Now please, flame on!
Zum Vergrößern anklicken....

Äh, also so ganz kann ich Dir da nicht folgen. Wieso sollte Dein Powerbook im Ruhezustand durch diesen Bug unsicher sein?
Der Dieb muss es nur aufklappen und kommt an alles ran. Mit diesem Bug hat das doch nichts zu tun.

Ich will nicht flamen, ich verstehe nur Deine Argumentation nicht ganz.
 
Kommt er nicht, weil die Option gesetzt ist, das Passwort zum Aufwachen abzufragen. Also in diesem Falle sollte er eigentlich nicht an die Daten kommen. Wenn es blöd läuft und das Passwort geswappt ist, kommt er über ein hartes Ausschalten und Auslesen des Passwortes zum Ziel.
 
revo schrieb:
Entschuldigung, wenn ich platze, aber einige hier stellen sich echt blöd an. Apple ist ja sooo toll und macht nix falsch, Windows ist viel schlimmer. Der eigene Kropf fällt nicht auf, wenn 95% der anderen einen Buckel haben, ja?

Folgender Fall: Ich nehme mein PB mit in die Bibliothek, gehe Kaffee trinken. Oder ich sitze im Zug, und gehe pinkeln oder schlafe ein, ohne meinen Kopf auf das PB zu betten. Soll es alles geben. Jedenfalls ist es weg. Und zumindest in der Bibliothek im Ruhezustand. Now please, flame on!
Zum Vergrößern anklicken....

Nix mit Flame :)

Wenn du anderen physikalischen Zugang zum Rechner gewährst ist dir nicht zu helfen. ;)

Hier ging es darum, dass Passwörter auslesbar sind, wenn jemand Admin oder Root Zugriff auf deinen Rechner bekommt. Aber dann kennt er ja eh diese Passwörter. Also ist das Ganze hier rein akademischer Natur.

Wer anderen erlaubt seinen Mac zu klauen oder das Admin-Kennwort preisgibt, dem ist nicht zu helfen.

Natürlich wäre es wünschenswert, das Passwort im SwapFile zu verschlüsseln. Mal sehen, wann das behoben wird. Mir jedenfalls macht es keine schlaflosen Nächte.
 
@Shetty: Nur dass root ohne das FileVault-Passwort (bzw- FileVault-Masterpasswort) nicht an deine verschlüsselten Daten rankommt. Weil Verschlüsselt ist verschlüsselt, da schaut selbst root in die Röhre.
Zum Vergrößern anklicken....

Das ist wahr. Deswegen benutz ich statt FileVault einfach verschlüsselte Images, in denen ich wichtige Daten speichere. Und die werden nicht mit meinem normalen Accountpasswort geschützt.
Fraglich ist allerdings, ob Mac OS X nicht auch die eingegeben Passwörter für Images in einer Swapfile ablegt ;)
 
Also ich habe das ganze gerade probiert und ich kann mein Passwort nicht finden.

Was genau muss man denn im Terminal eingeben?

Mit "sudo strings -8 /var/vm/swapfile* | grep -A 4 -i longname" finde ich nichts.
Auch wenn ich mit grep direkt nach meinem Passwort suchen lasse finde ich nichts.
 
revo schrieb:
Entschuldigung, wenn ich platze, aber einige hier stellen sich echt blöd an. Apple ist ja sooo toll und macht nix falsch, Windows ist viel schlimmer. Der eigene Kropf fällt nicht auf, wenn 95% der anderen einen Buckel haben, ja?

Folgender Fall: Ich nehme mein PB mit in die Bibliothek, gehe Kaffee trinken. Oder ich sitze im Zug, und gehe pinkeln oder schlafe ein, ohne meinen Kopf auf das PB zu betten. Soll es alles geben. Jedenfalls ist es weg. Und zumindest in der Bibliothek im Ruhezustand.
So, wenn ich jetzt wichtigere Dinge auf dem PB habe als den letzte Nacht runtergeladenen Pornofilm, dann kann ich schon ganz schön blöd aus der Wäsche gucken. Das würde ich unter Windows auch. Klar. Aber Microsoft bewirbt Win ja auch nicht als Hochsicherheitssafe für die Daten. Das tut Apple. Von daher ist dieser ungefixte Bug echt eine Frechheit, zumal wenn ich als typischer Apple-Anwender mir wenig Gedanken mache (jaja, klar, so sollte es nicht sein, aber auch da tut Apple ja alles, damit die User so denken) und mein PB wie beworben im Ruhezustand mit mir rumtrage. So, ich würde nie Windows benutzen, habe vorher Linux benutzt (sechs Jahre lang) und habe nun glücklicherweise einen Apple. Ich mag ihn und würde ihn nicht hergeben, aber trotzdem bleibt Apples Verhalten hier absolut verantwortungslos. Now please, flame on!
Zum Vergrößern anklicken....


Also wenn ich davon ausgehe, daß das gößte Sicherheitsrisiko seine Griffel an der Taststur hat, dann gibts eh keine Sicherheit.
Wenn ich mein PB unbeaufsichtigt lasse, also mich schlafen lege, ist mir nicht zu helfen!
Oder läßt Du dein Notizbuch/Agenda offen auf der Ablage liegen wenn Du im Zug ein Nickerchen machst??
Ohne ein Minimum an aktiver Sicherheit des DAU´s´davor, ist nix auch nur ein bisschen sicher.
"Mein System macht das schon" ist in jedem Fall fahrlässig.

btw: Das Schlüsselbrettchen ist bei mit innerhalb des Hauses, nicht vor der Haustüre........ :D
 
wenn man im target modus startet kommt man alle daten, auch wenn man im unix startet hat man alles .. also was soll das..es ist eh nie sicher..auf win kommt man auch über dos an alles...der admin darf ruhig passwörter auslesen..PS.: ich habsi nicht auslesen können und es wir nebenbei sicher bald ausgebessert
 
freunde geht mal ins terminal und schaut euch mit dem befehl cat die datei an ;)
 
H.Stony schrieb:
wenn man im target modus startet kommt man alle daten, auch wenn man im unix startet hat man alles .. also was soll das..es ist eh nie sicher..auf win kommt man auch über dos an alles...der admin darf ruhig passwörter auslesen..PS.: ich habsi nicht auslesen können und es wir nebenbei sicher bald ausgebessert
Zum Vergrößern anklicken....

Das stimmt so nicht, man kommt nicht an alles. Wenn das Home Verzeichnis eines Nutzers mit Filevault verschlüsselt ist kommt man an dessen Daten nicht so einfach. Man benötigt dann das Passwort um das verschlüsselte .dmg zu öffnen.

Das Problem mit diesem Bug ist aber das dieses Passwort unter Umständen im Swapfile zu finden ist.

Dies ist aber wohl ein Bug der unter Umständen auch andere Programme betrifft, nämlich jedes Programm das ein Passwort unverschlüsselt im Arbeitsspeicher speichert. Dieses landet dann möglicherweise im Swapfile. Das Swapfile selbst zu verschlüsseln würde vielleicht sehr stark auf die Performance gehen.
 
Also.

Ich habe jetzt schon gut 1 Stunde damit verbracht, mein Swapfile auszulesen, um mein Passwort zu finden.

Ergebnis:
Es steht einfach nicht drin. Nirgends ist auch nur ansatzweise mein Passwort enthalten.

Wird das dann nur bei FileVault-Nutzern in die Swap gelagert, oder was? Mein Rechner läuft jetzt 3 Tage.
 
bei mir dito ...

so langsam halte ich das ganze für nen *urban rumor* :D
 
so ?
Blöd wie ich bin, hab ich´s gleich gefunden ;).
 
dann bin ich noch blöder :)

aber im ernst, würd mich schon interessieren. bei mir hat weder die heise noch die icehouse methode ein passwort produziert. mir ist schon klar, dass ich was falsch machen muss! - aber was?
 
the odD one schrieb:
Wieso denn? Ich wollte schon lange wieder mal in den Heise-Zoo ein paar Trolle angucken. Bei solchen Meldungen kann man sich sogar das Futter sparen, einfach zurücklehnen und die possierlichen Tierchen beim spielen beobachten :D
Zum Vergrößern anklicken....
ich finde den thread im heise-forum verhältnismäßig untrollig.

gruß
sengaja
 
nein kein filefault.

Wie habt Ihr es denn versucht ?
 
maceis schrieb:
nein kein filefault.

Wie habt Ihr es denn versucht ?
Zum Vergrößern anklicken....

Na wie es oben steht, alle Varianten.

Dann die Ganze Swap mit grep. Dann nochmal die Swap kopiert, Rechte geändert und mit Texteditor, und noch ein paar andere Varianten.

Es kam nirgends etwas raus. Ich habe auch mal direkt nach meinem Passwort gesucht. Nichts.
 
revo schrieb:
Entschuldigung, wenn ich platze, aber einige hier stellen sich echt blöd an. Apple ist ja sooo toll und macht nix falsch, Windows ist viel schlimmer. Der eigene Kropf fällt nicht auf, wenn 95% der anderen einen Buckel haben, ja?

Folgender Fall: Ich nehme mein PB mit in die Bibliothek, gehe Kaffee trinken. Oder ich sitze im Zug, und gehe pinkeln oder schlafe ein, ohne meinen Kopf auf das PB zu betten. Soll es alles geben. Jedenfalls ist es weg. Und zumindest in der Bibliothek im Ruhezustand.
So, wenn ich jetzt wichtigere Dinge auf dem PB habe als den letzte Nacht runtergeladenen Pornofilm, dann kann ich schon ganz schön blöd aus der Wäsche gucken. Das würde ich unter Windows auch. Klar. Aber Microsoft bewirbt Win ja auch nicht als Hochsicherheitssafe für die Daten. Das tut Apple. Von daher ist dieser ungefixte Bug echt eine Frechheit, zumal wenn ich als typischer Apple-Anwender mir wenig Gedanken mache (jaja, klar, so sollte es nicht sein, aber auch da tut Apple ja alles, damit die User so denken) und mein PB wie beworben im Ruhezustand mit mir rumtrage. So, ich würde nie Windows benutzen, habe vorher Linux benutzt (sechs Jahre lang) und habe nun glücklicherweise einen Apple. Ich mag ihn und würde ihn nicht hergeben, aber trotzdem bleibt Apples Verhalten hier absolut verantwortungslos. Now please, flame on!
Zum Vergrößern anklicken....

Genau so ist es! Ich stimme dir da voll und ganz zu.
Erstaunlich, wie viele hier - fast krankhaft - nicht wahrhaben wollen, dass es sich um einen schwerwiegenden Fehler handelt.
 
hallo zusammen,

ich bitte noch einmal um´s Wort.

Zum Einen möchte ich anmerken, dass weit mehr als 99% aller Computer (oder von mir aus auch Apple-Benutzer) nicht in der Lage wären, ein geswaptes Passwort auszulesen.
Dabei ist auch zu Bedenkern, dass bereits einmaliges (!) Einschalten des Rehners die alten swapfiles überschreibt. D. h. man müsste schon die Platte direkt abgreppen und dazu auch wissen, wonach man sucht.

Zum Zweiten ist es so, dass manche User sich zwar über eine solche theoretische Sicherheitslücke aufregen, aber weit einfacher Sicherheitsvorkehrungen nicht ergreifen wie z. B. OpenFirmware Passwort Setzen , Deaktivieren des SingleUser-Zugriffs, Deaktivieren der Startmöglichkeit von CD, Verwenden hochsicherer Passwörter, Nicht-Verwenden von Samba, Printersharing etc., restriktive Konfiguration der Firewall usw.
Meine direkte Frage an Plant the Seed! und revo
Habt ihr beide die o. g. Sicherheitsmaßnahmen alle beherzigt ?

Zu guter Letzt möchte ich sagen, dass ich trotzdem dafür bin, dass Passwörter in swapfiles verschlüsselt werden sollten - aber bitte nicht gleich das ganze Swapfile (Stichwort: Performance)
 
maceis schrieb:
Sicherheitsvorkehrungen nicht ergreifen wie z. B. OpenFirmware Passwort Setzen
Zum Vergrößern anklicken....

hey...wäre echt toll wenn du mir erklären könntest wie ich ein openfirmware passwort setzen kann und was dieses bewirkt...
mich würde auch interessieren wie ich einstellen kann dass man nicht einfach die startup cd einlegen kann und damit die admin passwörter überschreiben kann (was könnte das für nachteile haben wenn ich das verhindere?)

lg neolox
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten