Re: Applikations-Passwoerter im Speicher

From: Bernd Walter <ticso(at)cicely12.cicely.de>
Date: Sat, 11 Dec 2004 21:09:42 +0100



On Thu, Dec 09, 2004 at 11:43:01AM +1100, Peter Ross wrote:


> Hallo,


> 


> nach dem Lesen von


> 


> http://www.heise.de/newsticker/meldung/54024



Tja - da wird bei Apple nun ein Problem gefunden und vermutlich auch


jetzt behoben, dass woanders schlichtweg totgeschwiegen wird.



> ---


> Apples Betriebssystem Mac OS X geht wenig sorgsam mit dem Passwort des


> aktuell angemeldeten Benutzers um. Es steht im Klartext in den


> Auslagerungsdateien im Verzeichnis /var/vm, die das Betriebssystem zur


> Realisierung des virtuellen Speichers anlegt.


> ---


> stellt dich mir die Frage, wie Programme, die waehrend ihrer Ausfuehrung


> ein Passwort wiederverwenden, mit diesen umgehen.


> 


> Ein Beispiel ist mein pine, welches z.B. die Mailbox meines IMAP-Servers


> bei Verbindungsabbruch spaeter  wiederoeffnet, ohne mich erneut nach dem


> Passwort zu fragen. Dazu muss pine ja das Passwort (und nicht etwa einen


> Hash-Wert oder so) uebertragen.. Und das muesste sich dann im Speicher


> wiederfinden lassen (und fuer root ausspaehen lassen).


> 


> Korrekt? Wenn ja, was kann man dagegen tun?



Ja - keine Passwörter cachen.


Wenn pine Passwörter cached, dann hat es auch das Risiko, dass es


ins Swap gelangt.


Zwar kann man auch Speicher vor auslagern schützen, aber das geht nicht


so ohne weiteres und offen gesagt sollte ein Admin auch keinem


Normaluser ermöglichen Speicherseiten vor dem auslagern zu schützen.


Software wie Mozilla und Co speichern auf Wunsch die Passwörter zu


diversen Servern verschlüsselt auf der Platte, aber auch dabei muss


dass Passwort irgendwann entschlüsselt vorliegen und ist vor dem


Sysadmin nicht wirklich sicher.


Genaugenommen ist das Passwort grundsätzlich zu irgendeiner Zeit


unverschlüsselt im Speicher - gecached oder nicht, da es ja verwended


werden soll - das beste was eine Software machen kann ist die Zeit


möglichst kurz zu halten.


Bei Apple war halt nur dumm, dass es sich dabei um Systemsoftware


handelte, während man bei den meisten anderen OS für größere Zeiträume


erst Zusatzsoftware installieren muss.



> Vielleicht ist die Frage etwas duemmlich - ich habe darueber einfach noch


> nie nachgedacht..



Darüber denkt keiner so richtig nach - offensichtlich auch nicht der


Author des besagten Artikels.



-- 
B.Walter                   BWCT                http://www.bwct.de
bernd(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-chat" in the body of the message


Received on Sat 11 Dec 2004 - 21:11:23 CET













search this site