1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Chrome/Gstreamer: Windows 10 sicherer…

Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Dadie 17.11.16 - 12:51

    Irgendwie verallgemeinert der Artikel doch etwas stark. Wie der Artikel selber erklärt, ist die Sicherheitslücke ein ungünstiges Zusammenspiel zwischen "Google Chrome", "Gstreamer", "Tracker", ungünstiger default Config und einem schlecht administrierten System.

    Sicher kann man daraus schließen, dass derzeitig einige Linux Distributionen unsicher sind, aber sicher nicht, dass Linux-Desktops als solche unsicher sind.

    Insbesondere ist die Verallgemeinerung sehr halbherzig. Dasselbe Problem besteht etwas auch unter FreeBSD (wenn man die entsprechenden Ports installiert). Ist deswegen FreeBSD unsicher? Ich glaube nicht.

  2. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: chefin 17.11.16 - 12:57

    Falsch

    Weder ungünstige defaultconfig noch schlecht administriert trifft zu. Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu speichern.

    Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt, damit wird es dann unabhängig von Chrome und gilt für alle downloads.

    Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls ziemlich teuer und aufwendig.

  3. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Wed 17.11.16 - 12:57

    Hallo Kinder,
    heute lernen wir was Clickbaiting ist.
    Clickbaiting ist wenn Golem Moderatoren hanebüchenes Zeug erzählen, verallgemeinern, voller Halbwissen strotzen und Apple bashen.
    Klingt zwar komisch, ist aber so.

    So liebe Kinder heute haben wir gelernt was Clickbaiting ist.
    Tschüss.

  4. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: My1 17.11.16 - 13:02

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Falsch
    >
    > Weder ungünstige defaultconfig noch schlecht administriert trifft zu.
    > Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu
    > speichern.
    >
    > Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt,
    > damit wird es dann unabhängig von Chrome und gilt für alle downloads.
    >
    > Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion
    > zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr
    > gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls
    > ziemlich teuer und aufwendig.

    aber dass bei chrome im prinzip drive by DLs so einfach gehen is schon herzlich dämlich

  5. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 13:04

    man muss schon drauf klicken. einfach so läd chrome nicht grundlos dateien herunter.

  6. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: boxcarhobo 17.11.16 - 13:06

    chefin schrieb:
    --------------------------------------------------------------------------------
    > Falsch
    >
    > Weder ungünstige defaultconfig noch schlecht administriert trifft zu.
    > Chrome lässt sich garnicht direkt umstellen um Dateien nicht sofort zu
    > speichern.
    >
    > Und es tritt natürlich auch auf, wenn man manuell der Speicherung zustimmt,
    > damit wird es dann unabhängig von Chrome und gilt für alle downloads.
    >
    > Es bleibt also das ein Universal-Codec Programm und eine gute Suchfunktion
    > zusammen schon das Problem auslösen und das beheben aufgrund nicht mehr
    > gepflegter Codec-Libs sehr schwer fällt bis hin zu unmöglich. Jedenfalls
    > ziemlich teuer und aufwendig.

    sudo pacman -R gstreamer

    Wahnsinnig teuer und aufwändig, ich halts kaum aus.

  7. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: SchmuseTigger 17.11.16 - 13:14

    Der Artikel sagt, alleine das es geht ist ein deutliches Zeichen dafür das nicht auf Sicherheit geachtet wird. Und das wäre (seiner Meinung nach) unter Windows 10 anders.

  8. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: smirg0l 17.11.16 - 13:38

    Wed schrieb:
    --------------------------------------------------------------------------------
    > Hallo Kinder,
    > heute lernen wir was Clickbaiting ist.
    > Clickbaiting ist wenn Golem Moderatoren hanebüchenes Zeug erzählen,
    > verallgemeinern, voller Halbwissen strotzen und Apple bashen.
    > Klingt zwar komisch, ist aber so.
    >
    > So liebe Kinder heute haben wir gelernt was Clickbaiting ist.
    > Tschüss.

    Mag sein, aber wir haben heute nicht gelernt, wie es denn wirklich sein soll. Schade.
    Im Text wird auch nicht im Ansatz Apple oder deren Produkte erwähnt, oder gar gebasht, aber das nur am Rande.
    Klingt komisch, ist aber so.
    Tschüss.

  9. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: gboos 17.11.16 - 13:53

    Ich finde das viel schlimmer >> https://www.youtube.com/watch?v=Aatp5gCskvk ... was alle betrifft. Das man unter Linux Root-Zugriff mit LUKS encrypteten Systemen bekommen kann interessiert Golem trotz Nachfrage und Hinweis aber trotzdem nicht ... http://seclists.org/oss-sec/2016/q4/432

    Hauptsache Linux Bashing for Windows ....

    VG

  10. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 13:56

    @gboos
    golem bringt diese meldung nicht, weil offensichtlich bei golem die journalisten besser recherchieren oder mehr integrität besitzen als jene von heise.

  11. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: gaelic 17.11.16 - 13:58

    Mit LUKS hat das recht wenig zu tun, es handelt sich um die Notfalls Shell. Und wenn man LUKS im Einsatz hat kann man noch immer nicht ohne Passwort darauf Zugreifen. Was man tun kann ist versuchen von dieser Shell aus in Ruhe das Paswort zu knacken.

  12. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Thaodan 17.11.16 - 14:42

    Auch das ist wieder mist da hier der Fehler in dracut und nicht in cryptsetup liegt.

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

  13. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: yoyoyo 17.11.16 - 15:10

    Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was eine gute Distro ausmacht, sinnvolle default Entscheidungen für den Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da macht.

  14. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Midian 17.11.16 - 16:44

    yoyoyo schrieb:
    --------------------------------------------------------------------------------
    > Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind
    > set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was
    > eine gute Distro ausmacht, sinnvolle default Entscheidungen für den
    > Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden
    > ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da
    > macht.

    foll kuhl dein denglisch.

  15. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: NixName 17.11.16 - 17:02

    SchmuseTigger schrieb:
    --------------------------------------------------------------------------------
    > Der Artikel sagt, alleine das es geht ist ein deutliches Zeichen dafür das
    > nicht auf Sicherheit geachtet wird. Und das wäre (seiner Meinung nach)
    > unter Windows 10 anders.


    Es wird immer der Überbringer schlechter Nachrichten verurteilt, nicht der Verursacher :D

  16. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Tuxgamer12 17.11.16 - 17:26

    bjs schrieb:
    --------------------------------------------------------------------------------
    > man muss schon drauf klicken. einfach so läd chrome nicht grundlos dateien
    > herunter.
    Oh, das ist falsch. Noch nicht gemerkt - man muss nicht auf eine Seite klicken, dass die aufgerufen wird!
    window.location mit Javascript ändern reicht vollkommend! Und schon ist die Datei heruntergeladen...
    Also - das nenne ich grundlos dateien herunterladen.

  17. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Anonymer Nutzer 17.11.16 - 17:52

    geb ich zu, hab ich nicht bedacht. ist auch was sehr lästiges. machen allerdings alle browser so. nur fragen andere davor, wo zu speichern ist. der start des downloads selbst passiert in allen automatisch. firefox läd allerdings schon vorher die datei in den cache. die frage is, ob indizierungsdienste das dann ignorieren.

  18. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Wallbreaker 17.11.16 - 17:56

    gboos schrieb:
    --------------------------------------------------------------------------------
    > Ich finde das viel schlimmer >> www.youtube.com ... was alle betrifft. Das
    > man unter Linux Root-Zugriff mit LUKS encrypteten Systemen bekommen kann
    > interessiert Golem trotz Nachfrage und Hinweis aber trotzdem nicht ...
    > seclists.org
    >
    > Hauptsache Linux Bashing for Windows ....
    >
    > VG

    Hauptsache unfundiertes Zeug nachplappern.

    * Erstens ist das keine Sicherheitslücke
    * Ebensowenig lässt sich damit Schaden anrichten, der auch nur ansatzweise einen Sinn hätte. Denn Vollverschlüsselung heißt, nichts ist hier zugänglich, weder / noch /boot noch Sonstiges. Aus der Sache ergibt sich zwar ein minimaler Rootzugang via Busybox, doch mangels Verschlüsselungs-Passwort nutzt einem das nichts. Da könnte man ebenso eine Live-CD starten, oder die Festplatte ausbauen, ermöglicht dasselbe in grün. Tatsache ist die Daten bleiben zu jeder Zeit sicher verschlüsselt, und das zugrunde liegende Verfahren, erlaubt auch keine Manipulation des Ciphertextes, um bei Entschlüsselung etwas Vordefiniertes zu provozieren. Die Daten wären schlicht Müll. Und ohne ein unverschlüsseltes /boot Volume, ist auch nichts mit Trojanern oder der Manipulation des Linux-Kernels. Einfach gesagt erreicht man mit 70 Sekunden Enter drücken, nichts Anderes als generell schon möglich ist bei physischem Vollzugriff.
    Es ist zwar unnötig hier eine Root-Konsole zu öffnen, und ein Stück weit auch fahrlässig, doch es gefährdet die Daten nicht und das ist der Punkt.

  19. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: Thaodan 17.11.16 - 18:07

    tun sie nicht da ~/.cache nicht indiziert wird.

    Wahrung der Menschenrechte oder Freie fahrt am Wochenende.
    -- Georg Schramm

  20. Re: Ein unsicher Hintergrunddienst == alle Linux-Desktops unsicher?!

    Autor: WilliWerWolf 17.11.16 - 18:33

    yoyoyo schrieb:
    --------------------------------------------------------------------------------
    > Finde ich nicht. Hier geht es nicht konkret um Tracker, sondern um den mind
    > set dahinter. Sowas auf Distrobenutzer los zu lassen ist Mist. Das ist was
    > eine gute Distro ausmacht, sinnvolle default Entscheidungen für den
    > Benutzer treffen. Automatisch Dateien mit gstreamer bad oder ugly zu laden
    > ist ganz sicher keine gute Idee. Es sei denn der Nutzer weiß was er da
    > macht.
    Im Prinzip richtig, in diesem Fall sind es aber nur indirekt die Distros, die Gnome
    als Standard-Desktop anbieten. Der Eigentliche "Depp" sind die Gnome-Entwickler,
    die diese (und andere) Automatik zu vertreten haben. Auf meinen Desktops (XFCE, LXDE unter Devuan, Ubuntu 14.04, Ubuntu 16.04 und FreeBSD 11) gibts den Tracker nicht automatisch und Chrome ist nicht Standard-Webbrowser. Unter Devuan werden noch nichtmal die GStreamer-plugins-bad installiert.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. BHS Corrugated Maschinen- und Anlagenbau GmbH, Weiherhammer
  2. Hays AG, Köln
  3. Reply AG, Köln, Berlin
  4. Computacenter AG & Co. oHG, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.829€ (Bestpreis)
  2. (u. a. WD Elements 10TB für 171,99€, Asus Chromebook C423 14 Zoll für 329€, Lenovo Tab M10...
  3. (u. a. Aukey In-Ears für 22,85€ (inkl. 5% Rabatt), Sandisk-Speicherprodukte)
  4. (u. a. Yu-Gi-Oh! Promo (u. a. Yu-Gi-Oh! Legacy of the Duelist für 7,20€, Yu-Gi-Oh! ARC-V: ARC...


Haben wir etwas übersehen?

E-Mail an news@golem.de