Re: Woody und Rechtevergabe
Hi, Sacher!
Sacher Khoudari (sacher@ctv.es) wrote 30 lines:
> aber ich finde es trotzdem ein bischen komisch dass man so ohne weiteres
> Konfigurationsdateien einsehen kann. Irren ist menschlich, und es kann
> trotzdem noch vorkommen dass sich beim Konfigurieren ein kleiner Fehler
> oder ne Schwachstelle einschleicht der/die nur durchs genaue studieren
> der Datei erkennbar wird. Ist zwar sehr unwarscheinlich, aber nicht
> unmöglich.
Dann kann die Schwachstelle(S) per Definition nicht ausgenutzt
werden, denn sie hat keine beobachtbare Wirkung.
Beweis: Wenn S eine beobachtbare Wirkung hat, kann ich es
'einfach probieren' und schauen, ob eine Wirkung eintritt.
Wenn ja, existiert S. Wenn nein, existiert S nicht.
Dein Einwand:
Was, wenn S nur was in /etc veraendert?
Antwort: Wenn das keine Wirkung auf ausserhalb von /etc hat,
ist es kein Problem -- es kann niemand ausnutzen, um was
kaputtzumachen ( == Auswirkung ausserhalb von /etc, z.B.
auf Apache) oder einzusteigen ( == Auswirkung ausserhalb
von /etc). Somit ist es keine Schwachstelle.
Hat es eine solche Auswirkung, ist die Voraussetzung falsch,
denn S kann auch ohne Studium der Konfiguration erkannt
werden.
q.e.d.
> Es ist übrigens auch möglich auf die Home-Verzeichnisse anderer User
> zuzugreifen. Ist zwar nicht nur bei Debian so (ist bei SunOS auch
> standardmässig so eingestellt), aber da finde ich das schon sehr
> unangebracht da man auf diese Weise vertrauliche Mails
Hast du das ausprobiert?
> und andere
> sensible Dateien einsehen kann.
man chmod, man umask.
> Klar, kann man auf Tastendruck ändern,
> aber ich finde das soll standardmässig schon anders eingestellt sein.
man finger -> .project, .plan
-Wolfgang
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: