Benutzerrechte im Home Verzeichnis

lunchbreak schrieb:
Also so richtig Sinn ergeben tut das alles nicht. Und durchdacht scheint es auch nicht zu sein.
Zum Vergrößern anklicken....
Sehe ich genauso. So richtig sinnig ist das nicht. Finde auch keine Erklärung dazu, die das rechtfertigt. Nur wenn der andere Admin ist geht es nicht.
 
picollo schrieb:
Sehe ich genauso. So richtig sinnig ist das nicht. Finde auch keine Erklärung dazu, die das rechtfertigt. Nur wenn der andere Admin ist geht es nicht.
Zum Vergrößern anklicken....

Selbstverständlich geht das auch wenn der andere Admin ist. Gerade probiert:

Admin erstellt einen Ordner/ein Verzeichnis in seinem Home-Verzeichnis. Auf der gleichen Ebene wie "Dokumente". Speichert darin eine Datei, z.B. ein pdf. Loggt sich aus. Ein anderer User (normaler User) loggt sich ein. Geht in das Home-Verzeichnis des Admin dort sieht er den besagten Ordner. Dann rein, dort sieht er das pdf. Doppelklick: voila!

Völliger Irrsinn das Ganze!
 
  • Gefällt mir
Reaktionen: dg2rbf
Das Verhalten hatte macOS eigentlich schon immer.
Das kommt aus der Zeit, als in jedem User Verzeichnis ein geteilter Ordner war. Nannte sich glaube ich Briefkasten oder so.
Um den zu teilen musste die Gruppe Jeder Leserechte auf dem Home Verzeichnis haben.
Bis hier her ist das kein Problem, dumm ist nur, das diese Rechte an jeden selbst erstellten Ordner vererbt werden.
Das Verhalten fand ich vor 15 Jahren schon dämlich.

Andererseits ist es interessant, was Macuser so unbewusst in öffentlichen WLANs teilen. Beliebt ist der Scan nach Shares in Hotel oder Uni WLANs. :hehehe:

Die Briefkasten Option gibt es immer noch: https://support.apple.com/de-lu/guide/mac-help/mchlp1145/mac
 
@maba_de :
Verstehe ich nicht. Wieso das "bis hier" kein Problem sein soll? Wenn die Gruppe "Jeder" Leserechte hat, dann ist das m.E. ein Problem und führt genau dazu worum es hier im Thread geht: Daß jeder(!) im Home-Verzeichnis des anderen Dateien lesen kann (sofern diese nicht wie hier im Thread ja beschrieben sich z.B. im Unterordner Dokumente o.ä. befinden).

Verstehe auch nicht, was Du mit Scan in Hotel WLANs meinst, bzw. das Teilen in öffentlichen WLANs? Wie meinst Du das, und wie hängt das mit dem Phänomen zusammen, um das es hier geht? Ich kann nicht folgen. Kannst Du das etwas näher erläutern?
 
lunchbreak schrieb:
Verstehe ich nicht. Wieso das "bis hier" kein Problem sein soll? Wenn die Gruppe "Jeder" Leserechte hat, dann ist das m.E. ein Problem und führt genau dazu worum es hier im Thread geht: Daß jeder(!) im Home-Verzeichnis des anderen Dateien lesen kann (sofern diese nicht wie hier im Thread ja beschrieben sich z.B. im Unterordner Dokumente o.ä. befinden).
Zum Vergrößern anklicken....
Wenn die Rechte nicht vererbt werden würden wäre das kein Problem. Das meinte ich damit.
So, wie es jetzt bzw. schon immer ist, ist es natürlich ein Problem.
lunchbreak schrieb:
Verstehe auch nicht, was Du mit Scan in Hotel WLANs meinst, bzw. das Teilen in öffentlichen WLANs? Wie meinst Du das, und wie hängt das mit dem Phänomen zusammen, um das es hier geht? Ich kann nicht folgen. Kannst Du das etwas näher erläutern?
Zum Vergrößern anklicken....
Vielen ist nicht bewusst, das Shares mit dem Recht Jeder lesen durchaus auch mal in einem Public Netz öffentlich sichtbar sind.
Ich habe spaßeshalber mal in einen Hotel nach Shares gescannt und div. Shares von Macusern entdeckt.
Voraussetzung ist natürlich ein schlecht konfiguriertes Public WLAN, in dem die Clients miteinander kommunizieren dürfen.
Windows fragt in einem fremden WLAN, ob Shares freigegeben werden sollen oder nicht. Das finde ich besser, wenn man dann die richtige Option anklickt.
 
  • Gefällt mir
Reaktionen: dg2rbf
Willst Du damit sagen, daß das pdf (um bei dem Beispiel aus dem Thread zu bleiben), von einem anderen MacBook im gleichen Hotelnetz im Zimmer nebenan gelesen werden kann, oder wie?
 
lunchbreak schrieb:
Willst Du damit sagen, daß das pdf (um bei dem Beispiel aus dem Thread zu bleiben), von einem anderen MacBook im gleichen Hotelnetz im Zimmer nebenan gelesen werden kann, oder wie?
Zum Vergrößern anklicken....
Sagen wir so, in meinem Test war das so. Den Usern war sicher nicht bewusst, das sie ihre Ordner im gesamten Netz teilen.
Der Test ist allerdings länger her. Ich hole den Test bei Gelegenheit mal wieder nach.
 
Zuletzt bearbeitet:
Also das wäre ja echt bitter!

Ich habe zuhause auch ein WLAN (wie wohl alle). Und dort habe ich (in der FRITZ!Box) auch das Häkchen gesetzt bei "Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren".

Sehen jetzt die Bekannten, und Nichten und Neffen, die regelmäßig kommen und in unserem Heimnetz ganz normal verbunden sind, sehen die jetzt die Dateien auf meinem MacBook welche wie hier beschrieben im Home-Verzeichnis in einem Ordner neben "Dokumente" liegen? Also nicht nur andere User auf meinem MacBook, sondern auch andere MacBooks in unserem Heimnetz sehen das besagte pdf und können es öffnen? :poop:

Oder müsste ich da auf meinem Book noch irgendwas anderes "freigegeben" haben? :unsure:

Ich habe jetzt den Haken entfernt bei "Die unten angezeigten aktiven WLAN-Geräte dürfen untereinander kommunizieren".
Das ist aber auch keine Lösung, denn jetzt können wir nicht mehr über WLAN unseren Drucker ansprechen. Zum Drucken über WLAN muß der Haken rein.
 
lunchbreak schrieb:
Sehen jetzt die Bekannten, und Nichten und Neffen, die regelmäßig kommen und in unserem Heimnetz ganz normal verbunden sind, sehen die jetzt die Dateien auf meinem MacBook welche wie hier beschrieben im Home-Verzeichnis in einem Ordner neben "Dokumente" liegen? Also nicht nur andere User auf meinem MacBook, sondern auch andere MacBooks in unserem Heimnetz sehen das besagte pdf und können es öffnen? :poop:
Zum Vergrößern anklicken....
Ich möchte dich da wirklich beruhigen, ich habe es vorhin getestet und war NICHT (!) erfolgreich.
Ohne Authentifizierung ist es mir nicht gelungen, irgend etwas zu sehen, geschweige denn zu öffnen.
Mittlerweile muss man einen User haben, der in der Gruppe User auf dem entsprechenden Mac ist.
Ich bleibe weiter dran, denke aber, Apple hat mögliche alte Probleme behoben.
Mein damaliger Test war zu einer Zeit, als AFP noch Standard war.

Wenn du dich noch sicherer fühlen willst kannst du für Gäste ja ein Gast WLAN aufmachen, dass bieten die meisten Router ja an.
Das trennt die Geräte von deinem WLAN.
 
  • Gefällt mir
Reaktionen: lunchbreak und dg2rbf
Hallo.

Ich habe es jetzt mit einem MacBook aus unserem Haushalt probiert. Vorher sichergestellt, daß der Haken bei der Fritz!Box drin ist (siehe #28).
Jetzt den Finder geöffnet auf dem anderen MacBook in unserem Netz:

Ich sehe da keine Möglichkeit von dort auf das Home-Verzeichnis meines eigenen MacBooks zu kommen.
Auch sehe ich in der Seitenleiste links im Finder nichts was auf andere MacBooks in unserem eigenen Netz schließen läßt - und es sind einige gerade per WLAN verbunden.

Dann habe ich im Finder über CMD+, alles angehakt was es zum Anhaken gibt, sprich, es werden jetzt links in der Finder-Seitenleiste alle Geräte-Arten angezeigt, die Apple kennt. Wieder nichts. Da steht nichts/kein Eintrag, der auf ein anderes MacBook in unserem Netz schließen läßt.

Somit denke ich, daß sich unsere MacBooks auch nicht in einem Hotelnetz "darstellen" und auf anderen Rechnern aufpoppen - aber interessieren würde es mich schon, was ich/man einstellen müßte, damit es sow wäre. Nur so kann man es lernen und aktiv verstehen und verhindern.

Danke.

PS:
Wir nutzen Monterrey.
 
lunchbreak schrieb:
aber interessieren würde es mich schon, was ich/man einstellen müßte, damit es sow wäre. Nur so kann man es lernen und aktiv verstehen und verhindern.
Zum Vergrößern anklicken....
mag sein, dass die damals Gast Zugang eingerichtet hatten oder so.
Ist leider wirklich länger her, insofern weiß ich nicht mehr, warum dass damals ging.
Aber es war nicht nur ein Mac, ich habe bei einem Scan damals mehrere Macs gefunden und konnte bei jedem auf Freigaben klicken und Daten einsehen.
Vielleicht war AFP damals "freizügiger" als SMB heutzutage, keine Ahnung.

Mittlerweile hat sich auch viel verändert und ein unautorisierter Zugriff geht offensichtlich nicht mehr, auf keinem System. Es sei denn natürlich, man hackt das System über eine Schwachstelle.

Nachtrag: mein Test war übrigens 2013 - also wirklich lange her.
 
Zuletzt bearbeitet:
der Gast User darf mittlerweile deutlich weniger als früher. Beispielsweise keine Remote Anmeldung mehr.
Siehe hier:
https://support.apple.com/de-de/guide/mac-help/mtusr001/mac

Ich muss das noch mal klarstellen, dass man auf einem einigermaßen aktuellen System ohne Account sicher keine Daten mehr auslesen kann.
Es sei denn, man aktiviert Gast Nutzer mit der Option, auf Dateien zuzugreifen:
Bildschirmfoto 2022-05-26 um 16.05.19.png


Zudem muss diese Option hier gesetzt sein, die leider standardmässig aktiv ist und zudem sehr gut versteckt.
In der Dateifreigabe ist die Option versteckt:
Bildschirmfoto 2022-05-26 um 16.06.31.png


Wenn beides aktiv ist wird ein Zugriff ohne Konto Daten sicher möglich sein.

Wie man die Gastfreigabe für die eigenen Shares entfernt steht hier:
https://support.apple.com/de-de/guide/mac-help/mh17131/12.0/mac/12.0
 
Zuletzt bearbeitet:
Habe einen Ordner, der im 2017 erstellt wurde, und der hat noch die richtigen Rechte. Es gibt den Ordner 'öffentlich' und der erfüllt die Zwecke das ihn jeder lesen kann. Das es heute die Rechte für jeden zulässt, währe falsch, wer schaut sich bei jedem neuerstellten Ordner die Benutzerrechte an.
 
maba_de schrieb:
...
Ich muss das noch mal klarstellen, dass man auf einem einigermaßen aktuellen System ohne Account sicher keine Daten mehr auslesen kann.
...
Zum Vergrößern anklicken....
Das, wie ganz #34, mag für den Remote-Zugriff um den es in den letzten paar Posts ging gelten. Mag sein, blicke ich nicht so ganz durch, aber ok - wenn es so ist, ok und gut.

Jedoch kann man, wie wir in den davorigen Posts ja erörtert haben, sehr wohl Daten anderer Benutzer auslesen und auch kopieren (*), wenn man per separatem User nur einen Zugrang zum Rechner hat. Mehr braucht man nicht. Alles ganz legal und "normal", ohne irgendwelche Kniffs oder Einstellungen. Das allein finde ich skandalös. Gerade von Apple, dem Hüter des heiligen Privacy-Grals!

(*) wenn sie wie mehrfach hier beschrieben im User-Verzeichnis, in einem x-beliebigen Ordner neben (=auf gleicher Ebene wie) dem Ordner "Dokumente" liegen.
 
lunchbreak schrieb:
Jedoch kann man, wie wir in den davorigen Posts ja erörtert haben, sehr wohl Daten anderer Benutzer auslesen und auch kopieren (*), wenn man per separatem User nur einen Zugrang zum Rechner hat.
Zum Vergrößern anklicken....
An sich korrekt, aber dann muss man einfach die Rechte der Ordner überprüfen und der Gruppe alle Rechte entziehen.
Also nur dem Eigentümer Rechte geben.
Dass die Rechte „Jeder lesen“ bei neuen Ordnern vererbt werden finde ich ja auch doof.
 
  • Gefällt mir
Reaktionen: dg2rbf
Es ist wie oben beschrieben doch angeblich eine Designentscheidung. Die Mühe kannst du dir sparen, da wird nix passieren. Bleibt nichts anderes übrig als händisch die Rechte anzupassen auf das gewünschte, was mMn per Default so gehört. Aber wie heisst es bei Apple "Think different".
 
  • Gefällt mir
Reaktionen: dg2rbf
In dem Zusammenhang hätte ich noch eine Frage und eine Bitte. Es sind drei Aktionen, für die mich mal interessieren würde, wie das bei Euch aussieht.

Zunächst die eine:

Kann sich mal jemand als User (nicht Admin!) einloggen und dann auf seinem 'Schreibtisch' und in seinem Ordner 'Dokumente' mal auf je eine Datei klicken und dann CMD+i.

Steht da wie auch bei mir?

1. Schreibtsich
(Ich) : Lesen & Schreiben
staff : Nur Lesen
everyone: Nur Lesen

2. Dokumente
(Ich) : Lesen & Schreiben
staff : Nur Lesen
everyone: Nur Lesen

So ist es bei mir.

Aaaaber:
Es gibt sowohl im 'Schreibtisch', wie auch in 'Dokumente' ein paar andere Dateien, da steht bei mir:

3. Schreibtisch / Dokumente:
(Ich) : Lesen & Schreiben
staff : Lesen & Schreiben
everyone: Lesen & Schreiben

Ich wüßte gerne warum? Ich glaube das sind Dateien, die ich mal auf einem Stick gespeichert habe und von dort dann auf die Festplatte - ich bin mir aber nicht mehr ganz sicher.

Wäre nett, wenn mal jemand schauen könnte, ob 1. und 2. bei Euch auch so ist.

Vielen Dank!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten