Sicherheitslücke in OS X - Passwort im Klartext

[Schlaubi]

Passworte können im Klartext in der Auslagerungsdatei landen.

Test:

sudo strings /var/vm/swapfile0 | grep -A 4 -i longname

Als ich das gesehen habe war ich geschockt - bzw. bin es immernoch.

[Containy]

Das muss ich morgen daheim gleich testen. :/

[Big Al]

Das ist aber auch schon seit gut einem Jahr bekannt.

[Schlaubi]

noch schlimmer

[Orffi]

Ähnlich lange ist bekannt, dass das Problem in 10.4 behoben werden kann, wenn man die Auslagerungsdatei verschlüsselt.

Für pre10.4 gibt es afaik keine Lösung.

Bis denn dann

Jan

[Schlaubi]

Hmm vor FileVault habe ich einen heiden Respekt

[Big Al]

Ähnlich lange ist bekannt, dass das Problem in 10.4 behoben werden kann

DAS halte ich für ein Gerücht ... ;-)

[Orffi]

DAS halte ich für ein Gerücht ... ;-)

Was hälst du für ein Gerücht?

Systemsteuerung>Sicherheit

Sicheren virtuellen Speicher verwenden anhaken.

Finde ich ziemlich real...

Und es ist wirklich ziemlich lange bekannt, dass das Problem nur in 10.4 gelöst wird.

Bis denn dann

Jan

[Schlaubi]

LoL

Also heißt das 10.4 gibt es schon seit mehr als einem Jahr? Na die Quellen dann bitte mal direkt hier drunter posten

[Ganymed]

Wie Big Al schon sagte, ist das Problem schon länger bekannt:

aus heise.de

-btw- ich hatte das damals gleich ausprobiert; aber das Passwort nirgends im Klartext lesen können. Scheint ein UNIX Problem zu sein, oder? So hab ich das mitbekommen, da die ganzen UNIX Cracks sich dazu geäußert hatten.

Heißt das dann, die ganzen UNIX-Systeme haben das Gleiche Problem?

[Big Al]

Was hälst du für ein Gerücht?

Nur dass die Lösung unter OS 10.4 auch schon 1 Jahr bekannt sein soll. Nix für Ungut!

[Orffi]

LoL

Also heißt das 10.4 gibt es schon seit mehr als einem Jahr? Na die Quellen dann bitte mal direkt hier drunter posten

Wenn du mir sagst, wo ich geschrieben habe, dass es 10.4 seit einem Jahr gibt, dann bekommst du auch Quellen. (Abgesehen davon existieren ja schon ein wenig länger Tiger Versionen. Die erste öffentlichere Version für Entwickler kam nach der letztjährigen WWDC. Ein paar Tage nach der WWDC durfte ich dann sogar Tiger live erleben...)

Aber jetzt im Ernst:

Es war natürlich nicht so, dass z.B. auf Slashdot gepostet wurde, dass es diese Sicherheitslücke gibt und 5 Minuten später gab es die nächste Slashdot-Meldung, dass das Problem erst in Tiger gelöst wird.

Ein bis zwei Monate nach der Enteckung der Sicherheitslücke konnte man auf Mac-News-Seiten lesen, dass es nur für 10.4 gelöst wird. Ich kann mich nun nicht mehr exakt daran erinnern, ob zur gleichen Zeit die Lösung bekanntgegeben wurde, dass die Auslagerungsdatei verschlüsselt wird. Aber selbst wenn das nicht der Fall ist, definitiv schon im letzten Jahr wurde bekannt, dass das Problem durch Verschlüsselung der gesamten Datei gelöst wird.

Insgesamt war mein "Ähnlich lange bekannt" absichtlich so überspitzt formuliert. Ich wollte verdeutlichen, wie alt dieses Problem ist und wie lange die Lösung hierfür bekannt ist.

Man *kann* sich natürlich heute noch darüber aufregen, aber lohnen tut es sich nicht, weil diese Problematik schon ein wenig betagt ist. Ich hätte mir persönlich auch eine Lösung für zumindestens 10.3 gewünscht und ich hätte mir auch gewünscht, dass man dann nicht gleich die ganze Datei verschlüsselt. Stattdessen hätte man ja auch nur einen MD5/SHA1-Hash der Passwörter ablegen können. Apple hat sich aber vor längerer Zeit anders entschieden.

@Gany:

Unixsysteme im Allgemeinen haben nicht das gleiche Problem, da sie (genauso wie Windows) nicht das Passwort in Klartext in der Auslagerungsdatei ablegen.

Bis denn dann

Jan