/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
virus i nyhedsgrupperne ?
Fra : kim


Dato : 10-03-03 17:03

Når man sidder og læser i de forskellige nyhedsgrupper,
kan man der bliver angrebet af en virus ?

Det er fordi min OE6 er hurtigere når jeg har min
antivirus KAV slået fra...

Mvh Kim



 
 
Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 17:05

"kim" <no@spam.dk> writes:

>Når man sidder og læser i de forskellige nyhedsgrupper,
>kan man der bliver angrebet af en virus ?

Ja, hvis news-serveren tillader binært indhold og/eller HTML, og
der er et sikkerhedshul i din newsreader. Så kan det godt ske.

Mvh.
   Klaus.

kim (10-03-2003)
Kommentar
Fra : kim


Dato : 10-03-03 17:20

"Klaus Ellegaard" <klaus@ellegaard.dk> skrev i en meddelelse
news:b4id35$ddc$1@katie.ellegaard.dk...
> Ja, hvis news-serveren tillader binært indhold og/eller HTML, og
> der er et sikkerhedshul i din newsreader. Så kan det godt ske.

Hej Klaus, har du så også nogle gode hints til at lukke alle de
sikkerhedshuller der er i min newsreader ?
Mvh Kim



Bertel Lund Hansen (10-03-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 10-03-03 17:40

kim skrev:

>Hej Klaus, har du så også nogle gode hints til at lukke alle de
>sikkerhedshuller der er i min newsreader ?

Det nemmeste vil faktisk være at skifte til et andet program. Man
kan være rimeligt asikker på at alle fejl i OE vil blive
udnyttet, mens sjældne programmer i praksis er sikre (hvis
brugeren ikke er skødesløs).

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

kim (10-03-2003)
Kommentar
Fra : kim


Dato : 10-03-03 17:45

"Bertel Lund Hansen" <nospamfor@lundhansen.dk> skrev i en meddelelse
news:esfp6vc0evbec0vk85vt5etmaqndmm4j9k@news.stofanet.dk...
> Det nemmeste vil faktisk være at skifte til et andet program. Man
> kan være rimeligt asikker på at alle fejl i OE vil blive
> udnyttet, mens sjældne programmer i praksis er sikre (hvis
> brugeren ikke er skødesløs).

Okay Bertel, hvilket bruger du og er det så kun til news ?
Og du må gerne nævne flere :)
Mvh Kim



Bertel Lund Hansen (10-03-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 10-03-03 20:20

kim skrev:

>Okay Bertel, hvilket bruger du og er det så kun til news ?

Agent, og det er både til news og mail. Det koster ca. 30 $ at
registrere, men kan prøves gratis i 30 dage.

>Og du må gerne nævne flere :)

Jeg har brugt Agent i al den tid jeg har været på internettet når
jeg ser bort fra et par dage hvor jeg kæmpede en strid kamp med
Netscape 3.0 for at få det til at virke med usenet. Jeg opgav.

Jeg har kikket meget kortvarigt på andre usenetprogrammer, men da
de ikke lignede Agent, smed jeg dem ud igen.

Én gang Agent, altid Agent. Spørg selv enhver
efterretningsofficer ...

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Martin Schultz (10-03-2003)
Kommentar
Fra : Martin Schultz


Dato : 10-03-03 21:47

Bertel Lund Hansen <nospamfor@lundhansen.dk> writes:

> kim skrev:
>
> >Okay Bertel, hvilket bruger du og er det så kun til news ?
>
> Agent, og det er både til news og mail. Det koster ca. 30 $ at
> registrere, men kan prøves gratis i 30 dage.

Kan også fåes i en gratis udgave. Den kan dog ikke kan ligeså
meget men jeg var meget tilfreds med den i et par år.

Martin

--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

Bertel Lund Hansen (11-03-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 11-03-03 10:42

Martin Schultz skrev:

>Kan også fåes i en gratis udgave. Den kan dog ikke kan ligeså
>meget men jeg var meget tilfreds med den i et par år.

Den har en sær begrænsning på at den ikke kan sende (eller
modtage - har glemt det) e-mails. derfor er det ikke et
realistisk bud på et godt program.

I dag er der kun én fil ifølge Fortes hjemmeside. Mon Agent så
drosler ned til Free Agent efter 30 dage? Det er mit gæt.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Martin Schultz (11-03-2003)
Kommentar
Fra : Martin Schultz


Dato : 11-03-03 11:04

Bertel Lund Hansen <nospamfor@lundhansen.dk> writes:

> Martin Schultz skrev:
>
> >Kan også fåes i en gratis udgave. Den kan dog ikke kan ligeså
> >meget men jeg var meget tilfreds med den i et par år.
>
> Den har en sær begrænsning på at den ikke kan sende (eller
> modtage - har glemt det) e-mails. derfor er det ikke et
> realistisk bud på et godt program.
Modtage. Kan godt sende. Hvilket var fint for mig, det er først
efter jeg er skiftet til gnus at jeg bryder mig om mail og
news i samme program.

>
> I dag er der kun én fil ifølge Fortes hjemmeside. Mon Agent så
> drosler ned til Free Agent efter 30 dage? Det er mit gæt.

Hmm det har jeg ikke set.

Martin

--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

Bertel Lund Hansen (11-03-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 11-03-03 12:05

Martin Schultz skrev:

>Modtage. Kan godt sende. Hvilket var fint for mig, det er først
>efter jeg er skiftet til gnus at jeg bryder mig om mail og
>news i samme program.

Jeg brugte Free Agent i nogle måneder og ville have været godt
tilfreds (et stykke tid i hvert fald) hvis blot den havde kunnet
modtage mails. Men jeg kan slet ikke undvære at det er samme
program der styre både mails og news. De er for tæt vævet sammen.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Asbjorn Hojmark (12-03-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 12-03-03 00:58

On Tue, 11 Mar 2003 12:05:02 +0100, Bertel Lund Hansen
<nospamfor@lundhansen.dk> wrote:

> Men jeg kan slet ikke undvære at det er samme program der
> styre både mails og news. De er for tæt vævet sammen.

Jeg har egentlig aldrig syntes, mail og news havde noget særligt
slægtskab. Det er uhyre sjældent, jeg svarer på Usenet-indlæg via
mail, men har dog konfigureret Agent til at BCC'e mig selv, når
jeg en sjælden gang gør det.

Jeg bruger Outlook (nej, ikke Express) til mail, bla. fordi jeg
bruger det samme til min kommercielle mail, og så synes jeg trods
alt, det er nemmere at have det hele (dvs. alt mail) samlet i ét
program. Der er selvfølgelig også en del vanetænktning i det:
Mine postkasser passerede 1 GB (semi-komprimeret og som 'rene'
mails, ikke attachments) engang sidste år.

-A
PS: Vi er off-topic, så FUT.
--
http://www.hojmark.org/

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 18:04

"kim" <no@spam.dk> writes:

>Hej Klaus, har du så også nogle gode hints til at lukke alle de
>sikkerhedshuller der er i min newsreader ?

Som Bertel siger, så er Outlook nok et af favoritmålene for folk med
ubehagelige hensigter. Udelukkende fordi der er så mange, man kan få
ram på med ét sikkerhedshul.

Personligt bruger jeg XNews fra http://xnews.newsguy.com/ når jeg
læser news med Windows. Der er udbredt enighed om, at det er et
ret vidunderligt program - og så er det endda gratis. Desuden har
det kun haft et enkelt sikkerhedsproblem så vidt jeg ved, og det
er rettet for længst.

Dermed ikke sagt, at det vil forblive sikkert for evigt. Det er
altid en god plan at kigge på alle ens programmers hjemmesider nu
og da, så man kan få evt. vigtige opdateringer hentet ned hurtigt.

Andre er glade for Forte Agent, men det kender jeg intet til.

Mvh.
   Klaus.

Peter Smith (10-03-2003)
Kommentar
Fra : Peter Smith


Dato : 10-03-03 18:15

"Klaus Ellegaard" <klaus@ellegaard.dk> wrote

> Som Bertel siger, så er Outlook nok et af favoritmålene for folk med
> ubehagelige hensigter. Udelukkende fordi der er så mange, man kan få
> ram på med ét sikkerhedshul.
>

Men til gengæld bliver sikkerhedshullerne også hurtigt opdaget hvilket
man kunne frygte ikke skete ved et mindre kendt program.

Mhv Peter


Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 18:32

"Peter Smith" <petersmith@hotmail.com> writes:

>> Som Bertel siger, så er Outlook nok et af favoritmålene for folk med
>> ubehagelige hensigter. Udelukkende fordi der er så mange, man kan få
>> ram på med ét sikkerhedshul.

>Men til gengæld bliver sikkerhedshullerne også hurtigt opdaget hvilket
>man kunne frygte ikke skete ved et mindre kendt program.

Enig.

Hvis der er 10 fejl i Outlook, bliver de nok opdaget inden for et par
år. Selvom de bliver rettet (og folk henter patches) hurtigt, har de
pågældende maskiner alligevel været udsatte 10 gange à måske 3 dage
pr. gang.

Hvis der er 10 fejl i Blargh, bliver én måske opdaget inden for et
par år, og de resterende 9 bliver aldrig opdaget. Til gengæld går der
måske 30 dage, før patchen bliver fundet af brugeren og installeret.

Eksponeringen har været den samme i dette tilfælde. Men det er nu
nok stadig Blargh, der har den største sårbarhed i dette eksempel,
fordi misbruget har længere tid til at blive indarbejdet og brugt.

Så man skal ikke dysse sig selv i søvn, fordi man ikke bruger et
populært program. Dog har XNews i forhold til Outlook den fordel, at
det er langt mindre komplekst (det kan kun én ting), og det kan ikke
vise HTML eller køre scripts hentet ned via news. Det sidste er nok
en af de "farligste" ting ved Outlook.

Mvh.
   Klaus.

Kent Friis (10-03-2003)
Kommentar
Fra : Kent Friis


Dato : 10-03-03 18:49

Den Mon, 10 Mar 2003 18:15:07 +0100 skrev Peter Smith:
>"Klaus Ellegaard" <klaus@ellegaard.dk> wrote
>
>> Som Bertel siger, så er Outlook nok et af favoritmålene for folk med
>> ubehagelige hensigter. Udelukkende fordi der er så mange, man kan få
>> ram på med ét sikkerhedshul.
>>
>
>Men til gengæld bliver sikkerhedshullerne også hurtigt opdaget hvilket
>man kunne frygte ikke skete ved et mindre kendt program.

Det er ikke nogen fordel for Microsoft-produkter, det er nemlig ikke
nogen garanti for at hullerne bliver lukket.

Mvh
Kent
--
NT er brugervenligt - det er bare brugerne der ikke kan finde ud af det
- en NT-administrator

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 18:55

leeloo@phreaker.net (Kent Friis) writes:

>>Men til gengæld bliver sikkerhedshullerne også hurtigt opdaget hvilket
>>man kunne frygte ikke skete ved et mindre kendt program.

>Det er ikke nogen fordel for Microsoft-produkter, det er nemlig ikke
>nogen garanti for at hullerne bliver lukket.

Sådan er det jo med alting. Og oftest er det jo sådan, at der er en
del tvivl om, hvorvidt et specifikt hul faktisk er et hul eller ej,
og om der overhovedet er grund til at "lukke" det.

OpenSSH har en lignende "politik": det er nemmere at lave et chroot-
miljø til dele af serveren end at auditere koden og lukke de huller,
der kan være.

Mvh.
   Klaus.

Kent Friis (10-03-2003)
Kommentar
Fra : Kent Friis


Dato : 10-03-03 19:02

Den Mon, 10 Mar 2003 17:54:54 +0000 (UTC) skrev Klaus Ellegaard:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>>Men til gengæld bliver sikkerhedshullerne også hurtigt opdaget hvilket
>>>man kunne frygte ikke skete ved et mindre kendt program.
>
>>Det er ikke nogen fordel for Microsoft-produkter, det er nemlig ikke
>>nogen garanti for at hullerne bliver lukket.
>
>Sådan er det jo med alting. Og oftest er det jo sådan, at der er en
>del tvivl om, hvorvidt et specifikt hul faktisk er et hul eller ej,
>og om der overhovedet er grund til at "lukke" det.
>
>OpenSSH har en lignende "politik": det er nemmere at lave et chroot-
>miljø til dele af serveren end at auditere koden og lukke de huller,
>der kan være.

Det er nu ikke min opfattelse. De folk tager sikkerhed ret alvorligt,
og priviliege separation er lavet som en dobbelt sikkerhed.

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 19:10

leeloo@phreaker.net (Kent Friis) writes:

>Det er nu ikke min opfattelse. De folk tager sikkerhed ret alvorligt,
>og priviliege separation er lavet som en dobbelt sikkerhed.

Så hvis Linux-folket tager sikkerhed alvorligt, burde de også
privilege separere kernen fra kernen - og fra user-land?

Og login(1) burde chroot'e folk ind et sted, hvor de ikke kan
nå operativsystemet?

På mig virker det som en erkendelse af dybt elendig kode, der
ikke kan (eller man ikke gider) fikse.

Mvh.
   Klaus.

Kent Friis (10-03-2003)
Kommentar
Fra : Kent Friis


Dato : 10-03-03 19:32

Den Mon, 10 Mar 2003 18:09:57 +0000 (UTC) skrev Klaus Ellegaard:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>Det er nu ikke min opfattelse. De folk tager sikkerhed ret alvorligt,
>>og priviliege separation er lavet som en dobbelt sikkerhed.
>
>Så hvis Linux-folket tager sikkerhed alvorligt, burde de også
>privilege separere kernen fra kernen - og fra user-land?
>
>Og login(1) burde chroot'e folk ind et sted, hvor de ikke kan
>nå operativsystemet?
>
>På mig virker det som en erkendelse af dybt elendig kode, der
>ikke kan (eller man ikke gider) fikse.

For mig at se er det ud fra et ønske om at koden kun skal have de
rettigheder der er brug for. Det er IMHO et fornuftigt ønske når man
programmerer ting der har med sikkerhed at gøre.

Desværre er det nødvendigt at være root for at kunne setuid() og
bind() til en low-port, og med "God, root, what's the difference?",
så er det ret meget i strid med førnævnte ønske. Capabilities ville
være et skridt i den rigtige retning, men ikke en løsning i dette
tilfælde, idet setuid() netop giver mulighed for at få komplette
root-rettigheder.

Derfor må man gribe sagen anderledes an, og i stedet for at begrænse
hvilke rettigheder koden har, så begrænser man hvor meget kode der
har disse rettigheder. Det samme gør fx httpd, der laver en
setuid(nobody), så snart den lytter på porten. Men da sshd skal
lave en setuid() til brugeren senere, kan denne metode ikke benyttes,
da kun root har lov til at bruge setuid().

En løsning på dette er at splitte damonen op, så den ene del kører
med root-rettigheder, og kan lave setuid() og bind(), og resten kører
med minimale rettigheder. Dette er altså bare måde at opnå ønsket
om at koden kun skal have de rettigheder den har brug for. Og når
man så er igang, kan man jo lige så godt forsøge om man kan tage
skridtet fuldt ud, og låse processen inde i et tomt directory.

Det giver så den bonus at hvis der alligevel skulle være en bug - og
da det er menneskeligt at fejle, og man stadig må gå ud fra at der
har været mennesker involveret i udviklingen, så vil det ske på et
eller andet tidspunkt - så er der et ekstra sikkerhedsnet. Hvilket
faktisk viste sig at være et fornuftigt træk sidst der blev fundet
et hul, hvor beskeden netop var at indtil fejlen var rettet, kunne
man slå privilege-separation til, og dermed undgå at eventuelle
angribere fik adgang til maskinen.

Mvh
Kent
--
Is windows userfriendly? Nah, more like optimized for idiots.

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 19:45

leeloo@phreaker.net (Kent Friis) writes:

>>På mig virker det som en erkendelse af dybt elendig kode, der
>>ikke kan (eller man ikke gider) fikse.

>For mig at se er det ud fra et ønske om at koden kun skal have de
>rettigheder der er brug for. Det er IMHO et fornuftigt ønske når man
>programmerer ting der har med sikkerhed at gøre.

Det er selvfølgelig rigtigt nok, men når man læser om OpenSSH (og
især Gobbles-analysen som godtnok ikke er specielt upartisk), får
man indtrykket af, at agendaen er en lidt anden.

>Desværre er det nødvendigt at være root for at kunne setuid() og
>bind() til en low-port, og med "God, root, what's the difference?",
>så er det ret meget i strid med førnævnte ønske. Capabilities ville
>være et skridt i den rigtige retning, men ikke en løsning i dette
>tilfælde, idet setuid() netop giver mulighed for at få komplette
>root-rettigheder.

Capabilities er heller ikke en UNIX(R)-ting, så i det omfang, man
vil beholde OpenSSH-ports, er det nødvendigt at holde sig til det
basale.

Hvis folk skal have tiltro til koden, er det kodens kvalitet, der
er afgørende. Ikke "vores kode er sikkert fyldt med fejl, men vi
har spærret fejlene inde, så vi behøver ikke sikre eller auditere
den kode, der har været udsat for kritik".

Det er lidt den holdning, jeg fornemmer, og derfor jeg peger på
lighederne til Microsofts politik om kun at rette "nødvendige"
fejl.

Mvh.
   Klaus.

Kent Friis (10-03-2003)
Kommentar
Fra : Kent Friis


Dato : 10-03-03 20:54

Den Mon, 10 Mar 2003 18:44:53 +0000 (UTC) skrev Klaus Ellegaard:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>>På mig virker det som en erkendelse af dybt elendig kode, der
>>>ikke kan (eller man ikke gider) fikse.
>
>>For mig at se er det ud fra et ønske om at koden kun skal have de
>>rettigheder der er brug for. Det er IMHO et fornuftigt ønske når man
>>programmerer ting der har med sikkerhed at gøre.
>
>Det er selvfølgelig rigtigt nok, men når man læser om OpenSSH (og
>især Gobbles-analysen som godtnok ikke er specielt upartisk), får
>man indtrykket af, at agendaen er en lidt anden.

Den analyse har jeg ikke læst.

Jeg forholder mig kun til den valgte metode, som i mine øjne er
fornuftig, og tyder på at man har tænkt lidt mere over hvordan man
opnår en fornuftig sikkerhed.

>>Desværre er det nødvendigt at være root for at kunne setuid() og
>>bind() til en low-port, og med "God, root, what's the difference?",
>>så er det ret meget i strid med førnævnte ønske. Capabilities ville
>>være et skridt i den rigtige retning, men ikke en løsning i dette
>>tilfælde, idet setuid() netop giver mulighed for at få komplette
>>root-rettigheder.
>
>Capabilities er heller ikke en UNIX(R)-ting, så i det omfang, man
>vil beholde OpenSSH-ports, er det nødvendigt at holde sig til det
>basale.

Ikke nødvendigvis - man kan give begge muligheder, og så lade
../configure om at vælge den mest optimale.

>Hvis folk skal have tiltro til koden, er det kodens kvalitet, der
>er afgørende. Ikke "vores kode er sikkert fyldt med fejl, men vi
>har spærret fejlene inde, så vi behøver ikke sikre eller auditere
>den kode, der har været udsat for kritik".
>
>Det er lidt den holdning, jeg fornemmer, og derfor jeg peger på
>lighederne til Microsofts politik om kun at rette "nødvendige"
>fejl.

Hvor kommer den fornemmelse fra? Kun fra den analyse du selv indrømmer
ikke er specielt upartisk?

Mvh
Kent
--
"Handlingen blev afbrudt pga. computerens begrænsede effekt"
- Windows NT på en Pentium III 550 MHz

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 21:14

leeloo@phreaker.net (Kent Friis) writes:

>Jeg forholder mig kun til den valgte metode, som i mine øjne er
>fornuftig, og tyder på at man har tænkt lidt mere over hvordan man
>opnår en fornuftig sikkerhed.

Dårlig kode, man ikke ønsker at auditere, med et privilege-hack
ovenpå er fornuftig sikkerhed?

http://www.der-keiler.de/Newsgroups/comp.security.ssh/2002-06/0350.html
er vist heller ikke ligefrem tegn på den vilde omtanke.

>>Capabilities er heller ikke en UNIX(R)-ting, så i det omfang, man
>>vil beholde OpenSSH-ports, er det nødvendigt at holde sig til det
>>basale.

>Ikke nødvendigvis - man kan give begge muligheder, og så lade
>./configure om at vælge den mest optimale.

Er det en god plan at gøre koden endnu mere kompleks? Mere kode
giver større risiko for fejl. Og fejl i systemer som OpenSSH er
ikke ønskelige. Derfor er høj kompleksitet det heller ikke.

>Hvor kommer den fornemmelse fra? Kun fra den analyse du selv indrømmer
>ikke er specielt upartisk?

Se ovenfor.

Mvh.
   Klaus.

Kent Friis (10-03-2003)
Kommentar
Fra : Kent Friis


Dato : 10-03-03 21:46

Den Mon, 10 Mar 2003 20:13:50 +0000 (UTC) skrev Klaus Ellegaard:
>leeloo@phreaker.net (Kent Friis) writes:
>
>>Jeg forholder mig kun til den valgte metode, som i mine øjne er
>>fornuftig, og tyder på at man har tænkt lidt mere over hvordan man
>>opnår en fornuftig sikkerhed.
>
>Dårlig kode, man ikke ønsker at auditere, med et privilege-hack
>ovenpå er fornuftig sikkerhed?
>
>http://www.der-keiler.de/Newsgroups/comp.security.ssh/2002-06/0350.html
>er vist heller ikke ligefrem tegn på den vilde omtanke.

Hvis man lige ser bort fra brok-hovedet for neden, er det præcis
den situation jeg beskrev før - man havde allerede implementeret
privilege-separation da der dukkede en bug op, som den netop ville
fange.

Imens man arbejdede på at rette fejlen, havde andre så tre muligheder:
- at lade som ingenting
- at lukke for ssh
- at bruge privilege-separation som en nødløsning.

Havde privilege-separation ikke været implementeret, havde man kun
haft de to første muligheder.

Om man så er enig i at holde fejlen hemmelig indtil løsningen var
parat er en hel anden diskussion. Folk blev dog advaret om at der
var en fejl, og en mulig midlertidig løsning, en del bedre end når
en fejl bliver holdt fuldstændig hemmelig.

>>>Capabilities er heller ikke en UNIX(R)-ting, så i det omfang, man
>>>vil beholde OpenSSH-ports, er det nødvendigt at holde sig til det
>>>basale.
>
>>Ikke nødvendigvis - man kan give begge muligheder, og så lade
>>./configure om at vælge den mest optimale.
>
>Er det en god plan at gøre koden endnu mere kompleks? Mere kode
>giver større risiko for fejl. Og fejl i systemer som OpenSSH er
>ikke ønskelige. Derfor er høj kompleksitet det heller ikke.

Man må naturligvis altid afveje den risiko-forøgelse den ekstra kode
giver imod den lavere risiko man opnår ved at mindre kode kører
med root-rettigheder.

Mvh
Kent
--
Hvis man ikke kan lide klassisk musik, er det sandsynligvis fordi
lydkvaliteten er for dårlig. Klassisk musik kræver et godt anlæg.

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 22:26

leeloo@phreaker.net (Kent Friis) writes:

>Hvis man lige ser bort fra brok-hovedet for neden, er det præcis
>den situation jeg beskrev før - man havde allerede implementeret
>privilege-separation da der dukkede en bug op, som den netop ville
>fange.

Det er vist ved at blive en genoplivning af den diskussion, der
kørte dengang også. Det tror jeg, vi skal spare gruppen for

Mvh.
   Klaus.

Asbjorn Hojmark (11-03-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-03-03 00:33

On Mon, 10 Mar 2003 17:04:28 +0000 (UTC), Klaus Ellegaard
<klaus@ellegaard.dk> wrote:

> Personligt bruger jeg XNews fra http://xnews.newsguy.com/ når jeg
> læser news med Windows. Der er udbredt enighed om, at det er et
> ret vidunderligt program

Da jeg prøvede det, syntes jeg, det var middelsvært skod. Men OK,
jeg gav det ikke ekstremt meget til at overbevise mig om, det var
bedre end Agent.

Jeg har brugt Agent siden 0.etellerandet, og hver gang jeg prøver
noget andet, er det lidt ligesom at prøve en højrestyret bil: Det
kan da godt lade sig gøre, men det føles bare ikke naturligt.

-A
--
http://www.hojmark.org/

Bertel Lund Hansen (11-03-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 11-03-03 10:44

Asbjorn Hojmark skrev:

>Jeg har brugt Agent siden 0.etellerandet, og hver gang jeg prøver
>noget andet, er det lidt ligesom at prøve en højrestyret bil: Det
>kan da godt lade sig gøre, men det føles bare ikke naturligt.

Nemlig! Jeg har en teori om at Agentbrugere er den mest trofaste
programbrugergruppe.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Madsen (10-03-2003)
Kommentar
Fra : Madsen


Dato : 10-03-03 19:09

Klaus Ellegaard skrev:

> Som Bertel siger, så er Outlook nok et af favoritmålene for folk med
> ubehagelige hensigter.

Men Outlook kan ikke bruges til news. Det kan Outlook Express
derimod :)

--
Med venlig hilsen
Madsen.

Asbjorn Hojmark (11-03-2003)
Kommentar
Fra : Asbjorn Hojmark


Dato : 11-03-03 00:38

On Mon, 10 Mar 2003 19:08:38 +0100, Madsen
<nospam@madsen.tdcadsl.dk> wrote:

> Men Outlook kan ikke bruges til news.

Jo. (Fx. via en Exchange-server).

-A
--
http://www.hojmark.org/

Madsen (11-03-2003)
Kommentar
Fra : Madsen


Dato : 11-03-03 01:01

Asbjorn Hojmark skrev:

>> Men Outlook kan ikke bruges til news.
>
> Jo. (Fx. via en Exchange-server).

Nå ja, så ok da. :)
Det var bare for at undgå den normale misforståelse med at Outlook
og Outlook Express er et og samme program.

--
Med venlig hilsen
Madsen.

Povl H. Pedersen (10-03-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 10-03-03 22:57

In article <MG2ba.1993$hR6.486@news.get2net.dk>, kim wrote:
> Når man sidder og læser i de forskellige nyhedsgrupper,
> kan man der bliver angrebet af en virus ?
>
> Det er fordi min OE6 er hurtigere når jeg har min
> antivirus KAV slået fra...

Jeg har ikke set noget der har angrebet slrn endnu.
Så det er et spørgsmål om at bruge en fornuftig newsreader.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Klaus Ellegaard (10-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 10-03-03 23:09

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> writes:

>> Det er fordi min OE6 er hurtigere når jeg har min
>> antivirus KAV slået fra...

>Jeg har ikke set noget der har angrebet slrn endnu.
>Så det er et spørgsmål om at bruge en fornuftig newsreader.

Noget siger mig, at OE6 og slrn ikke kører på den samme platform.

Hvis man skal snakke sikkerhed i forhold til platforme, er Unix
en vanvittigt ringe platform. Hvor mange exploits er der fundet
til Unix i forhold til f.eks. z/OS eller OpenVMS gennem de sidste
10 år?

....og hvis man har sin sikkerhed kær, hvorfor kører man så ikke
en platform med en ordentlig sikkerhedsprofil såsom netop z/OS
eller OpenVMS?

(Hint: det er nok fordi, man godt kan li' Unix/Windows/whatver,
og derfor er din kommentar inderligt ligegyldig i forhold til
spørgerens artikel)

Mvh.
   Klaus.

Klaus Alexander Seis~ (10-03-2003)
Kommentar
Fra : Klaus Alexander Seis~


Dato : 10-03-03 23:18

Klaus Ellegaard skrev:

> Noget siger mig, at OE6 og slrn ikke kører på den samme platform.

(Slrn kører på bl.a. unices og Win32: <http://www.slrn.org/>.)


// Klaus

--
><>    vandag, môre, altyd saam

Povl H. Pedersen (10-03-2003)
Kommentar
Fra : Povl H. Pedersen


Dato : 10-03-03 23:28

In article <b4j2db$oht$1@katie.ellegaard.dk>, Klaus Ellegaard wrote:
> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> writes:
>
>>> Det er fordi min OE6 er hurtigere når jeg har min
>>> antivirus KAV slået fra...
>
>>Jeg har ikke set noget der har angrebet slrn endnu.
>>Så det er et spørgsmål om at bruge en fornuftig newsreader.
>
> Noget siger mig, at OE6 og slrn ikke kører på den samme platform.

slrn er cross-platform. Og kører også Win32.
>
> Hvis man skal snakke sikkerhed i forhold til platforme, er Unix
> en vanvittigt ringe platform. Hvor mange exploits er der fundet
> til Unix i forhold til f.eks. z/OS eller OpenVMS gennem de sidste
> 10 år?

Nu er z/OS ikke ret gammelt :) Og hovedparten af de fejl der
findes til Linux er ikke fejl i Linux, men fejl i brugerprogrammer
der kører på Linux. Eksempelvis er alle mailserver fejl som regel
tilskrevet styresystemet, mens Windows ikke beskyldes for de
fejl der er i de 10 forskellige mailservere der er der.

Er fejl i TSO, TPX, CICS eller RACF eksempelvis fejl i z/OS ?
Hvad med DB2 som er en del af z/OS ? Hvad med Webshpere ?

Og hvis du slipper mig løs på en OpenVMS eller z/OS maskine,
så er de fleste nok sat forkert op, og jeg vil tro jeg kan
lave skade på begge. Og det faktum at der ikke er mange der
har muligheden for at lede efter fejl mindsker også sandsynligheden
for at de findes.

> ...og hvis man har sin sikkerhed kær, hvorfor kører man så ikke
> en platform med en ordentlig sikkerhedsprofil såsom netop z/OS
> eller OpenVMS?

En del af deres sikkerhed ligger i deres hensygnende eksistens i
baggrunden. Og der er ret mange ting i z/OS posix miljøet der må
gøre ret meget på den gamle OS/390 emulator.

> (Hint: det er nok fordi, man godt kan li' Unix/Windows/whatver,
> og derfor er din kommentar inderligt ligegyldig i forhold til
> spørgerens artikel)

Det er det også, men det betyder også noget at et z/OS miljø
af en rimelig performance koster lidt mere en 5-6000 kr som
en engangsinvestering.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

Klaus Ellegaard (11-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 11-03-03 06:15

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> writes:

>> Noget siger mig, at OE6 og slrn ikke kører på den samme platform.

>slrn er cross-platform. Og kører også Win32.

Ok, det vidste jeg ikke.

>Nu er z/OS ikke ret gammelt :) Og hovedparten af de fejl der
>findes til Linux er ikke fejl i Linux, men fejl i brugerprogrammer
>der kører på Linux. Eksempelvis er alle mailserver fejl som regel
>tilskrevet styresystemet, mens Windows ikke beskyldes for de
>fejl der er i de 10 forskellige mailservere der er der.

Det er vel rimeligt nok at karakterisere en fejl, der rammer en
vis (stor) procentdel af installationerne som en platformfejl?

Eksempelvis er en fejl i Outlook nok typisk for mange Windows-
installationer, ligesom de pænt mange fejl i PINE for nogle år
siden var typisk for Linux-installationer. Begge dele kom med
platformen som "standard" og blev/bliver brugt af en temmelig
stor mængde procentdel af brugerne.

Mvh.
   Klaus.

Jacob Atzen (11-03-2003)
Kommentar
Fra : Jacob Atzen


Dato : 11-03-03 10:05

Klaus Ellegaard <klaus@ellegaard.dk> writes:

> Eksempelvis er en fejl i Outlook nok typisk for mange Windows-
> installationer, ligesom de pænt mange fejl i PINE for nogle år
> siden var typisk for Linux-installationer. Begge dele kom med
> platformen som "standard" og blev/bliver brugt af en temmelig
> stor mængde procentdel af brugerne.

Det kommer an på hvilken Linux distro du vælger. Jeg kan nævne to hvor
jeg er ret sikker på Pine ikke er installeret pr. default (Gentoo og
Debian).

--
Med venlig hilsen
- Jacob Atzen

Martin Schultz (11-03-2003)
Kommentar
Fra : Martin Schultz


Dato : 11-03-03 10:38

Jacob Atzen <jacob@aub.dk> writes:

> Klaus Ellegaard <klaus@ellegaard.dk> writes:
>
> > Eksempelvis er en fejl i Outlook nok typisk for mange Windows-
> > installationer, ligesom de pænt mange fejl i PINE for nogle år
> > siden var typisk for Linux-installationer. Begge dele kom med
> > platformen som "standard" og blev/bliver brugt af en temmelig
> > stor mængde procentdel af brugerne.
>
> Det kommer an på hvilken Linux distro du vælger. Jeg kan nævne to hvor
> jeg er ret sikker på Pine ikke er installeret pr. default (Gentoo og
> Debian).

I gentoo er der jo ikke rigtigt noget der er installeret som default...

Martin

--
Besøg http://adsltips.crunzh.com for guider
til ADSL og opsætning af CISCO router.

Jacob Atzen (11-03-2003)
Kommentar
Fra : Jacob Atzen


Dato : 11-03-03 18:55

Martin Schultz <di020172@jarnsaxa.diku.dk> writes:

> > Det kommer an på hvilken Linux distro du vælger. Jeg kan nævne to hvor
> > jeg er ret sikker på Pine ikke er installeret pr. default (Gentoo og
> > Debian).
>
> I gentoo er der jo ikke rigtigt noget der er installeret som default...

Nej. Men det ændrer ikke på, at Pine ikke er en del af standard
installationen.

--
Med venlig hilsen
- Jacob Atzen

Thomas Corell (11-03-2003)
Kommentar
Fra : Thomas Corell


Dato : 11-03-03 11:45

Jacob Atzen wrote:
> Klaus Ellegaard <klaus@ellegaard.dk> writes:
>
>> Eksempelvis er en fejl i Outlook nok typisk for mange Windows-
>> installationer, ligesom de pænt mange fejl i PINE for nogle år
>> siden var typisk for Linux-installationer. Begge dele kom med
>> platformen som "standard" og blev/bliver brugt af en temmelig
>> stor mængde procentdel af brugerne.
>
> Det kommer an på hvilken Linux distro du vælger. Jeg kan nævne to hvor
> jeg er ret sikker på Pine ikke er installeret pr. default (Gentoo og
> Debian).

Tror du overså "..for nogle år siden var typisk for
Linux-installationer"

--
Don't waste space

Jacob Atzen (11-03-2003)
Kommentar
Fra : Jacob Atzen


Dato : 11-03-03 18:48

Thomas Corell <intheNOSPAMnews@corell.dk> writes:

> Tror du overså "..for nogle år siden var typisk for
> Linux-installationer"

Min fejl.

--
Med venlig hilsen
- Jacob Atzen

Klaus Ellegaard (11-03-2003)
Kommentar
Fra : Klaus Ellegaard


Dato : 11-03-03 17:28

Jacob Atzen <jacob@aub.dk> writes:

>Det kommer an på hvilken Linux distro du vælger. Jeg kan nævne to hvor
>jeg er ret sikker på Pine ikke er installeret pr. default (Gentoo og
>Debian).

"Linux" som helhed. Hvilket inkluderer alle de RedHat 5.x og måske
endda tidligere, der også eksisterer derude.

Mvh.
   Klaus.

Christian Andersen (10-03-2003)
Kommentar
Fra : Christian Andersen


Dato : 10-03-03 23:07

Povl H. Pedersen wrote:

> Jeg har ikke set noget der har angrebet slrn endnu.
> Så det er et spørgsmål om at bruge en fornuftig newsreader.

http://www.linuxsecurity.com/advisories/redhat_advisory-1216.html

http://www.securityfocus.com/bid/2493

--
Save aix1!

Peder Vendelbo Mikke~ (11-03-2003)
Kommentar
Fra : Peder Vendelbo Mikke~


Dato : 11-03-03 00:29

kim skrev:

> Når man sidder og læser i de forskellige nyhedsgrupper, kan man der
> bliver angrebet af en virus ? OE6

Nej, det er i alt fald ikke min erfaring, ikke hvis programmet er or-
dentligt opsat.

Hvis du opdaterer din OE til seneste udgave, har du mulighed for at
læse alle indlæg som om de er rene tekstindlæg [1], det vil sige at du
ikke kommer ud for automatisk afvikling af ondsindet kode indlejret i
HTML-indlæg.

Hvis du ikke har lyst til at opgradere, kan du enten opsætte sikker-
heden ordentligt i OE [2] eller bruge et tillægsprogram til at styre
hvad et indlæg kan få lov til at starte [3]

[1] Funktioner | Indstillinger | fanebladet Læsning | afkryds Læs alle
meddelelser som almindelig tekst.

[2] Opsæt sikkerhedszonen OE anvender gennem Funktioner | Indstillinger
| fanebladet sikkerhed | afkryds klassificeret Zone | afkryds Advar
mig, hvis andre programmer forsøger at sende på mine vegne. Derefter er
det en god ide at løbe igennem, hvordan den klassificerede zone er op-
sat, dette gøres i Internet Explorer (da OE bruger IE til at rendere
HTML-indlæg). Spørg hvis du er i tvivl om noget som hjælpen ikke kan
svare på.

Bemærk i øvrigt, hvis du laver ændringer for nogle af de indbyggede
zoner i IE, vil MBSA (Microsoft Baseline Security Analyzer) klage over
at den ikke kan finde ud af det, det er helt normalt. Hent eventuelt
programmet her og kør det på din maskine:

<URL: http://microsoft.com/TechNet/Security/tools/tools/MBSAHome.ASP >

MBSA vil også fortælle dig, hvis der mangler eventuelle sikkerheds-
opdateringer til din opsætning.

[3] Fidolook afvikler OE og kan derfor styre hvad OE må have lov til
(f.eks. nægte at afvikle ActiveX-komponenter):

<URL: http://www.fidolook.com/index.html.en >

Programmet har et hav af andre funktioner, som du kan læse mere om på
den ovenstående webside.

Programmet er dog lidt hæmmet af en manglende dokumentation og et noget
sjovt engelsk (det er lavet i rusland).


Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408927
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste