|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Bevor man Passwoerter potentiell unsicher (also ueberhaupt) auf der Festplatte gespeichert werden, sollte der Nutzer darueber informiert werden. In etwa so:
Dieses Feature speichert ihre Passwoerter auf der Festplatte. Dies geschieht derzeit unverschluesselt! Jeder, der diese Dateien lesen kann, kann ihre Passwoerter lesen! Unter bla->foo->zeug->zirkus koennen sie ein Passwort zur Verschluesselung dieser Daten auf der Festplatte setzen. Dieses muessen sie einmalig pro Sitzung eingeben, um die Passwoerter wieder lesen zu koennen. Es wird dringend empfohlen, dies jetzt zu machen!
Ansonsten... wer nicht will, ist selber schuld.
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 15:25 MEW (#10)
|
|
|
|
|
"Ansonsten... wer nicht will, ist selber schuld."
Wenn es so einfach waere. Von mir aus koennen sich
Benutzer ihre Maschinen mit jedem Virus des Universums infizieren und ihr Hirn beim Tankwart abgeben. Das eigentliche Problem ist doch, dass dadurch auch Unschuldige in Mitleidenschaft gezogen werden: Maschinen mutieren zu Spamschleudern, vertrauliche Daten werden zugaenglich etc.
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 13:03 MEW (#2)
|
|
|
|
|
Definitiv wesentlich schlimmer ist jedoch, daß das Paßwort für einen Root-Zugriff bei diversen Ubuntu-Versionen im Klartext auf der Platte liegt, da sämtliche Fragen und Antworten bei der Installation mitgeloggt und in abgespeichert werden
das wäre bei Debian GNU/Linux nicht passiert. Durch solches striktes und langwieriges Audiding kommt keine solche grobe Sicherheitslücke. Jeder, welcher einen Hype folgt ist selbst schuld. Warum können die Nutzer nicht einfach das altbewährte Debian nehmen?
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 13:06 MEW (#3)
|
|
|
|
|
Installier Dir dein Software-Museum heute - Debian!
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 15:03 MEW (#8)
|
|
|
|
|
Stimmt, die Pakete in sid sind wirklich alle uralt...
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 16:32 MEW (#15)
|
|
|
|
|
Ist Ubuntu = Debian???
Und was hat Ubuntu mit sid zu tun?
Dapper Drake !
|
|
|
|
|
|
|
|
|
|
|
|
|
das basissystem von ubuntu basiert auf debian. die pakete bei ubuntu sind _alle_ aktuell, neue ubuntu-versionen kommen in viel kürzeren abständen als bei debian raus und vor allem: ubuntu zielt auf homeuser, die keinen tau haben. prinzipiell ist es die gleiche sicherheitslücke/"feature" wie in windows xp home/pro, aber doch etwas netter gelöst.
wobei das problem noch nicht gelöst ist. also. wie lösen?
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Worauf beziehst Du Dich jetzt?
*hust hust* (admin)passwörter in xp sind standardmäßig leer.
und das ist meiner meinung nach _gravierender_ als klartextpasswörter
|
|
|
|
|
|
|
|
|
|
|
|
|
Jedes Passwort, das gespeichert wird, um es irgendwo anders automatisch eingeben zu können wird im Klartext gespeichert - das ist Prinzipbedingt nunmal so nur möglich! Wie sonst soll es ansonsten im Klartext eingegeben werden (auch dumme Sterne oder Punkte in den Eingabefeldern machen daraus nicht wirklich KEINEN Klartext!).
Und jetzt sage bros keiner, daß könnte man auch verschlüsselt speicher. Ja und? Die Software muß es ja auch wieder entschlüsseln können - da es ja immernoch im Klartext verschickt werden muß. Also ist der Key dafür im Programm drin.
Bleibt noch das "Masterpasswort". Also entschuldigung, wenn ich mir schon 100 Passworte nicht merken kann und sie deshalb in dem Browser schicke, dann wäre mir das mit einem Masterpasswort nochmal viel gefährlicher!
Bleibt nur die sinnige, aber immer noch nicht realisierte Methode: alle Passworte liegen auf einem USB-Stick oder ähnlichem. Aber natürlich immernoch im Klartext (wegen der genannten Masterpasswort-Problematik!). Besser wird es damit aber nicht wirklich.
Also, Industrie, wo ist das schon lange versprochene biometrische Login? ist wohl beim Schnüffelausweis designen stecken geblieben.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 13:43 MEW (#5)
|
|
|
|
|
> Jedes Passwort, das gespeichert wird, um es irgendwo anders automatisch eingeben zu können wird im Klartext gespeichert - das ist Prinzipbedingt nunmal so nur möglich! Wie sonst soll es ansonsten im Klartext eingegeben werden (auch dumme Sterne oder Punkte in den Eingabefeldern machen daraus nicht wirklich KEINEN Klartext!).
> Und jetzt sage bros keiner, daß könnte man auch verschlüsselt speicher. Ja und? Die Software muß es ja auch wieder entschlüsseln können - da es ja immernoch im Klartext verschickt werden muß. Also ist der Key dafür im Programm drin.
Sieh mal über deinen fstab-Tellerrand hinaus und informier dich wie z.B. Windows mit EFS&FEK das handhabt. Keys kann man einem Useraccount zuordnen, das OS managt das dann und nicht etwa ein unserland Programm. Physisch sind die keys natürlich immer noch lesbar, per OS aber nur noch durch authorisierte User.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ähm, versteh ich da jetzt was falsch? Ich speichere ein Passwort ab (ich! User, meine Rechte!) und danach darf sie nur noch ein authorisierter User lesen?? Ich würde ja eher sagen, jedes Programm der SELBEN Users (ich, User, meine Rechte!) darf das lesen.
Und das hat nichts mit Windows oder nicht zu tun. Alles, was ein User selbst abgelegt und Programme, die er startet, das wieder lesen dürfen, dürfen folglich auch andere Programme, die er startet, lesen.
Zum Thema Tellerrand: man chmod
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
|
|
|
|
Bleibt noch das "Masterpasswort". Also entschuldigung, wenn ich mir schon 100 Passworte nicht merken kann und sie deshalb in dem Browser schicke, dann wäre mir das mit einem Masterpasswort nochmal viel gefährlicher!
Kannst du das mal etwas erlaeutern?
Die Argumentation "Ich kann mir 100 Passworte nicht merken, also kann ich mir ein einzelnes auch nicht merken" ist nicht wirklich schluessig.
|
|
|
|
|
|
|
|
|
|
|
|
|
Die Idee von dieser Passwort-Merkerei ist doch, daß man sich das vereinfachen kann. Also wird man sich erst recht ein Überpasswort merken wollen, denn wenn das vergessen wurde, ist doch alles weg. Wer sich also schon 100 nicht merken will, der will sich auch eins nicht mehr merken. Das macht für ihn nämlich keinen Unterschied.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 15:30 MEW (#11)
|
|
|
|
|
Wer zu doof oder zu faul ist, ein Backup seiner Logins - z.B. auf Papier - zu machen, der hat es auch nicht anders verdient. Auch der Zettel unter der Tastatur nuetzt dem gewoehnlichen Hacker kaum etwas. Am Arbeitsplatz sind solche Zettelchen sicher fehl am Platz, aber dort ist dann ja auch der Admin fuer die Datensicherheit zustaendig.
|
|
|
|
|
|
|
|
|
|
|
|
|
Dann kann man sich gleich ein Buch mit seinen Passworten schreiben.
Und dem "gewöhnlichen" Hacker ist die Passwortliste aus dem Browser auch egal, der kommt auch ohne die an die billigen Passworte und hört gleich per Sniffer das Netzwerk ab.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Monday 13. March 2006, 16:26 MEW (#14)
|
|
|
|
|
Ja, das war mein Vorschlag gegen das Vergessen. Hast du ueberhaupt den Artikel gelesen? Du vermischst hier Dinge die so ziemlich nichts miteinander zutun haben. Und gegen Netzwerk-Sniffen gibt es SSH etc. Also erzaehl nicht so einen Stuss. Danke.
|
|
|
|
|
|
|
|
|
|
|
|
|
Sonst gehts aber noch, oder? Vielleicht solltest du den Artikel auch mal lesen, SSH ist super hilfreich bei Passworten in Web-Formularen! Ebenso bei Mail-Clients, Ftp-Clients, usw. Wer erzählt also den größeren Stuss?
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. March 2006, 03:41 MEW (#20)
|
|
|
|
|
Eben quasselst du noch von Hackern, die das Netzwerk mitsniffen, und jetzt bist du schon wieder beim Browser. Junge, SSL gibt es. Der einzige der hier Stuss redet, bist immer noch du.
|
|
|
|
|
|
|
|
|
|
|
|
|
Ah, einer mit Ahnung! Heute nach in Browser geschlafen oder was? SSL - der beste Witz bisher.
Junge, schonmal Symlink mit https besucht? Nicht? Oder Heise? Web-Foren? eBay ohne SSL-Schalter? GMX?
Ich glaub, du solltest erstmal gepflegten Umgang lernen und dann die Grundlagen von Kommunikation und Diskussion und dann darfst du mit den Heise-Trollen spielen. Mit sowas wie dir macht es keinen Spass über Probleme zu reden, du wirst direkt agressiev, beleidigend und unverschämt. Aber was will man von einem Anonymen Feigling auch anderes erwarten. Zu feige eben, sich zu einer Entscheidung öffentlich zu bekennen.
Antworte was du willst, kommt vermutlich eh nur Platzverschwendung in der Symlink-Datenbank bei raus.
--
ok> boot net - install
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. March 2006, 15:14 MEW (#23)
|
|
|
|
|
Wer so mit Dreck wirft wie du, der muss schon eine ganze Menge Dreck am Stecken haben.
Nein, ich benutze GMX niemals ohne SSL/TLS. eBay benutze ich seit Jahren nicht mehr. Zum einen, weil sie ein Quasi-Monopol haben und zum anderen, weil man als eBay-Nutzer nur zahlender Abschaum ist und
Sicherheit bei eBay hoechstens versteigert wird.
Ich soll bei Heise schreiben? Meinen Account dort habe ich vor Jahren angewidert geloescht. Ich schreibe nicht in Webforen, abgesehen von sehr seltenen Ausnahmen, weil Webforen im Allgemeinen in HTML-gegossener Muell sind und das Niveau so wie das Fachwissen regelmaessig unter dem deinigen liegt.
Ich gebe nur meinen Senf dort dazu, wo meine Zeit nicht Login-Bullshit verschwendet wird. Im Uebrigen bin ich nicht feige, sondern habe keinen Bock mich einzuloggen, wenn ich es nicht muss. Ausserdem habe ich auch keine Lust darauf, von hasserfuellten Skript-Kiddies wie dir spaeter mit Newslettern zugeballert zu werden oder deinem Anwalt Geld einbringen.
Ich moechte nur noch mal festhalten, dass du von Sicherheit so viel Ahnung hast, wie ein Gorilla, der taeglich Bugtraq liest. Mahlzeit, mein Freund.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Warum
GAIM seine Passwörter unverschlüsselt speichert
|
|
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Tuesday 14. March 2006, 22:08 MEW (#25)
|
|
|
|
|
Wie dort steht, speichert GAIM per Default gar nix. Und das ist auch gut so.
|
|
|
|
|
|
|
|
|
|
|
|
|
Hallöchen,
hui die Passwörter-Diskussion schein ja recht die Gemüter zu erhitzen.
zu Ubuntu:
Die Passwörter dürfen natürlich nirgens abgespeichert werden. Nur als Checksum in /etc/shadow
zu Firefox:
Ich finde dass der Benutzer aufgefordert werden sollte, ein Master-Password einzugeben, so dass nie ein Passwort im Klartext abgspeichert wird.
Gruss Yves
|
|
|
|
|
|
