Schädliche Widgets?

Wer lesen kann, ist klar im Vorteil!

Das Häkchen in Safari ist (nach einer Installation immer) das erste, was ich entferne...So lernt man vom Microsoft.
 
Lynhirr schrieb:
Sehr groß, würde ich sagen. Ein ausführbares Programm, welches bei dir ohne Rückfrage installiert wird, kann alles tun, was mit deinen Rechten möglich ist.

Das stimmt nicht!
Wenn die Datei ein Programm enthält, wird sogar die weitere Vorgehensweise abgefragt! Lad dir mal ein Programm runter!
 
So,

nun mal ran Jungs, muss doch einen Weg geben Widgets mit Automater zu löschen!

Na dann viel Spass

Ansonsten ziemlich peinlich...bin ich froh das ich noch Phanter hab...ich denke für Tiger gibt es dann auh bald ein Update.
 
:rolleyes: wenn man keine Ahnung hat... ;)

Um ein Widget zu löschen braucht man Automator nicht. Das geht auch auf die herkömmliche Art und Weise... per drag&drop quasi ;)

Peinlich finde ich das nicht, nur, das der Haken iin Safari per default gesetzt ist...
 
Widgets basieren auf JavaScript, nicht JScript (das ist eine Redmonder Variante) und sind eigentlich auch kein ausführbares Programm im Sinne einer eigenständigen Applikation, sondern ein Tochterprozeß von Dashboard.

... aber: der Autor kann dem Widget weiterreichende Rechte gewähren, womit das Ding dann auf Systemebene mit den Rechten des ausführenden Users (meistens wohl Admin, nicht Root) Schabernack treiben kann, das Rechner-Widget arbeitet z.B. auf diesem Level.

Ich halte das für ein gigantisches Risiko und glaube, daß wir hier in den kommenden Wochen einige bösartige Widgets (und entsprechende Threads) sehen werden.
 
Brandhoff schrieb:
... aber: der Autor kann dem Widget weiterreichende Rechte gewähren, womit das Ding dann auf Systemebene mit den Rechten des ausführenden Users (meistens wohl Admin, nicht Root) Schabernack treiben kann, das Rechner-Widget arbeitet z.B. auf diesem Level.

Ich halte das für ein gigantisches Risiko und glaube, daß wir hier in den kommenden Wochen einige bösartige Widgets (und entsprechende Threads) sehen werden.

Danke Brandhoff!

Das ist doch mal eine Aussage!


Gruss

Retrax
 
Brandhoff schrieb:
Widgets basieren auf JavaScript, nicht JScript (das ist eine Redmonder Variante) und sind eigentlich auch kein ausführbares Programm im Sinne einer eigenständigen Applikation, sondern ein Tochterprozeß von Dashboard.

... aber: der Autor kann dem Widget weiterreichende Rechte gewähren, womit das Ding dann auf Systemebene mit den Rechten des ausführenden Users (meistens wohl Admin, nicht Root) Schabernack treiben kann, das Rechner-Widget arbeitet z.B. auf diesem Level.

Ich halte das für ein gigantisches Risiko und glaube, daß wir hier in den kommenden Wochen einige bösartige Widgets (und entsprechende Threads) sehen werden.

JScript kenne ich garnicht :D wollte nur Java abkürzen. Jaja, man sollte nicht Abkürzen wenn man keine Ahnung hat ^^:D
 
jetzt geht das Theater "Das Erste Virus für Mac OS X" los...

wäre es nicht möglich, mit einfachen Benutzerrechten die Adressen aus dem Adressbuch zu extrahieren und irgendwo hin schicken? Oder das Widget versendet sinnlos Email (DDOS?)
 
Nachtrag: mehr Zeit sollte man haben ...

Mich würde in dem Zusammenhang mal interessieren, ob ich von einem Widget aus ein ausführbares AppleScript starten kann, das ich in dem Widget-Paket gleich mitliefere ... von AppleSkript aus kann ich in die Shell und ab da wirds dann richtig spannend.

Blödsinn wie gelöschte Dokumente wären da nur ein Anfang, aber spannende Sachen wie Keylogger oder vielleicht Zugriff auf den Schlüsselbund könnten richtig ekelig werden. Argl.
 
Widgets sind nichts anderes, als Internet-Seiten, nur anders aufbereitet. Widgets sind keine ausführbaren Programme. Damit können Widgets das gleiche, was auch Seiten im Internetbrowser können.
Die Gefahr durch ein installiertes Widgets ist genauso groß, wie die beim Anklicken eines Links in Safari.

P.S. @ Brandhoff
Auch das Rechner-Widget läuft genauso in Safari, wie in Dashboard.
 
Zuletzt bearbeitet von einem Moderator:
glaubt ihr nicht, dass apple diese sicherheitslücke erkennt und in irgendeiner art und weise diese lücke dicht macht?
 
voher haben Sie diese anscheinend nicht erkannt!
 
._ut schrieb:
Widgets sind nichts anderes, als Internet-Seiten, nur anders aufbereitet. Widgets sind keine ausführbaren Programme. Damit können Widgets das gleiche, was auch Seiten im Internetbrowser können.
Die Gefahr durch ein installiertes Widgets ist genauso groß, wie die beim Anklicken eines Links in Safari.

das wollte ich mit meinem post eben sagen. nur mal aus neugierde:

der broswer oder die JavaScript Technologie "beschneiden" die Rechte der Javascripts? Es wurde doch desagt der Autor kann den Widgets Rechte geben aus Systemebene? Kann das ein Browser auch?

Im Prinzip müsste nur eben eine Sicherheitspref erstellt werden, imo kommt das schnell. Apple darf sich nicht erlauben seinen "Verkaufsgrund Nr.1" (Sicherhei) zu verlieren
 
Dashboard_Tutorial_seite57_"Widget Security Model" schrieb:
Using certain resources within your widget may pose a security risk for users. In these circumstances, the widget security model provides a method for Dashboard to be aware that your widget may perform insecure tasks. If your widget is working with resources that pose a security threat to the user, the user must approve before access is granted.

Quelle: http://developer.apple.com/documentation/AppleApplications/Conceptual/Dashboard_Tutorial/index.html PS: auf security klicken

Fazit: Sobald eine Abfrage erscheint, werden Prozesse ausgeführt, die eine potentielle Gefahr darstellen.

Ich sehe das nicht als Risiko. Man sollte halt nicht auf alles klicken, was einem vor die Maus kommt ;)
 
Zuletzt bearbeitet von einem Moderator:
freso schrieb:
glaubt ihr nicht, dass apple diese sicherheitslücke erkennt und in irgendeiner art und weise diese lücke dicht macht?
Falls ein Apple-Mitarbeiter diesen Thread liest, dann müssen sie etwas tun. ;)
Sicherlich sind wir hier nicht die einzigen die diese Lücke gefunden haben, Apple ist, hoffentlich, nicht blöd und wird das selbst entdecken.
 
cym schrieb:
Falls ein Apple-Mitarbeiter diesen Thread liest, dann müssen sie etwas tun. ;)
Sicherlich sind wir hier nicht die einzigen die diese Lücke gefunden haben, Apple ist, hoffentlich, nicht blöd und wird das selbst entdecken.
War das jetzt ironisch gemeint? :D
Retrax hat das auf irgendeiner Newsseite gefunden und postet es hier (ohne Quellenangabe ;). Auf MTN haben sie die Meldung auch, mit dem Verweis auf Shlashdot, die wiederum auf eben diese Seite verweisen.

Somit sind wir sicher nicht die einzigen.

Ich glaub auch nicht, dass irgendein MA von Apple diesen Thread zum Anlass nimmt, da in Cuppertino die Pferde scheu zu machen.
 
._ut schrieb:
Widgets sind nichts anderes, als Internet-Seiten, nur anders aufbereitet. Widgets sind keine ausführbaren Programme. Damit können Widgets das gleiche, was auch Seiten im Internetbrowser können.
Die Gefahr durch ein installiertes Widgets ist genauso groß, wie die beim Anklicken eines Links in Safari.

wie ist das dann zB mit den Widgets, die aufs Adressbuch zugreifen, iTunes steuern, Taschenrechner etc. die keine Internetverbindung benötigen, sondern Mac-Interne funktionen erledigen?
 
blipper schrieb:
wie ist das dann zB mit den Widgets, die aufs Adressbuch zugreifen, iTunes steuern, Taschenrechner etc. die keine Internetverbindung benötigen, sondern Mac-Interne funktionen erledigen?

Siehe #35 ;)

dafür musst du immer auf "Akzeptieren" klicken ;)
 
admartinator schrieb:
Ich glaub auch nicht, dass irgendein MA von Apple diesen Thread zum Anlass nimmt, da in Cuppertino die Pferde scheu zu machen.

Was? Steve Jobs liest hier nicht mehr mit? :(
 
Zurück
Oben Unten