Forum


Spickzettel

Neben den Buttons stehen unter anderem folgende BB-Codes zur Verfügung:

Bildgröße beschränken:
[img width=400 height=300]Bildadresse[/img]
Weglassen von height o. width behält Bildverhältnis bei.

Tabelle:
[table]
[tr][td]Zelle 1/1[/td][td]Zelle 1/2[/td][/tr]
[tr][td]Zelle 2/1[/td][td]Zelle 2/2[/td][/tr]
[/table]
[tr] = Zeile [td] = Zelle

Text:
[u]unterstreichen[/u]
[s]durchstreichen[/s]
[size=4]skalieren[/size]
[sup]hochsetzen[/sup]
[sub]runtersetzen[/sub]
Umbrechen[Br]Neue Zeile
[center]zentriert[/center]
[left]linksbündig[/left]
[right]rechtsbündig[/right]
[rtl]von rechts einschieben[/rtl]
[pre]Vorformattierung erhalten[/pre]
[move]Bewegen/Laufschrift[/move]
[shadow=red,right]Schattieren[/shadow]
[font=arial]Anderer Zeichensatz[/font]
[glow=yellow,2]„glühen“/markieren[/glow]

Horizontale Linie: [hr]

Abkürzung mit Erklärung bei Mouseover:
[acronym=Mysteriöse Inselzone]MIZ[/acronym]
am besten auch unterstreichen:
[acronym=Mysteriöse Inselzone][u]MIZ[/u][/acronym]

Link innerhalb des Beitrages oder derselben Seite:
Ziel setzen: [anchor=Ziel]Ziel[/anchor]
Link darauf: [iurl=#Ziel]Link zum Ziel[/iurl]

Link im selben Fenster öffnen:
[iurl]http://www.apfelinsel.de[/iurl]

Name:
Betreff:
Verifizierung:
Buchstaben anhören

Gib die Buchstaben aus dem Bild ein:


Zusammenfassung

Autor: MacFlieger
Januar 25, 2011, 08:42:22
AFAIK hat sich da nichts geändert.
Autor: Florian
Januar 25, 2011, 00:11:38
Hervorgekramt:
Ist dieses OHCI jetzt noch ein Problem oder schon lange nicht mehr? Sprich, wie schaut es in aktuellen Macs aus?
Autor: tertinator
März 06, 2008, 17:57:41
Zitat von: mbs am März 06, 2008, 17:41:09
(…) Mit anderen Worten der Zugriff auf das physische RAM ist völlig unüberwacht per Hardware ohne Kontrolle durch das Betriebssystem möglich.

Dann könnte man sich aus vielen Rechnern per Firewire nen Supercomputer zusammenbasteln?
Autor: mbs
März 06, 2008, 17:41:09
Zitat
Im Konzept von Firewire ist es vorgesehen, dass ein Gerät völlig frei und ohne Limitierung auf die Resourcen (z.B. RAM) eines anderen Gerätes zugreifen und(!) modifizieren darf?

Ja, leider. Die FireWire-OHCI-Norm sagt: "... physical requests, including physical read, physical write and lock requests to some CSR registers, are handled directly by the Host Controller without assistance by system software." Mit anderen Worten der Zugriff auf das physische RAM ist völlig unüberwacht per Hardware ohne Kontrolle durch das Betriebssystem möglich.

Zitat
wer denkt sich denn so was aus?

Ähm, Apple und SONY?  ;)
Autor: radneuerfinder
März 06, 2008, 17:28:10
Hier klingt es so, als sei das Problem gelöst, oder zumindest lösbar:

"high-security installations will typically either purchase newer machines which map a virtual memory space to the FireWire "Physical Memory Space" (such as a Power Mac G5, or any Sun workstation), disable the OHCI hardware mapping between FireWire and device memory"

Autor: MacFlieger
März 06, 2008, 16:57:40
Verstehe ich das jetzt richtig:
Im Konzept von Firewire ist es vorgesehen, dass ein Gerät völlig frei und ohne Limitierung auf die Resourcen (z.B. RAM) eines anderen Gerätes zugreifen und(!) modifizieren darf?

Wenn ja: wer denkt sich denn so was aus? Das sollte einem doch völlig klar sein, dass das missbraucht werden kann.

Edit: Vielleicht gibt es deshalb im MacBook Air kein Firewire mehr? :D
Autor: mbs
März 06, 2008, 15:03:48
Ja, dieses Problem ist schon lange bekannt. Da es sich um eine Sicherheitslücke im Hardware-Konzept von FireWire handelt, gibt es leider keine Lösung dafür, außer die FireWire-Ports zu entfernen (leider kein Witz...).  :-\
Autor: Florian
März 06, 2008, 12:19:21
Dieses Problem wurde schon vor längerer Zeit aufgedeckt, in der Tat ist es eigentlich nur der potentielle Mißbrauch einer offiziellen Firewire-Funktion.
Auf Macs kann man das Problem, man möge mich berichtigen falls doch nicht, mit der Aktivierung des Firmware-Schutzes (-Passwort) lösen.
Autor: radneuerfinder
März 05, 2008, 23:13:18
Was ist denn das schon wieder:
http://www.heise.de/newsticker/meldung/104543/
Autor: warlord
März 01, 2008, 13:46:03
Zitat von: radneuerfinder am März 01, 2008, 13:12:58
Mit dem Ausgangspasswort kommt man an alle im Schlüsselbund gespeicherten Passwörter.

Ja das stimmt. In dem Bereich hätte die Vermeidung von Apples Fehler wohl etwas mehr Datensicherheit gebracht. Zumindest dann, wenn der betreffende Schlüsselbund nicht mehr offen gewesen wäre.

Allerdings geht ein Benutzer von Ein-Passwort-für-viele-Passwörter-Technologien wie dem Schlüsselbund natürlich aus Bequemlichkeit explizit und absichtlich das Risiko ein, dass beim Auffliegen des einen Passwortes alle Passwörter aufgeflogen sind. Wenn man das dann sogar noch mit dem Login-Schlüsselbund tut, dann umso schlimmer.

Nochmal, ich will nicht sagen, Apple hätte keine Fehler gemacht. Bewahre. Ich habe Apple bezüglich Sicherheit noch nie getraut und werde das auch nie. Ich will Apple hier auch nicht verteidigen. Ich will nur sagen, dass ein Grossteil der Sicherheit, über deren Fehlen man sich jetzt empört, gar nie vorhanden gewesen sein konnte. Auch dann nicht, wenn Apple keine Fehler gemacht hätte.
Autor: radneuerfinder
März 01, 2008, 13:12:58
Mit dem Ausgangspasswort kommt man, mit guter Chance sogar unbemerkt, an alle im Schlüsselbund gespeicherten Passwörter. Wie geht das jetzt ohne Ausgangspasswort? Bitte noch mal erklären, oder verstehe ich "ohne jegliche tatsächliche Auswirkung auf die Datensicherheit diskutiert" falsch?
Autor: warlord
März 01, 2008, 11:56:56
Ja klar, das ist alles korrekt. Und meine Aussagen waren natürlich stark vereinfachend, wenn ich von der Rekonstruierbarkeit des Passwortes gesprochen habe. Gemeint war nicht notwendigerweise das Ausgangspasswort, sondern der letztlich zur Anwendung kommende Schlüssel.
Solange es rein um eine Authentifizierung geht, kommt man rein mit den von Dir beschriebenen Zero Knowledge Techniken durch. Geht es aber ums wieder rekonstruierbare Speichern von Daten (und um die geht es bei FileVault, TrueCrypt und den hier diskutierten Schwächen), dann kannst Du zwar komplizierteste Zero Knowledge Techniken vorschalten, Du kommst in meinen Augen aber letztlich nicht umhin, einen Schritt mit symmetrischer Verschlüsselung drin zu haben. Und der für diesen Schritt verwendete Schlüssel muss vom System aufgrund der von ihm gespeicherten Daten rekonstruiert werden können. Und zwar so lange, wie auch die Daten ohne erneute Eingabe eines Passwortes zugänglich bleiben, bei z.B. FileVault also während der ganzen Session. (Und was das System kann, dass kann auch ein Angreifer. Davon muss man ausgehen.)

(Edit) Oder noch etwas anders ausgedrückt:
Bei der (zugegebenermassen) schwachen Umsetzung von Apple kommt man ans Ausgangspasswort und an die verschlüsselten Daten. Wäre die Sache von Apple korrekter implementiert, käme man nicht ans Ausgangspasswort aber trotzdem an die verschlüsselten Daten. Und um letztere geht es doch eigentlich.
In der jetzt angezettelten Empörung mokiert man sich (natürlich nicht wirklich zu Unrecht) darüber, dass das Ausgangspasswort nicht sicher behandelt wird. Man ignoriert dabei aber völlig, dass man eigentlich über einen völligen Nebenschauplatz ohne jegliche tatsächliche Auswirkung auf die Datensicherheit diskutiert. Solange die Daten dem am Computer Sitzenden zugänglich sind, sind sie dem am Computer Sitzenden zugänglich. Sei dieser am Computer Sitzende nun der rechtmässige Inhaber oder jemand anderes.
Autor: mbs
März 01, 2008, 11:29:37
Bei einigen technischen Details muss ich hier widersprechen. Es ist grundsätzlich schlechtes Sicherheitsdesign, ein Kennwort länger als in paar Sekunden im Speicher zu halten. Verschleierung ist besser, aber auch nicht besonders toll.

Die angemessene und eigentlich übliche Lösung, um zwischen zwei Softwarekomponenten, die sich nur per Kennwort vertrauen dürfen, eine sichere Verbindung ohne Offenlegung des Kennworts aufzubauen, ist, auf Basis des Kennworts selbstverfallende, kryptografisch gesicherte Wegwerfschlüssel zu generieren und diese zur Authentifizierung bzw. Entschlüsselung anderer Dinge zu verwenden.

Ein Kennwort darf *niemals* vom System rekonstruiert werden können. (Und Mac OS X kann das üblicherweise auch nicht, denn es speichert in den Accounts keine Kennworte im Klartext, sondern generiert aus dem Kennwort einen Hash-Code, aus dem sich in Rückwärtsrichtung das Kennwort nicht mehr ermitteln lässt.) Das System kann nur noch in Vorwärtsrichtung ermitteln, ob ein gerade eingegebenes Kennwort zum gespeicherten Hash-Code passt und "weiß" dann nur in diesem kurzen Moment der Authentifizierung, dass es tatsächlich ein gültiges Klartextkennwort hat. Der Klartext muss aber so schnell wie möglich wieder verworfen werden.

Zitat
Verständnissfrage: Hat das was mit der 5 Minuten Frist zu tun, in der man ein Passwort nicht neu eingeben muss?

Nein. Auch hier wird kein Kennwort gespeichert. Dieser Mechanismus funktioniert wie von mir beschrieben über einen gesicherten Wegwerfschlüssel, ein sogenanntes "Security Token".
Autor: radneuerfinder
Februar 29, 2008, 17:42:41
und hier noch der Beicht von Heise:
http://www.heise.de/newsticker/meldung/104295/
Autor: radneuerfinder
Februar 29, 2008, 17:29:44
Zitat von: warlord am Februar 29, 2008, 15:56:30
Kannst Du so einstellen. Standardmässig bleibt er aber ständig offen, dachte ich.

Du hast recht, standardmäßig bleibt der offen. Bei mir hat anscheinend der MigrationsAssi brav gearbeitet und eine jahrealte, von mir längst vergessene, Einstellung auf 5 Minuten übernommen.