Ohne eine Komplettverschlüsselung der gesamten Festplatte ist ein physikalische Absicherung ohnehin unmöglich.

zum zweiten genannten,
das gibts schon seit Jahren und ist schon seit Jahren bekannt. Siehe zb. macshadows.com/kb

Zum ersten zitiere ich mal ein Kommentar von den News bei Heise.

Und außerdem braucht man ja erstmal SSH/admin zugang um überhapt die erste Methode durchzuführen, in meinen Augen ein nicht-Problem.

So dämlich! Nun schliesst Apple den Single-User-Mode und dann hat man den Salat wenn man sein eigenes Root-Passwort vergisst! Nur weil einige Wichtigtuer dies als Lücke ansehen.

Waren sicher so Dummies die das Root Passwort auf einem Post-It am Bildschirm kleben haben!

wenigstens merkt MTN, das das totaler Nonsense ist.

Jo mei, is denn heut schon Freitag?(w00t)

wenigstens merkt MTN, das das totaler Nonsense ist.

Muss das denn sein, dass dieser Quark Artikel auch noch hier beworben wird...

...wenn ich physischen Zugang habe boote ich das Teil im Firewire-Target -Mode und schliesse es als externe Festplatte an meinen Laptop an...

...oder ich klaue direkt die Festplatte.

Also was Ihr Euch hier leistet, ist ja noch schlimmer, als die Realsatire-Artikel von MacFixIt abzuschreiben und als wahr zu verkaufen.

Beide Sicherheits"lücken" existieren überhaupt nicht. Bei der ersten vermeintlichen Lücke hat der Autor des Heise-Artikels etwas Grundlegendes nicht verstanden.

Bei der zweiten "Lücke" handelt es sich um eine so gewollte Eigenschaft, die seit 7 Jahren bekannt und unverändert ist. Wer das absichern will, braucht nur nach dieser Anleitung von Apple vorzugehen:

arggg, dann installiere ich lieber Windows Vista ...

man muss in der Shell aber auch noch ein Fenster in der GUI öffnen. Wozu sollte ich bei Systemwartung soetwas machen? Und wenn ich eh schon eine Admin Shell offen habe, wozu brauche ich dann noch eine Person direkt am Rechner,?

Sehr dünn...

don.redhorse:

Nein, da ist nichts "dünn", da ist gar nichts.

In dem Artikel gewährt der Administrator explizit einem anderen Benutzer das Recht, ohne Schutz auf das System zuzugreifen. Das ist also genau dasselbe, als wenn man als Administrator sein Kennwort eingibt, dann einen anderen Benutzer vor den Bildschirm setzt und den Raum verlässt.

Der Autor denkt, das sei eine Sicherheitslücke.

MTN hat leider versucht, in diesem Geschreibsel irgendeinen Sinn zu erkennen, aber das ist keiner. Der Heise-Artikel hat den Nutzwert eines Aprilscherzes.

also folgender Befehl:

"osascript -e 'tell Application "Finder" to beep"

ausgeführt von root ist die übliche Weise, anderen Benutzern zugriff auf das System zu gewähren?

Sehr offensichtlich und transparent.

Besonders, wenn es keine aktive Anmeldung gibt oder der Bildschirm gesperrt ist.

Btw: www.nuhr.de

PS:
Wie erbärmlich wirken doch die Worte des CEO, wenn dieser von Sicherheit spricht...

Resistance:

"also folgender Befehl:
"osascript -e 'tell Application "Finder" to beep"
ausgeführt von root ist die übliche Weise, anderen Benutzern zugriff auf das System zu gewähren"

Das ist eine mögliche Weise, wenn auch nicht die übliche. Root startet damit ausdrücklich auf der Konsole einen Finder und gibt jedem vor dem Bildschirm sitzenden Benutzer das Recht, diesen auch zu benutzen.

Das geht so ähnlich mit jedem Betriebssystem, auch wenn bei anderen Unix-Systemen noch zusätzlich ein Befehl eingegeben werden muss, um xauth/xhost zu ändern, aber das darf root ja.

Besonders, wenn es keine aktive Anmeldung gibt oder der Bildschirm gesperrt ist.

Du scheinst nicht zu begreifen, wie ein Window-Server funktioniert.

Resistance
Kann es sein daß Du irgendwas an der "Lücke" nicht verstanden hast?

alles panicmacherei.habe den ersten sicherheitsloch getestet..geht nicht...nur theoretisch..die brauchen mal wieder schlagzeilen...BLABLABLA!!!

Man spürt ja förmlich, wie fast schon vor Freude zitternd der Autor vor seinem, vermutlich Linux PC, gesessen haben muss

*Popcornhol* FanBoy Geblubber, bitte weitermachen, köstlich!

Ach kommt MTNler, wenn eure Konkurrenz aus Hannover so einen Blödsinn verbreitet könnt ihr ruhig die langen Messer rausholen. 1. schuldet ihr denen nichts und 2. würde unser Leben als Mac-User echt erschwert, wenn Apple die dämliche zweite "Lücke" fixt. Was Heise da betreibt ist billige dumme Hetze und sollte auch als solche entlarvt werden.(w00t)

Wer seine Daten vor lokalen Angriffen schützen will, muss File Vault verwenden. Ein vergessenes Passwort, eine korrupte FV-Datei oder teil-defekte Festplatte können dann allerdings(ohne Backup) einen Totalverlust nach sich ziehen.

Ach kommt MTNler, wenn eure Konkurrenz aus Hannover so einen Blödsinn verbreitet könnt ihr ruhig die langen Messer rausholen. 1. schuldet ihr denen nichts und 2. würde unser Leben als Mac-User echt erschwert, wenn Apple die dämliche zweite "Lücke" fixt. Was Heise da betreibt ist billige dumme Hetze und sollte auch als solche entlarvt werden.(w00t)

Wer seine Daten vor lokalen Angriffen schützen will, muss File Vault verwenden. Ein vergessenes Passwort, eine korrupte FV-Datei oder teil-defekte Festplatte können dann allerdings(ohne Backup) einen Totalverlust nach sich ziehen.

also meine meinung ist jene von OSXNerd. muaaa..

"Du scheinst nicht zu begreifen, wie ein Window-Server funktioniert."

Ach so. Weil ein simpler Beep des Finders ein Fenster auf einen Rechner öffnet, der gesperrt ist oder (viel schlimmer) nicht mal eine aktive Anmeldung hat, *DARF* ich nicht begreifen, wie der Windows Server funktioniert?

War denn mein Beispiel nicht genau eines, das demonstriert wie genau ein Windowsserver *NICHT* funktionieren sollte?

Nur weil Apple es gemacht hat, muß es richtig und gut sein?

LOL. Mac trolling auf Heise Niveau.

Eigentlich sollte Apple empfehlen, Applescripting komplett für die Fernwartung aussen vor zu lassen, weil es Löcher ins System reißt, die bei lokalen Zugriff wirklich problematisch werden können.

Dies ist einer der Gründe, warum Apple keinen Fuß im "Big Business" schafft, deren OS ist einfach ein Enduser OS mit massiven Einschränkungen der Sicherheit zugunsten der Benutzung.

Bei einem Publikum, daß selbst krasse Designfehler als Features hochjubelt braucht man sowas ja nicht.

Wenn ich als root jemanden ein xterm "schenken" will, ist dies eine AKTIVE Tat. Es passiert nicht nebenher nur weil ich den xclient auf den entsprechenden Server nutze. Wäre dies so, wäre die Aufschrei so gewaltig, daß dies selber die Leute hier mitbekommen würden.

Eine wollen und können nicht begreifen, daß haargenau das zutrifft, was Heise festgestellt hat:

MACOS X ist nicht geeignet für den Multiuserbetrieb aufgrund der zahlreichen Schwachstellen in der grafischen Oberfläche.

Und wenn die ganzen "es bestand zu keiner Zeit Gefahr für die Bevölkerung"-Prediger mal sich informieren, wieviele Möglichkeiten es gibt, einen normalen Benutzer zum Administrator zu machen (OHNE dessen Password zu kennen, meine Herren!), dann kehrt vielleicht wieder etwas mehr Demut und Ruhe ein.

Ich hoffe, daß Apple an den Thema mehr feilt, die bisherigen Lösungen sind gruselig bis extrem schlecht. Mehr lokale Sicherheit würde Apple sehr gut ins Gesicht stehen.

Resistance
Bullshit!

Der Befehl "tell Fender" startet explizit den Finder. Und ich muß einfach damit rechnen, daß dann Ausgaben auf dem Bildschirm erscheinen. Die Mac OS X-Gui verhält sich eben anders, als die X11-Gui

So einfach ist das.

Hey Resistance, man sprach vom WindoW Server, nicht von einem WindowS Server.

*lol* aber ich hoffe, das das ein Tippfehler Deinerseits war. Wäre ja sonst auch sehr peinlich.

Und wie paulmuaddib schreibt: wenn ich einen "tell Finder" ausführe, ist das gleichzusetzen mit dem Öffnen eines xTerm Fensters.

Zusätzlich gibt es auch noch vorher eine Fehlermeldung, dass der Prozess keinen Zugriff auf den Windowserver hat. Man muss diesen erst gewähren.
Ehrlich, ich verstehe nicht, was hier beim Mac anders sein soll als an einem Unix System ...

"Weil ein simpler Beep des Finders ein Fenster auf einen Rechner öffnet, der gesperrt ist oder (viel schlimmer) nicht mal eine aktive Anmeldung hat, *DARF* ich nicht begreifen, wie der Windows Server funktioniert?"

Nein, Du zeigst auch mit dieser Frage, dass Du das nicht verstehst.

Der Finder ist eine ausschließlich grafische Applikation. Durch den Befehl tell 'Finder' wird dieses grafische Programm auf dem Konsolbildschirm gestartet. Es darf dort gestartet werden, weil (a) root explizit dazu den Befehl gegeben hat und (b) weil auf dem Konsolbildschirm gerade das Programm "loginwindow" läuft und der Window Server sich deshalb in einer Betriebsart befindet, in der er quasi eine Bildschirmsitzung für root ausführt. Eigentümer des startenden Programms und Eigentümer der laufenden Bildschirmsitzung sind deshalb identisch, deshalb ist es korrekt, auch alle Fenster des gestarteten Programms zu öffnen.

"War denn mein Beispiel nicht genau eines, das demonstriert wie genau ein Windowsserver *NICHT* funktionieren sollte?"

Nein, es war ein Beispiel für eine normale Funktion eines Window Servers.

"Eigentlich sollte Apple empfehlen, Applescripting komplett für die Fernwartung aussen vor zu lassen"

Das ist ja wohl selbstverständlich. Wer als Administrator über eine SSH-Verbindung hinweg AppleScript verwendet, zeigt, dass er sein Handwerk nicht versteht. AppleScript ist eine Jobsteuerungssprache für grafische Anwendungen und keine Skript-Sprache im klassischen Sinne. Für echtes Skripting stehen mehrere Unix-Shells, Perl und vieles andere mehr zur Verfügung.

"MACOS X ist nicht geeignet für den Multiuserbetrieb aufgrund der zahlreichen Schwachstellen in der grafischen Oberfläche."

Bis jetzt hast weder Du noch der Heise-Artikel eine Schwachstelle in der grafischen Oberfläche aufgezeigt. Du kannst in anderen Unix-Systemen durch Eingabe eines Befehls im Stil von "sux konqueror &" den gleichen Effekt erreichen, der hier beschrieben wird.