Mac sicherer als PC?

[_ebm_]

man kann die Bugs finden die man kennt, man kennt aber in der Regel nur einen winzigen Bruchteil
btw: win ist nicht monolithisch (und fördert auch keine monolithische Programmierung)

Danke dir

@MacMark:
Ich frag mich, was "Embedded" mit Monolitisch zutun hat - und was eine SQL-Engine mit Sicherheit zutun hat. Und wieso RPC auf Windows gebunden ist. Kann es sein, dass du den Medien aufgesessen bist? RPC = Remote Procedure Calls.. Das macht auch MacOS und *BSD und Linux und Solaris und AT&T und IBM und und und. Windows hatte nur standardmäßig viele Ports offen, was sich mit XP SP2 übrigens deutlich verbessert hat.

Dazu noch etwas zu OSX: Da sind auch wenn in deiner "Sicherheitseinstellung" alles abgestellt ist, einige Ports offen!

$ netstat -p TCP -p UDP
Active Internet connections
Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
udp4       0      0  *.49232                *.*                    
udp4       0      0  192.168.0.5.ntp        *.*                    
udp4       0      0  *.*                    *.*                    
udp6       0      0  localhost.ntp          *.*                    
udp4       0      0  localhost.ntp          *.*                    
udp6       0      0  localhost.ntp          *.*                    
udp6       0      0  *.ntp                  *.*                    
udp4       0      0  *.ntp                  *.*                    
udp4       0      0  *.*                    *.*                    
udp6       0      0  *.mdns                 *.*                    
udp4       0      0  *.mdns                 *.*

mDNS ist Bonjour, NTP der Zeitdienst, und was da an 49232 lauscht, will ich garnicht wissen.


Edit: An 49232 lauscht der iTunesHelper.. Toll oder?

 

[_ebm_]

Das haben sie auch noch nie getan, denn Viren verbreiten sich nicht aktiv. Du meinst Würmer. Die verbreiten sich vollautomatisch. Ich weiß, die "Sicherheitsfirmen" können das heutzutage selbst nicht mehr unterscheiden, ganz traurige Geschichte. Ich nenne es lieber bei korrektem Namen.

Ja danke.. Leichte Unsauberkeit in meiner Argumentationskette..

Bezüglich AJAX stimme ich Dir zu: Suchmaschinen sind da schlauer, denn sie führen keinen fremden Code, und sei es nur JavaScript, auf ihren Rechnern aus. Mit XmlHttpRequest bekommt der User nicht einmal mit, wenn Daten verschickt werden und welche. Halte ich überhaupt nichts von.

Die Suchmaschinen sind nicht schlauer sondern dümmer! Die meisten können kein Javascript auswerten, da dazu Kenntnis über den gesamten DOM-Baum des Dokuments nötig ist und eine entsprechende Laufzeitumgebung für JS vorhanden sein muß. Die parsen nur die Seite auf interessante Inhalte und legen Link + Stichwörter in ihrer Datenbank ab. Alles andere wäre zu aufwändig...

Und AJAX ist nur ein Bruchteil von Web 2.0! Das ist nur die Technik zum Abfragen über XmlHttpRequest und zumeist in Javascript geschrieben, genau wie der ganze andere interaktive Inhalt. Andere Varianten sind übrigens Flash, Silverlight und seit neustem Flex (Adobes Flash-Nachfolger)

 

[mcfeir]

"Selbst ein Prozeß auf _niedrigster_ Stufe kann Steuer-Nachrichten an höhere Prozesse schicken".

Die Metaphern "hoch" und "niedrig" sind hier ziemlich irreführend. Wenn du damit meinst, dass jeder Prozess Systemrechte erlangen kann, dann hast du das MIC-Konzept nicht richtig verstanden. Die Position : Was MS da an Sicherheitstechnologien implementiert, ist eigentlich egal, weil ein Vista als Ganzes vom Design her falsch angelegt sei, ist mir dann doch zu primitiv.

 

[MacMark]

Die Metaphern "hoch" und "niedrig" sind hier ziemlich irreführend. Wenn du damit meinst, dass jeder Prozess Systemrechte erlangen kann, dann hast du das MIC-Konzept nicht richtig verstanden. Die Position : Was MS da an Sicherheitstechnologien implementiert, ist eigentlich egal, weil ein Vista als Ganzes vom Design her falsch angelegt sei, ist mir dann doch zu primitiv.

Diese "Sicherheitstechnik" ist ziemlich wirkungslos. Als Beispiel siehe Abschnitt "User Interface Privilege Isolation and some little Fun" auf
http://theinvisiblethings.blogspot.com/2007/02/running-vista-every-day.html

 

[MacMark]

… Suchmaschinen sind nicht schlauer sondern dümmer! Die meisten können kein Javascript auswerten…

Das ist Absicht. Suchmaschinen ignorieren jeden "aktiven" Inhalt. Sie versuchen _jede_ Webseite zu besuchen. Fremden Code von überall aus der Welt auszuführen, ist prinzipiell keine gute Idee.

 

[_ebm_]

Das ist Absicht. Suchmaschinen ignorieren jeden "aktiven" Inhalt. Sie versuchen _jede_ Webseite zu besuchen. Fremden Code von überall aus der Welt auszuführen, ist prinzipiell keine gute Idee.

Ahso, bei Google angestellt? Ist dir vielleicht bewußt, dass die Bots in einem Programm laufen, was keiner typischen Zielplattform entspricht? Das sind im Fall von Google Scripte bzw Programme, auf einem Linux-Server laufen. Jetzt frag ich dich, wie da ohne GUI und ohne C:\ die Scripte aktiv werden sollen. Wie soll die Document.Window-Referenz funktionieren? Es gibt keinen Browser! Ganz zu schweigen von dem Aufwand, den es bedeutet, eine JS-Sandbox hochzufahren und das Javascript zu interpretieren. Auch Silverlight und Flash werden ignoriert und als "Embedded Object" betrachtet. Das hat nichts mit Mutwillig oder Sicherheitsbewusst zutun! Die Bots sind keine Honeypots! Du schreibst ja selbst, die wollen alle Seiten des WWW indizieren. Wenn jede Seite mit JS voll ist, dauert das summiert Jahre länger... Also denk bitte nochmal nach, bevor du mit geschwellter Brust solchen Bullshit postest.

 

[MacMark]

… Ich frag mich, was "Embedded" mit Monolitisch zutun hat

Wenn alles mögliche im Kern "embedded" ist, dann ist das System monolithisch.

- und was eine SQL-Engine mit Sicherheit zutun hat.

Die größte Wurmattacke die es je gab: Den SQL-Slammer, der per RPC einen Fehler in der SQL-Server-Engine nutzte. Diese Engine wird auch von vielen Desktopanwendungen verwendet, die dadurch plötzlich die Netzdienste der SQL-Engine anbieten, obwohl sie gar keine Netzanwendung sein wollen.

… RPC = Remote Procedure Calls.. Das macht auch MacOS und …

Das Problem ist, daß Remote Procedure Calls auf Windows auch ausgiebig für lokale Kommunikation genutzt werden und daher unnötig viele Programme Netzwerkdienste anbieten.

Windows hatte nur standardmäßig viele Ports offen, was sich mit XP SP2 übrigens deutlich verbessert hat.

XP SP2 hat eine Firewall drübergelegt, aber nicht die Ursache behoben.

Dazu noch etwas zu OSX: Da sind auch wenn in deiner "Sicherheitseinstellung" alles abgestellt ist, einige Ports offen![ […] mDNS ist Bonjour, NTP der Zeitdienst, und was da an 49232 lauscht, will ich garnicht wissen.
Edit: An 49232 lauscht der iTunesHelper.. Toll oder?

Bei Bonjour gibt es zwei Varianten. Das, was Du da siehst ist das "lokale" Bonjour, welches nur im lokalen Netz erreichbar ist. Bonjour jedoch bietet selbst keinen Dienst an, sondern verkündet die Existenz von bereitgestellten Diensten im lokalen Netz. Die könnte man auch so finden, aber mit Bonjour ist es einfacher. Ein Sicherheitsrisiko ist Bonjour deshalb nicht, es sei denn man glaubt an "security by obscurity".

Der Netzwerkzeitserver kann nur fest vorgegebene Dateien ändern und bis auf fest definierte Ausnahmen darf er in seiner Sandbox nichts. Selbst wenn Du ihn mit Schadcode fluten könntest, hättest Du nichts davon.
http://www.macmark.de/osx_security.php#sandbox

Bei mir sehe ich allerdings den Netz-Eintrag "49232" nicht, selbst wenn der Helper läuft. Auch ist der von Dir genannte Port keiner, der von Apple Software benutzt wird:
Ich bezweifle, daß Du da richtig liegst. Der iTunesHelper kann iTunes starten, wenn Du einen iPod an den Mac anschließt.
Der iTunesHelper läuft unter Deinem User, weil er als Programm angegeben ist, das Du starten willst beim Einloggen in Deinem Account unter "Login Items". Da kann man es auch rausnehmen.

 

[mcfeir]

@MacMark

Die Joanna Rutkowska ist ein alter Hut und hat sich inzwischen längst erledigt, nachdem sie ihr Blue-Pill-Rootkit-Konzept auf der BlackHat-Sicherheitskonferenz von Las Vegas vorgestellt hatte.

 

[MacMark]

… Jetzt frag ich dich, wie da ohne GUI und ohne C:\ die Scripte aktiv werden sollen. …

In Verbindung JavaScript und Java-Applets kriegt man das schon hin, daß beispielsweise Dateien gelesen und rausgeschickt werden.

 

[MacMark]

@MacMark

Die Joanna Rutkowska ist ein alter Hut und hat sich inzwischen längst erledigt, nachdem sie ihr Blue-Pill-Rootkit-Konzept auf der BlackHat-Sicherheitskonferenz von Las Vegas vorgestellt hatte.

Was möchtest Du eigentlich sagen?

 

[berbel01]

sagen wa mal so....
es gab hier und auch "draußen" viele, die bedeutend mehr Ahnung haben wie die meisten, die sich zu diesen Thema geäußert haben einschließlich meiner Person!
Alle, die Profis sind im Thema Computersicherheit und neutral über Systemsicherheit sich äußern, sind fast einstimmig der Meinung, dass das MacOS nicht das sicherste ist....

...
Kein System ist per se sicherer als ein anderes, es kommt immer auf den Anwendungszweck und den Umgang mit dem System an....

ich kann da nur alexzero recht geben und jedem empfehlen, die Updates für Mac regelmäßig zu checken und einen Router zwischen sein System und dem Internet zu hengen

 

[mcfeir]

Was möchtest Du eigentlich sagen?

Dass deine Argumente nicht triftig sind.

 

[_ebm_]

Wenn alles mögliche im Kern "embedded" ist, dann ist das System monolithisch.

QUATSCH! Embedded, also eingebettet kommt daher, dass ein Gerät keine Benutzerschnittstelle für direkte Eingaben besitzt! Bei uns am Institut laufen einige eingebetteten Systeme, auf denen Anwendungen mit dem CORBA Komponentenmodell laufen.

Um es lockerer zu gestalten. Was verstehst du unter Komponenten? Gängige Definition nach Szyperski:

Eine Softwarekomponente ist eine Einheit mit vertraglich gesicherten Schnittstellen und festgelegten Abhängigkeiten an ihre Umgebung. Eine Softwarekomponente kann eigenständig verteilt werden und ist Bestandteil von Zusammenstellungen Dritter. (A software component is a unit of composition with contractually specified interfaces and explicit context dependencies only. A software component can be deployed independently and is subject to composition by third parties.)

Szyperski, Clemens, Component software,2. ed., Addison-Wesley, Harlow 2002, 0-201-74572-0

Du hast also Softwareeinheiten, die über definierte Schnittstellen kommunizieren.
Du hast dich da gerade auf dünnes Eis begeben. Das ist mein Forschungsgebiet...

Die größte Wurmattacke die es je gab: Den SQL-Slammer, der per RPC einen Fehler in der SQL-Server-Engine nutzte. Diese Engine wird auch von vielen Desktopanwendungen verwendet, die dadurch plötzlich die Netzdienste der SQL-Engine anbieten, obwohl sie gar keine Netzanwendung sein wollen.

Schön, und? Was hat das allgemein mit SQL-Engines zutun? Es gab auch Sicherheitslücken im IP-Stack von Windows, Linux, Solaris... Auch sehr lohnende Einfallstore.

Das Problem ist, daß Remote Procedure Calls auf Windows auch ausgiebig für lokale Kommunikation genutzt werden und daher unnötig viele Programme Netzwerkdienste anbieten.

Japp, die sind dann aber an localhost gebunden.

XP SP2 hat eine Firewall drübergelegt, aber nicht die Ursache behoben.

Ahja..

Bei Bonjour gibt es zwei Varianten. Das, was Du da siehst ist das "lokale" Bonjour, welches nur im lokalen Netz erreichbar ist. Bonjour jedoch bietet selbst keinen Dienst an, sondern verkündet die Existenz von bereitgestellten Diensten im lokalen Netz. Die könnte man auch so finden, aber mit Bonjour ist es einfacher. Ein Sicherheitsrisiko ist Bonjour deshalb nicht, es sei denn man glaubt an "security by obscurity".

Und das ist kein Dienst??? Was verstehst du unter "lokales Netz"? Bonjour ist nicht Multicast-fähig? Möglich, Angriffe kommen aber meist aus "lokalen" netzen.

Der Netzwerkzeitserver kann nur fest vorgegebene Dateien ändern und bis auf fest definierte Ausnahmen darf er in seiner Sandbox nichts. Selbst wenn Du ihn mit Schadcode fluten könntest, hättest Du nichts davon.
http://www.macmark.de/osx_security.php#sandbox/QUOTE]

Ja, darf... Was, wenn er oder seine Sandbox einen Bug haben, die das Ausbrechen aus dem Jail erlauben?

Bei mir sehe ich allerdings den Netz-Eintrag "49232" nicht, selbst wenn der Helper läuft. Auch ist der von Dir genannte Port keiner, der von Apple Software benutzt wird:

Ich bezweifle, daß Du da richtig liegst. Der iTunesHelper kann iTunes starten, wenn Du einen iPod an den Mac anschließt.
Der iTunesHelper läuft unter Deinem User, weil er als Programm angegeben ist, das Du starten willst beim Einloggen in Deinem Account unter "Login Items". Da kann man es auch rausnehmen.

Dann wirds ein anderes Programm sein. Der Port ist offen... Ich weiß übrigens, wo ich Sowas an- und abstellen kann...

 

[MacMark]

Dass deine Argumente nicht triftig sind.

Begründung fehlt.

Das Senden von Tastendrücken aus einem Prozeß mit niedrigster Integritätsstufe an eine Shell, die mit Systemrechten läuft, findest Du nicht triftig?

 

[_ebm_]

In Verbindung JavaScript und Java-Applets kriegt man das schon hin, daß beispielsweise Dateien gelesen und rausgeschickt werden.

Du schmeist jetzt Javascript und Java nicht in einen Topf oder? Bis auf den namen haben die *NICHTS* miteinander zutun! So und jetzt möchte ich von dir eine fundierte technische Beschreibung, wie man in einem Script die Aktivität eines Java-Applets untersuchen kann, meinetwegen auch per PN. Wie willst du übrigens aus der Java-Sandbox heraus Daten vom System senden? Zuverlässige Aussagen lassen sich da nicht machen.

Hast du schonmal 1000 Java-Programme parallel auf einem Rechner gestartet? Auch wenn du die Server-VM verwendest, geht das System extrem in die Knie. So ein Searchbot-System hat aber oftmals viel mehr Instanzen. Hast du mal durchgerechnet, wieviel Zeit sowas im Vergleich zu einem einfachen Indexing des Quellcodes der Seite kostet?

Weist du, woran Javascript-Engines gebunden sind?

 

[MacMark]

… Ja, darf... Was, wenn er oder seine Sandbox einen Bug haben, die das Ausbrechen aus dem Jail erlauben?

Zuviele "wenn". Bei Vista braucht man keine "wenn", denn da hat man "Ist-Architekturfehler".

Dann wirds ein anderes Programm sein. Der Port ist offen... Ich weiß übrigens, wo ich Sowas an- und abstellen kann...

Dann ist es ja gut.

 

[_ebm_]

MacMark, ich glaub, du bist Apple blind ergeben und siehst in Windows den Teufel in Person, ohne die wirklichen Interna zu kennen. Deine Quellen sind teilweise alt und bei den Haaren herbei gezogen. Deine Argumentationskette ist (mcfeir: danke für das schöne Wort) nicht triftig!

 

[MacMark]

Du schmeist jetzt Javascript und Java nicht in einen Topf oder? …

Doch, denn Suchmaschinen führen keinen fremden Code aus, egal welche Sprache.

 

[_ebm_]

Zuviele "wenn". Bei Vista braucht man keine "wenn", denn da hat man "Ist-Architekturfehler".

10.X gestattest du also am Netzwerk zu schnüffeln, weil du ihm per se vertraust und Windows nicht?

 

[_ebm_]

Doch, denn Suchmaschinen führen keinen fremden Code aus, egal welche Sprache.

Dem hab ich nicht widersprochen. Nur deine angeführten Gründe sind Humbug!