raven
Golden Noble
- Registriert
- 12.05.12
- Beiträge
- 19.242
heise sagt: http://www.heise.de/newsticker/meld...assword-bestaetigt-Schwachstelle-2717095.html
Als Update ergänzt.
Als Update ergänzt.
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Die Bildungsoffensive hier im Forum geht weiter! Jetzt sollen Kreativität und technische Möglichkeiten einen neue Dimension erreichen. Das Thema in diesem Monat lautet - Verkehrte Welt - Hier geht es lang --> Klick
Feature XARA: Apple soll schwerwiegende Sicherheitslücke in OS X und iOS seit Monaten bekannt sein
- Ersteller Martin Wendel
- Erstellt am
AgenturRiegler
Carola
- Registriert
- 17.07.13
- Beiträge
- 108
warum regt man sich so über diese lücke auf wenn doch klar ist das kein system 100% sicherheit bieten kann. schliesst man diese lpcke werden irgendwelche forscher wieder was anderes finden. findet man heute keine lücke im andrioid system pfeift kein schwein danach, aber wehe bei ios oder osx findet sich ein loch welches ein ganzes team anforschern minatelang beschäftigte. wer dafor angst sollte sich von elektronik völlig befreien.
rootie
Filippas Apfel
- Registriert
- 30.06.11
- Beiträge
- 8.879
Hier nochmal ein aktueller Link zu MacRumors: http://www.macrumors.com/2015/06/18/what-you-need-to-know-about-xara-exploits/ - wenn man nur vertrauenswürdige (ja ich weiß - dehnbarer Begriff und so...) Apps lädt, kann einem eigentlich gar nix passieren.
- Registriert
- 06.04.08
- Beiträge
- 45.518
Meinen Kommentar kann ich so nicht stehen lassen. Vorhandene Einträge im Schlüsselbund können unbeabsichtigt nicht ausgelesen werden.
rootie
Filippas Apfel
- Registriert
- 30.06.11
- Beiträge
- 8.879
Vertrauenswürdig insoweit, dass Apple halt irgendwelche Scanner rüberlaufen lässt, die verbotene APIs und sonst was prüft. Ich denke, ein jeder Entwickler hatte immer schön die Möglichkeit, nicht-konforme Apps in den Store zu schleusen mit genug Aufwand. Weil man das auch glaub ich gar nicht zu 100% verhindern kann (unabhängig von XARA jetzt). Das sieht man ja an den diversen Emulatoren, die es an der Prüfung vorbei in den Store geschafft haben. Was wenn die bösartig gewesen wären?
eerie
Kaiser Wilhelm
- Registriert
- 14.02.08
- Beiträge
- 175
Du schreibst ja dass iOS und OSX sicherer sind und die Anzahl der schweren Lücken geringer ist als z.B. in Windows oder Android.
Gibt es dazu auch offizielle Zahlen, Statistiken oder was auch immer die diese Aussage bestätigen?
cashYOU
Strauwalds neue Goldparmäne
- Registriert
- 06.11.12
- Beiträge
- 640
Habe jetzt folgendes gemacht, auch wenn es unwahrscheinlich ist, dass ich "ausgespäht" wurde:
- Schlüsselbundverwaltung wird vorerst nur für unwichtige Dinge benutzt
- keine "3rd party" Passwortverwaltungsprogramme wie 1password als Safari-Addon benutzen
-wichtige Passwörter geändert
Irgendwas vergessen? Anmerkung an die Mods: fände es gut wenn eine separate News erstellt wird, wie man sich jetzt am besten schützt.
- Schlüsselbundverwaltung wird vorerst nur für unwichtige Dinge benutzt
- keine "3rd party" Passwortverwaltungsprogramme wie 1password als Safari-Addon benutzen
-wichtige Passwörter geändert
Irgendwas vergessen? Anmerkung an die Mods: fände es gut wenn eine separate News erstellt wird, wie man sich jetzt am besten schützt.
Selten so einen Nonsense gelesen. Es gibt einen Schwarzmarkt für Zeroday Exploits, auf denen solche Sicherheitslücken gehandelt werden.
Ja, das ist das übliche Vorgehen bei anderen Firmen, in der Regel ist das mit einem Workaround verbunden oder einem Hotfix, so daß diese Lücke nicht mehr ausgenutzt werden kann
Im konkreten Fall heißt das, daß die Nutzer eben auf Anwendungen wie 1Password komplett verzichten müssen, weil die Sicherheit nur so hergestellt werden kann.
Nein, das stimmt so nicht. Es wird bei anderen Firmen wird genau dokumentiert welche der CERT Fehler behoben worden sind. Findet man ähnliche Informationen bei Apple in den Release Notes?
Es geht darum, daß Apple zeitnah einen Workaround veröffentlichen muß, damit die Nutzer entsprechend handeln können, so daß der Exploit nicht ausgenutzt werden kann. Das heißt im Zweifelsfall auch den kompletten Verzicht auf 1Password u.ä. Programme.
Realsatire!
Dem Nutzer bringt das mehr Sicherheit, weil er nicht mehr Verfahren nutzt die inhärent unsicher sind. Aktuell ist dieser Angriffsvektor mindestens seit acht Monaten bekannt, womöglich ist er auf dem Schwarzmarkt schon länger bekannt. Während dieser acht Monate hätten Passwörter von vielen Nutzer abgegriffen werden können, mit nahezu unkalkulierbaren finanziellen Schäden.
Man kann sich lange komplizierte Passwörter merken, wenn man das wirklich will. In Hochsicherheitsbereichen ist das auch üblich, da könntest Du Dir das nie erlauben ein Passwort in eine Passwortdatenbank einzutragen, da solche Software inhärent unsicher sind.
Es gibt sehr wenige Sicherheitslücken, die in diese Kategorie fallen. Im Extremfall muß man entsprechend lange auf die Nutzung verzichten.
Scotch
Böhmischer Jungfernapfel
- Registriert
- 02.12.08
- Beiträge
- 8.249
Mal so ein paar (uralte) Gedanken zum Thema "sichere Passwörter und wie ich sie mir merke".
"Passwort" aufschreiben, bei Bedarf auch in Evernote & Co. Das echte Passwort ist dann das notierte und jedes Zeichen wird z.B. um eins hoch gezählt, oder Gross- durch Kleinschreibung ersetzt usw. Beispiel:
Notiert: fgdh54628TRfejd
Passwort: ghei65739USghke oder auch FGDH54628trFEJD oder GHEI65739usGHKE usw.
Den Zettel kann man also sogar an seinen Monitor pappen.
Eine andere Alternative ist, sich einen Satz zu merken und die Anfangsbuchstaben zu verwenden. Nehmen wir einen echten Klassiker (und damit sehr ungeeignet):
Phrase: "Ein Ring, sie zu knechten, sie alle zu finden, ins Dunkel zu treiben und ewig zu binden."
Passwort: ER,szk,sazf,iDztuezb.
Man kann die Passwörter noch verstärken, wenn man eine Fremdsprache verwendet (z.B. eine französische Phrase für einen deutschen Benutzer), oder (Achtung: Keine Ironie!) - wenn man's kann bzw. sich merken kann - eine gut dokumentierte Fantasiesprache zu nutzen. Elbisch, die schwarze Sprache oder Klingonisch bieten sich an.
Eine andere probate Methode ist, sich eigentlich triviale Passwörter zu merken, die Zahlen enthalten und dann die numerischen Werte mit einer nur einem selbst bekannten Formel zu modifizieren (auch diese Passwörter kann man notieren). Beispiel (Name plus Geburtsdatum):
LieschenMüller_01011980
Formel: Konvertiere in Hex (Ja, ich weiss, triviales Beispiel! Ich würd' 'ne geometrische Reihe oder ein Flächenintegral nehmen, mit den Datumselementen (Tag, Monat, Jahr) als Start-, End- und Seed-Werte, aber bis ich das hier erklärt habe...
)Passwort: LieschenMüller_F710C
Zuletzt bearbeitet:
Scotch
Böhmischer Jungfernapfel
- Registriert
- 02.12.08
- Beiträge
- 8.249
Ja, die waren hier im thread auch schon irgendwo verlinkt.
Der wesentliche Unterschied ist aber die "Eingangskontrolle" von Apple durch den App Store Zwang, bzw. unter OS X den Zwang, nicht registrierte Quellen explizit zuzulassen. Auch das ist nicht perfekt (wie man sieht), aber unter anderen Systemen gibt es nichts vergleichbares. Es führt unter anderem dazu, dass man einer App immer einen Entwickler zuordnen kann - Anonymität gibt es da nicht, bzw. man muss schon echten Identitätsdiebstahl betreiben, um einen Fake-Account im App Store aufzusetzen.
Mit den neuen OS Versionen wird das nochmals ausgebaut (wie gesagt: Mal die Xcode 7 Videos von der WWDC anschauen, da werden die Methoden erläutert.)
maddi06
Borowitzky
- Registriert
- 10.11.14
- Beiträge
- 9.028
Dit blick ich nicht... Kannst du das evtl. noch mal näher erläutern, welche Formel du da angewendet hattest?
Scotch
Böhmischer Jungfernapfel
- Registriert
- 02.12.08
- Beiträge
- 8.249
Bovary
Starking
- Registriert
- 12.10.13
- Beiträge
- 218
@raven Gesellschaft ist aber auch ganz nett.
Und da hört es für mich mit diesen ganzen Passwortformeln und Phrasen und weiß der Kukuck was auf. Ich will für jeden Dienst ein eigenes Passwort. Dieses ist u.U. des Öfteren mal zu wechseln. Auch wenn ich mir ein super System ausdenke, über kurz oder lang ist das bei einer Vielzahl Accounts m.E. nicht händelbar.
Zettel als Merkhilfe sind auch nur bedingt geeignet. Hat man ja nicht immer mit oder bei mir zB. wäre der nach 2 Wochen unauffindbar.
Wirklich wichtige Dinge (z.B. Banking, E-Mail Zugang) habe ich sicher im Kopf. Der Rest kommt in einen Passwortmanager. Dafür habe ich nun wirklich keine Ressourcen auf der biologischen Festplatte.
Und da hört es für mich mit diesen ganzen Passwortformeln und Phrasen und weiß der Kukuck was auf. Ich will für jeden Dienst ein eigenes Passwort. Dieses ist u.U. des Öfteren mal zu wechseln. Auch wenn ich mir ein super System ausdenke, über kurz oder lang ist das bei einer Vielzahl Accounts m.E. nicht händelbar.
Zettel als Merkhilfe sind auch nur bedingt geeignet. Hat man ja nicht immer mit oder bei mir zB. wäre der nach 2 Wochen unauffindbar.
Wirklich wichtige Dinge (z.B. Banking, E-Mail Zugang) habe ich sicher im Kopf. Der Rest kommt in einen Passwortmanager. Dafür habe ich nun wirklich keine Ressourcen auf der biologischen Festplatte.
OK, ihr gebt also bei jedem Empfang von E-Mails das Kennwort neu ein? Immer, grundsätzlich und auf allen Geräten?
2003-2025 Apfeltalk | Made on a Mac