was ist denn der Verzeichnisdienst?

schön
Und was machen wir nu?

@verstaerker:

Kurzfassung: Das ist der Dienst im Rechner, der es den Benutzern erlaubt, sich anzumelden. Im Hintergrund stehen Konfigurationsdateien und/oder Datenbanken, lokal und/oder auf Servern, in denen Dinge wie Name, Kennwort, Pfad zum Homeverzeichnis etc. stehen.

Langfassung: Das ist ein viertägiger Kurs für erfahrene Admins, es gibt dicke Bücher dazu, schaue mal hier:
http://training.apple.com/itpro/snow301
und (432 Seiten, dazu kommt ein Workbook mit noch mal ein paar Hundert Seiten):
http://www.amazon.com/gp/product/0321635329

@MTN:Der Dienst "DirectoryService" läuft unter Mac OS X immer. Sonst hat man leichte Schwierigkeiten bei der Anmeldung...

@Hyper:
Nix. Da diese Lücke anscheinend nur vom lokal angemeldeten Benutzer für sein eigenes Kennwort ausnutzbar ist, ist die Gefahr an sich nicht so groß.

Schön ist die Sache natürlich nicht, und es ist davon auszugehen, daß Apple das möglichst bald per Update fixen wird. Mal schauen...

aha also egtl wollt ich ja nur wissen ob ich den brauch und ob er an ist bei mir ... Frage beantwortet

@verstaerker:
Ja, Du brauchst den. Ja, der läuft immer. Hoffentlich!

(Oh je. Hoffentlich kommt niemand aufgrund solcher mittelschwer unklar formulierter Meldungen auf die Idee, mal per "Aktivitiätsanzeige" auf die Pirsch zu gehen und auf seinem Mac den "DiretoryService" zu erlegen. Der sollte zwar eigentlich sofort wieder gestartet werden vom launchd (wie der Finder), aber mit grober Gewalt bekommt man ja alles kaputt...und dann ist das Gejammer groß, wenn beim nächsten Rechnerstart gar nix mehr geht, also, keine Anmeldung mehr.)

Adressbuch und iCal verhässlicht und guter Funktionalität beraubt, Final Cut zerstört, Xserves gibt's nicht mehr, Installationsmedien werden nicht mehr mitgeliefert, die Hälfte der me.com Synchronistation und iDisk abgekündigt, Sicherheitslücke bei den Kennwörtern... was bitte ist los bei Apple?!

@Jens
Pessimist? Das Glas ist halb leer?

Wie wäre es mal mit einem Blick auf die ganzen Vorteile und positiven Seiten dieser Entwicklungen? Die sind nämlich zahlreich.

Was ist an den genannten Sachen den positiv?
Ich verteidige gerne Entwicklungen, deren positive Seiten nicht jedem sofort ersichtlich sind. OS 9 => OS X damals, Intel Umstieg, Rosetta fällt weg, was weiß ich.
Spätestens aber wenn ich mir Adressbuch und iCal in Lion anschaue ist mein Glas nicht nur halb leer, es hat auch noch jemand reingespuckt.
Ganz nüchtern betrachtet.

Hannes Gnad
*lach* Apple war noch nie schnell beim Stopfen einer Sicherheitslücke, ausser wenn es, wie bei iOS, um den guten Ruf geht.
Apple sieht sein System ja nach wie vor als unangreifbar.

Was ist (u.a.) das erste, was man macht, wenn man einen Mac einrichtet:

1. Einen Administrator-Account mit einem sicheren Passwort anlegen und dem ursprünglich eingerichteten Benutzer (den man für die tägliche Arbeit benutzt) die Administrator-Rechte entziehen.

2. Den Gastzugang deaktivieren.

So kann man zumindest dieses Problem ansatzweise umgehen …

Moment, als Gast kann man sich nur lokal anmelden (im Netz nur per Sharing) und wer kein FileVault und Firmwarepasswort definiert hat, der ist sich dessen bewusst, dass ein Angreifer mit physischem Zugriff freie Hand hat.

Aber: Diese Lücke ist so banal, dass sie gar nicht hätte entstehen dürfen. Auf einen Password-Hash darf nicht zugegriffen werden können als Gast. Ich denke schon, dass es bald gefixt wird, schliesslich ist das eine kleine Sache die Berechtigung dort zu korrigieren.

VPN Shared Secret = Plain Text Apple, think different.

@Jens: Wir sind mal wieder in einer Übergangsphase. Apple bereitet offensichtlich den Boden für ein neues Betriebssystem vor, dass mehrere Arten von Geräten mit möglichst gleichen Funktionen und Oberflächen ausstattet. Und wo gehobelt wird, da fallen Späne bzw. man kann eben nicht alles haben. Seien wir lieber dankbar dafür, an der Entwicklung einer künftigen ideal vereinheitlichten Spaß- und Informationsgesellschaft teilhaben zu dürfen (...)

Im Targetmode lässt sich doch grundsätzlich auf alle Daten zugreifen und seit Lion lässt sich doch über die Recovery-Partition das Benutzerkennwort zurücksetzen, ohne dass man ein anderes Passwort benötigt. Von daher verstehe ich die Aufregung um das hier genannte Problem nicht.

Also ich brauche keinen Passwortschutz.
Meine Frau geht sowieso nicht an den Computer, sie hat einen eigenen Mac.
Und Hacker gibt es bei mir zuhause auch nicht

Vom Internet auf meinen Rechner kommt auch niemand, ist per Firewallsoftware geschützt.
Ausserdem gibt es auf meinem Mac sowieso nichts interessantes.

Ich denke die Meldung ist interessant für Firmen die was zu verstecken haben.

.. in 6 bis 12 Monaten ist der Lion vielleicht bereit... vorher einfach nur testen, aber nicht scharf stellen.....

Ja sicher... vor einer Version von XX.X.3 hab ich noch nie was ausprobiert.

ich warte bis 10.8 nächstes Jahr

Ja dann...

Komisch das die ganzen Firmen wie Sony und Co. das nicht wissen. Sollten die auch mal einführen, dann werden denen ihre Daten sicher nimmer gestohlen

Nicht schön .... Auch wenn die Zusammenfassung von MacTechNews (mal wieder) zeigt, wieviel Ahnung die Redakteure haben.

"wenn auf dem System der Verzeichnisdienst aktiv ist" - das ist ausser im Single User Mode immer der Fall.

Es gibt hier ein Sicherheitsproblem, wenn auch kein allzu akutes. Letztendlich sind 2 Dinge unschön:
- Lokale User können die shadow-hashes auslesen (und damit nach einer Übernahme eines unpriviledged users offline per Wörterbuch angreifen). Das sollte so nicht sein - war aber in frühen OS X Versionen auch der Fall, da stand der Hash direkt in Netinfo drin, was auch jeder dumpen konnte. Das ist schlechtes Design seitens Apple, ich vermute, dass sie das bald fixen werden. Dennoch ist dann erstmal auch ein Erfolgreicher Wörterbuchangriff nötig (brute force auf SHA512 ist meiner Meinung nach sehr sehr unwahrscheinlich). Wer also sichere Kennwörter verwendet ist hier geschützt.
- Ein User kann sein eigenes Kennwort ändern, ohne das alte eingeben zu müssen (selbstverständlich ist der Inhalt des Schlüsselbunds geschützt). Das ist auch ungut, weil es sehr sehr schnell geht: Ein verlassener Mac, kurz den Befehl getippelt, wenn der angemeldete User admin Rechte hatte, ist man drin.
Also auch hier wieder: Nicht als Admin arbeiten, beschränkt Risiken.

Aber klares Fazit: Hier sollte Apple schnell fixen ...

+1

Siehe auch diese recht praxisnahe Angriffsvektor-Beschreibung, betrachtet aus einem etwas anderen Blickwinkel:

seit wann das??


bei mir hier wird das alte Kennwort verlangt um ein neues zu erstellen.