heise :"Mac OS X schlampt bei Passwörtern "

bei mir steht ganz sicher Admin, aber nur weil iich das wollte, beim Anlegen eines neuen Users muss ich ganz explizit das Häkchen bei ....blah darf den Computer verwalten setzen

Ein kleiner abber feiner Unterschied!

Und das Home-Verzeichnis ist immer noch das wichtigste am System.
Zum Vergrößern anklicken....
ohne /home startet der Rechner wenigstens noch....
 
Hey Leute,

ich wollte mich bei Heise amüsieren, nicht hier!


:cool:


?=?
 
Sym schrieb:
So sehe ich das auch!

Mir dem Admin-Passwort könnte man somit alle anderen Passwörter herausfinden. Normalerweise sollte man sie nur neu sezten können, so dass der betreffende User das auch mitbekommt.
Und diese Windows-Bashing kannst Du Dir sparen. OSX ist nicht wesentlich sicherer als Windows. Es gibt jedoch einen größeren Pool an Kiddies, welche sich zunächst am größeren System versuchen.
Zum Vergrößern anklicken....

Jaa, war etwas überspitzt dargestellt von mir. Nur diese Mär vom kompromittierten Windows und den 1000 Script-Kiddies ist für mich ebensowenig einleuchtend. Es ist definitiv nicht so, dass bei gleicher Verbreitung genau so viele Schädlinge da wären wie bei Windows. War im Übrigen auch nicht als Bashing gedacht. Nur mal so.

@?=?
Absolut :D
 
Ich konnte nicht an mir halten und hab auch was posten müssen... diese Quadratköppe im heise Forum schaffens immer wieder...

Naja was solls ich kommentier jetzt immer mit:

Wenn Du Dir keinen Mac leisen kannst, nutz weiter Windows... trotzdem kotzt mich Deine Armut an :)

Ist aber lieb die Trolle in Aktion zu sehn...
 
Also wenn man das Admin-Passwort braucht, um das Admin-Passwort herauszufinden, ist die ganze Sache doch sowieso witzlos. Wenn jemand auf meiner Maschine root ist, braucht er nicht mein Passwort zu kennen um alle meine Dateien zu lesen. Wichtige Daten hab ich sowieso verschlüsselt gespeichert, und mit einem anderen PW als dem des Admins gesichert.
 
Naja, aber es ist schon wirklich dreist, ein Passwort im Klartext irgendwo abzulegen, ganz egal ob die Firma apple, Microsoft, Aldi oder Dr. Best heisst. Sowas macht man nicht!

Ich finde es zudem etwas dreist, auf Tiger zu verweisen welches ja doch deutliche Kosten mit sich bringt und keinen Patch darstellt.

Ich hoffe einfach mal, das das mit dem nächsten Systemupdate gefixt wird. So gross erscheint mir das Problen ja nicht, man müsste nur statt des Passwortes einen Hash verwenden - fertig. Dann wären die FileVault Dateien wieder "sicher", und der Rest weiterhin so, wie er ist.
 
Sym schrieb:
[..]
Und diese Windows-Bashing kannst Du Dir sparen. OSX ist nicht wesentlich sicherer als Windows. Es gibt jedoch einen größeren Pool an Kiddies, welche sich zunächst am größeren System versuchen.
Zum Vergrößern anklicken....

Hi
oleoleole jetzt geht hier aber Rund, wie aufm Fussballplatz ;)
Also OSX ist schon sicherer wie Win, "wieviel" sicherer lässt sich immer sehr schwer sagen, da schon ein grober Bug oder Sicherheitslücke ausreichen um ein OS ins wanken zu bringen.
Windows bietet viel Angriffspunkte die hier im Forum auch schon breit diskutiert worden sind, der für mich grösste bleibt ActiveX.
Welches das "grössere" System ist sei mal dahin gestellt, bedenke aber das bei OSX jede Menge Serverapplikationen und Entwickler-Tools dabei sind.
Nur weil eine Software weit verbreitet ist. heisst es noch lange nicht, das sie unsicherer sein muss. Dieses Argument kommt immer wieder. Unsicherheit von Software hat aber etwas mit Fehler in der Programmierung zu tun und das hat nichts mit der Häufigkeit des Einsatzes von Software zu tun. Es gibt genug Software , die nur sehr wenig eingesetzt wird aber dennoch sehr sicher ist.
Die" Scriptkiddies " würden doch weitaus mehr "Ruhm" absahnen, wenn sie ein sicheres oder das "sicherste" OS überlisten. Die meisten Sicherheitslücken entdecken aber eher Experten, diese werden bei Zeiten von den Kids ausgenutzt...und M$ lässt sich, im Gegensatz zu Apple bisher, immer sehr viel Zeit.
Warten wir auf das Security-Update. :)
Der Bug ist zwar ärgerlich aber nicht kritisch für den Single-User.
 
Zuletzt bearbeitet:
was mach ich falsch?

ich hab jetzt ein paar mal versucht mit sudo strings ..... meine eigenen passwörter zu lesen (nur zum test) aber bei mir kommt nach der passwortabfrage nix, nur ein neuer prompt??

mach ich hier was falsch oder tut das auf meiner kiste (neuester stand) nicht??
 
Shetty schrieb:
Also wenn man das Admin-Passwort braucht, um das Admin-Passwort herauszufinden, ist die ganze Sache doch sowieso witzlos. Wenn jemand auf meiner Maschine root ist, braucht er nicht mein Passwort zu kennen um alle meine Dateien zu lesen. Wichtige Daten hab ich sowieso verschlüsselt gespeichert, und mit einem anderen PW als dem des Admins gesichert.
Zum Vergrößern anklicken....

Darum geht es ja nicht.
Wenn du z.B. ein PowerBook hast und es wir dir im StandBy oder im laufenden Betrieb geklaut, kommt man so an dein Passwort. Einfach Rechner hart ausschalten, Platte ausbauen. Anderen Rechner nehmen, Admin-Passwort aus Swapfile lesen. Platte einbauen, Passwort eingeben->fertig.

Ich glaube nicht das Apple das Problem noch in Panther fixen wird.

Sorry, aber das ist hier teilweise wieder etwas überspitzt dargestellt. Sicher ist es auf den ersten Blick ein großes Problem. Aber auf den zweiten Blick gibt mehr als genug "Ausweichlösungen". Eine wäre z.B. ein FileVault-Image zu nutzen, statt sein Home-Verzeichnis zu verschlüsseln. Was imo sowieso blödsinn ist....

Schon hat man damit kein Problem mehr...

Und soweit ich das mitbekommen habe, steht das Passwort erst im Swap-File, wenn man es eingegeben hat. Als normaler Nutzer gibt man es nur selten sein. Bei mir funzt die beschriebene Methode z.B. nicht. Bei mir wird kein Passwort angezeigt...
 
Bei mir wird auch nix angezeigt.....
Außerdem: Wenn einer als Admin eingeloggt ist (also das Admin-PW kennt), dann kann er ruhig alle anderen PWs auslesen. Dafür hab ich ja User eingerichtet, die diese Rechte nicht haben.
 
Wenn du z.B. ein PowerBook hast und es wir dir im StandBy oder im laufenden Betrieb geklaut, kommt man so an dein Passwort.
Zum Vergrößern anklicken....

Also, wenn ich physischen Zugriff auf ein System habe bin ich ratzfatz drin. Sobald ich von einer System-CD oder Diskette booten kann ist das Passwort des root Benutzers nichts mehr wert. Und da ist es egal, ob Windows, Linux, AIX, Solaris oder MacOSX drauf steht.
Und Windows ist sicher. Wenn man nur die Türen nimmt, die das System vorgesehen hat. Die kann man so dicht machen, dass da niemand rein kommt.
 
minilux schrieb:
bei mir steht ganz sicher Admin, aber nur weil iich das wollte, beim Anlegen eines neuen Users muss ich ganz explizit das Häkchen bei ....blah darf den Computer verwalten setzen

Ein kleiner abber feiner Unterschied!


ohne /home startet der Rechner wenigstens noch....
Zum Vergrößern anklicken....
Dumdidum - OSX legt den ersten User immer als Admin an - dumdidum...
:rolleyes:

@all die meinen OSX sei sicherer:
Das wurde hier oft genug geklärt. Wer davon keine Ahnung hat, sollte sich vielleicht erst einmal schlau machen, wie die Realität aussieht. ;)
Auch wenn dies hier eine Sicherheitslücke ist, welche vielleicht erst unter ziemlichen Umständen nutzbar ist, ist es dennoch eine Lücke. Da hilft es dann nicht zu sagen: "bei Windows ist es schlimmer".
 
Hi sgmelin
klar ist bei physischem Zugriff das Root-PW nichts mehr wert, aber bei den meisten OS kannst du nur das Root-PW überschreiben. Auch die User-PW's sind nur überschreibbar nicht auslesbar. Genau das ist das Problem mit den verschlüsselten Daten. Der User oder Admin kommt nicht an die Daten wenn er das PW nur überschreiben kann aber er kommt an die Daten wenn er das PW der User/Admins aus dem Speicher lesen kann. Wenn man keine Verschlüsselung verwendet und nur Single-User ist, dem macht der Bug nichts aus.
 
Zuletzt bearbeitet:
glotis schrieb:
Hi
@Sym
Wie sieht denn die Realität aus?
Zum Vergrößern anklicken....
Dazu gibt es mehr als genug Threads - hier in diesem Forum als auch woanders. Es ist sehr schwer vergleichbar - allerdings ist OSX auch nicht so das Ziel der Cracker-Scene. MS tut auch genug, um Sicherheitslücken zu stopfen und es ist so, das beide System Probleme mit sich bringen. Und wer unter Windows als Admin surft, ist halt selber schon ein Risiko. ;)
Ich bin hier das raus. Ich werde mich hier jetzt nicht weiter an dem OSX-Hochleb-Windows-Bashing beteiligen. Das wurde oft genug getan und kann hier jederzeit nachgelesen werden. Ich habe dazu jetzt gerade keinen Bock.
 
Ich bin schwer geschockt! Das ist wirklich ein gravierender Fehler und dass es noch immer kein Bugfix gibt laesst mein Vertrauen in Apples Sicherheitspolitik gegen Null sinken.

Apple preist unverschaemterweise auch noch das verschluesselte Heimverzeichnis an, dass mit diesem Fehler ganz klar unsicher und damit unbrauchbar ist.


Das Niveau hier im Forum laesst meiner Meinung nach schwer zu wuenschen uebrig. Ich jedenfalls kann auf den "Glauben" einiger, OS X sei sicherer als Win XP oder 2K, verzichten. Solche subjektiven Eindruecke haben keinerlei Informationsgehalt.

Zurueck zum technischen:
Passwoerter im Klartext sind viel gefaehrlicher als die Hashwerte, da viele Nutzer (dummerweise) fuer diverse Zwecke die gleichen Passwoerter verwenden.
Ein Eindringling(oder Notebookdieb) kann also Schaden anrichten, der ueber das System hinaus geht.

Ueberschreibt OS X das Swapfile beim ausschalten? Falls dem naemlich nicht so waere wuerde es keinen Unterschied machen, in welchem Zustand ein Notebook geklaut wird(gleiches gilt fuer einen Einbruch), um den verschluesselten Platteninhalt zu bekommen: Das Swapfile waere unveraendert auf der Platte und liesse sich relativ leicht auslesen(zur Not grept man die ganze HD).
 
Hi
@Sym
So sieht die Realität aus?
Die Cracker-Scene findet die Sicherheitslücken? Also ich nehme die Realität anders war. Sind es nicht Sicherheits-Institute oder Experten, die Sicherheitslücken und Bugs finden? Vielleicht noch professionelle Hacker. Aber sicher nicht die Cracker-Szene, die nutzen die Lücken dann nur mit schlecht programmiertem Code aus, unabhängig vom OS.
Hier geht es nicht um ein OSX-Hochleb-Windows-Bashing.

@Plant the Seed!
Du kannst das Niveau ja wieder heben und uns erklären wie sicher die verschlüsselten Daten unter Win sind. Bring mal die Fakten.

Ich gehör bestimmt nicht zum OSX-Hochleb-Windows-Bashing-Verein
 
glotis schrieb:
Hi
@Sym
So sieht die Realität aus?
Die Cracker-Scene findet die Sicherheitslücken? Also ich nehme die Realität anders war. Sind es nicht Sicherheits-Institute oder Experten, die Sicherheitslücken und Bugs finden? Vielleicht noch professionelle Hacker. Aber sicher nicht die Cracker-Szene, die nutzen die Lücken dann nur mit schlecht programmiertem Code aus, unabhängig vom OS.
Hier geht es nicht um ein OSX-Hochleb-Windows-Bashing.
Zum Vergrößern anklicken....
Natürlich gibt es auch welche, die damit Geld machen und für MS etc. arbeiten. Aber wieso gibt es dann Würmer u.ä. die diese Lücken ausnutzen. Es ist oft der Fall, dass diese vorher nicht bekannt waren und erst dadurch offengelegt werden.
glotis schrieb:
Ich gehör bestimmt nicht zum OSX-Hochleb-Windows-Bashing-Verein
Zum Vergrößern anklicken....
Ich meinte auch nicht unbedingt Dich damit.
 
Plant the Seed! schrieb:
Ich bin schwer geschockt! Zurueck zum technischen:
Passwoerter im Klartext sind viel gefaehrlicher als die Hashwerte, da viele Nutzer (dummerweise) fuer diverse Zwecke die gleichen Passwoerter verwenden.
Ein Eindringling(oder Notebookdieb) kann also Schaden anrichten, der ueber das System hinaus geht.
Zum Vergrößern anklicken....

du weisst micht wovon du redest. das ist doch alles Pillepalle...

denn dazu braucht sich der dieb nichteinmal die arbeit machen, er braucht nur ne system cd und kann den passwörter zurücksetzen . und schon ist er drin ohne ne ahnung zu haben.

weiter . über den singleuser kommt man auch ganz nett rein, schon wil viele idioten nicht einmal ein root anlegen... und auch dann geht es wenn auch mehr für die die ahnung haben.

Plant the Seed! schrieb:
Ueberschreibt OS X das Swapfile beim ausschalten? Falls dem naemlich nicht so waere wuerde es keinen Unterschied machen, in welchem Zustand ein Notebook geklaut wird(gleiches gilt fuer einen Einbruch), um den verschluesselten Platteninhalt zu bekommen: Das Swapfile waere unveraendert auf der Platte und liesse sich relativ leicht auslesen(zur Not grept man die ganze HD).
Zum Vergrößern anklicken....
rein spekulativ und Fv ist ehedem nicht sicher und wer wirklich relevante daten handelt legt sie zumindest verschlüsselt auf ein image.

mein rat - generell OF password anlegen. dann kommt man ganz normal über eingabe eines PW rein und ist sich relativ sicher das beim verlust der rechner zumindest vom dieb geschrottet werden muss.
die daten auf der platte sind ehedem greifbar, da gibts genug tools zum auslesen und selbst eines von apple um die rechte voll easy zu umgehen -
OS9

schlaf mal schön weiter ... ;) denn nichts ist sicher im leben- ausser der tod wie die asiaten sagen...
 
Zurück
Oben Unten