1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Chrome/Gstreamer: Windows 10 sicherer…

Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Dadie 17.11.16 - 12:51

    Irgendwie verallgemeinert der Artikel doch etwas stark. Wie der Artikel selber erklärt, ist die Sicherheitslücke ein ungünstiges Zusammenspiel zwischen "Google Chrome", "Gstreamer", "Tracker", ungünstiger default Config und einem schlecht administrierten System.

    Sicher kann man daraus schließen, dass derzeitig einige Linux Distributionen unsicher sind, aber sicher nicht, dass Linux-Desktops als solche unsicher sind.

    Insbesondere ist die Verallgemeinerung sehr halbherzig. Dasselbe Problem besteht etwas auch unter FreeBSD (wenn man die entsprechenden Ports installiert). Ist deswegen FreeBSD unsicher? Ich glaube nicht.

  2. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: chefin 17.11.16 - 12:57

    Falsch

    Weder ungünstige defaultconfig noch schlecht administriert trifft zu. Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu speichern.

    Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt, damit wird es dann unabhängig von Chrome und gilt für alle downloads.

    Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls ziemlich teuer und aufwendig.

  3. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Wed 17.11.16 - 12:57

    Hallo Kinder,
    heute lernen wir was Clickbaiting ist.
    Clickbaiting ist wenn Golem Moderatoren hanebüchenes Zeug erzählen, verallgemeinern, voller Halbwissen strotzen und Apple bashen.
    Klingt zwar komisch, ist aber so.

    So liebe Kinder heute haben wir gelernt was Clickbaiting ist.
    Tschüss.

  4. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: My1 17.11.16 - 13:02

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Falsch
    >
    > Weder ungünstige defaultconfig noch schlecht administriert trifft zu.
    > Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu
    > speichern.
    >
    > Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt,
    > damit wird es dann unabhängig von Chrome und gilt für alle downloads.
    >
    > Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion
    > zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr
    > gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls
    > ziemlich teuer und aufwendig.

    aber dass bei chrome im prinzip drive by DLs so einfach gehen is schon herzlich dämlich

  5. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 13:04

    man muss schon drauf klicken. einfach so läd chrome nicht grundlos dateien herunter.

  6. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: boxcarhobo 17.11.16 - 13:06

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Falsch
    >
    > Weder ungünstige defaultconfig noch schlecht administriert trifft zu.
    > Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu
    > speichern.
    >
    > Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt,
    > damit wird es dann unabhängig von Chrome und gilt für alle downloads.
    >
    > Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion
    > zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr
    > gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls
    > ziemlich teuer und aufwendig.

    sudo pacman -R gstreamer

    Wahnsinnig teuer und aufwändig, ich halts kaum aus.

  7. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: SchmuseTigger 17.11.16 - 13:14

    Der Artikel sagt, alleine das es geht ist ein deutliches Zeichen dafür das nicht auf Sicherheit geachtet wird. Und das wäre (seiner Meinung nach) unter Windows 10 anders.

  8. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: smirg0l 17.11.16 - 13:38

    Wed schrieb:
    --------------------------------------------------------------------------------
    > Hallo Kinder,
    > heute lernen wir was Clickbaiting ist.
    > Clickbaiting ist wenn Golem Moderatoren hanebüchenes Zeug erzählen,
    > verallgemeinern, voller Halbwissen strotzen und Apple bashen.
    > Klingt zwar komisch, ist aber so.
    >
    > So liebe Kinder heute haben wir gelernt was Clickbaiting ist.
    > Tschüss.

    Mag sein, aber wir haben heute nicht gelernt, wie es denn wirklich sein soll. Schade.
    Im Text wird auch nicht im Ansatz Apple oder deren Produkte erwähnt, oder gar gebasht, aber das nur am Rande.
    Klingt komisch, ist aber so.
    Tschüss.

  9. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: gboos 17.11.16 - 13:53

    Ich finde das viel schlimmer >> https://www.youtube.com/watch?v=Aatp5gCskvk ... was alle betrifft. Das man unter Linux Root-Zugriff mit LUKS encrypteten Systemen bekommen kann interessiert Golem trotz Nachfrage und Hinweis aber trotzdem nicht ... http://seclists.org/oss-sec/2016/q4/432

    Hauptsache Linux Bashing for Windows ....

    VG

  10. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 13:56

    @gboos
    golem bringt diese meldung nicht, weil offensichtlich bei golem die journalisten besser recherchieren oder mehr integrität besitzen als jene von heise.

  11. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: gaelic 17.11.16 - 13:58

    Mit LUKS hat das recht wenig zu tun, es handelt sich um die Notfalls Shell. Und wenn man LUKS im Einsatz hat kann man noch immer nicht ohne Passwort darauf Zugreifen. Was man tun kann ist versuchen von dieser Shell aus in Ruhe das Paswort zu knacken.

  12. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Thaodan 17.11.16 - 14:42

    Auch das ist wieder mist da hier der Fehler in dracut und nicht in cryptsetup liegt.

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

  13. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: yoyoyo 17.11.16 - 15:10

    Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was eine gute Distro ausmacht, sinnvolle default Entscheidungen für den Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da macht.

  14. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Midian 17.11.16 - 16:44

    yoyoyo schrieb:
    --------------------------------------------------------------------------------
    > Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind
    > set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was
    > eine gute Distro ausmacht, sinnvolle default Entscheidungen für den
    > Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden
    > ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da
    > macht.

    foll kuhl dein denglisch.

  15. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: NixName 17.11.16 - 17:02

    SchmuseTigger schrieb:
    --------------------------------------------------------------------------------
    > Der Artikel sagt, alleine das es geht ist ein deutliches Zeichen dafür das
    > nicht auf Sicherheit geachtet wird. Und das wäre (seiner Meinung nach)
    > unter Windows 10 anders.


    Es wird immer der Überbringer schlechter Nachrichten verurteilt, nicht der Verursacher :D

  16. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Tuxgamer12 17.11.16 - 17:26

    bjs schrieb:
    --------------------------------------------------------------------------------
    > man muss schon drauf klicken. einfach so läd chrome nicht grundlos dateien
    > herunter.
    Oh, das ist falsch. Noch nicht gemerkt - man muss nicht auf eine Seite klicken, dass die aufgerufen wird!
    window.location mit Javascript ändern reicht vollkommend! Und schon ist die Datei heruntergeladen...
    Also - das nenne ich grundlos dateien herunterladen.

  17. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 17:52

    geb ich zu, hab ich nicht bedacht. ist auch was sehr lästiges. machen allerdings alle browser so. nur fragen andere davor, wo zu speichern ist. der start des downloads selbst passiert in allen automatisch. firefox läd allerdings schon vorher die datei in den cache. die frage is, ob indizierungsdienste das dann ignorieren.

  18. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Wallbreaker 17.11.16 - 17:56

    gboos schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das viel schlimmer >> www.youtube.com ... was alle betrifft. Das
    > man unter Linux Root-Zugriff mit LUKS encrypteten Systemen bekommen kann
    > interessiert Golem trotz Nachfrage und Hinweis aber trotzdem nicht ...
    > seclists.org
    >
    > Hauptsache Linux Bashing for Windows ....
    >
    > VG

    Hauptsache unfundiertes Zeug nachplappern.

    * Erstens ist das keine Sicherheitslücke
    * Ebensowenig lässt sich damit Schaden anrichten, der auch nur ansatzweise einen Sinn hätte. Denn Vollverschlüsselung heißt, nichts ist hier zugänglich, weder / noch /boot noch Sonstiges. Aus der Sache ergibt sich zwar ein minimaler Rootzugang via Busybox, doch mangels Verschlüsselungs-Passwort nutzt einem das nichts. Da könnte man ebenso eine Live-CD starten, oder die Festplatte ausbauen, ermöglicht dasselbe in grün. Tatsache ist die Daten bleiben zu jeder Zeit sicher verschlüsselt, und das zugrunde liegende Verfahren, erlaubt auch keine Manipulation des Ciphertextes, um bei Entschlüsselung etwas Vordefiniertes zu provozieren. Die Daten wären schlicht Müll. Und ohne ein unverschlüsseltes /boot Volume, ist auch nichts mit Trojanern oder der Manipulation des Linux-Kernels. Einfach gesagt erreicht man mit 70 Sekunden Enter drücken, nichts Anderes als generell schon möglich ist bei physischem Vollzugriff.
    Es ist zwar unnötig hier eine Root-Konsole zu öffnen, und ein Stück weit auch fahrlässig, doch es gefährdet die Daten nicht und das ist der Punkt.

  19. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Thaodan 17.11.16 - 18:07

    tun sie nicht da ~/.cache nicht indiziert wird.

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

  20. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: WilliWerWolf 17.11.16 - 18:33

    yoyoyo schrieb:
    --------------------------------------------------------------------------------
    > Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind
    > set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was
    > eine gute Distro ausmacht, sinnvolle default Entscheidungen für den
    > Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden
    > ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da
    > macht.
    Im Prinzip richtig, in diesem Fall sind es aber nur indirekt die Distros, die Gnome
    als Standard-Desktop anbieten. Der Eigentliche "Depp" sind die Gnome-Entwickler,
    die diese (und andere) Automatik zu vertreten haben. Auf meinen Desktops (XFCE, LXDE unter Devuan, Ubuntu 14.04, Ubuntu 16.04 und FreeBSD 11) gibts den Tracker nicht automatisch und Chrome ist nicht Standard-Webbrowser. Unter Devuan werden noch nichtmal die GStreamer-plugins-bad installiert.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. operational services GmbH & Co. KG, Frankfurt am Main, Berlin, Dresden
  2. über duerenhoff GmbH, Darmstadt
  3. Dürr Systems AG, Goldkronach
  4. über duerenhoff GmbH, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 29,99€
  2. (u. a. Train Sim World 2020 für 9,99€, Train Simulator 2021 für 12,75€, Fishing Sim World...


Haben wir etwas übersehen?

E-Mail an news@golem.de


BVG: Lieber ungeschützt im Nahverkehr
BVG
Lieber ungeschützt im Nahverkehr

In einem Streit mit dem BSI definiert sich die BVG als klein, um unsicher bleiben zu dürfen. Das ist kleinkariert und absurd.
Ein IMHO von Moritz Tremmel

  1. Mobilitätswende Berlin schickt 100. Elektrobus auf die Straße
  2. Solaris Urbino 18 electric Berliner Verkehrsbetriebe mit elektrischen Gelenkbussen
  3. Dekarbonisierung Alle Berliner Busse werden elektrisch

Elektromobilität: Diese E-Autos kommen 2021 auf den Markt
Elektromobilität
Diese E-Autos kommen 2021 auf den Markt

2020 war ein erfolgreiches Jahr für die Elektromobilität. Dieser Trend wird sich fortsetzen: ein Überblick über die Neuerscheinungen 2021.
Ein Bericht von Dirk Kunde

  1. Elektromobilität 2020/21 Nur Tesla legte in der Krise zu
  2. Prototyp vorgestellt VW-Laderoboter im R2D2-Style kommt zum Auto
  3. E-Auto VDA-Chefin fordert schnelleren Ausbau von Ladesäulen

Biden und die IT-Konzerne: Die Zähmung der Widerspenstigen
Biden und die IT-Konzerne
Die Zähmung der Widerspenstigen

Bislang konnten sich IT-Konzerne wie Google und Facebook noch gegen eine schärfere Regulierung wehren. Das könnte sich unter Joe Biden ändern.
Eine Analyse von Friedhelm Greis

  1. Quibi Mobile-Streaming-Dienst nach einem halben Jahr dicht