Kann man Software nicht so schreiben das die nicht anfällig ist?
ZB indem alle Daten die in die Software gehen auf erlaubte Zeichen und Längen gefiltert wird?
Das würde mich wirklich mal interessieren.

Sandbox, fertig.

Das dürfte wohl nur bei Software funktionieren, die keinerlei fremde Daten zu verarbeiten und keinerlei Schnittstellen nach außen hat.Und wie sieht es da mit dem Zugriff aufs Dateisystem aus? Wenn man PDFs von Acrobat aus nicht auch wieder speichern bzw. exportieren kann, ist die Software sinnlos. Kann man unter diesen Bedingungen immer noch eine "wasserdichte" Sandbox betreiben?

Geht. Der Entwickler verwendet zum speichern z.b. den Standard open/save Dialog des OS. Dieser hat das entitlement für sichern an einem beliebigen Platz des Dateisystems.
Damit kann eine gesandboxte App überall speichern.
Die Sicherheit bleibt erhalten, weil man davon ausgeht, dass durch die Abstrahierung/Kapselung kein Missbrauch möglich ist. Eine "böse" oder "übernommene" App kann nicht beliebig Dateien löschen, da man davon ausgeht, dass der Standard-OS-Open/Save Dialog stabil, bugfrei und unkompromittierbar ist. Das ist sicher nicht zu 100% so, aber sicherer, als wenn die App alles darf.

An der Stelle muss man jetzt einfach mal fragen, wofür wir eigentlich Computer haben.

Es mag ja unproblematisch sein, eine Wecker-App so in eine Sandbox einzusperren, das sie auf nix Zugriff hat als die Uhrzeit des Systems.
Gut, man könnte sich jetzt dran erinnern, dass ein großer Java-Exploit letztes Jahr genau über die Datumsfunktionen von Java lief (Rechneruhr, Hardwarezugriff, Rootrechte, PENG). Gut, man könnte hinterfragen, ob Sandboxes „sicher“ sind, oder nur „sicherER“. Alles geschenkt. Worauf ich wirklich hinaus will, ist:

Ich benutze einen Computer (und er ist deswegen so praktisch), eben DAMIT alle Programme miteinander reden können. Natürlich ist das doof, wenn die Wecker-App erst mal das Adressbuch leerräumt und an hotsales.foo schickt, nur, wenn man jetzt alle Tools einsperrt… …dann hast Du keinen Rechner mehr, sondern ein „doofes“ iPad: Einschalten, Mail, Facebook, Musik, Ausschalten.

Da kann ich ja meinen Besitz gleich wieder „sandboxen“ wie früher:
Adressen auf einem Zettel, Musik aus der Anlage, Fotos im Karton. Ich will doch aber gerade, dass ich mein Adressbuch mit Fotos aus dem Dateisystem füttern kann, die dann in meiner Navi angezeigt werden, und ich das ganze dann per Script in eine Website konvertiert mit meinem Texteditor nachbearbeiten kann. „Zugriff erlaubt auf alles in $HOME“ ist einfach fast immer sinnvoll!

Sandboxes sind meiner Meinung fast immer ein totaler Irrweg, mal abgesehen von Ausnahmen (Browserplugins).

„Der Weg“ ist m.E., dass man ganz klassisch versucht, Software sauber sicher zu erstellen. Ja, „absolut fehlerfreie Software wird es nie geben“, ich weiss, aber was hier so an Exploits aufschlägt, sind meist ganz klassisch nicht sanitized inputs.

Vorweg: Ja, das ist mir auch schon passiert. 37 Parameter per GET geholt und nur 36 saubergeschrubbt. Daraus habe ich was gelernt: Grundlegende Funktionen werden nicht mehr „mal eben“ selbst gebastelt, sondern mit Projektübergreifenden Tools realisiert - da ist die Wahrscheinlichkeit größer, dass irgendwo, irgendwer eine Lücke bemerkt und fixt, anstatt dass jeder was eigenes baut.

Aber ich will einen Rechner. Keine Lifestylekachel.

Da stehst du nicht alleine da. Mit jeder implementierten API die Netzzugriffe erlaubt, steigen die Risiken der Komprimitierung von Software jeder Art. Daher auch die Idee der Sandbox. Möglicherweise sorgt künftig Hardware dafür, das Software sicherer wird. Secured RAM. Oder ein Frühwarnsystem, das im Netz Schadsoftware erkennt, ihre Herkunft herausfindet und Digitale Pandemien eindämmt.

Jedenfalls je mehr gehackt wird, umso mehr leistet das den Content Mafiosis, die das Netz kontrollieren wollen, um uns nur bestimmte Inhalte vorzuhalten, Vorschub. Das wäre dann auf jeden Fall das Ende jeder Netzneutralität. Die Frage der Sicherheit stellt sich dabei auch weiterhin.

Deswegen kann man ja auch auf einem iPad nichts vernünftiges machen. Es ist nur eine Medienkonsumgerät zum Filmschauen und maximal emailen. Das wird nie ein Erfolg. Es hat ja auch kein Flash.

äh .... nein!

Deine Meinung ist falsch.

Funktionalität am Design des Userinterfaces festzumachen ist eine Fehleinschätzung.

OS X macht einiges in Software: Library address randomization, non-execute RAM etc.

X-Protect?

Mir ist schon klar, dass Du das ironisch meinst, aber: Ja. Würde ich sagen. Ein nettes Goodie, aber nichts ernsthaftes.

Es ist ein Erfolg, /obwohl/ es nichts ernsthaftes ist. Ich weiss nicht, was genau Du mit der Argumentation begründen willst.

Ja, das Fehlen von Flash ist ein Grund von mehreren, warum ich was anderes nutze. Auf dem Flash läuft.


Ja, stimmt, da hast Du recht. Ähm. Weil?

Ich bezog mich nicht auf das Userinterface, sondern darauf, dass ein System voller sandboxes ebenso nützlich ist wie eine Badezimmerfliese. Da können wir uns dann gegenseitig mit Apps bedaddeln, die nicht miteinander agieren.

Ein ernstzunehmender Rechner stellt Interoperabilität her, statt sie zu verhindern. Eben damit die Software komplexe Toolchains bilden kann. Eine sinnvolle Sandbox kann $HOME vor $DRAUSSEN schützen: Um Plugins, um den MTA, Malware- oder Spam-Scanner herum, möglicherweise um Skype. Aber selbstredend will ich mit einem BBedit alle .plist-Files auf dem Rechner öffnen können, sogar per sudo die des Systems, und natürlich soll jedes Programm auf meine Fotos und Musik zugreifen können, damit ich über Tools die Fähigkeiten des Rechners erweitern kann. Für „Musik so abspielen wie Apple sie nach iTunes schaufelt“ brauche ich keinen Rechner.

OMG. Klar, Dich zwingt keiner, etwas ernsthaftes auf dem iPad zu machen. Aber es gibt viele (viele !) professionelle Nutzer, die das iPad jeden Tag im Unternehmen beruflich nutzen. Allen Ernstes zu behaupten, dass iPads nur ein nettes Goodie sind und nichts ersnthaftes, grenzt meiner Meinung nach an Realitätsverzerrung.Ordentlich programmierte Apps auch gesandboxt wunderbar funktionieren können und nur wenige Einschränkungen haben. Sandboxing ist etwas gutes, sinnvolles und (fast) alle Apps sollten gesandboxt sein. Mach Dich doch mal schlau, was Sandboxing wirklich ist, wie es funktioniert und wie es praktisch umgesetz wird, bzw. welche Auswirkungen es hat.Dir ist klar, dass es im Mac App Store ein gesandboxtes BBedit gibt, das das kann?
auch das.
Auch das wird durch Sandboxing nicht ausgeschlossen.

Du hast Sandboxing nicht verstanden. Wie oben gesagt, mach Dich mal schlau und rede dann weiter. Im Moment sieht man, dass Du nicht weisst, wovon Du redest.

Jein, man kann aber die Möglichkeit solcher Angriffe drastisch reduzieren. Die wichtigste Voraussetzung sind andere Programmiersprachen und noch viel wichtiger andere Programmierparadigmen. Leider werden in den letzten Jahren die verwendeten Programmiersprachen mit immer mehr dynamischen Elementen aufgebohrt, weil man Paradigmen verwenden will, die dynamische Elemente in den Sprachen erfordern. Das reduziert die Entwicklungszeit der Software, hat aber den Nachteil, daß man effektiv eine Wette darauf eingeht, daß schlimme Fehler durch Testen der Software abgefangen wird. Es gibt Programmiersprachen, die stattdessen auf starke Prüfungen setzen. Solche Programmiersprachen werden erfahrungsgemäß von der Mehrheit der Softwareentwickler abgelehnt.

Einer der Hauptangriffspunkte sind Bufferoverflows. Diese können immer wieder bei Programmiersprachen auftreten, die keine implizite Prüfung von Feldindizes und oder Zeigern kennen. Trotzdem werden für sicherheitsrelevante Aufgaben auch weiterhin diese Sprachen verwandt. Es gibt andere Programmiersprachen, die diese Problematik nicht besitzen, trotzdem setzt sie so gut wie niemand ein. Das liegt wohl in der Tatsache begründet, daß sich die Mehrheit der Entwickler für Götter halten, die keine Fehler machen. Das geht mit einer starken Ausprägung der Faulheit einher. Daher wird von einer Mehrheit der Entwickler immer der kürzere dreckige Weg gewählt ein Problem zu "lösen", anstatt den längeren und sauberen. Das ist dazu meist mit großen Unwissen über Sicherheitsaspekte von Software gepaart.

Das Resultat kann man immer wieder an solchen Sicherheitswarnungen ablesen, oder wenn man selbst über längere Erfahrung in der Softwareentwicklung verfügt, sieht man die Angriffsvektoren bereits am Design der APIs in vielen Bibliotheken und FrameWorks. Die sind so schlecht designed, daß sie inhärent unsicher sind, d.h. man kann sie grundsätzlich nicht sicher nutzen.

Der Klassiker ist die endlich aus C entfernte Funktion "gets()". Da frage ich mich bis heute welcher Vollpfosten diese Funktion jemals in C eingebaut hat.

Gibt es mal einen Tag wo ich kein Security update von Adobe einspielen muss? Flash, Reader,...
und das auf mehreren Rechnern.

Ja, in den Foren erzählen begeisterte Leistungsträger immer wieder, wie gnadenlos produktiv sie mit einem iDevice sind, und dass sie zur Arbeit keinen Laptop mehr brauchen.

Allein, die Resultate dieser Arbeit sieht man nirgends.

Ich bin neulich mit Keynote für iPad zusammengestossen. Da kann man ja nicht mal seine Corporate Fonts nutzen, und um die Datei vom Mac auf das Pad zu kriegen muss man sie per iTunes syncen statt einfach einen Fileserver auf dem Pad zu installieren.

Gelacht und gelöscht.

Produktiv.

Ja ne, ist klar.


„Wenige Einschränkungen“. Damit ist doch alles gesagt.

…sobald man, und hier kommt die Lachnummer, nach dem Kauf aus dem Appstore diejenigen Teile der Software, die Apple blockiert, auf der Barebones-Website runtergeladen und „klassisch“ installiert hat, um die Einschränkungen zu umgehen. Ganz großes Kino.
…wenn man die Rechte so weit dehnt, dass die Sandbox keinen Sinn mehr macht.

Du vielleicht nicht. Andere schon. Schau mal:

oder

oder


Das lässt sich beliebig fortsetzen ...
Das stimmt nicht. Es gibt viele verschiedene Wege, vom iPad aus ohne iTunes sync auf deine Dokumente zuzugreifen. Unter anderem:
- iCloud
- Dropbox
- beliebiger WebDAV Server
- Integration ins Server for Mountain Lion Wiki
- Apps wie Good Reader oder andere (Sugar Sync, Wuala, File Manager, Evernote, Drop Copy, ...)

Ich war im Dezember beruflich in Dubai, am Abend vor einer wichtigen Präsentation stirbt die SSD in meinem Macbook Pro. Während ich auf dem MBP mit anderer Festplatte noch am OS installieren (und dann Backup wiederherstellen) bin, war Plan B (Präsentation mittels CrashplanPROe aus dem Online Backup aufs iPad gezogen und dort in Keynote geöffnet) schon fertig.
Aber ok, Du lachst, löscht, ohne Ahnung. Ja ne, klar ...
Manchmal sind Einschränkungen genau richtig. Lies Dir doch mal einen beliebigen Security oder Hardening Guide durch. Oder rede mit irgendjemand, der sich mit Sicherheit oder Datenschutz auskennt. Und dann sag nochmal, dass einige wenige Einschränkungen nicht richtig sind.
Das stimmt nicht. Das ist nicht notwendig.
…wenn man die Rechte so weit dehnt, dass die Sandbox keinen Sinn mehr macht.
[/quote]
Auch das stimmt nicht.
Wie gesagt, Du hast offensichtlich keine Ahnung, wie Sandboxing und/oder OS X funktioniert.
Bitte hör' auf, hier Unsinn zu verbreiten.

Ich will jetzt bei der Arbeit keine Youtube-Filme gucken. Sieht man in einem davon, wie man seine Corporate Fonts verwenden kann? Weil, wenn nicht, ist die gesamte Applikation hinfällig. Ich kann doch nciht beim Kunden auftauchen mit unseren Texten in Helvatica-Neue-OderWhatever.

Warte, ich muss mich kurz mal totlachen, Das wird ja immer besser!

Wie wäre es denn mal mit so etwas unglaublich unglaublich modern-kompliziertem wie „Ich gebe das eine System als SMB-Server frei und bearbeite die Datei direkt. Ohne SuperDuper-Rüberschiebe-Tool“?


Naja, ich weiss aus eigener Erfahrung, das man für jedes Werkezeug zum After-Crash-Recovery dankbar ist.
Ich wüsste nur nicht, warum das jetzt so weltbewegend toll sein soll.
Würde mir das gleiche passieren, würde ich mit meinem Android-Tablett die PDF-Präse aus meiner Owncloud holen (oder einfach den USB-Stick ins Tablett stecken und die Datei von dort öffnen). Ich hätte die Fonts im PDF, die Quelldatei kann ich meiner Office-Lösung bearbeiten, und das PDF dem Kunden da lassen.


Ich wüsste jetzt mal gern, wie es kommt, dass alle meine Linux- und vor-Lion-Mac-Clients und -Server seit Jahrzehnten Malware-frei sind, ohne Sandboxes, an denen ich rumschrauben muss? Wie gesagt, ausser in wenigen Ausnahmen, um „drinnen“ vor „draussen“ zu schützen.

http://www.barebones.com/support/bbedit/auth-saves.html wegen der Sandbox, und http://www.barebones.com/support/bbedit/cmd-line-tools.html wegen Apples allgemeiner Paranoia.

Auch das stimmt nicht.
Wie gesagt, Du hast offensichtlich keine Ahnung, wie Sandboxing und/oder OS X funktioniert.
Bitte hör' auf, hier Unsinn zu verbreiten.
[/quote]

Kannst Du mal was anderes sagen als immer nur „stimmt nicht“?

Ganz konkret: Entweder schützt die Sandbox vor dem Zugriff von $PROGRAMM auf ~/Bilder , dann stört sie. Oder sie schützt nicht, dann ist sie nutzlos. Was stimmt daran nicht?