Niet admin gebruikers kunnen zomaar wachtwoorden van andere gebruikers aanpassen en zo veel kwaad aanrichten...

Spooter om 10:15, 20-09-2011Niet admin gebruikers kunnen zomaar wachtwoorden van andere gebruikers aanpassen en zo veel kwaad aanrichten...

Overigens is het wel zo handig om dan gelijk ook het lapmiddel erbij te vermelden:

(Bewerkt door Esquare om 15:50, 20-09-2011)

Esquare om 15:49, 20-09-2011

Klopt niet: om de wachtwoorden van andere gebruikers aan te passen, heb je het bestaande wachtwoord van die gebruiker nodig. Alleen het wachtwoord van de gebruiker die momenteel ingelogd is, kan direct worden veranderd. Dat is (theoretisch) erg genoeg, omdat je met een stukje malware op een website dan allerlei ongein kunt gaan uithalen (via sudo). Maar het is niet zo dat niet-admin gebruikers zomaar wachtwoorden van andere gebruikers kunt aanpassen. Niet op deze manier althans.

Overigens is het wel zo handig om dan gelijk ook het lapmiddel erbij te vermelden:

Code: [Selecteer]

$ sudo chmod 100 /usr/bin/dscl

Hier lijkt het toch van wel:

http://reviews.cnet.com/8301-13727_7-20108261-263/os-x-lion-passwords-can-be-changed-by-any-local-user/

In addition to being able to extract the password hashes for a user, any user can also directly change another user's password, including those of system admins, merely by supplying the following command in the Terminal (substituting USERNAME for the short name of the target account):
dscl localhost -passwd /Search/Users/USERNAME

Maar heb het niet zelf uitgeprobeerd

DJAN om 16:57, 20-09-2011
Volgens mij een bug die Apple wel zal aanpassen

Natuurlijk kan je niet zien hoe die experts hun accounts hebben aangemaakt...

mick de ruiter om 16:05, 20-09-2011
Dit plaatst eerdere opmerkingen van 'specialisten' dat Lion het meest veilige OS is in een iets ander licht. Het vertelt ons ook iets over de expertise van deze specialisten.

Die conclusie is natuurlijk absolute flauwekul, want deze kwetsbaarheid in het OS was toen simpelweg nog niet gevonden. Zodra Apple hier een update voor uitbrengt staat hun conclusie dan ook weer als een huis, zegt dat dan ook weer wat over de expertise van deze specialisten?

mick de ruiter om 17:05, 20-09-2011

Citaat

DJAN om 16:57, 20-09-2011
Volgens mij een bug die Apple wel zal aanpassen

Dat mag ik inderdaad hopen

Citaat

Natuurlijk kan je niet zien hoe die experts hun accounts hebben aangemaakt...

Dit begrijp ik niet. Kun je uitleggen wat dit met het onderwerp te maken heeft?

Als je als expert vooraf weet wat het wachtwoord is, dan is het wellicht eenvoudig dit terug te vinden in  het OS. Maar er zijn ook verschillende accounts aan te maken, zoals een admin-account, een niet-admin-account of een gewoon tijdelijk user-account. Afh. hoe je die gaat beveiligen inlog+ww of inlog zonder ww of blanco inlog... tja, feit is dat in realiteit het altijd moeilijker is dan dat deze experts denken. Bij mij mogen ze gerust eens langskomen, ze krijgen mijn MB pro niet mee naar huis. Gewoon, bij mij terplaatse... ik denk dat ze geen weddenschap durven aangaan

Spooter om 16:38, 20-09-2011
Hier lijkt het toch van wel:

http://reviews.cnet.com/8301-13727_7-20108261-263/os-x-lion-passwords-can-be-changed-by-any-local-user/

Citaat

In addition to being able to extract the password hashes for a user, any user can also directly change another user's password, including those of system admins, merely by supplying the following command in the Terminal (substituting USERNAME for the short name of the target account):
dscl localhost -passwd /Search/Users/USERNAME

Maar heb het niet zelf uitgeprobeerd

Dit is in elk geval niet wat in het oorspronkelijke stuk staat. Daar wordt uitdrukkelijk gesproken van de 'current user'. Die jongens van CNET zullen toch niet opzettelijk aan het overdrijven geslagen zijn. Toch?