Warum kann ich auf dem Desktop immernoch nicht feingranulierter Privilegien erteilen? Android deutet die Idee ja ganz schön an - aber natürlich kann das sogar noch etwas feingranularer (etwa im Dateisystem oder bezügl. Peripherie) sein.
Dann wären diese Probleme technisch deutlich eingedämmt, wenn nicht sogar gelöst.
Ansonsten wird es wohl immer so bleiben, dass eine Softwarequelle relevanten Ausmaßes auch niemals 100% vertrauenswürdig ist, oder?
Ich kann mir schon vorstellen, dass das Ziel mit SELinux (und ein bisschen nettem GUI/CLI) erreichbar wären. Aber da gehören dann die Regelsätze dazu. Ich will die hier nicht austüfteln müssen. Ich will nur klicken auf "Programm X darf GPS, Programm Y darf ins Internet, Programm Z darf an die Fotosammlung"...
Ein Sicherheitsfeature, dessen Einrichtung stunden- oder tagesweise Zeit kostet, kann akademisch interessant sein, hilft aber der Userbasis i.d.R. nicht.
Von Verfluchtnochmal-05995bd7b am Di, 10. Juli 2018 um 15:14 #
Nimm den Aluhut ab - Die NSA hat zwei sich widersprechende AUfgabengebiete und abgesehen davon kannst du davon ausgehen dass der Code mehr als nur ein Review gesehen hat - Wir sprechen hier nicht von Windows
Dass die NSA Freie Software zu unterwandern versucht, halte ich auch für sehr wahrscheinlich.
Aber die werden ihre Leute langfristig in unverdächtige Projekte einschleusen und diesen Committern werden dann bedauerliche kleine Fehler unterlaufen, die leicht abstreitbar sind (plausible denialibity) und Programme so schwächen, dass sich Möglichkeiten für Angriffe ergeben.
Rund um OpenSSL gab es ja ein paar merkwürdige Begebenheiten.
So blöd, in ihren eigenes Projekt SELinux Hintertüren einzubauen, werden die nicht sein.
So blöd, in ihren eigenes Projekt SELinux Hintertüren einzubauen, werden die nicht sein.
Mit Sicherheit nicht! Schliesslich sichern sie damit ja auch ihre eigenen Linuxserver ab Außerdem wurde der Code ja gerade nach Snowden sehr sorgfältig überprüft, und sämtliche Änderungen werden von zig Leuten kritisch beobachtet.
Ich würde die Hintertüren in anderen Teilen des Codes unterbringen, wo man nicht so genau hinschaut.
Historisch wir das so auf Computern nicht gemacht. Stattdessen haben wir verschiedene Benutzer und Gruppen unter Unix, die zur vollständigenTrennung dienen. Genau diese Trennung fehlt Android und auch iOS komplett, weil es aber meist nur einen Nutzer gibt wurde hier von Beginn an der Ansatz mit Privilegien gewählt. Mit Flatpak werden wir das zunehmend auch auf Computern sehen.
Abgesehen davon, gibt es noch viel mächtigere Werkzeuge: Control Groups, die Basis von Docker.
Und dann noch weitere Systeme, wie das genannte SELinux.
PS: Leider wird das mit den Privilegien von den Nutzern unter Android und iOS praktisch nicht angenommen, siehe Totalzugriff für WhatsApp. Das ohne Kontakte, gar nicht die Eröffnung von Konversationen erlaubt.
Von Verfluchtnochmal-05995bd7b am Di, 10. Juli 2018 um 15:16 #
Schmarren, unter Anroid gibt es mehr als einen Benutzer, jede App läuft unter einem anderen, deswegen macht es auch nur bedingt Spass eine SD-Card mit ext4 zu formatieren weil App x ohne manuelles rumgewusel keinen Zugriff auf Dateien/Fotos/Videos von App y hat
Ich habe nicht den Eindruck, dass das so verbreitet ist, dass man das wirklich als Lösung bezeichnen kann. Ich habe mal ein Flatpak gebaut; das war das einzige Flatpak, das ich je installiert habe. Sobald Flatpak 'das Paketformat' für Linux ist, muss ich mich dann sowieso mal nach einem anderen OS umgucken. Flatpak ist eine Keule, die gelegentlich ganz praktisch ist; aber als primäres Paketformat doch eher ein trauriges Eingeständnis.
PS: Naja, wer's nicht annimmt, hat nachher auch keinen Schutz zu erwarten. Dieses WhatsApp kenne ich nur vom Hörensagen; aber ich glaube, wer das installiert, hat nicht nur auf technischer Ebene allerhand Privilegien abgetreten. Was das angeht, kann man eigentlich nur auf Darwinismus hoffen.
Nun dann wären da noch ACLs und Posix Capailities - Features, die viel zu selten besprochen und genutzt werden.
Wer will kann auch gehärtete Kernel oder Distributionen verwenden. Z.B. versucht man die Ansätze von Docker auf normale Distributionen/Anwendungsprogramme zu übertragen.
Virtualisierung (KVM & Co.) ist überhaupt eine gute Methode, so kann man damit die Möglichkeiten der gekapselten Programme gut steuern (auch mal schnell den Netzwerkzugang abdrehen, wenn nötig etc.).
Ich finde das einfache Sicherheitskonzept eigentlich ganz gut. Der Ansatz von Android für jede Anwendung einen anderen Benutzer einzurichten fände ich am Desktop etwas übertrieben. Wer gerne etwas mehr Trennung haben möchte, der kann ja einfach zwei Benutzer für sich anlegen, die keine Rechte an Dateien des anderen haben. Macht nur keiner, weil jeder zu faul ist.
Alternativ könnte man auch zu so etwas wie Firefail greifen.
Warum kann ich auf dem Desktop immernoch nicht feingranulierter Privilegien erteilen? Android deutet die Idee ja ganz schön an - aber natürlich kann das sogar noch etwas feingranularer (etwa im Dateisystem oder bezügl. Peripherie) sein.
Dann wären diese Probleme technisch deutlich eingedämmt, wenn nicht sogar gelöst.
Ansonsten wird es wohl immer so bleiben, dass eine Softwarequelle relevanten Ausmaßes auch niemals 100% vertrauenswürdig ist, oder?
Ist diese feingranulare Privilegieneinteilung nicht mittels SELinux (Red Hat) bzw. AppArmor (SUSE, Ubuntu) möglich?
Soweit ich es verstehe, hat aktuell nur Niemand Lust, ausgefeilte Regelsätze zu entwickeln, da es ziemlich mühsam ist.
... dann ist es also noch nicht möglich.
Ich kann mir schon vorstellen, dass das Ziel mit SELinux (und ein bisschen nettem GUI/CLI) erreichbar wären. Aber da gehören dann die Regelsätze dazu. Ich will die hier nicht austüfteln müssen. Ich will nur klicken auf "Programm X darf GPS, Programm Y darf ins Internet, Programm Z darf an die Fotosammlung"...
Ein Sicherheitsfeature, dessen Einrichtung stunden- oder tagesweise Zeit kostet, kann akademisch interessant sein, hilft aber der Userbasis i.d.R. nicht.
Vielleicht sollte man die Herkunft von SELinux nochmals in Erwägung ziehen
... die Herkunft ist eine Sicherheitsbehörde unserer transatlantischen Freunde *räusper*
Über die Schiene wickeln alle Leute hier auch ihre komplette Telekommunikation und ihre gesellschaftlichen Debatten ab, oder?
Gibt es da etwa einen potentiellen Hinterhalt, vor dem man die Leute warnen sollte???
Nimm den Aluhut ab - Die NSA hat zwei sich widersprechende AUfgabengebiete und abgesehen davon kannst du davon ausgehen dass der Code mehr als nur ein Review gesehen hat - Wir sprechen hier nicht von Windows
Dass die NSA Freie Software zu unterwandern versucht, halte ich auch für sehr wahrscheinlich.
Aber die werden ihre Leute langfristig in unverdächtige Projekte einschleusen und diesen Committern werden dann bedauerliche kleine Fehler unterlaufen, die leicht abstreitbar sind (plausible denialibity) und Programme so schwächen, dass sich Möglichkeiten für Angriffe ergeben.
Rund um OpenSSL gab es ja ein paar merkwürdige Begebenheiten.
So blöd, in ihren eigenes Projekt SELinux Hintertüren einzubauen, werden die nicht sein.
Mit Sicherheit nicht! Schliesslich sichern sie damit ja auch ihre eigenen Linuxserver ab
Außerdem wurde der Code ja gerade nach Snowden sehr sorgfältig überprüft, und sämtliche Änderungen werden von zig Leuten kritisch beobachtet.
Ich würde die Hintertüren in anderen Teilen des Codes unterbringen, wo man nicht so genau hinschaut.
Das gibt es schon:
Flatpak
Historisch wir das so auf Computern nicht gemacht. Stattdessen haben wir verschiedene Benutzer und Gruppen unter Unix, die zur vollständigenTrennung dienen. Genau diese Trennung fehlt Android und auch iOS komplett, weil es aber meist nur einen Nutzer gibt wurde hier von Beginn an der Ansatz mit Privilegien gewählt. Mit Flatpak werden wir das zunehmend auch auf Computern sehen.
Abgesehen davon, gibt es noch viel mächtigere Werkzeuge:
Control Groups, die Basis von Docker.
Und dann noch weitere Systeme, wie das genannte SELinux.
PS: Leider wird das mit den Privilegien von den Nutzern unter Android und iOS praktisch nicht angenommen, siehe Totalzugriff für WhatsApp. Das ohne Kontakte, gar nicht die Eröffnung von Konversationen erlaubt.
Schmarren, unter Anroid gibt es mehr als einen Benutzer, jede App läuft unter einem anderen, deswegen macht es auch nur bedingt Spass eine SD-Card mit ext4 zu formatieren weil App x ohne manuelles rumgewusel keinen Zugriff auf Dateien/Fotos/Videos von App y hat
Ich habe nicht den Eindruck, dass das so verbreitet ist, dass man das wirklich als Lösung bezeichnen kann. Ich habe mal ein Flatpak gebaut; das war das einzige Flatpak, das ich je installiert habe. Sobald Flatpak 'das Paketformat' für Linux ist, muss ich mich dann sowieso mal nach einem anderen OS umgucken. Flatpak ist eine Keule, die gelegentlich ganz praktisch ist; aber als primäres Paketformat doch eher ein trauriges Eingeständnis.
PS: Naja, wer's nicht annimmt, hat nachher auch keinen Schutz zu erwarten. Dieses WhatsApp kenne ich nur vom Hörensagen; aber ich glaube, wer das installiert, hat nicht nur auf technischer Ebene allerhand Privilegien abgetreten. Was das angeht, kann man eigentlich nur auf Darwinismus hoffen.
Nun dann wären da noch ACLs und Posix Capailities - Features, die viel zu selten besprochen und genutzt werden.
Wer will kann auch gehärtete Kernel oder Distributionen verwenden. Z.B. versucht man die Ansätze von Docker auf normale Distributionen/Anwendungsprogramme zu übertragen.
Virtualisierung (KVM & Co.) ist überhaupt eine gute Methode, so kann man damit die Möglichkeiten der gekapselten Programme gut steuern (auch mal schnell den Netzwerkzugang abdrehen, wenn nötig etc.).
Ich finde das einfache Sicherheitskonzept eigentlich ganz gut. Der Ansatz von Android für jede Anwendung einen anderen Benutzer einzurichten fände ich am Desktop etwas übertrieben. Wer gerne etwas mehr Trennung haben möchte, der kann ja einfach zwei Benutzer für sich anlegen, die keine Rechte an Dateien des anderen haben. Macht nur keiner, weil jeder zu faul ist.
Alternativ könnte man auch zu so etwas wie Firefail greifen.