Benutzer-Sicherheitskonzept von MacOS

OK, also wenn es eigene Ordner auf oberster Ebene waren (im Häusschen-Ordner), dann ist das noch zu verstehen.

Sicher wäre ein deutlicher Hinweis darauf gut - nur wie will man sowas deutlich herüberbringen ohne es zu nervig/aufdringlich zu machen?
Das Konzept sieht ja extra die speziellen Ordner vor. Ich würde also immer "Dokumente" als Basis für eine eigene Struktur nehmen (so erkläre ich es auch immer anderen wenn die mich fragen)

Mein Vorschlag an Apple wäre:
- Die Ordner, die nicht privat sind, mit einem anderen Symbol darstellen das klar macht, dass diese für andere Benutzer einsehbar sind. Also quasi Ordnersymbole die von den Rechten abhängig sind. Könnte eine offene Tür als Overlay sein oder was weiß ich ...

naja - aber dann bin ich erstmal beruhigt, auch wenn die Überraschung nachvollziehen kann.
 
...

Hallo,

so die Aktion ist soweit fertig.

inherit permissions from parent 0.2 beta

Code: 
on adding folder items to this_folder after receiving these_items
	
	set the item_count to the number of items in these_items
	
	tell application "Finder"
		set parent_folder_path to the quoted form of the POSIX path of this_folder
		set perm_parent_folder to do shell script ("ls -ld " & parent_folder_path) as text
		set parent_folder_perm_mod to characters 2 thru 10 of perm_parent_folder as text
		
		set parent_user_perm to characters 1 thru 3 of parent_folder_perm_mod as text
		set parent_user_perm_set to ""
		repeat with x from 1 to (parent_user_perm's length)
			if character x of parent_user_perm is not "-" then
				set parent_user_perm_set to parent_user_perm_set & character x of parent_user_perm
			end if
		end repeat
		
		set parent_group_perm to characters 4 thru 6 of parent_folder_perm_mod as text
		set parent_group_perm_set to ""
		repeat with x from 1 to (parent_group_perm's length)
			if character x of parent_group_perm is not "-" then
				set parent_group_perm_set to parent_group_perm_set & character x of parent_group_perm
			end if
		end repeat
		
		set parent_other_perm to characters 7 thru 9 of parent_folder_perm_mod as text
		set parent_other_perm_set to ""
		repeat with x from 1 to (parent_other_perm's length)
			if character x of parent_other_perm is not "-" then
				set parent_other_perm_set to parent_other_perm_set & character x of parent_other_perm
			end if
		end repeat
		
		set parent_owner to owner of this_folder
		set parent_group to group of this_folder
		
		repeat with this_item in these_items
			set child_path to the quoted form of the POSIX path of this_item
			set perm_child to do shell script ("ls -ld " & child_path) as text
			set folder_flag to character 1 of perm_child as text
			if folder_flag = "d" then
				set child_folder_path to child_path
				set child_folder_perm_mod to characters 2 thru 10 of perm_child as text
				set child_user_perm to characters 1 thru 3 of child_folder_perm_mod as text
				set child_group_perm to characters 4 thru 6 of child_folder_perm_mod as text
				set child_other_perm to characters 7 thru 9 of child_folder_perm_mod as text
				
				set child_owner to owner of this_item
				set child_group to group of this_item
				
				set user_choice to "Rechte behalten"
				if parent_user_perm is not equal to child_user_perm or parent_group_perm is not equal to child_group_perm or parent_other_perm is not equal to child_other_perm or parent_owner is not equal to child_owner or parent_group is not equal to child_group then
					display dialog "Achtung: Die Benutzerrechte des eben zugefügten Ordners stimmen nicht mit den Benutzerrechten des übergeordneten Verzeichnisses überein. Der Ordner und darin enthaltene Daten können eventuell von anderen nicht gelesen werden." buttons {"Rechte vom übergeordeten Objekt übernehmen", "Rechte behalten"} default button 2 with icon 2
					set user_choice to button returned of result
				end if
				if this_folder is equal to (path to home folder) and child_group_perm is not equal to "---" and child_other_perm is not equal to "---" then
					display dialog "Achtung: Der eben zugefügte Ordner und darin enthalten Daten können eventuell von anderen Benutzern gelesen werden." buttons {"Den Zugriff für Andere beschränken", "Rechte behalten"} default button 1 with icon 2
					set user_choice to button returned of result
				end if
				if user_choice = "Den Zugriff für Andere beschränken" then
					set parent_group_perm_set to ""
					set parent_other_perm_set to ""
				end if
				if user_choice is not equal to "Rechte behalten" then
					
					--do shell script ("sudo chown -R " & parent_owner & " " & this_path)
					
					set this_script to ("chgrp -R " & parent_group & " " & child_folder_path)
					do shell script this_script
					set this_script to ("chmod ugo-rwx " & child_folder_path)
					
					do shell script this_script
					set this_script to ("chmod u+" & parent_user_perm_set & " " & child_folder_path)
					
					do shell script this_script
					set this_script to ("chmod g+" & parent_group_perm_set & " " & child_folder_path)
					
					do shell script this_script
					set this_script to ("chmod o+" & parent_other_perm_set & " " & child_folder_path)
					do shell script this_script
					
				end if
			end if
		end repeat
	end tell
	
end adding folder items to

Ist vielleicht noch nicht ganz fehlerfrei, darum bitte ich um Testpersonen.
Die Aktion kann sowohl an das Home sowie an Öffentlich bzw. Web-Sites angehängt werden.

Verbesserungsvorschläge willkommen...

Gruß Andi
 
maceis schrieb:
Tatsache ist, dass man sich auf jeden Fall mit dem jeweilgen Konzet beschäftigen muss, wenn man bestimmte Anforderungen hat.

Wer das - aus welchen Gründen auch immer - nicht möchte, erhält von Apple ein sehr gut vorkonfiguriertes System, das aber erfordert, dass man sich an die Vorgabe hinsichtlich Struktur des Benutzerverzeichnisses hält.
[...]
Ich bin außerdem überzeugt, dass der allergrößte Teil der Benutzer, die jetzt "maulen", auch das Rechtekonzept der diversen Windows Systeme nicht annähernd begreift.
Zum Vergrößern anklicken....

Ich stimme zu bei:
- wer sich nicht damit befassen möchte soll die vorgegebenen Strukturen nutzen
- wem diese nicht reichen und wer irgendwo irgendwas ablegt, der sollte sich mit dem Thema befassen

Aber: ob man in diese "Falle" tappt oder nicht hat nix - aber auch gar nix - damit zu tun, ob Windows das noch schlechter löst oder nicht ;)
Wir sind schließlich die Guten - und wenn etwas auffällt, dann können wir ja zivilisiert darüber reden, gell ;)

Was das Thema "Aufklärungsbedarf" angeht:
Das ist einerseits schon richtig. Da aber das Lesen von Dokumentationen völlig aus der Mode gekommen ist, habe ich da wenig Hoffnung, dass das angenommen wird.
Gleich losmaulen ist ja auch viel einfacher.

Abgesehen davon bin ich fast überzeugt, dass keiner der Teilnehmer an dieser Diskussion, sich die Mühe gemacht hat, mal nachzulesen, inwieweit dieses Thema tatsächlich dokumentiert ist oder nicht.
Zum Vergrößern anklicken....

Und das ist ein Problem.
Wer bitte kommt auf die Idee in einer Doku nachzulesen ob ein Verzeichnis/Datei für andere Benutzer zugänglich ist, wenn:
- er es in einem Ordner mit einem Haus speichert
- wo auch noch sein Name daneben steht
- und überall als "Home" des Benutzers(!) definiert wird
- und er an einem Mac arbeitet wo es heißt, dass die Benutzerdaten gegeneinander sauber geschützt sind (das hört/liest man ja so)
?

Da könnte also sogar in fett und rot ein Eintrag in der Doku sein - es käme ja keiner erst darauf dort überhaupt nachzusehen weil es einem selbstverständlich erscheint.

Ich muss ja auch nicht erst Physik studieren oder im Wiki nachlesen um zu wissen was passiert wenn ich einen Apfel aus dem Fenster werfe. Es ist einfach selbstverständlich dass der unten aufschlagen wird. Man wird sich also nicht vorher darüber informieren, ob der nicht unter bestimmten Umständen (nach Norden geworfen?) evtl. nach oben fliegt und so einen Segelflieger treffen könnte... :)

Aber wie gesagt - ich bin dennoch erstmal beruhigt da ich offenbar das tue, was Apple sich gedacht hat und ich es auch immer so weitergebe.
 
...

Hallo elastico,

Und das ist ein Problem.
Wer bitte kommt auf die Idee in einer Doku nachzulesen ob ein Verzeichnis/Datei für andere Benutzer zugänglich ist, wenn:
- er es in einem Ordner mit einem Haus speichert
- wo auch noch sein Name daneben steht
- und überall als "Home" des Benutzers(!) definiert wird
- und er an einem Mac arbeitet wo es heißt, dass die Benutzerdaten gegeneinander sauber geschützt sind (das hört/liest man ja so)
?
Zum Vergrößern anklicken....

Das ist kein Problem:

Der Ordner "Öffentlich" liegt im Verzeichnis Home. Damit ist eigentlich logisch, dass User die diesen Ordner erreichen auch Einblick in das Homeverzeichnis haben.

Gruß Andi

PS: An die Icondesigner von Apple: Bitte Türe des Häuschens öffnen ;)
 
elastico schrieb:
...
Und das ist ein Problem.
Wer bitte kommt auf die Idee in einer Doku nachzulesen ob ein Verzeichnis/Datei für andere Benutzer zugänglich ist
...
Zum Vergrößern anklicken....
Da ist schon was dran.
Andererseits kann man IMHO schon erwarten dass jemand der ein hoch komplexes System effizient benutzen möchte, sich mit den Funktionen dieses Systems gründlich vertraut macht.

Der Konflikt besteht meiner Ansicht nach darin, dass Computer heute eine intuitiv benutzbare Oberfläche besitzen und dem Benutzer so vorgaukeln, dass quasi alles selbsterklärend ist.
Ein komplexes und dabei hoch komprimiertes Rechteverwaltungskonzept kann aber nicht völlig selbsterklärend sein.
 
Also, ich habe es gerade mal getestet. Wenn ich mein Homeverzeichnis sperre (also die Rechte so setze, wie ich gestern schrieb), dann kann ein anderer Benutzer nichts lesen. Weder mit Spotlight, noch über den Finder.
Auch neu angelegte Objekte erben die Rechte des darüberliegenden, also werden auch gesperrt. Alles, was darüber liegt wird von jedem gesehen.
Also, wo ist das Problem. It works as designed!
 
wie gesagt - ich bin mit der Erklärung ja einverstanden, hab ich keine Probleme mit.

Ich kann aber gut nachvollziehen, wie es zu dem Irrtum kommen konnte.

Die Idee mit der offenen Tür ist so schlecht gar nicht :D
 
...

elastico schrieb:
Die Idee mit der offenen Tür ist so schlecht gar nicht :D
Zum Vergrößern anklicken....

Es muss ein Zaun mit Gartentüre hin.
Wenn man die Rechte wie sgmelin setzt geht die Gartentüre zu und man kommt nicht mehr an den Briefkasten und das Zeitungsrohr...
 
sgmelin schrieb:
...
Auch neu angelegte Objekte erben die Rechte des darüberliegenden, also werden auch gesperrt.
...
Zum Vergrößern anklicken....
Das ist so nicht ganz korrekt.
Die Rechte von neu angelegten Objekten hängt von der umask ab und nicht von irgendwelchen übergeordneten Verzeichnissen.
Eine Vererbung gibt es beim klassischen Unix Rechtekonzept nicht.
 
maceis schrieb:
...Eine Vererbung gibt es beim klassischen Unix Rechtekonzept nicht.
Zum Vergrößern anklicken....

Sondern erst mit den schicken ACLs, was sie für den Durschnittsuser noch unverständlicher macht.

Grüße,
Flo
 
Wär die einfachste Lösung das Homeverzeichnis von OsX verschlüsseln zu lassen wenn ich mir sorgen um meine Privatsphäre mache? Dann muß ich mich auch nicht mir dem Rechtesystem von Unix auseinandersetzen.

Mfg die mumu
 
@Andi
@lengsel
Danke für Eure Erläuterung des Problems!

Es ist nicht so, daß sich nicht jeder irgendwann damit beschäftigen sollte und kann, seine Orner zu schützen. Nur muß man überhaupt erstmal wissen, daß sie seit Spotlight teilweise öffentlich sind!! Schließlich hatte man sich doch bei panther sehr an den Tresor gewöhnt, und "ein Tresor ist ein Tresor ist ein Tresor", gelle?

Dieses Symbol suggeriert einfach jedem, der nicht ZUFÄLLIG gerade im Mac-Forum rumschwirrt, und dort zufällig diesen Thread liest, in der Tat trügerische Sicherheit. Da fehlt eine klare und unmißverständliche Unterscheidung der Ordner "zugänglich und nicht zugänglich"

(Hatte Apple schließlich sehr deutlich per Warnhinweis propagiert: "Vergessen Sie Ihr Passwort, sind die Daten in File-Vault unwiderbringlich verloren...")
 
design11 schrieb:
...
(Hatte Apple schließlich sehr deutlich per Warnhinweis propagiert: "Vergessen Sie Ihr Passwort, sind die Daten in File-Vault unwiderbringlich verloren...")
Zum Vergrößern anklicken....
... sobald der Benutzer abgemeldet ist!
Ist das jetzt etwa nicht mehr so :confused: - ich meine schon.

Das ganze Thema hat mit Spotlight nicht viel zu tun, außer das ggf. Dateien in Suchergebnissen auftauchen auf die Benutzer auch schon unter Panther, Jaguar, ... usw. Zugriff gehabt hätten.
 
maceis schrieb:
... sobald der Benutzer abgemeldet ist!
Ist das jetzt etwa nicht mehr so :confused: - ich meine schon.

Dann wäre ja alles o.K.! Hatte aber StruppiMac so verstanden, daß er abgemeldet war, sich ein anderer Benutzer angemeldet hatte und der DANN die Ordner lesen konnte. Das fand ich auch beunruhigend.

Kann´s leider noch nicht ausprobieren, noch kein Tiger.
Zum Vergrößern anklicken....
 
Eine Vererbung gibt es beim klassischen Unix Rechtekonzept nicht.
Zum Vergrößern anklicken....

Das ist wahr. Aber meine umask steht nicht auf "erlaube nur lesen des shared Ordners". Wie sollte sich das auch darstellen lassen? Das geht nur mit ACLs. Und die sind vererbbar.
 
design11 schrieb:
...
Hatte aber StruppiMac so verstanden, daß er abgemeldet war, sich ein anderer Benutzer angemeldet hatte und der DANN die Ordner lesen konnte. Das fand ich auch beunruhigend.
...
Zum Vergrößern anklicken....
Na ja, dem Beitrag von Struppi konnte man diesbezüglich keine Details entnehmen.
Steht zum einen nichts über File Vault drin und zum anderen nicht, ob der Benutzer wirklich abgemeldet war oder ob er per schnellen Benutzerwechsel den zweiten Benutzer zusätzlich angemeldet hatte, was mE unter Sicherheitsaspekten sowieso nicht ratsam ist.
 
design11 schrieb:
...(Hatte Apple schließlich sehr deutlich per Warnhinweis propagiert: "Vergessen Sie Ihr Passwort, sind die Daten in File-Vault unwiderbringlich verloren...")
Zum Vergrößern anklicken....

Das ist richtig. Was das Rechtethema angeht, spielt es für Spotlight keine Rolle ob es sich um ein Homeverzeichnis mit oder ohne FileVault handelt.
Info von Apple:
File permissions are one of the metadata components that Spotlight indexes. So although all the content is indexed, Spotlight will filter its results to show only those files that the current user has permissions to access.
Zum Vergrößern anklicken....

Grüße,
Flo
 
Heißt aber auch, dass es möglich ist, wenn man den Filter übergeht, trotzdem alle Daten lesen zu können
 
maceis schrieb:
Na ja, dem Beitrag von Struppi konnte man diesbezüglich keine Details entnehmen.
Steht zum einen nichts über File Vault drin und zum anderen nicht, ob der Benutzer wirklich abgemeldet war oder ob er per schnellen Benutzerwechsel den zweiten Benutzer zusätzlich angemeldet hatte, was mE unter Sicherheitsaspekten sowieso nicht ratsam ist.
Zum Vergrößern anklicken....

100% Deiner meinung. Außerdem wäre es nett, wenn StruppiMac das noch kurz posten könnte, wie der User-Wechsel gemacht wurde, s.o.
 
...

Hallo StruppiMac,

StruppiMac schrieb:
Heißt aber auch, dass es möglich ist, wenn man den Filter übergeht, trotzdem alle Daten lesen zu können
Zum Vergrößern anklicken....

da kann ich nicht folgen und bereue, dir mit der Ordneraktion helfen zu wollen...

Gruß Andi
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten