Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Ich sehe hier keine Opferung für Sicherheit Es ist ziemlich ärgerlich, wenn mein Rechner nicht das tut was ich von ihm verlange. Wenn ich per Knopfdruck alle ein- und ausgehenden Verbindungen kappe, dann soll mein Rechner auch genau das tun. Sicherheitsrelevant ist das allerdings nicht. Firewalls und Paketfilter sind eh überflüssig. Viele Grüße hj
Nixonian Posted November 1, 2007 Report Posted November 1, 2007 Eine Firewall hat also für die Sicherheit keine Funktion bzw. wenn in diese Löcher gemacht werden, dann ich das nicht sicherheitsrelevant? Das verstehe ich jetzt irgendwie nicht
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Eine Firewall hat also für die Sicherheit keine Funktion bzw. wenn in diese Löcher gemacht werden, dann ich das nicht sicherheitsrelevant?Das verstehe ich jetzt irgendwie nicht Rcihtig. Du schreibst ja auch immer, dass eine Firewall nur trügeriche Sicherheit bietet. Es ist also so ziemlich egal wenn sie löchrig ist (zumindest dann, wenn sie nicht auf einem externen Rechner ist, der nur Firewallaufgaben erfüllt). Viele Grüße hj
Nixonian Posted November 1, 2007 Report Posted November 1, 2007 Ein Paketfilter kann die Sicherheit erhöhen, wenn er sinnvoll konfiguriert ist und das ist für die meisten privaten Rechner ein simples stateful filtering (wie das auch die Windows-Firewall macht oder auch die pf oder auch iptables in der einfachsten Einstellung) speziell sofern der Anwender weniger Rechte als der Paketfilter hat. Deshalb ist es zumindest am Rande unsinnig, diese sinnvolle und auch sicherheitserhöhende Maßnahme wieder auszuhebeln. Was nicht die Sicherheit erhöht sind sind in den meisten Fällen ALGs, auch Desktop-Firewalls genannt. Hat jemand schon Erfahrung mit Leopard? Sonst wird es ja gelobt.
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Die Dinger erhöhen nur dann die Sicherheit, wenn der Nutzer der dransitzt nicht auch einen Adminaccount besitzt, was aber in 90% der Fälle so sein dürfte. Was nützt ein ordentlich konfigurierter Filter, wenn der DAU auf alles klickt was ihm unter die Finger kommt und dann bei der Installation sein Adminaccount angibt. Viele Grüße hj
Nixonian Posted November 1, 2007 Report Posted November 1, 2007 Ist man bei Leopard auch automatisch admin? Ich dachte, da gäb's einen extra-root-account zum Einrichten?
Guest Posted November 1, 2007 Report Posted November 1, 2007 [...] Sicherheitsrelevant ist das allerdings nicht. Firewalls und Paketfilter sind eh überflüssig. Viele Grüße hj Das verstehe ich nicht. Sicherlich: 100%ige Netzsicherheit erhalte ich nur wenn ich das LAN-Kabel (o.Ä.) ziehe. Aber eine Firewall kann die Sicherheit durchaus erhöhen.
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Ist man bei Leopard auch automatisch admin?Ich dachte, da gäb's einen extra-root-account zum Einrichten? Ja. Gibt es. Es gibt aber auch einen Admin Account mit dem man Programme installieren kann. Und leider ist der 1. angelegte Account ... jetzt rate mal ... Viele Grüße hj
Akeem al Harun Posted November 1, 2007 Report Posted November 1, 2007 Na super, jetzt wiederholt also Apple die Fehler von Microsoft.
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Na super, jetzt wiederholt also Apple die Fehler von Microsoft. Du darfst nicht root mit Admin verwechseln. Viele Grüße hj
Akeem al Harun Posted November 1, 2007 Report Posted November 1, 2007 Ja, es ist nicht ganz das gleiche. Nichtsdestotrotz ist der automatisch erzeugte Admin Account unter Leopard ein privelegierter Account, der mehr darf, als ein "normaler Benutzer" können sollte. Viele Grüße Harry
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Hat jemand schon Erfahrung mit Leopard? Sonst wird es ja gelobt. Erfahrungen habe ich noch nicht (ich mag noch warten, bis garantiert alle Programme die ich nutze mit Leopard laufen. Das dauert noch ein paar Tage), aber wenn ich die Foren lese, sind die Benutzer vor allem von TimeMachine begeistert. TimeMachine ist im Prinzip nichts weiter wie ein inkrementelles BackUp-System, das Apple typisch mit einem genialen Frontend versehen wurde. Mann kann mit TimeMachine sich durch alte Datei- und Programmstände blättern um alte Versionen der betreffenden Datei zu bekommen. Das System ist in das OS integriert, sodass man z.B. im Finder (Datei Explorer) die TimeMachine Funktionen aufrufen kann. So einfach benutzbar und konfigurierbar habe ich noch keine Backuplösung gesehen. TimeMachine bietet auch eine Schnittstelle für externe Programme an. z.B. könnte so eine Adressverwaltung automatisch alte Stände einzelner Adressen in TimeMachine ablegen. Viele Grüße hj
Abd al Rahman Posted November 1, 2007 Report Posted November 1, 2007 Ja, es ist nicht ganz das gleiche. Nichtsdestotrotz ist der automatisch erzeugte Admin Account unter Leopard ein privelegierter Account, der mehr darf, als ein "normaler Benutzer" können sollte. Ich sehe das mittlerweile anders - auch bei Microsoft. Der DAU interessiert sich nicht dafür ob er mit Admin- oder Normalaccount arbeitet. Der tippt erfahrungsgemäß eh bei jeder Installationsaufforderung sein Adminpasswort ein. Viele Grüße hj
Guest Posted November 2, 2007 Report Posted November 2, 2007 Hat jemand schon Erfahrung mit Leopard? Sonst wird es ja gelobt. Erfahrungen habe ich noch nicht (ich mag noch warten, bis garantiert alle Programme die ich nutze mit Leopard laufen. Das dauert noch ein paar Tage), aber wenn ich die Foren lese, sind die Benutzer vor allem von TimeMachine begeistert. TimeMachine ist im Prinzip nichts weiter wie ein inkrementelles BackUp-System, das Apple typisch mit einem genialen Frontend versehen wurde. Mann kann mit TimeMachine sich durch alte Datei- und Programmstände blättern um alte Versionen der betreffenden Datei zu bekommen. Das System ist in das OS integriert, sodass man z.B. im Finder (Datei Explorer) die TimeMachine Funktionen aufrufen kann. So einfach benutzbar und konfigurierbar habe ich noch keine Backuplösung gesehen. TimeMachine bietet auch eine Schnittstelle für externe Programme an. z.B. könnte so eine Adressverwaltung automatisch alte Stände einzelner Adressen in TimeMachine ablegen. Viele Grüße hj Bzgl. TimeMachine: Microsoft hatte so etwas ja für Vista auch vorgesehen, allerdings sogar noch etwas umfangreicher als bei Leopard (WinFS mit DBMS-Engine im Hintergrund und automatischer Versionierung). Das wurde aber "auf später" verschoben. Ich habe mal einen Prototypen gesehen bei dem Subversion völlig transparent für den Nutzer im Hintergrund für die Versionierung gesorgt hat. Ich müsste mal googeln was aus dem Projekt geworden ist.
Abd al Rahman Posted November 2, 2007 Report Posted November 2, 2007 TimeMachine geht übrigens noch nicht auf Netzwerklaufwerke. Das war mal in einer frühen Beta drin, flog aber dann wieder raus. Wahrscheinlich gab es bei Backups über das Netzwerk Probleme. Dabei wäre das schon genial wenn man ein Notebook hat. Heimkommen, Notebook einfach anwerfen und das Backup läuft. Viele Grüße hj
Abd al Rahman Posted November 3, 2007 Report Posted November 3, 2007 So, hab jetzt Leopard und hab meinem MacBook Pro gleich 4 GB Speicher verpasst Oder besser: Ich wollte auf 4GB aufrüsten wegen Windows unter Parallels (2 GB für den Mac und gleichzwitug 2GB für Windows sind genial) und Tiger kann nur 3,5 GB adressieren. Läuft alles prima, Probleme mit Programmen habe ich bisher keine festgestellt (musste nur 1x ein Betapatch von einem Hersteller runterladen). Coverflow im Finder ist genial. Ich hätte nicht gedacht, dass es was bringen würde. Tut es aber sehr zu meinem erstaunen tatsächlich Spotlight verfügt jetzt über eine Taschenrechnerfunktion. Kleine aber wirlich nützliche Einrichtung. Viele Grüße hj
Nixonian Posted November 5, 2007 Report Posted November 5, 2007 Das Problem mit der Firewall ist offenbar größer als angenommen. Offenbar hat Apple noch einen Layer über die stateful packet inspection von pf gezogen und einen ALG á la Desktop Firewall draufgezogen. Das Problem dabei: Irgendwer hat das nicht gescheit durchdacht
Abd al Rahman Posted November 5, 2007 Report Posted November 5, 2007 Ja, wobei ich mir nicht sicher bin, ob die Hersteller sich an Applerichtlinien halten. Es wird nämlich nicht das ausführbare Programm signiert, sondern die Gesamtapplikation. Viele Grüße hj
Nixonian Posted November 5, 2007 Report Posted November 5, 2007 Daß sich Dritthersteller an irgendwelche Richtlinien halten, wäre wirklich was Neues. Immerhin gibt es z.B. bei MS, so sehr man da auch schimpfen mag, bereits seit Jahren Empfehlungen, die eine sehr genaue Rechteabstimmung (Installation/Gebrauch/keinFremdzugriff/kein DLL-Überschreiben) gewährleisten. Daran hält sich sowieso keiner. Und sowas gibt es auch bei Linux. Der mitgelieferte Druckertreiber eines bekannten Herstellers strotzte nur so von Anfängerfehlern bzgl. sicheres Programmieren. Trotzdem: Ich finde ALGs einfach designbedingt nicht die richtige Antwort, auch nicht bei Mac und auch nicht, wenn man Checksumt. Signiert ist ja wahrscheinlich zu hoch gegriffen- oder wird hier wirklich mit einem Schlüssel signiert, den ich dann auch überprüfen kann?
Airlag Posted November 6, 2007 Report Posted November 6, 2007 Leopard Firewall verändert Programme durch Signierung Coole Sache, wenn das Programm selbst einen Integritäts-Check über Prüfsumme macht...
Abd al Rahman Posted November 6, 2007 Report Posted November 6, 2007 Das Problem hier ist (wie oben beschrieben), dass das Programm keinen Integritätscheck auf Programmebene, sondern einen auf Applikationsebene macht, was bei Apple ein gravierender Unterschied ist. Eine Applikation ist eine Annsammlung von Dateien. Soweit ich es verstanden habe fügt Apple dieser Applikation eine weitere Datei (die Signatur) hinzu. Viele Grüße hj
Airlag Posted November 6, 2007 Report Posted November 6, 2007 Warum verwaltet die Leopard Firewall die Prüfsummen der zugelassenen Applikationen nicht - wie andere Firewalls auch - in einer eigenen Datenbank ohne die Applikationen zu verändern? Ok, zum Teil kann ich mir nen Grund denken: wenn eine Signierungsdatei im Ordner steht weiss die Firewall auch nach einem Update dass die Applikation vom User erwünscht ist. Das wüsste sie aber auch wenn die Sig in der eigenen Datenbank stünde... Andererseits weiss die Firewall nicht ob die Programmänderung durch ein Update oder eine Schadsoftware verursacht wurde. Also sollte sie bei einer Prüfsummenänderung sowieso nachfragen ob weiterhin alles OK ist (oder einen Virenchecker kontaktieren für eine ad-hoc Prüfung der Dateien) Ich verstehs nicht Bei WoW kann man übrigens in den Programmordnern nach Lust und Laune eigene Dateien dazu stellen, das Prog läuft. An einer zusätzlichen Sig Datei kanns also dort kaum liegen. Ich glaube vielmehr dass an das ausführbare Programm ein zusätzlicher Daten-Hunk angeklebt wird.
Abd al Rahman Posted November 6, 2007 Report Posted November 6, 2007 Über das Warum kann ich allerdings auch nichts sagen Ich weiß nur, dass Apple diese Änderung angekündigt hat und die Anwender nun darauf warten, dass die Hersteller ihre Programme entsprechend anpassen. Viele Grüße hj
Akeem al Harun Posted November 6, 2007 Report Posted November 6, 2007 Klingt nach einem klassischen Eigentor.
Abd al Rahman Posted November 6, 2007 Report Posted November 6, 2007 Klingt nach einem klassischen Eigentor. Jepp. Wie bei Vista. Mir geht echt der Kragen hoch, wie eigentlich professionell arbeitende Softwarehersteller nicht auf neue Spezifikationen eines neuen Betriebssystems reagieren. Viele Grüße hj
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now