1. Foren
  2. Kommentare (alt, bis 13.1.2005)
  3. Software
  4. Betriebssysteme

Sicherheitslücken in KDE

  1. Thema

Neues Thema Ansicht wechseln


  1. Sicherheitslücken in KDE

    Autor: Golem.de 12.08.04 - 09:30

    Das KDE-Team warnt vor drei Sicherheitslücken, die in den letzten Wochen und Tagen bekannt wurden. Diese erlauben es lokalen Angreifen, KDE lahm zu legen, in fremde User-Accounts einzudringen oder ermöglichen Phishing-Attacken.

    https://www.golem.de/0408/32939.html

  2. Re: Sicherheitslücken in KDE

    Autor: Erster 12.08.04 - 09:59

    Ja,ja - das kennen wir schon...
    KDE gerade neu kompiliert (LFS),und nach 2 Tagen
    kommt so ein Patch daher,der Sicherheitslücken schliesst.

    Aber gut, macht man halt nur die kde-libs neu, und denn
    den konqui. Das DCOP ist ja eh in den libs drin...

    Have Fun

  3. Re: Sicherheitslücken in KDE

    Autor: Toppi 12.08.04 - 10:01

    Heul doch,

    auf der kiste meiner schwester dauert das knapp 6h und feddich.

  4. Re: Sicherheitslücken in KDE

    Autor: Erster 12.08.04 - 10:33

    Auf 'nem K6-2 400 ??? - Hab nen XP2400+, dauert bei mir nur
    3 Std.

  5. Re: Sicherheitslücken in KDE

    Autor: XP 12.08.04 - 13:15

    KDE - zum Glück gibs das nicht bei XP

  6. Re: Sicherheitslücken in KDE

    Autor: Lenny 12.08.04 - 14:19

    XP schrieb:
    >
    > KDE - zum Glück gibs das nicht bei XP

    XP - zum Glück gibs das nicht bei KDE

  7. Re: Sicherheitslücken in KDE

    Autor: Sonie 12.08.04 - 14:34

    Na also manchmal haben die Linuxler echt Probleme. "Es ist möglich am lokalen Arbeitsplatz in die unverschlüsselten Temps zu schauen"... Unter XP sieht das dann doch anders aus, erstens gibts keine temps, zweitens keine Logs. Also nix, wo man nachschauen kann. Und XP sichert den rechner gegen lokale Angriffe sowieso erfolgreich ab: Blue screen und fertig.
    ;-)

    Siehste, MS macht auch mal was richtig.

  8. Fest integrierter Browser mit Sicherheitslücken...

    Autor: Michael Bürschgens 12.08.04 - 15:17

    Das kommt mir so bekannt vor.

    Ich wüsste wirklich gerne, was die KDE- und Gnome-Entwickler sich dabei gedacht haben, das herausstehendste aller Windows-Ärgernisse derart zu kopieren.

    Womöglich tauchen demnächst der Reihe nach die Internet Explorer Sicherheitslücken der vergangenen Jahre als Reinkarnation im Conqueror auf.

    Bei KDE könnte ich ja noch nachvollziehen, dass man jeden Schwachsinn kopieren musste, um die Umgewöhnung ehemaliger Windows-Nutzer zu vereinfachen.
    Aber warum hat Gnome auch so einen Systembrowser den man nicht los wird?

    Ist es wirklich so ein unaufhaltsamer Trend, Webseiten als Teil der Systemoberfläche zu betrachten? Muss man sich dem fügen, um nicht auf moderne Benutzeroberflächen verzichten zu müssen?

    Wenn es an Ideen mangelt: Ich fände z.B. eine vektorbasierte grafische Oberfläche sehr gut. Eine Oberfläche, die sich auf jede beliebige Bildschirmauflösung rendern lässt, ohne dass dabei Pixelgrafiken hässlich umgerechnet oder Objekte und Texte in Fenstern abgeschnitten werden.


    Gruß,
    Michael

  9. Re: Sicherheitslücken in KDE

    Autor: Hoppi 12.08.04 - 16:09

    Deine Eltern sind Geschwister?

  10. Re: Fest integrierter Browser mit Sicherheitslücken...

    Autor: Dissem Faé 12.08.04 - 22:08

    Michael Bürschgens schrieb:
    >
    > Das kommt mir so bekannt vor.
    Der 'Fehler' im Konqueror besteht, weil sie sich entschlossen haben, den w3c Standard so gut wie möglich umzusetzen. IMO wäre eine gut sichtbare Warnung in der Statuszeile in diesem Fall ein guter Kompromiss.

    > Ich wüsste wirklich gerne, was die KDE- und
    > Gnome-Entwickler sich dabei gedacht haben, das
    > herausstehendste aller Windows-Ärgernisse derart
    > zu kopieren.

    Ich bin der Meinung, dass sie (KDE - Gnome kenne ich zu wenig) weitaus bessere Arbeit geleistet haben. Die Anzeigekomponente KHTML lässt sich sehr einfach austauschen. Leider gibt es afaik im Moment keine (sinnvolle) Alternative - ein Job für dich? ;p

    > Womöglich tauchen demnächst der Reihe nach die
    > Internet Explorer Sicherheitslücken der
    > vergangenen Jahre als Reinkarnation im Conqueror
    > auf.

    Das Problem liesse sich recht einfach durch verschiedene Anzeigekomponenten abschwächen. Die einen bevorzugen KHTML, die anderen Gecko, wieder andere links - alles unter der Konqueror-Oberfläche vereint. Allerdings vermindert diese Lösung zwar die Angreifbarkeit, schliesst aber keine Sicherheitslücken.
    Das Konzept dieser Anzeigekomponenten macht aber auch den Code viel übersichtlicher - und dadurch längerfristig auch sicherer.

    > Ist es wirklich so ein unaufhaltsamer Trend,
    > Webseiten als Teil der Systemoberfläche zu
    > betrachten? Muss man sich dem fügen, um nicht
    > auf moderne Benutzeroberflächen verzichten zu
    > müssen?

    Bei Gnome ist es, wenn ich mich nicht irre, nicht so. Ansonsten musst du wahrscheinlich zu MacOS wechseln oder auf den Komfort "nahtloser" Integration von Anwendungen verzichten.

    > Wenn es an Ideen mangelt: Ich fände z.B. eine
    > vektorbasierte grafische Oberfläche sehr gut.
    > Eine Oberfläche, die sich auf jede beliebige
    > Bildschirmauflösung rendern lässt, ohne dass
    > dabei Pixelgrafiken hässlich umgerechnet oder
    > Objekte und Texte in Fenstern abgeschnitten
    > werden.

    KDE unterstützt auch SVG - für Symbole, aber afaik auch bei Fensterverzierungen usw. Sinnvoll finde ich deine Idee allerdings nur beschränkt. Wenn ich einen grösseren Monitor habe möchte ich meistens auch mehr Platz haben und nicht nur alles grösser sehen.
    Das Problem mit den abgeschnittenen Texten lässt sich leider nicht so einfach lösen. Im Extremfall hat man die Wahl zwischen unlesbar kleiner Schrift, abgeschnittenem Text und dem Implementieren von Scrollbalken für ein paar 640x480-Usern.

  11. Re: Fest integrierter Browser mit Sicherheitslücken...

    Autor: Michael Bürschgens 13.08.04 - 01:44

    Dissem Faé schrieb:

    > > Das kommt mir so bekannt vor.
    > Der 'Fehler' im Konqueror besteht, weil sie sich
    > entschlossen haben, den w3c Standard so gut wie
    > möglich umzusetzen. IMO wäre eine gut sichtbare
    > Warnung in der Statuszeile in diesem Fall ein
    > guter Kompromiss.

    Es geht mir nicht um diesen einen speziellen Fehler, sondern darum, dass der Fehler bei einem Browser auftritt, der genau wie der Internet Explorer von den Entwicklern als Kernkomponente der Benutzeroberfläche eingesetzt wird.

    Dass man den Browser auch für Hilfedateien benutzen kann, ist für mich logisch. Warum er aber auch Dateimanager und alles mögliche andere sein soll, absolut nicht.

    Was passieren kann, sehen wird doch beim Internet Explorer:
    Wenn es einem Angreifer gelingt, ein Skript in eine falsche Sicherheitszone zu schmuggeln, dann hat er die tollste API zur Verfügung. Dateisystem, Registrierung, Dienste, alles.

    Wie sieht es in dieser Richtung mit Conqueror aus? Können Skripten, die wie auch immer als "sicher" eingestuft wurden, Systemfunktionen benutzen?

    > Das Problem liesse sich recht einfach durch
    > verschiedene Anzeigekomponenten abschwächen. Die
    > einen bevorzugen KHTML, die anderen Gecko,
    > wieder andere links - alles unter der
    > Konqueror-Oberfläche vereint. Allerdings
    > vermindert diese Lösung zwar die Angreifbarkeit,
    > schliesst aber keine Sicherheitslücken.

    Wie ist denn die Interaktion zwischen den Komponenten geregelt?
    Wenn der IE nur seine HTML-Komponente hätte, dann wäre er einfach nur ein mittelmäßiger Browser.
    Die "tollen Sachen" passieren ja erst, wenn ActiveX Komponenten nachgeladen werden und Dinge ermöglichen, die nichts mehr mit der Darstellung von Webseiten zu tun haben.

    > Bei Gnome ist es, wenn ich mich nicht irre,
    > nicht so. Ansonsten musst du wahrscheinlich zu
    > MacOS wechseln oder auf den Komfort "nahtloser"
    > Integration von Anwendungen verzichten.

    Ich meine, ich hätte mal mit Nautilus eine Webseite aufgerufen. Ist aber schon länger her.

    > KDE unterstützt auch SVG - für Symbole, aber
    > afaik auch bei Fensterverzierungen usw. Sinnvoll
    > finde ich deine Idee allerdings nur beschränkt.
    > Wenn ich einen grösseren Monitor habe möchte ich
    > meistens auch mehr Platz haben und nicht nur
    > alles grösser sehen.

    Mit Auflösung meinte ich die Punktdichte auf dem Bildschirm. Wenn man Nadel- durch Tintenstrahldrucker ersetzt, nutzt man die 25 mal so hohe Punktdichte ja auch nicht zur Verkleinerung der Buchstaben, sondern hauptsächlich zur feineren Darstellung.
    Künstliche Unschärfe a la Schmiertype kann das nicht ersetzen.

    > Das Problem mit den abgeschnittenen Texten lässt
    > sich leider nicht so einfach lösen. Im
    > Extremfall hat man die Wahl zwischen unlesbar
    > kleiner Schrift, abgeschnittenem Text und dem
    > Implementieren von Scrollbalken für ein paar
    > 640x480-Usern.

    Wenn alle Oberflächenelemente wie Textfelder, Karteikarten, usw. gemeinsam mit der Schrift auf die eingestellte Bildschirmauflösung gerendert würden, dann dürfte das doch nicht passieren, oder?
    Das Problem mit Schrift, die an den Grenzen des für sie vorgesehenen Bereichs abgeschnitten wird, entsteht doch nur, weil diese Bereiche nicht wie Buchstaben skalieren.


    Gruß,
    Michael

  12. Re: Fest integrierter Browser mit Sicherheitslücken...

    Autor: Dissem Faé 13.08.04 - 15:21

    Michael Bürschgens schrieb:
    >
    > Dissem Faé schrieb:
    >
    > Es geht mir nicht um diesen einen speziellen
    > Fehler, sondern darum, dass der Fehler bei einem
    > Browser auftritt, der genau wie der Internet
    > Explorer von den Entwicklern als Kernkomponente
    > der Benutzeroberfläche eingesetzt wird.

    Auch wenn's so aussieht - der Konqueror ist nicht annähernd so stark mit KDE verwoben wie der IE mit Windows.

    > Dass man den Browser auch für Hilfedateien
    > benutzen kann, ist für mich logisch. Warum er
    > aber auch Dateimanager und alles mögliche andere
    > sein soll, absolut nicht.

    Ich finde es vor allem aus dieser Perspektive praktisch: Web und FTP zu verknüpfen ist i.A. praktisch und sinnvoll. FTP und Dateimanager zu verknüpfen macht auch vieles einfacher. Schwupps - schon ist die Idee zum Konqueror geboren. (Ich sage nicht IE, weil dieser FTP nur *sehr* rudimentär unterstützt.)

    > Was passieren kann, sehen wird doch beim
    > Internet Explorer:
    > Wenn es einem Angreifer gelingt, ein Skript in
    > eine falsche Sicherheitszone zu schmuggeln, dann
    > hat er die tollste API zur Verfügung.
    > Dateisystem, Registrierung, Dienste, alles.

    Im Konqueror gibt es afaik keine Sicherheitszonen. HTML ist grundsätzlich für's Internet gedacht und benötigt deshalt keine 'sichere Zone'. Auch wenn ich eine HTML-Datei lokal betrachte - wozu sollte die dann mehr rechte haben?

    > Wie sieht es in dieser Richtung mit Conqueror
    > aus? Können Skripten, die wie auch immer als
    > "sicher" eingestuft wurden, Systemfunktionen
    > benutzen?

    Soweit ich weiss nicht. Wenn doch würde dies wahrschenlich als Sicherheitslücke betrachtet und so schnell wie möglich behoben werden.

    > Wie ist denn die Interaktion zwischen den
    > Komponenten geregelt?
    > Wenn der IE nur seine HTML-Komponente hätte,
    > dann wäre er einfach nur ein mittelmäßiger
    > Browser.
    > Die "tollen Sachen" passieren ja erst, wenn
    > ActiveX Komponenten nachgeladen werden und Dinge
    > ermöglichen, die nichts mehr mit der Darstellung
    > von Webseiten zu tun haben.

    ActiveX ist imo schwachsinn und wird zum glück nicht unterstützt. Afaik kümmert sich die aktive HTML-Komponente um die Skripts. D.h. der Konqueror lädt die HTML-Datei herunter und übergibt sie der HTML-Komponente. Diese macht dann "irgendwas" und gibt das Resultat in dem vom Konqueror zur verfügung gestellten Platz aus. So zeigt z.B. die Kate-Komponente einfach den Quelltext schön farbig, während KHTML die formatierte HTML-Seite mit Bildern und (auf Wunsch) Java-Scripts usw. ausgibt.

    > Mit Auflösung meinte ich die Punktdichte auf dem
    > Bildschirm. Wenn man Nadel- durch
    > Tintenstrahldrucker ersetzt, nutzt man die 25
    > mal so hohe Punktdichte ja auch nicht zur
    > Verkleinerung der Buchstaben, sondern
    > hauptsächlich zur feineren Darstellung.
    > Künstliche Unschärfe a la Schmiertype kann das
    > nicht ersetzen.

    Wenn du in KControl die Schriftgrössen veränderst, wird automatisch auch die grösse der Anzeigeelemente verändert. Ob das dann aber anständig aussieht oder einfach nur Schrott liefert hängt vom verwendeten Theme ab. Ausprobieren ist hier angesagt.

    > Wenn alle Oberflächenelemente wie Textfelder,
    > Karteikarten, usw. gemeinsam mit der Schrift auf
    > die eingestellte Bildschirmauflösung gerendert
    > würden, dann dürfte das doch nicht passieren,
    > oder?
    > Das Problem mit Schrift, die an den Grenzen des
    > für sie vorgesehenen Bereichs abgeschnitten
    > wird, entsteht doch nur, weil diese Bereiche
    > nicht wie Buchstaben skalieren.

    Natürlich, aber du willst ja auch kein Fenster das so grösser als dein Bildschirm ist. Also wenn du einen Bildschirm mit 640x480 auflösung hast und du hast zu viel Text, gibt es folgende "Lösungen":
    * Du verwendest eine zu kleine Schriftart
    * Du schneidest den Text ab
    * Du benutzt Scrollbalken
    * Du machst dein Fenster grösser als 640x480
    * Du kürzt deinen Text
    Das Problem kann nicht so einfach gelöst werden, da für verschiedene Benutzer verschiedene Vorlieben und Voraussetzungen gelten.

    Gruss Christian

  13. mit Windows wär das nicht passiert

    Autor: Netzwerk-IT-Profi 13.08.04 - 16:30

    Täglich neue Hiobsbotschaften um eklatante Sicherheitslücken im sogenannten freien Betriebssystem. Frei von Qualität und Sicherheit vielleicht.
    Wie man es richtig macht zeigen mal wieder die Jungs von Microsoft. Da wird selbst der allergrößte Sicherheitsfanatiker noch befriedigt. Seien wir doch mal ehrlich - technisch notwendig war das SP2 für XP nicht. Windows XP war von Natur aus Bombensicher, aber nehmen wir das SP2 als kostenlose Zugabe.

    Linux dagegen strotzt nur so vor Sicherheitslücken. Ob Kernel oder KDE...
    ...einfach nicht dicht zu kriegen.

  14. Re: mit Windows wär das nicht passiert

    Autor: JTR - Mann ohne Worte 13.08.04 - 16:33

    > ...einfach nicht dicht zu kriegen.

    Du redest von Dir selber?

  15. Fakten, Fakten, Fakten

    Autor: Netzwerk-IT-Profi 13.08.04 - 16:40

    So kennen wir die Tuxer...

  16. Re: Fakten, Fakten, Fakten

    Autor: Netzwerk-IT-Profi 13.08.04 - 16:41

    Sorry, Ich meinte natürlich: "Der Depp bin Ich und trolle mich"

  17. immer 3 Wörter, immer 3 Wörter, immer 3 Wörter

    Autor: MK 13.08.04 - 16:42

    ...

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Albert Schweitzer Stiftung - Wohnen & Betreuen, Berlin-Pankow
  2. Konvekta AG, Schwalmstadt
  3. Materna Information & Communications SE, verschiedene Einsatzorte (Home-Office)
  4. Techniker Krankenkasse, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. (u. a. Ryzen 7 5800X 469€)
  2. (u. a. Xbox Wireless Controller Robot White für 59,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de