Re: WinXP HOME fuer den Ahnungslosen absichern

Carsten Krueger <use.net.cakruege@xxxxxxxxxxxx>:
Am Mon, 15 May 2006 04:23:11 +0000 (UTC) schrieb Juergen P. Meier:

Ja. Auch ist die Trennung von Systemdateien und Applikationen um
Lichtjahre besser als bei Wintendo.

Magst du das für die Mac-Seite näher ausführen?

Selbst Microsoft Office installiert sich ausschliesslich in
/Applications/... (entspricht grob \Programme\), und keine Komponenten
in /System/Library (entspricht grob \Windows\System32).

Fuer Programme, die Systemnahe Erweiterungen benoetigen, gibt es
unter /Library entsprechende Schnittstellen (MS-Office installiert
dort z.B. den autom. startenden Benachrichtigungs-Daemonen fuer Termine),
die der Benutzer beim Booten durch Tastenkombination komplett
deaktivieren kann.

Alle Bibliotheken und Programmdaten liegen bei allen Programmen unterhalb
des Programmverzeichnisses (die Applikation, also das "Icon" ist nur
ein Verzeichnis mit all diesen Dateien darunter).

Du kannst so auch ganz bequem und ohne jegliche Klimmzuege
verschiedene Versionen eines Programmes nebeneinander installiert
haben.

Benutzer haben keine Schreibrechte auf /System/ oder /Library/.

Das Problem der "DLL-Hoelle" existiert nicht.

Es wird von immer mehr Leuten benutzt. Leuten, die solche Fehler
erkennen koennen und beim Hersteller melden.

Je mehr Leute das benutzen desto mehr sind DAUs und die können nix melden.

Nein. Ich habe diesen Satz mit Bedacht so formuliert, wie er oben
steht. Ich haette ihn vielleicht nicht trennen sollen. Besser
Formuliert: Es verwenden immer mehr Leute Mac OS X, die solche Fehler
erkennen koennen und diese auch beim Hersteller melden.

Und der Update-Mechanismus nistet sich nicht als aus der Ferne
ansprechbarer Dienst ein.

-v

Er benoetigt kein RPC. Alle Installer-komponenten sind bei Mac OS X
load-on-demand als Applikation implementiert, nicht als Dienst.

Das System ist jedoch
schon konzeptionell selbst wesentlich besser vor solchen Benutzern
geschuetzt.

-v

Der Benutzer hat keinen Schreibzugriff auf Systemkomponenten. Er kann
nur sein eigenes Homeverzeichnis kaputtmachen.

Nein. Die heutigen Wuermer und Viren nutzen Mechanismen und Konzepte,
die nur in Microsoft Windows zu finden sind, und fuer die es in
anderen Betriebsystemen - einschliesslich Mac OS X - keine Aequivalenz
gibt.

-v

Die aktuellen Wuermer basieren fast ausschliesslich auf Luecken, die
die Integration vom IE im System konzeptionell oder durch
Implementierungsfehler bereitstellt. Die wenigen Ausnahmen basieren
auf Fehlern im Windows-GUI-API Design.

Die Viren der letzten paar Jahren basieren groesstenteils auf Luecken
im Microsoft Windows RPC-Dienst, des DCOM-Systems und den durch einige
Client-Applikationen (Encarta etc.) auch auf Home-PCs installierte und
aktivierte Serverkomponenten wie IIS und MS-SQL.

Keines dieser Konzepte existiert in einer auch nur aehnlich fehlerhaft
designten Form bei Mac OS X (ebensowenig wie z.B. bei Linux/X11).

Man kann also nicht einfach das aktuelle Know-How und die Werkzeuge
der Viren/Wurm-Entwickler hernehmen und auf Mac OS X umsetzen. Es
reicht nicht einmal, einfach nur Schadprogramme neu zu Entwickeln, man
muss erstmal die Luecken finden, die man damit dann ausnutzen kann.

schlicht nicht registriert ist oder wegen zu oft wechselnder Hardware
nicht mehr als "original" erkannt wird.

Wie kommst du darauf?

BTST. Ich hab hier ein Windows XP, das ich bereits 5 mal "neu"
registrieren musste wegen Tausch diverser Hardware (HD, DVD-ROM,
Mainboard, GFX-Karte, SCSI-Karte etc.). Nach dem 4. Mal wollte
Microsoft mir telefonisch nicht weiterhelfen, jetzt laeuft das ganze
halt als Firmenversion ohne individuelle Freischaltung. Nur die
"Echtheitspruefung" beim Updaten versagt deswegen, weil es offiziell
wohl kein XP-Home fuer Firmen-Deployments gibt. -> Keine automagischen
Updates fuer dieses System -> ohne Manuelles Patch-zusammensuchen (das
ist zeitaufwaendig und man muss wissen, wie und wo man sie herbekommt)
kein gepatchtes System.

Mac OS X ist automatisch Lizensiert.

3) den Automatischen Update als Netzwerkdienst implementiert mit
Abhaengigkeiten von RPC und anderen unsicheren Diensten.

Was ist an der Defaultkonfig von nem XP SP2-PC unsicher außer dem IE?

RPC und DCOM+.

4) nicht alle Sicherheitsupdates der breiten (nicht Zahlenden)
Oeffentlichkeit zugagenglich gemacht.

Nenne ein Sicherheitsupdate was nicht verfügbar ist.

Ich muesste dazu die Archive durchgraben, vor einigen Monaten (bzw.
letztes Jahr) gab es deswegen schon einmal eine groessere Diskussion,
weil ein Sicherheitsupdate nicht allgemein per WU verfuegbar war).

Womit es genuegt, wenn $BOESE_LEUTE sich irgendwo im Prozess zwischen
Datenlieferung von Microsoft, verarbeitung im Zeitschriftenverlag,
Uebermittlung ans CD-Presswerk, Verarbeitung dort, Mastering fuer die
CD-Produktion und schliesslich Lieferung der CDs an das
Zeitschriften-Druckwerk fuer einklinken, um diese traege Masse mit
fertig infizierten Mickeysoft-Updates zu versorgen.

Da ist es einfacher Fussball-WM CDs kostenlos zu verteilen ...

Und vieles andere auch, darum wurde das bisher wohl noch nicht
gemacht. Merke: Kriminelle sind oft witschaftlich hart kalkulierende
Geschaeftsleute.

Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
.

Relevant Pages

  • Re: Ehemalige PC=>Mac-Umsteiger gesucht! Meinungen :-)
    ... Intel-CPUs kommen soll) einfach die Ordner der installierten Programme ... Gibt es mittlerweile "ELSTER" fuer Mac? ... Next by Date: ...
    (de.comp.sys.mac.misc)
  • Re: Mac Mini
    ... >> ich moechte auf den Mac umsteigen, habe aber einige Programme (reg. ... >> Gibt es etwas gleiches oder besseres fuer folgende Programme... ... Willst Du die Bilder nur ansehen, ...
    (de.comp.sys.mac.misc)
  • Re: Mac Mini
    ... >> ich moechte auf den Mac umsteigen, habe aber einige Programme (reg. ... >> Gibt es etwas gleiches oder besseres fuer folgende Programme... ... Beitraege auf meinen Harddrive sichern koennen und nicht nur online ...
    (de.comp.sys.mac.misc)
  • Re: Mac Mini
    ... Zumindest gibt aehnliche Programme auf den Mac. ... >> Fuer mich ist das der erste wirklich kleine Mac und zudem finazierbar. ... Next by Date: ...
    (de.comp.sys.mac.misc)
  • Re: OT: Ist Windows schoen und idiotensicher?
    ... Mein erster Rechner hatte eine 4MHz Z80 CPU, wovon 0,7 MHz per Design ... Der Faustschlag ins Genick sind dann gewisse Programme wie OO, ... Damit ist die Debatte fuer ... genauso zu konfigurieren, wie man es von SuSE gewohnt ist, oder umgekehrt. ...
    (de.etc.fahrzeug.auto)