Moin,
* Dani Belz wrote (2005-01-03 12:48):
>* Thorsten Haude <debian@thorstenhau.de> [05-01-03 12:07]:
>> >Mit einem Unterschied: ich vertraue meiner Firewall :) Und lokal ist
>> >mir das doch egal, weil ich selber am besten weiss, welche User
>> >gerade angemeldet sind. Nämlich nur ich. Das ist das Thema Risiko.
>> >Risko ist die Abwägung von Gefährdungspotential,
>> >Eintrittwahrscheinlichkeit und Schadenshöhe (frei nach Bruce
>> >Schneier [1]).
>>
>> Und Du kannst all diese Parameter für Gerhards Installation
>> abschätzen? Respekt! Ist das ein Feature Deiner Firewall?
>
>Nein, aber ich gehe davon aus, dass Gerhard sehr wohl all diese
>Parameter kennt und dementsprechend in der Lage ist, seine
>Trade-Offs zu machen.
Und woher weißt Du das jetzt wieder?
>Stattdessen hättest Du Gerhard mit all Deiner Energie darüber
>aufklären können, wie man das richtig macht (Deiner Meinung nach
>unter Abwägung aller Sicherheitsrisiken) und was es mit dem "xhost +"
>auf sich hat. _DAS_ hätte geholfen :)
Das ist erstens Dein Job, denn der Tip kam von Dir; zweitens habe ich
geschrieben, daß alle Sicherheitsüberprüfungen abgeschaltet werden,
das ist zumindest ein Hinweis, wie schwerwiegend dieser Eingriff ist.
Eine Erklärung von 'xhost +' erübrigt sich meiner Ansicht nach schon,
weil man den Befehl so nicht nutzen sollte (sonst auch nicht). Das ist
wie bei der häufigen Frage in der SuSE-ML:
F: Wie bekomme ich den roten Hintergrund mit den Bomben weg?
A: Log Dich nicht als root unter X11 ein.
>> >Warum sollte ich mir also super viel Sorgen um mein X
>> >machen, aber vielleicht noch nicht mal ne Firewall haben? So nach
>> >dem Motto: Ich hab ein supergeniales Alarmsystem an meiner Haustür,
>> >aber nebendran steht das Fenster offen...
>>
>> Ich weiß garnicht, wo ich mit der Antwort anfangen soll. Hast Du
>> Schneier auch gelesen? Ich nicht, aber ich vermute mal nicht, daß er
>> Sicherheit auf eine einzige Schicht einer Installation reduzieren will.
>
>Bei Schneier geht es gar nicht um Installation sondern um Sicherheit
>im Allgemeinen. Ich bin sicher kein Experte, aber ich weiss dass es
>Experten gibt und von denen (die mehr wissen als ich) lass ich mir
>gern was sagen. Und Schneier ist mit Sicherheit einer _der_
>Sicherheits-Gurus schlechthin. Kann ich Dir nur empfehlen.
Zurück zur eigentlich Frage: Empfiehlt Schneier, die Sicherheit einer
Installation auf eine einzelne Schicht (hier Firewall) zu reduzieren
und bei allen anderen Komponenten (hier X11) außer Acht zu lassen?
Thorsten
--
Auch Hunger ist Krieg.
- Willy Brandt
Attachment:
pgpRjZQEIPNh4.pgp
Description: PGP signature