Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
Sicherheitsrisiko Dashboard?
Sicherheitsrisiko Dashboard?
Rantanplan
09.05.05
22:13
Ich möchte die Diskussion mal aus dem engen Kommentarfeld zur News "Widgets ein Sicherheitsrisiko?"
rausholen
Die Anfangsbehauptung war: Widgets können keinen Schaden anrichten, sie sind nichts anderes als HTML & CSS & JavaScript.
Das ist aber nicht ganz korrekt, denn ein Widget kann Plug-Ins mitbringen und die sind ganz normale Cocoa-PlugIns.
"If you need to dig deeper into the system, or if you need to tap into your own application to create a Widget that closely interacts with it, you can create your own Cocoa-based plug-in. These plug-ins work by providing a JavaScript object that’s made available to the Widget."
Auch ohne das hat man mit der Methode widget.system() Zugang zur Shell.
All das wird natürlich "nur" mit den Rechten des aktuellen Benutzers ausgeführt, schon klar. Trotzdem sollte man über mögliche Sicherheitsrisiken reden und sich Gedanken darüber machen. Das größte Sicherheitsrisiko sind nämlich Anwender, die von den Risiken keine Ahnung haben oder nichts davon wissen wollen.
PaulMuadDib 09.05.05 19:41
Rantanplan:
Wie ich schon im unterend Thread schrieb, habe ich es mit dieser Funktion nicht geschafft, irgendwas sichtbares auszulösen. Ich konnte kein Programm starten und auch keine Datei auf dem Desktop anlegen. Aber vielleicht habe ich ja was falsch gemacht. Oder solche Aktionen werden verhindert.
Rantanplan
PaulMuadDib
Dann hast du vermutlich in Info.plist folgendes vergessen:
< key >AllowFullAccess< /key >
< true/ >
Erfreulicherweise kommt beim ersten Start dann allerdings eine Meldung (siehe Screenshot).
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
Kommentare
Dieter
09.05.05
22:17
Im Prinzip ist jedes Programm, dass man ausführen kann ein "Sicherheitsrisiko"!
Hilfreich?
0
Rantanplan
09.05.05
22:34
Ja, da hast du recht. Aber der Unterschied bei den Widgets ist
a) daß es heißt, sie wären einfach nur HTML, CSS und JavaScript und daher genauso sicher (oder unsicher) wie eine Webseite
b) bei der Installation eines Programms macht man sich bestimmt mehr Gedanken, ob man das auch ausführen möchte, wie bei den Widgets, die wie ein Snack zwischendurch mal schnell ausprobiert werden
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
nimmermehr
09.05.05
22:38
"Die Anfangsbehauptung war: Widgets können keinen Schaden anrichten, sie sind nichts anderes als HTML & CSS & JavaScript."
wer lesen kann ist klar im vorteil.
wieso stellt du jetzt ein thema auf mit fakten die so nie gefallen sind? kommste anders nicht auf deine 6500 beiträge?
Hilfreich?
0
Rantanplan
09.05.05
22:47
nimmermehr
Außer billige Beleidigungen kannst du wohl nichts sinnvolles von dir geben?
Diese "Anfangsbehauptung" hat nicht im Geringsten etwas mit deinem Kommentar in den News zu tun, auch wenn du das in deiner Selbstgefälligkeit angenommen hast.
„Wenn ich nicht hier bin, bin ich auf dem Sonnendeck“
Hilfreich?
0
Christian Fries
09.05.05
22:50
@ nimmermehr: 33% deiner Bisherigen Beiträge scheinen mir a) nichts zum Thema beizutragen und b) recht unhöflich. Leider diesmal kein "Willkommen im Forum".
@ Rest: Ich sehe die Widgets sehr kritisch. Es besteht zwar kein größeres Gefahrenpotential als das einer gewöhnlichen Applikation, aber gerade weil Widgets so klein und unscheinbar daher kommen ist die Barriere sie zu installieren so gering. Selbst wenn es nigends steht, man hat das Gefühl als würde die Anfangsbehauptung (HTML+CSS+JS) stimmen... und das ist das Gefährliche.
Hilfreich?
0
Christian Fries
09.05.05
22:53
Das passt im übrigen zu meinen Bemerkungen zur Kennwort abfrage. Das Problem ist hier (Widgets) wie dort (Installer Kenntwort abfrage) die Sensibilisierung des Users. Hier ist Apple nicht konsequent. Einerseits gibt es viele Warnungen "Es wird ein Programm gestartet, dass sie zum ersten mal ausführen". Andererseits werden viele Gelegenheiten geschaffen die diese Warnungen zur Gewohnheit werden lassen...
Hilfreich?
0
nimmermehr
09.05.05
23:04
jope,
da lohnen sich nur billige beleidigungen. macht eigentlich gar kein sinn hier wieder alles auseinander zu nehmen aba ist ja sonntag
"
"widgets sind nichts anders als javascript."
Das ist leider nicht ganz richtig. Ein Widget kann Plug-Ins mitbringen und die sind ganz normaler Cocoa-Source. "
hast keine thread netmal zuende gelesen, hauptsache seinen senf dazu geben
(sick)
klar man könnte auch sagen das ein widget nur aus einer html seite bestehen kann. oder nur aus einem flash oder reines java. ...dann ist da gar nix mit javascirpt. und doch ist jede function die du in einem widget ausführst, eine js function. klar ist das js etwas angepasst, sodass man einfach auf system informationen zugreifen kann. das ist ja grade das gefährliche.
und wenn du ein plugin lädst oder eine applescript ausführst dann machst du das mit javascript. und javascipt ist nunmal von client verarbeitet, und das ist das gefährliche. nur ist die erkenntnis ja nichts neues. und da wir ja meistens mit js im brwoser surfen sind wir dort der gefahr schon immer ausgesetzt. leider ist es wegen apples javascript abwandlung viel leichert an client informationen dran zu kommen als vorher.
Hilfreich?
0
nimmermehr
10.05.05
00:55
... nur nochmal zur vervollständigung
Hilfreich?
0
nimmermehr
10.05.05
00:56
lol jetzt bin ich hier schon am spamen ^^
Hilfreich?
0
Christian Fries
10.05.05
01:19
nimmermehr
jope,
da lohnen sich nur billige beleidigungen
(...)
und da wir ja meistens mit js im brwoser surfen sind wir dort der gefahr schon immer ausgesetzt. leider ist es wegen apples javascript abwandlung viel leichert an client informationen dran zu kommen als vorher.
Das ist doch falsch. Ein JavaScript in einem Browser kann (sollte es keinen Bug haben) keine Dateien auf meiner Festplatte löschen. Ein JavaScript in der DashBoard Umgebung kann das. Man kann via JS im DashBoard alles was eine OS X Applikation kann. Es geht in der ganzen Diskussion nicht darum ob es JavaScript ist oder eine andere Sprache. Es geht um die Sicherheit der Run-Time-Umgebung.
Hilfreich?
0
Christian Fries
10.05.05
09:30
agrajag: Sehe ich auch so. Im Browser läuft JavaScript in einer Art Sandbox. Gerade das könnte aber dazu führen, dass sich Leute auch mit Dashboard in Sicherheit wähnen. Das hab ich ja versucht dem nimmermehr zu erklären.
Hilfreich?
0
camaso
10.05.05
11:42
Endlich sind wir am wunden Punkt des Themas angelangt! Danke euch @@agrajag und @@Christian Fries!
Gruss
camaso
Hilfreich?
0
MacMark
11.05.05
00:34
Es besteht montan tatsächlich ein gewisses Risiko im Zusammenhang mit Dashboard und Safari, wenn man die Option "sichere Dateien nach Herunterladen öffnen" nicht deaktiviert hat:
Ein potentiell gefährliches Widget, das gemäß des Sicherheitsmodells von Dashboard nur nach Frage an den Benutzer gestartet würde, kann unter gewissen Umständen direkt installiert werden (aber nicht automatisch gestartet werden) und sich beim Starten durch den Benutzer die Sicherheitsabfrage ersparen.
Apple weiß Bescheid und ich gehe von einem baldigen Bugfix aus. Bis dahin sollte die angesprochene Option in Safari besser deaktiviert werden. Bei mir ist sie prinzipiell deaktiviert.
„@macmark_de“
Hilfreich?
0
Christian Fries
11.05.05
00:39
MacMark: Warst Du im Urlaub? Ich hatte mir schon Sorgen gemacht.
Hilfreich?
0
Dada-Charms
11.05.05
00:54
MacMark,
so lange Tiger installiert(?);-)
Hilfreich?
0
camaso
11.05.05
02:42
Christian Fries
MacMark: Warst Du im Urlaub? Ich hatte mir schon Sorgen gemacht.
Nein, er war Wandern mit mir…
:-X
Hilfreich?
0
Dada-Charms
11.05.05
10:28
camaso,
und wie war es so?
Hilfreich?
0
camaso
11.05.05
10:35
DaDa-Charms
sorry, das war ein Interner für MacMark…
Hilfreich?
0
frontflash
11.05.05
10:41
es gibt dafür jetzt eine folder action. widget the world watcher. zu finden bei
damit ist das dann erledigt
Hilfreich?
0
MacMark
11.05.05
10:50
Christian Fries
MacMark: Warst Du im Urlaub? Ich hatte mir schon Sorgen gemacht.
Ich war mit anderen Tätigkeiten beschäftigt. Eine davon war, Neuerungen von 10.4 technisch grob zu überblicken.
Da ich nur einfacher ADCler bin, bekam ich 10.4 erst Ende April per AppleStore und hatte unerwartet viele interne Neuerungen zu bestaunen. Ich muß das System erst einigermaßen verstehen, bevor ich darüber schreiben kann.
Es gab gravierende Änderungen in den nicht-sichtbaren Bereichen von OS X. Der Nutzen für den Anwender wird in einigen Bereichen erst nach und nach kommen, da die höheren Schichten innerhalb von OS X und die Programme noch entsprechend angepaßt werden müssen, um die neuen Möglichkeiten von zugrundeliegenden Ebenen zu nutzen und auch für den Benutzbar spürbar werden zu lassen.
Ich habe einige Ergänzugen an meiner Webseite vorgenommen danach und mit verschiedenen Leuten über die Veränderungen im System gesprochen. Es stehen noch einige Ergebnisse aus dieser Kommunikation aus.
„@macmark_de“
Hilfreich?
0
Agrajag
10.05.05
02:22
Ehrlich gesagt kann ich die ganze Diskussion um Dashboard nicht so recht nachvollziehen. Widget sind nun mal Programme, die im Benutzerkontext laufen. Dabei ist es doch unerheblich in welcher Sprache sie geschrieben sind.
<br>
<br>Was ich wirklich bedenklich finde ist, daß Safari per Default derartige Dateien startet und vor allem vorher noch installiert. Ich hab etwas gegen solche Automatismen. Leider macht Apple das genau so verkehrt wie MS.
<br>
<br>Man muß jetzt nur hoffen, daß JavaScript (wenn es nicht in Dashboard läuft) in einer Art Sandbox läuft. Wenn es jetzt auch im Browser derartige Fähigkeiten hat, DANN wird es wirklich gefährlich. Weiß da jemand mehr?
<br>
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.