blalalama
Aktives Mitglied
- Dabei seit
- 29.05.2003
- Beiträge
- 864
- Reaktionspunkte
- 1
?=? schrieb:in Bezug auf das Problem des Threads: Momentan Ja!
<snip>
Dann kann ich ja ruhig schlafen banana
Folgen Sie dem Video unten, um zu sehen, wie Sie unsere Website als Icon auf Ihrem Homescreen erstellen.
Anmerkung: This feature may not be available in some browsers.
?=? schrieb:in Bezug auf das Problem des Threads: Momentan Ja!
<snip>
Jupp, das schon. Allerdings wird dieser Admin als StandardUser eingesetzt. Man kann dann natürlich andere User nachträglich eintragen und damit arbeiten.minilux schrieb:sorry, bin leider erst jetzt wieder hier, und was les ich dann??
Das hier:
... zitat von mir...
is ja auch kein Wunder, einen Admin sollte so ein System schon haben, oder?
Sym schrieb:Jupp, das schon. Allerdings wird dieser Admin als StandardUser eingesetzt. Man kann dann natürlich andere User nachträglich eintragen und damit arbeiten.
Unter Linux musst Du z.B. nur das Root-Passwort eingeben. Danach erzeugst Du den eigentlichen Nutzer. Also erst gar kein Name für root, weil der ist nicht zum arbeiten gedacht.
Quelle: FileVault ist unsicherAgmemon @ FileVault ist unsicher schrieb:1) Mal soeben einen Patch schreiben, daß die Swap-Files verschlüsselt abgelegt werden, kann man eigentlich vergessen. Swapping greift recht tief ins System ein, und ohne Performance-Verlust läßt sich da nichts mal aus die schnelle machen.
2) Definitiv ein Sicherheitsrisiko liegt vor, wenn man seinen Mac nicht richtig vor dem Zugriff von aussen schützt, während das gute Stück läuft. Denn dann kann der Fehler unter umständen wirklich ausgenutzt werden.
3) Wird der Rechner wirklich geklaut, kann man so und so nichts mehr machen. Es gibt so viele Wege dann an die Daten ranzukommen, mit gar nicht mal so großem Aufwand.
Ich habe solch eine Erfahrung in der Hochschule machen dürfen. Aufgabenstellung war, einen Password-Knacker zu schreiben, der auf Basis einer Wörterbuch-Attacke operiert. Getestet haben wir das Programm im Linux-Cluster anhand der Login-Passwörter in den yellow pages. Innerhalb einer Stunde hatte ich Zugriff auf 20 von ca. 800 Accounts, und das mit einfachen Wörtbuchdateien. Durch den zusätzlichen Einsatz von genetischen Algorithmen lassen sich so auch die berühmten Passwörter, die angeblich nicht in Wörterbüchern zu finden sind und Ziffern und Sonderzeichen enthalten, relativ leicht knacken.
Unter Windows ist es ebenso leicht: das Administrator-Passwort, das bei der Installation angegeben wird und zu 99,5% nicht mehr geändert wird, wird in einer Datei im System32-Verzeichnis abgelegt. Mit dem richtigen Tool ist es eine Sache von zwei bis drei tagen und man hat administrativen Zugriff auf die Machine.
Diese Liste läßt sich unendlich weiterführen. Wer glaubt, daß es ein System gibt, daß ihm selbst bei Diebstahl 100% Schutz liefert ist wirklich naiv. Selbst das zur Zeit sicherste BS OpenBSD schafft das nicht.
Nicht desto trotz muß Apple wegen dem Klartextpasswort was machen. Aber es ist kein Grund in Panik zu verfallen oder Apple zu verteufeln. Wenn ich mir die letzten Sicherheits-Audits für M$-Produkte ansehe, ist das Passwort Problem in Mac OS echt Kinderkram.
HansZarkow schrieb:Ist es in der Mac-Community denn nicht möglich, mal über Fehler von Apple zu reden, ohne das die immer gleichen "Windows ist auch nicht besser"-Kommentare kommen? Das interessiert doch keinen! Wir sehen doch glaub ich alle Apple VOR Microsoft, also sollten die sich nicht an denen orientieren.
HansZarkow schrieb:Dieser Bug ist ein Sicherheitsrisiko und sollte behoben werden. Die Feststellung dieser Tatsache ist kein Aufruf alle Macs auf der Straße zu verbrennen und sich bei Dell was neues zu holen.
Darum geht es ja nicht.
Wenn du z.B. ein PowerBook hast und es wir dir im StandBy oder im laufenden Betrieb geklaut, kommt man so an dein Passwort. Einfach Rechner hart ausschalten, Platte ausbauen. Anderen Rechner nehmen, Admin-Passwort aus Swapfile lesen. Platte einbauen, Passwort eingeben->fertig.
Shetty schrieb:Wow - dann kennt er das Passwort zu dem Rechner, den er mir geklaut hat. Ist das irgendein Nachteil für mich?
Oh ja, er könnte eMails unter meinem Namen verschicken. Da ich natürlich sobald wie möglich das Passwort zu meinem Mail-Konto ändern würde, hätte er davon allerdings auch nicht viel...