1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bootloader Grub: Gravierende…

Testen?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Testen?

    Autor: Samin 10.11.09 - 09:57

    Gibts wohl nicht in der Open Source Szene, oder? Zahlt ja keiner für. Solche Fehler werden durch die simpelsten Tests abgefangen. Normalerweise.

  2. Re: Testen?

    Autor: Rones 10.11.09 - 10:00

    Ich stimme Dir zu, dass ein Test an dieser Stelle das Problem gar nicht erst hätte auftreten lassen. Ich schätze aber die Relevanz des Problems als relativ gering ein: wie groß ist der Anteil an Personen die im Bootmanager ein Passwort verwenden? Die meisten benutzen doch eher die Authentifizierung im durch den Grub geladenen Betriebssystem.

    Trotzdem gilt natürlich: so ein Fehler sollte nicht auf die Öffentlichkeit losgelassen werden.

  3. Re: Testen?

    Autor: charly_das_einhorn 10.11.09 - 10:01

    jo hier wurde gepfuscht.
    aber "normalerweise" gibts ja keine fehler.
    und "normalerweise" sing ich auch keien stuss , deshalb :

    *sing*
    steeck dir ne banane in dein Ohhhhhhr.
    ne kleine feine banane in dein lieblings ohr hinein.
    *sing*

  4. Re: Testen?

    Autor: DerSarek 10.11.09 - 10:02

    Da ist der Druck bei Kommerziellens, schnell eine neue Version rauszubringen aber größer.

    Mein Anfängerfehler: Der Versuch, Dir mit Argumenten zu kommen. Deine "Meinung" steht ja fest. Spaß damit!

    -DerSarek

    --- Whereever you go - there you are ---

  5. Re: Testen?

    Autor: Ice 10.11.09 - 10:09

    charly_das_einhorn schrieb:
    --------------------------------------------------------------------------------
    > jo hier wurde gepfuscht.
    > aber "normalerweise" gibts ja keine fehler.
    > und "normalerweise" sing ich auch keien stuss , deshalb :
    >

    Jaja, und was ist jetzt deine Aussage?
    Fakt ist:
    - um die Sicherheitslücke ausnützen zu können muss man LOKAL VOR DEM PC sitzen.
    - Es betrifft nur Konfigurationen mit PW-Abfrage im Bootloader

    So what? Das ist eine kleine, unbedeutende Sicherheitslücke (wenn ich einen PC/Server mit sensiblen Daten drauf habe, dann lasse ich NUR vertrauenswürdige Personen PHYSISCH da ran, egal WIE gut die Maschine sonst abgesichert ist. Physischer Zugang heisst Administrator-Rechte, immer, egal welches OS)

    Beispielsweise sind Windows-Schwächen, die jedem PC auf der Welt via Netz Admin- oder auch nur User-Rechte zu erlangen erlaubt, ein ganz anderes Kaliber und 1000x kritischer. Aber das wird ganz gerne von den Windows-Fanboys bestritten.
    Und ja, solche Kaliber von Risiken sind mir bei keiner Linux-Distribution bekannt.


    Gruss, Ice

  6. Re: Testen?

    Autor: Mike Rosoft 10.11.09 - 10:13

    Samin schrieb:
    --------------------------------------------------------------------------------
    > Gibts wohl nicht in der Open Source Szene, oder? Zahlt ja keiner für.
    > Solche Fehler werden durch die simpelsten Tests abgefangen. Normalerweise.


    Wozu testen, gibt doch die rieeeeesige Opensource-Community da draußen, irgendwer wird den Fehler schon finden und natürlich sofort beheben. Weils Opensource ist.

  7. Re: Testen?

    Autor: schwubbapf 10.11.09 - 10:14

    Ice schrieb:
    --------------------------------------------------------------------------------

    > Aber das wird ganz gerne von den
    > Windows-Fanboys bestritten.

    Genauso wie jeder Fehler in Linux von den Linuxboys immer runtergeredet wird.

  8. Re: Testen?

    Autor: gjj 10.11.09 - 10:18

    Als besonders gravierend sehe ich die Sicherheitslücke auch nicht, ein Grub Paßwort ist eh kein ernsthaftes Sicherheitskonzept, eher ein bequemer Weg, den Computer für den eigen Nachwuchs zu sperren.

    Trotzdem sollte es natürlich nicht so einfach zu umgehen sein, und so kritischen stellen wie eine Paßwortüberprüfung sollten wirklich besser 3 mal mehr getetste werden, bevor man sie freigibt

  9. Re: Testen?

    Autor: stpn 10.11.09 - 10:30

    Samin schrieb:
    --------------------------------------------------------------------------------
    > Gibts wohl nicht in der Open Source Szene, oder? Zahlt ja keiner für.
    > Solche Fehler werden durch die simpelsten Tests abgefangen. Normalerweise.

    So simpel finde ich den Fehler auch wieder nicht. Eher ein Spezialfall. Man kann ja nicht auf alles testen. Ein Passwort zu setzen und sich dann mit nur dem Anfangsbuchstaben dessen einloggen zu wollen ist auf jeden fall bestimmt kein übliches Anwenderszenario.

    Dies macht das Auftreten eines solchen Fehlers natürlich nicht weniger schlimm. Würde jemand den Quellcode gezielt durchgehen, hätte er den Fehler bestimmt gesehen. (Genau so wie beim Datumscode in der alten Zune Firmware.)

  10. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 10:38

    Der Test fuer eine Passwortabfrage sieht meist so aus:
    1. Richtige Eingabe -> Login funzt
    2. Falscheingabe -> Login funzt nicht

    vielleicht noch:
    3. Eingabe von speziellen Sonderzeichen, extrem langen Passwoertern und ohne erforderliches Passwort -> keine Auffaelligkeiten

    BTW: Grub Version 1.97 ist eine Beta-Version! Die Tests sind also sowieso noch nicht abgeschlossen - das Finden des Fehlers im Betastadium spricht also in Sachen Sicherheit fuer sich. Dass jedoch unvollstaendig getestete Software in den Produktivbetrieb geht, ist gerade bei kommerzieller Software wegen Zeitdruck oft die Regel - ich weiss hier, wovon ich rede. Den umfassenden allesfindenden Test gibt es ohnehin nicht.



    1 mal bearbeitet, zuletzt am 10.11.09 10:39 durch Der Kommunist.

  11. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 10:47

    gjj schrieb:
    --------------------------------------------------------------------------------
    > Als besonders gravierend sehe ich die Sicherheitslücke auch nicht, ein Grub
    > Paßwort ist eh kein ernsthaftes Sicherheitskonzept, eher ein bequemer Weg,
    > den Computer für den eigen Nachwuchs zu sperren.

    Das stimmt natuerlich - der Nachwuchs ist bei solchen "Exploits" besonders fantasievoll ;)

    > Trotzdem sollte es natürlich nicht so einfach zu umgehen sein, und so
    > kritischen stellen wie eine Paßwortüberprüfung sollten wirklich besser 3
    > mal mehr getetste werden, bevor man sie freigibt

    Nur zur Info - das haette Golem dazu schreiben sollen: Grub 1.97 wurde nicht freigegeben - es ist die Beta der Version 2.0; jetzt steht das in einem ganz anderen Licht. Dass sich jedoch einige Distros fuer die Verwendung der 1.97beta entschieden haben, ist schon leicht fahrlaessig. Man sucht halt immer einen Kompromiss zwischen neuen Funktionen (wie z.B. grafische Oberflaeche, Themes, mehr Dateisysteme sowie UUID-Unterstuetzung) und Stabilitaet zu finden. Da Grub 2.0 in Kuerze erscheinen soll, hat man sich hier evtl. in falscher Sicherheit geglaubt. Dennoch: Der Passwortschutz bei Grub ist ohnehin kein Schutz des PCs - mit der Live-CD ist ohnehin Zugriff auf den Rechner moeglich, wenn man seine Daten nicht sowieso (mittels weiterem Passwort) verschluesselt hat. Dahingehend hast du also Recht.

  12. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 10:48

    Wie ja im Artikel nachzulesen ist... kwT

  13. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 10:54

    Hat der Bootmanager von Windows eigentlich eine Passwortabfrage? Andere Betriebssysteme erkennt er ja schon mal nicht und er ueberschreibt bei der Installation auch ungefragt andere Bootloader (=Datenverlust) - das finde ich bei einem BOOTMANAGER viel gravierender.
    Mit meiner Linux-Live-CD komme ich (vor deinem Rechner sitzend, wie oben beschrieben) ohnehin auf dein Win-Dateisystem, selbst wenn dein Bootmanager oder dein Win passwortgeschuetzt waere. Hier geht es also nicht um Schoenreden eines Fehlers in einer BETAversion - der Fehler hat tatsaechlich keine grosse Relevanz, weil man auch ohne diesen Fehler den Rechner problemlos starten kann, sollte man davor sitzen.

  14. Re: Testen?

    Autor: QDOS 10.11.09 - 10:57

    Der Kommunist schrieb:
    --------------------------------------------------------------------------------
    > Mit meiner Linux-Live-CD komme ich (vor deinem Rechner sitzend, wie oben
    > beschrieben) ohnehin auf dein Win-Dateisystem, selbst wenn dein Bootmanager
    > oder dein Win passwortgeschuetzt waere.
    Ne kommst du nicht - denn mein BIOS prüft zuerst HDDs und dann erst CD/DVDs

  15. Re: Testen?

    Autor: rap123 10.11.09 - 11:08

    Samin schrieb:
    --------------------------------------------------------------------------------
    > Solche Fehler werden durch die simpelsten Tests abgefangen. Normalerweise.

    Nicht unbedingt. Wer kommt schon auf die Idee, zu testen, ob es reicht, einen Buchstaben des Passwortes einzugeben???

  16. Re: Testen?

    Autor: dekaden_Z 10.11.09 - 11:09

    Der Kommunist schrieb:
    --------------------------------------------------------------------------------
    > Mit meiner Linux-Live-CD komme ich (vor deinem Rechner sitzend, wie oben
    > beschrieben) ohnehin auf dein Win-Dateisystem

    Solange der Rechner andere Bootmedien akzeptiert, bekommst du immer Zugriff auf die Festplatte. Das ist keine Frage des Betriebssystems.
    Falls das wegen des Kontexts tatsächlich ein ernst zu nehmender Angriffsvektor ist, muss man die Daten halt verschlüsseln. Punkt.

  17. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 11:11

    Dann resette ich vorher dein BIOS-Passwort, stelle die Bootreihenfolge um und starte dann die Live-CD... Bloed, was?

  18. Re: Testen?

    Autor: Anonymer Nutzer 10.11.09 - 11:13

    dekaden_Z schrieb:
    --------------------------------------------------------------------------------
    > Solange der Rechner andere Bootmedien akzeptiert, bekommst du immer Zugriff
    > auf die Festplatte. Das ist keine Frage des Betriebssystems.

    Wenn er keine anderen Bootmedien akzeptiert, resette ich ggf. vorher das BIOS-Passwort, stelle die Bootreihenfolge um, baue ggf. ein CDROM ein und starte dann die Live-CD... Mit physikalischem Zugriff und Grundwissen ueber PCs siehts in Sachen Sicherheit ganz schlecht aus.

    > Falls das wegen des Kontexts tatsächlich ein ernst zu nehmender
    > Angriffsvektor ist, muss man die Daten halt verschlüsseln. Punkt.

    So sieht's aus!

  19. Das ist eine _Beta_

    Autor: Hello_World 10.11.09 - 11:33

    Eine Beta-Version dient einzig und allein zum Testen, was offenbar auch funktioniert hat, denn der Fehler wurde gefunden. Wie kommst Du jetzt auf die Idee, dass nicht getestet würde?

  20. Re: Testen?

    Autor: Herb 10.11.09 - 11:34

    Samin schrieb:
    --------------------------------------------------------------------------------
    > Gibts wohl nicht in der Open Source Szene, oder? Zahlt ja keiner für.
    > Solche Fehler werden durch die simpelsten Tests abgefangen. Normalerweise.

    (Man-)Power is nothing without control.

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Head of Customer Segment Management (m/w/d)
    Fressnapf Holding SE, Krefeld
  2. Softwareentwickler (m/w/d) Frontend / Backend / Fullstack
    AUSY Technologies Germany AG, verschiedene Standorte
  3. Service Manager Datenbanksysteme (m/w/d)
    operational services GmbH & Co. KG, Leinfelden-Echterdingen, Dresden, Ingolstadt, Wolfsburg
  4. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 16,49€
  2. 15,99€
  3. (u. a. Special Edition PS5 für 69,99€, Deluxe Edition Xbox Series X/S für 99,99€)
  4. 9,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de