tau, streiten wir uns nicht um des Kaisers Bart was hier strafrechtlich relevant ist und was nicht, ich habe nicht jeglichen Erguß gelesen, den Hanf da abgelassen hat. Wenn ich mich an das von floho gesagte halte, dann ist ein "Ich veröffentliche den Exploit nicht, wenn Apple sich erkenntlich zeigt." schon so dünnes Eis, daß es beim genauen Hinsehen knackt.
Für die Sicherheit des eigenen Arbeitsplatzrechners ist der Benutzer zuständig, und wenn dieser unbedarf ist, weiß er mit ssh schonmal nichts anzufangen. Dieser und andere Dienste sind per default deaktiviert.
Wenn sich dieser Benutzer dann auf das Spielchen einläßt, so ist er gut beraten nicht nur dem tollen Tipp eines 'Experten' zu folgen sondern sich auch um die Konsequenzen schlau zu machen.
Gehen wir noch einen Schritt weiter, und dieser User gibt noch freiwillig Login + PW raus, dann haben wir keinen 'DAU' sondern einen naiven Kasper, der wohl wie eBay an das Gute im Menschen glaubt.
Wäre mir neu, daß Betriebssysteme nun auch vor Fahrlässigkeit und groben Vorsatz schützen sollen. Künstliche Intelligenz ist nichts gegen echte Dummheit. So gesehen macht es Mac OS X dem uninformierten Nutzer nicht allzuschwer.
Verlagern wir das ganze auf Unternehmensebene, dann gehe ich davon aus, daß dort Kollegen arbeiten, die das Netz nicht nur nach außen sondern auch nach innen absichern.
Dazu gehört auch, wie bei jedem *nix, diverse Sicherheitsmaßnahmen gegen Root-Kits, Exploits und mögliche Explots zu ergreifen.
Mein Zwischenfazit: Keine Grund als durchschnittlicher Anwender sich groß Gedanken zu machen. Fortgeschrittene Anwender (oder Anwender mit fortgeschrittenen Ansprüchen) müssen sich in die Materie einarbeiten, das kann ihnen kein OS der Welt abnehmen.
Das soll nun nicht den Umstand verschleiern, daß wenn ein Sicherheitskonzept (und dazu zählt eben die Beschränkung der Recht nichtprivilegierter Nutzer) löchrig ist, dieser Mangel umfaßen und zeitnah zu beheben ist.
Aber nochmals möchte ich im Rahmen dieses Freds darauf hinweisen: Wer mit dem heise Posting ad hoc nichts anzufangen weiß, der ist von der Sicherheitslücke nicht wirklich betroffen.
Mein zweites Fazit: Es ist für den durchschnittlichen OS X User gefährlicher, seine Daten inkl. Hardware durch einen Diebstahl zu verlieren. Wenn der Angreifer keinen entfernten Zugang zu dem Rechner erhalten kann, dann muß er sich körperlich Zugang verschaffen. Und dann kann er mehr treiben als Schabernack, und den Rechner einfach einsacken.
Nur der Vollständigkeit halber, ich höre nur noch mit einem halben Ohr hin, wenn es wieder einmal um die Ausführung von Programmen vom User-Kontext aus mit root-Rechten geht.
Solange die Angriffe nur so wie hier behandelt möglich sind, warte ich gemütlich auf ein Update, verzichte auf überflüssige Software und erfreue mich des Lebens.
Das von Hanf gezeichnete Szenario mag als Sonntagslektüre für den Leser mit schwachem Humor noch tragbar sein, wenn hier der nette Macianer von nebenan plötzlich die Vertreibung aus dem Paradis fürchtet und Ablässe kauft, dann geht dieser ganze Unsinn zu weit.
Und genau diesem Unsinn habe ich wortreich und deutlich widersprochen.
P.S.: Heise.de und die zugehörigen Foren nehme ich nur noch begrenzt für voll. Die Entwicklung der letzten 1-2 Jahre war traurig.
