jo, wenn man so fahrlässig ist, und alles bestätigt. also alles wie immer...

Sry, wieder eine Quatsch-mit-Sosse Meldung.

Eine Standard-Tigerinstallation fragt bei jedem runtergeladenen executable, ob es benutzt werden soll, weil es evtl. ein Programm enthält. Dazu gehören auch Widgets.

Wer auf alles klickt, was nicht bei 3 auf dem Baum ist, sollte sich nicht wundern ...

es gibt natürlich ein paar superschlaue, die schon alles wissen... ich jedenfalls bin dankbar für solche sicherheitshinweise, da ich eben mal keine ahnung davon habe.

der letzte hinweis will mir nicht so ganz in kopf, schützt man das system damit vor seinen arbeitskollegen bzw daheim vor den kindern oder ist man dadurch von aussen übers internet angreifbar?

muss zur espressomaschine und danach noch mal lesen, erschließt sich mir vielleicht danach, is doch sehr früh für mich

"es gibt natürlich ein paar superschlaue, die schon alles wissen..."

der punkt ist ja: selbst die super-dummen werden vom system gefragt, ob sie dieses oder jenes programm wirklich ausfuehren wollen. und wer einen mtn-artikel liest und versteht, sollte wohl erst recht eine warnung des betriebssystems lesen und verstehen, oder nicht?

Der Artikel ist im Grundegenommen gut und ernstgemeint, nur daraus gleich "Fahrlässig" zu machen, kommt in meinen Augen eher sehr negativ an.
Und das es auch noch einen zweiten Benutzer neben dem Administrationbenutzer geben sollte, sollte mittlerweile eigentlich bekannt sein. Außerdem ist es keine "Fahrlässige Sicherheitslücke" seit neuestem, denn das war bei den vorherigen OSX-Versionen auch schon nicht anders/besser.
Also, bitte keine Panikmache, oder braucht Ihr unbedingt neue Leser für Eure Seite? Dann bitte nicht über diesen Weg.

Schönen Tag noch...

Nähern wir uns der Windoofwelt, oder sind wir schon da?:-&

@elnino: Du hast fast komplett recht.
Nur ist es unter Tiger einfach nicht mehr so "offen" wie es vorher war. Man wird jetzt gefragt. Das ist eine eindeutige Verbesserung in Richtung der Sicherheit für DAUs.

Die Meldung von MTN ist schlichtweg FALSCH.
Man kann mit den beschriebenen Mechanismen kein böses Programm einschleussen ohne dass der User es akzeptiert. Tut er das, ist er selber schuld. Dann könnte genauso die neue Version von Freeware-Tool XYZ das er von versiontracker.com oder der aktuellen Heft CD des MAgazins seines Vertrauens geladen hat , "böse" sein und alels kaputt machen.

Aber MTN braucht halt Schlagzeilen.

Wie wärs mal mit:
"Mac OS X seit 2001 ohne einen relevanten Virus" ?

Wieso fühlen sich manche hier fast persönlich in der Ehre gekränkt wenn gewisse Sicherheitsmängel benannt werden ?
Sind wir hier in einer Sekte oder was wo jede Art von kritischem Hinweis gleich als Steve äh Gotteslästerung abgetan wird ?

sauerbraten
Dann aktiviere mal bei dir "Sichere Dokumente öffnen" und ruf diese Adresse auf

sauerbraten
Und? Musstest du etwas bestätigen oder hat es sich ganz von alleine installiert?

Murdock: Was soll dieses komische Green Zap denn sein??

Stefab
Das ist ein Proof-of-Konzept-Widget.

Danke Murdock, wollte eben den gleichen Link posten. Nicht alles, was Apple ausspuckt, ist auch sicher. Damit sollten wir uns tatsächlich abfinden.

Übrigens: poste doch mal den zweiten Link…

Gruss
camaso

Wo liegt der denn der Unterschied, zwischen einem Adminuser und einem normalen User der keine Einschränkungen hat?

Da ich in meiner Begeisterung von Anfang an gleich meinen Adminuser so eingerichtet habe wie ich es mir zusagte habe ich jetzt wenig Lust das alles für einen nicht Adminuser nochmal zu machen.

Ich glaube dass ich doch relativ sicher unterwegs bin, Software bei der ich nicht sicher bin das sie seriös ist wird bei Nachfrage nach meinem Passwort beendet und automatisches ausführen von "sicheren" Daten habe ich abgestellt.

Auch mein Windows2000 lief seit je her ordentlich, sauber und Virenfrei, obwohl ich da immer als Admin gearbeitet habe (ich sitze hinter einer Linux Firewall).

Oder gibt es wirklich einen guten Grund trotz entsprechender Vorsicht und Aufmerksamkeit nicht als Admin zu Arbeiten ausser dass man es aus Prinzip nicht machen sollte?

@Murdock: Ähm .... Sry, du hast mich nicht verstanden.... Ich sagte, jeder download, der ein EXECUTABLE enthält. Das von dem Autor angesprochene Teil enthält keines, nur html und javascript.

Wenn Du mal ein Widget runterlädst, das ein Programm enthält (z.B. "Day in History" von Software MacKiev), musst du es bestätigen. Wenn du übers Kontext-Menü dir mal den Paketinhalt der Widget-Bundles anschaust, siehst du, was ich meine. Da gibt es in dem sogenannten "Proof-of-Concept" Widget keine ausführbare Datei.

Was zeigt uns diese Seite, die Murdock anspricht?
Das Sicherheitssystem funktioniert. Und zwar genau so, wie es sollte. Enthält das Widget keinen ausführbaren Code, wird es, sofern die Einstellung in Safari gegeben ist, direkt geladen. Enthält es Code, wird gefragt.

Und wenn mir jetzt einer kommt, man könnte mit javascript einen bösen, bösen Virus bauen .....

Von daher sollten die, die den Schalgzeilen blind vertrauen, sich erstmal selber schlau machen ...

'nuff said, der gekochte Sauerbraten

sauerbraten
Dann solltest du erst einmal schauen, was man alles mit dem Widget-JavaScript anfangen kann. Damit kann man Rechte ändern und Programme (z.B. Terminal-Befehle) ausführen und dadurch automatisch deinen ganzen Home-Ordner löschen.

Genau !
Aber lasst Sauerbraten sich halt weiter in Sicherheit wiegen wenn sein muss.

Klar, dann dürfte ich auch keine Internet Seite besuchen, die Javascript enthält.

sauerbraten
Du hast nichts verstanden.

All die Schreier die es nciht mal ausprobiert haben. Das Zaptastic-Teil lädt und installiert sich OHNE Rückfrage. Probiert es doch einfach mal aus!!

Der Typ macht das über einen Reload und das trickst wohl Safari aus. Mal den Quellcode der Seite ansehen.

Zeit für ein Security-Update. So schaut's aus.

@Gaspode: Ja, es installiert sich, weil es keinen Ausführbaren Code enthält. Kein binary. Sonst würde es fragen.

@Murdock: Dashboard läuft innnerhalb von WebKit im Userspace. Exakt wie Safari. Damit kann ein javascript in Dashboard exakt das gleiche wie ein javascript in Safari. Und bisher ist mir noch nicht bekannt, dass mir ein böses Javascript auf einer bösen Website die Platte löschen könnte ...

sauerbraten
Schau dir das widget-Objekt in JavaScript an (ACHTUNG sauerbraten: Das ist nur in Dashboard verfügbar!) und entdecke die Möglichkeiten der Dateizugriffe von Widgets.

ich bin mir ziemlich sicher, dass noch in diesem jahr der erste echte schädling für den mac in den umlauf kommt. - in den einschlägigen kreisen wird daran recht intensiv geforscht und gearbeitet.

dashboard stellt für diese kreise eine sehr praktische distributionsplattform dar.

c.

sauerbraten: schau doch mal im mtn-forum , dort hat Hinnerk ein screenshot der entwicklerseite von apple für dashboard gepostet, aus dem sehrwohl hervorgeht, das du system commands z.b. über ein dashboard-widget abwickeln kannst...

ein beispiel für den über das webkit hinausgehenden zugriff der widget-methoden:

@chrissi:

Du kannst folgendermaßen vorgehen:

1. einen zweiten Admin-User anlegen (chrissi), der später normaler user wird

2. von diesem neuen Admin-User aus (also von chrissi aus) den alten (ursprünglichen) Admin-User löschen (am einfachsten über Systemeinstellungen/Benutzer/Minus-Symbol unten und dann ein Disk-Image anlegen lassen, welches in "Deleted Users" gespeichert wird).

3. das dauert eine ganze Weile (kannst Du gut über den Aktivitätsmonitor beobachten das es noch "am arbeiten" ist, auch wenn der "Beachball of Death" während dieser Aktion leider nicht besonders aussagekräftig ist (hallo Apple, ein Fortschrittsbalken wäre an dieser Stelle wirklich keine schlechte Idee!!!)

4. ausloggen, als chrissi wieder einloggen, das Image des gelöschten alten Admins mounten und alle Daten die Du benötigst, kopieren (also alles aus Library des Images in Library Deines chrissi-Accounts usw.)

5. in den Systemeinstellungen einen neuen Admin anlegen, chrissi abmelden und diesen Admin anmelden, in den Systemeinstellungen bei Benutzer dem User chrissi die Admin-Rechte entziehen

6. in Zukunft kritische System-Tools wie SuperDuper!, Xupport, Cocktail etc. in einem Ordner "Applications" direkt im Admin-Home-Verzeichnis installieren, so dass sie nur für den Admin verfügbar sind

7. Programme wie Skype etc. in einen Applications-Ordner des Home-Verzeichnisses von chrissi installieren, das erleichtert bei Problemen die Fehlersuche, da der Admin (System) Account "einigermaßen sauber" bleibt

8. regelmäßige Checks des Systems per Xupport bzw. Cocktail (auch AppleJack 1.4 ist interessant), so schnell wie möglich Security-Updates als Admin installieren, vor und nach System-Updates immer die Zugriffsrechte checken, regelmäßige Backups Deines "chrissi"-home-folders anfertigen, immer "Vorsicht" bei Programmen, die das Admin-Kennwort verlangen, ab und zu bei vorbeischauen...

LG

Marcel
Das klingt ja kompliziert! Warum nicht einfach einen neuen Administrator erstellen und den alten als normalen Benutzer weiterführen?

Marcel

Uh, danke für den vielen Text

Werde mir das nachher wenn ich wieder Zuhause bin genauer zu Gemüte führen =)

Murdock Geht das so einfach?! Werde ich mir dann gleich genauer anschauen wenn ich Daheim bin

Gruß

@Mordock: Es gab irgendwann mal Probleme mit den UserIDs, als ich es auf diesem von Dir beschriebenen Wege versuchte (unter 10.1.5 wenn ich mich recht entsinne).

Seit dem mache ich es auf dem von mir beschriebenen umständlichen Weg, der aber bis heute immer 100%ig zuverlässig funktionierte.

Kann aber durchaus sein, dass es mittlerweile (10.3.9 bzw. 10.4.x) auch so einfach wie von Dir beschrieben funktioniert, hatte bisher nur nicht mehr den Mumm, es noch einmal zu versuchen...