Nieuws

Unix sudo functionaliteit bewust uit Vista gehouden

zondag 12 augustus 2007, 10:36 door Redactie, 9 reacties

Veel Windows Vista gebruikers vragen zich af waarom ze een applicatie steeds moeten autoriseren en waarom er, net zoals bij Unix, geen setuid root functie is om applicaties veilig te draaien. Microsoft heeft er echter bewust voor gekozen om Unix functies zoals setuid/suid en sudo buiten het besturingssysteem te houden. "Het verhogen van rechten door setuid en sudo is al jaren een plaag voor Unix-achtige systemen," zegt Microsoft's Aaron Margosis.

Voor Vista's User Account Control heeft de softwaregigant een ander visie. Een van de grootste problemen is dat de meeste Windows gebruikers op dit moment als administrator draaien en software deze rechten vereist om geïnstalleerd te worden. Via UAC hoopt Microsoft dat meer gebruikers als "standaard gebruiker" inloggen, en dat ontwikkelaars applicaties gaan ontwikkelen die geen adminrechten vereisen.

Op de vraag waarom UAC om autorisatie voor al lang goedgekeurde applicaties blijft vragen zegt Margosis dat malware hier anders misbruik van kan maken. "Hoe zorg je ervoor dat een kwaadaardige gebruiker de applicatie niet voor andere doeleinden dan waarvoor bedoeld kan gebruiken? En net zo belangrijk, hoe zorg je ervoor dat de malware die de sessie van de gebruiker heeft geïnfecteerd, geen setuid applicatie kan programmeren om het systeem over te nemen?"

Door de introductie van UAC en de standaard gebruiker worden "escalation of privilege" dreigingen veel belangrijker, aangezien voorheen iedereen toch als admin draaide. "Het is daarom belangrijk dat Windows zoveel mogelijk doet om dit te voorkomen. Dit is ook de reden waarom Windows services geen interactie meer met de desktop hebben. Het kiezen voor de setuid problemen waar *nix mee moet leven is dan ook geen slimme keuze."

VS kan 35% wereld telecomverkeer afluisteren

Waarom je al je Google activiteiten moet versleutelen

Reacties (9)

12-08-2007, 12:11 door wimbo

ik vind die plaag wel meevallen hoor. Hoevaak krijg je als
gebruiker hier nu mee te maken (als de applicaties goed
geschreven zijn)?

Ik ken Vista zelf niet goed genoeg, maar op OSX heb je
soortgelijke funtionaliteit en alleen tijdens de installatie
van bepaalde software moet ik EENMALIG (per applicatie) een
wachtwoord geven. Daarnaast wordt sudo binnen terminal
gebruikt als je bepaalde zaken wilt verrichten.
Daar hoor ik eigenlijk niemand over klagen, maar dat komt
volgens mij dat het binnen OSX al sinds jaar en dag zo gebeurt.

12-08-2007, 12:24 door Anoniem

Er zijn anders al vele problemen ontstaan door suid. Het is en blijft
een potentieel veiligheidslek. Zelf draai ik alleen de absoluut
noodzakelijke dingen ermee. Niets dus :P

Hier een linkje waarin zelfs word beweerd dat 50% van de lekker
op linux door suid komen. http://www.net-security.org/
article.php?id=92

Hoe dan ook, als je de keuze hebt, niet gebruiken. Als ik iets als
root wil doen, doe ik gewoon een su of een sux, doe mijn ding en
ga terug naar mijn normale account. Geen enkele rede om iets met
rootrechten uit te voeren als ik niet root ben. Dat root account is er
niet voor niets. Just my 2 cents

-santax-

12-08-2007, 12:31 door Anoniem

ja ja, microsoft preekt weer voor eigen parochie. Geven af
op sudo om hun eigen "perfecte systeem" te promoten.

Hun straatje is nog lang niet schoon!

12-08-2007, 14:49 door spatieman

UAC is het eerst wat ik uitgeschakelt had toen ik mijn vista
doos draaiende had.
uit die rotzooi, ik wil nietbij iedere actie die ik doe
alles moeten bevestigen.
ik weet wat ik doe, en als het fout gaat, dan zet ik mijn
ghost terug..

12-08-2007, 18:04 door fd0

die microzachter heeft het niet begrepen

12-08-2007, 23:22 door Anoniem

UAC a dat venster wat te pas en te on pas te voorschijn
komt. tja idd dat ging als 1 van de eertse uit. net als zo
veel in dat vista.

ach bij mij is dat hele vista ondertussen uitgegaan en in
een baan om de aarde gebracht. ook de cd onklaar gemaakt
voor het geval ik het eens in mijn bol zou krijgen het nog
is te proberen.

ik heb 1 advies voor microflop. MAAK NOU IS WAT GOEDS. in
plaats van iedere keer weer de nodige rommel op de markt te
brengen. ik ben zelfs oude dos fouten tegen gekomen zoals
eerst een map leeg moeten maken voordat je hem kan verwijderen.

wat ik niet snap is dat zo een groot bedrijf als microsoft
het (nog steeds) niet voor elkaar krijgt een versie te
lanceren welke bug vrij is.

des om danks hun marketing concept is dat wel want overal
zie je hun troep draaien. als ze nou is hun tijd in goede
software zouden steken in plaats van goed rommel verkopen.
zou de wereld eindelijk is wat aan hebben. een kale os zou
ik heel fijn vinden bijvoorbeeld. geen rommel er in die er
niet uit te krijgen is zoals internet explorer.

13-08-2007, 10:07 door Anoniem

Ten eerste valt het aantal suid binaries op een UNIX systeem
best mee, en is de toegang tot die binaries goed te
controleren d.m.v. auditd. Ten tweede zijn sudo en suid heel
verschillende dingen, en die twee samen in 1 adem noemen
getuigt van weinig besef over wat UNIX nou eigenlijk
inhoudt. Ten derde is sudo een mechanisme dat ook op een CLI
of over een remote link te gebruiken is... UAC niet.

Ten vierde is het vooral spin van Microsoft om UAC in een
beter licht te plaatsen, terwijl men duidelijk niet weet
waar men het over heeft.

13-08-2007, 11:14 door ml2mst

Door spatieman
UAC is het eerst wat ik uitgeschakelt had toen ik mijn vista
doos draaiende had.
uit die rotzooi, ik wil nietbij iedere actie die ik doe
alles moeten bevestigen.
ik weet wat ik doe, en als het fout gaat, dan zet ik mijn
ghost terug..

Dit bevestigd dus dat Microsoft met har UAC haar doel weer
eens volledig voorbij schiet. Als je dingen te iritant
maakt, gaan mensen het uitzetten en werkt de "beveiliging"
niet meer.

In een sig op Usenet ben ik de volgende tekst vaker tegen
gekomen: the day Microsoft produces something that doesn't
suck is probably the day the start producing vaccuum cleaners.

Dus misschien moeten ze er toch maar eens over na gaan
denken om stofzuigers, in plaats van besturingssystemen te
gaan maken :-)

14-08-2007, 10:33 door SirDice

Suid is ronduit gevaarlijk, iedereen met een beetje kennis begrijpt dat. Daarom zie je tegenwoordig ook nog vrij weinig suid root executables. Suid en sudo hebben ook niet zo heel veel met elkaar te maken..

Maar geen sudo? Ehmm en "Run As.." dan? Ok.. Dat lijkt eigenlijk meer op su maar het effect is hetzelfde (al heb je met sudo meer controle). UAC is een complexe oplossing voor iets heel simpels, die admin rechten moeten er af!!

[url=http://nl.wikipedia.org/wiki/KISS-principe]K.I.S.S.[/url]

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer