Järkyttävä Fast User Switching tietoturvaonge
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Järkyttävä Fast User Switching tietoturvaonge
Viesti Kirjoittaja macurious »
Koneellani on kaksi käyttäjää. Olin lähtenyt ulos ja laittanut koneen uneen. Toinen käyttäjä tuli tällä välin koneelle, herätti sen unesta ja kirjoitti login-ruutuun oman tunnuksensa ja salasanansa _ilman_ Switch user -napin painamista (epähuomiossa). Järkytys oli suuri, kun hänelle oli auennut minun työpöytäni!!!
Ja tämä ongelma on toistettavissa, se tapahtuu aina Screen saverin ja sleepin kirjautumisdialogissa. Eli kunhan tunnus ja salasana ovat oikeat (ilman käyttäjänvaihtoa), niin ilmeisesti kenelle tahansa käyttäjälle aukeaa koneen nukuttaneen tai lukinneen käyttäjän työpöytä! Tulee mieleen Windows 95 ajat, kun kirjautumisikkunasta pääsi ESC:llä ohi...
Eihän näin voi oikeasti olla, eihän?? Testatkaa muutkin.
Minulla on 10.3.8 (Power Mac G5:ssa) ja kaikki muutkin päivitykset ajettuna. Viimeksi tänään ajoin Cocktailin, joten oikeuksien ja muiden pitäisi olla kunnossa. Enkä ole asentanut mitään kolmannen osa-puolen käyttäjätileihin tai niiden hallintaan vaikuttavia softia.
Koitin netistä etsiä tietoa tästä, mutta en löytänyt. En kai minä nyt voi olla ensimmäinen, joka tällaisen ongelman löytää?
-
- Viestit: 28342
- Liittynyt: 21.2.2004 klo 12.07
- Paikkakunta: Vantaa
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja kallekilponen »
...mutta en olisi tuollaista silti uskonut... [:O]
-
- Viestit: 2505
- Liittynyt: 23.11.2004 klo 20.02
- Paikkakunta: Oulu
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja tkt »
Törkeimpiä temppuja oppilaitoksissa on lukita yleisessä käytössä oleva kone poistuessaan paikalta. Tämän kyllä sai kitkettyä aika äkkiä pois ilmoittamalla ko. toimenpiteestä seuraavan automaattisesti käyttöoikeuksien menetys viikoksi. Toisella kerralla enemmän.
No sitten asiaan. Minulla kyllä vaaditaan nukuttaneen käyttäjän oma tunnus. Onko sinulla ja toisella käyttäjällä admin-oikeuksia. Admin-tunnuksella tuo kyllä onnistuu.
--Ari
-
- Viestit: 28342
- Liittynyt: 21.2.2004 klo 12.07
- Paikkakunta: Vantaa
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja kallekilponen »
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja macurious »
Kyllä entisen Windows-käyttäjän logiikka on tässä vähän koetuksella ja mielestäni syystä. Mielestäni se, että ylläpitäjä pääsee näin tallentamaan ja sulkemaan toisen käyttäjän ohjelmat esim. buuttausta varten ei ole riittävä peruste tuolle. Windowsissahan ylläpitäjä voi tehdä tuon heittämällä esim. työpöydän tahallaan lukinneen käyttäjän ulos, mutta ei kuitenkaan pääse tämän työpöydälle ja esim. sähköpostiin.
Lisäksi minua ottaa päähän, että heti jos on jollakin on täällä joku (mielestään) oikea ongelma, joka laittaa OS X:n kyseenalaiseen valoon, niin heti syytetään trollauksesta.
-
- Viestit: 777
- Liittynyt: 31.3.2004 klo 2.17
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja wec »
Monesti tällaiset "ongelmat" johtuvat vain kysyjän tietämättömyydestä tai siitä, että kysyjä ei ole antanut riittäviä tietoja. Nyt esimerkiksi jätit ensimmäisessä viestissäsi kertomatta, että molemmat käyttäjät käyttävät admin-tunnuksia vaikka tämä tieto on oleellinen. Ilman tätä tietoa väite näin helposti löydettävästä tietoturva-aukosta kuulostaa vähintäänkin omituiselta (etenkin kun olisit ensimmäinen joka sen olisi löytänyt). Ja otsikko: "Järkyttävä Fast User Switching tietoturvaongelma" huutomerkin kera, kuulostaa hieman ylireagoinnilta ja kokeneemmasta Mac-käyttäjästä uskomattomalta väitteeltä.macurious kirjoitti:Lisäksi minua ottaa päähän, että heti jos on jollakin on täällä joku (mielestään) oikea ongelma, joka laittaa OS X:n kyseenalaiseen valoon, niin heti syytetään trollauksesta.
-
- Viestit: 461
- Liittynyt: 11.3.2004 klo 17.00
- Paikkakunta: Hattula
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja kartsa »
Ja kyllä se mun järkeen sopii ihan mukavasti, että admin oikeuksilla pääsee mihin vain...
-
- Viestit: 28342
- Liittynyt: 21.2.2004 klo 12.07
- Paikkakunta: Vantaa
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja kallekilponen »
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja macurious »
Ja totta, jätin sen sanomatta, että molemmilla on admin-oikeudet, koska tuossa tilanteessa ei tullut edes mieleeni, että asia voisi johtua siitä (eikä minulla ollut muita valmiita käyttäjätunnuksia, joilla olisin asiaa testata).
Mutta selvä, tulipahan tämäkin opittua. Minusta tuossa on kyllä kyseessä sellainen asia, joka voi oikeasti yllättää ainakin monet kotikäyttäjät (jotka käyttävät konetta tavallisesti admin-tunnuksin), ja minusta se pitäisi lukea jossain selvästi.
-
- Viestit: 370
- Liittynyt: 21.2.2004 klo 7.30
- Paikkakunta: Helsinki
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja Kirjiz »
Toisen käyttäjän ei tarvitse edes olla kirjautuneena sisään, jos haluaa päästä hänen työpöydälleen. Käy vaan vaihtamassa salasanan ja kirjautuu sisään.
-
- Viestit: 35
- Liittynyt: 4.6.2004 klo 11.03
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja haukka »
Tarkemmin asiasta tietävät valaiskoon? Minulla on huoltoja varten erillinen admin käyttäjä, koska säilytän suhteellisen salaista tietoa omalla salatulla levyosiollani, mikäli tämä osoittautuu riittämättömäksi, pitänee harkita jotain erillistä salausohjelmaa, mikä on sinänsä harmi. Ei tietysti ole mitään syytä jättää huoltoon viedessään omaa tunnustaan auki, jotta tuo fast user switching temppu onnistuisi.
-Marko
-
- Viestit: 35
- Liittynyt: 4.6.2004 klo 11.03
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja haukka »
-Marko
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja macurious »
Ihan totta joo, minä ajattelin tuossa lähinnä uusia palvelimelta ladattavia sähköposteja. Mutta niitäkin varten useimmat ovat varmasti tallentaneet sähköpostipalvelimen salasanan avainketjuun, joka tosiaan aukeaa toisellakin tunnuksella.Kirjiz kirjoitti:Pääseehän sähköposteihin ihan vaan lukemalla ne tiedostoista, johon sähköpostiohjelma ne kirjoittaa.
Toisen käyttäjän ei tarvitse edes olla kirjautuneena sisään, jos haluaa päästä hänen työpöydälleen. Käy vaan vaihtamassa salasanan ja kirjautuu sisään.
Eli tuo edellisen kirjoittajan esittämä kysymys avainketjun turvallisuudesta on aika tärkeä. Kokeilin tuota vielä niin, että minulla oli selain ja sähköposti kiinni, ennen kuin tulin työpöydälleni toisella admin-tunnuksella. Sähköpostini uusine viesteineen avautui kiltisti, ja samaten kaikki selaimeen tallennetut www-palvelujen tunnukset ja salasanat. Sitä en osaa sanoa, mitä avainketjulle tapahtuu, joku vaihtaisi salasanani.
Minusta kuitenkaan tuo avainketjun aukaiseminen ei ole mitenkään perusteltua tuossa tilanteessa, jonka tarkoitus on käsitykseni mukaan vain mahdollistaa avointen tiedostojen tallentaminen ja sulkeminen jossain ylläpitotilanteessa.
-
- Viestit: 35
- Liittynyt: 4.6.2004 klo 11.03
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja haukka »
Ylläpitökäyttäjällä ei mielestäni ole mitään tarvetta päästä toisen työpöydällä, koneen sulkeminen ja ohjelmien sammutus onnistuu ilman pääsyä toisen työpöydällekin. (ok, ei ehkä välttämättä avoimien tietojen tallentaminen, mutta kuka poistuu koneelta tallentamatta tiedostojaan?)
-Marko
-
- Viestit: 477
- Liittynyt: 1.9.2004 klo 8.39
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja Macsam »
-
- Viestit: 2928
- Liittynyt: 28.11.2004 klo 14.14
- Paikkakunta: Espoo
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja JHA »
Tuossa on kyllä kiitettävän tietoturva-aukon rakennuspalikat kasassa mikäli tuon loggauksen jälkeen koneen senhetkisenä käyttäjänä on tuon toisen adminin tunnus eikä kyseessä ole pelkkä työpöydän näkyminen.kallekilponen kirjoitti:Ei se ole tietoturva-aukko jos molemmilla on admin oikeudet. Pääsettehän te muutenkin näkemään niillä toistenne kamat. [:^)]
Tuon aukon ansiosta toinen admin-oikeuksien omistaja voisi halutessaan mm. lähettää ja vastaanottaa sähköpostia toisen käyttäjän nimissä tai harrastaa koneella tai verkkoympäristössä erinäisiä pahantekoja toisen käyttäjän nimissä ilman että jäljet johtavat häneen. Kollegan mustamaalaus YT-neuvottelujen painaessa päälle olisi kovinkin helppoa oman työpaikan turvaamiseksi..
Titeoturvasta puhuttaessa ei pidä lähtökohtaisesti olettaa että edes adimin tunnuksien omistajat ovat lähtökohtaisesti rehellisiä ihmisiä.
-
- Viestit: 214
- Liittynyt: 4.5.2004 klo 17.30
- Paikkakunta: Helsinki
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja jarski »
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja macurious »
Toisaalta niiden sovellusten osalta, jotka ovat jo auki uneen mentäessä (esim. Safari ja Mail) avainketju säilyy 'auki', vaikka muuten (uusien sovellusten osalta) olisikin lukossa palattaessa unesta tai screen saverista. Lisäksi tässä on se ylimääräinen harmi, että omalla tunnuksella screen saverista tai unesta palaaminen ei automaattisesti avaa avainketjua, vaan sitä varten pitää uudelleen syöttää avainketjun salasana, kun jotain tietoa avainketjusta tarvitaan.
-
- Viestit: 22809
- Liittynyt: 21.2.2004 klo 11.41
- Paikkakunta: Pori
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja MacFinn »
Ja tietysti, jos jaat koneesi toisen käyttäjän kanssa, mutta koneellasi on todella salattavaa aineistoa, kannattais kenties harkita ihan omaa konetta, jota ei jaeta kenenkään kanssa.
-
- Viestit: 524
- Liittynyt: 22.2.2004 klo 20.54
- Paikkakunta: Jyväskylä
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja hjuutilainen »
Jos ei luota muihin konetta käyttäviin, miksi heille on edes annettu ylläpitotunnus? Eikö olisi järkevämpää antaa muille käyttäjille vakiotunnus ja itse pelailee sitten sillä ylläpidolla.
Samalla tavallahan toimii myös ohjelmien asennus, eli kun asentaja kysyy ylläpitäjän salasanaa, voi ruutuun kirjoittaa ihan minkä tahansa ylläpitotunnuksen ja salasanan.
-
- Viestit: 73
- Liittynyt: 18.3.2004 klo 19.01
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja macurious »
Tietoturva-asioissa on periaatteellisesti aivan turha vedota siihen, että käyttäjille sanotaan, kun esim. FUS-ominaisuutta käynnistetään, että tietoturvataso on alempi. Kuka sen lukee ajatuksella, että mitä se tarkoittaa? Se voi tarkoittaa vaikka sitä, että toinen käyttäjä voi sulkea koneen, jolloin toisen käyttäjän muutokset avoimiin ja tallentamattomiin dokumentteihin tuhoutuvat.
Tässä ei ole nyt kyse mistään henkilökohtaisesta luottamuksesta (tai sen puutteesta) toiseen ylläpitäjään, vaan periaatteellisesta asiasta, josta ei olisi kenellekään mitään haittaa, jos olisi alunperin tehty kunnolla (mutta nykyisellään se voi aiheuttaa tietoturvaongelmia).
-
- Viestit: 477
- Liittynyt: 1.9.2004 klo 8.39
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja Macsam »
20 Macin ylläpitäjänä olen kyllä sitä mieltä, että ylläpitäjän pitää päästä kaikkiin koneella oleviin tietoihin käsiksi. Työ olisi aika hankalaa ilman täydellisiä oikeuksia koneeseen. Valitettava tosiasia on, että käyttäjillä on taipumuksena mm. unohdella salasanojaan ja käyttäjätunnuksiaan.macurious kirjoitti:Olen edelleen vahvasti sitä mieltä, että ylläpitäjilläkään ei ole mitään asiaa toisten ylläpitäjien avainketjuihin, vaan niiden pitäisi koneen lukittuessa oletusarvoisesti lukittua (ja oikealla tunnuksella koneelle palatessa avautua).
Kyllä, pitää paikkansa. Juuri tästäkin syystä niitä ylläpitäjän tunnuksia ei pidä jaella kenelle tahansa. Tietojen katoamisestakin muuten varoitetaan, jos konetta yrittää sulkea silloin kun muita käyttäjiä on vielä kirjautuneena. Ylläpitäjätunnuksen haltijan reiluudesta/epäreiluudesta sitten riippuu miten varoitukseen reagoi.macurious kirjoitti:Se voi tarkoittaa vaikka sitä, että toinen käyttäjä voi sulkea koneen, jolloin toisen käyttäjän muutokset avoimiin ja tallentamattomiin dokumentteihin tuhoutuvat.
-
- Viestit: 2631
- Liittynyt: 12.4.2004 klo 3.34
Re: Järkyttävä Fast User Switching tietoturva
Viesti Kirjoittaja NOx »
Tästä lähtien Menussa lukkoikonin kautta voit lennosta lukita ja avata avainnippuja, lukita ruudun ja pääset pikaisesti eri turvallisuuteen liittyviin asetuksiin.
Palaa sivulle “Tietoturva ja varmuuskopiointi”
- Yleiset aiheet
- ↳ Ajankohtaista Apple-maailmasta
- ↳ Käyttöjärjestelmät
- ↳ Ohjelmat
- ↳ Yleiskeskustelu
- Mac ja oheislaitteet
- ↳ Yleiskeskustelu laitteista
- ↳ MacBook, MacBook Pro ja MacBook Air
- ↳ iMac
- ↳ Mac mini
- ↳ Mac Pro ja Mac Studio
- ↳ Ongelmia Macin kanssa?
- iPhone, iPad ja Apple Watch
- ↳ iPhone-, iPad- ja Apple Watch -laitekeskustelu
- ↳ iPhone-, iPad- ja Apple Watch -ohjelmat sekä iOS
- ↳ Ongelmia iPhonen, iPadin tai Apple Watchin kanssa?
- Huviksi ja hyödyksi
- ↳ Off-topic
- ↳ Kuva ja graafinen suunnittelu
- ↳ Audio ja musiikki
- ↳ Video, televisio ja elokuvat
- ↳ Pelit ja pelaaminen
- ↳ Ohjelmointi, skriptit ja palvelimet
- ↳ Tietoturva ja varmuuskopiointi
- ↳ Verkot, mobiilidata ja muut puhelimet
- ↳ Retronurkka
- ↳ Foorumin ylläpito
- Kauppapaikka
- ↳ Myydään Mac
- ↳ Myydään iPhone, iPad ja iPod
- ↳ Myydään muut Applen tuotteet
- ↳ Myydään muuta tietotekniikkaa
- ↳ Ostetaan Mac
- ↳ Ostetaan iPhone, iPad ja iPod
- ↳ Ostetaan muut Applen tuotteet
- ↳ Ostetaan muuta tietotekniikkaa
- ↳ Vaihdetaan, annetaan, työtä haetaan ja tarjotaan
- ↳ Kauppapaikan keskustelu ja hintavinkit