Mac OS X Lion controleert wachtwoorden niet
Een bug in het nieuwe Mac OS X Lion besturingssysteem zorgt ervoor dat het wachtwoord van gebruikers die via (Open)LDAP willen inloggen, niet wordt gecontroleerd. Elk willekeurig wachtwoord volstaat, alleen een geldige gebruikersnaam is vereist. Volgens berichten van verschillende gebruikers zou het probleem zich zowel voordoen tijdens het inloggen via de grafische user interface als via SSH.
LDAP staat niet standaard ingeschakeld en wordt voornamelijk binnen grote ondernemingen gebruikt als middel om gebruikers te laten inloggen. Apple is inmiddels ingelicht en heeft het probleem bevestigd, maar laat niet weten wanneer het wordt opgelost. De enige oplossing die gebruikers en beheerders op het moment hebben, is het uitschakelen van LDAP authenticatie voor belangrijke diensten.
Blijkt maar weer eens dat Apple security niet echt serieus neemt...
Nee, meneer Dice. 'Single user' bij Mac OSX is net zoiets als altijd als Admin aanmelden bij Windows en dus vragen om moeilijkheden.
Vanaf het begin naast zakelijk hoofdaccount met bijna systeembrede autorisatie ook een persoonlijke met veel minder rechten aangemaakt. Root gebruiken we uitsluitend in Terminal via 'sudo'. Nog meer commentaar van uw kant?
In mijn optiek kan je beter iets uitleggen, dan zeggen dat iemand iets niet begrijpt. Al vond ik het eerste statement "wel eens in single user mode gestart" ook niet erg zinvol, aangezien dat niet uitlegt wat er aan de hand is. Een los statement en er vanuit gaan dat iedereen snapt wat je bedoelt is wat kort door de bocht.
Daarbij kan iedereen gemakkelijk zeggen "jij begrijpt het niet". Niet erg zinvol vind ik. Het zou zinvoller zijn om het alsnog even uit te leggen (aangezien blijkbaar het eerdere statement "wel eens in single user mode opgestart" niet duidelijk genoeg was). Met uitleg bereik je veel meer... Onder het motto: je mag best laten weten dat jij het wel allemaal begrijpt, maar kom dan ook met inhoudelijke informatie en "educate us"...
When you boot on Single User Mode (pressing Cmd+S before the chime) a unix-like root console is provided with no security regards. You are not prompted to provide root password like in debian’s maintenance mode, it just grants the person in front of the computer a root console with root permission. You can do everything root can. Without entering a password!!!
In mijn optiek kan je beter iets uitleggen, dan zeggen dat iemand iets niet begrijpt.
Anoniem als root aanmelden, wat je gezien Vrijdag,15:49 doorAnoniem in SU-mode dus altijd doet wordt sowieso door Apple afgeraden. Voor iemand die (in uw woorden) " duidelijk niet begrijpt wat single user mode is " kan ook dat beter achterwege laten en uitsluitend de GUI gebruiken. Minder arrogante reacties van uw kant zouden wij bijzonder op prijs stellen, sir. Overigens complimenten voor uw Nederlands, aangezien deze titel slechts bij hoge uitzondering is weggelegd voor een niet-Brit.
Cheers,
Patio
Hoewel ik het eens ben met de 14:40 anon dat de heer dice het misschien iets genuanceerder/aardiger kan plaatsen heeft hij op zich wel een punt. Ik snap dat Apple en u liever niet gebruik maken van de single user mode; maar dat neemt niet weg dat deze mogelijkheid aanwezig is.
Dat betekent op zijn beurt weer dat een persoon die met minder nobele doeleinden van uw mac gebruik wilt maken deze weg kan bewandelen en op die mannier uw systeem comprimeren.Dat neemt echter niet weg dat deze 'exploit' fysieke toegang vereist en het dus de vraag is in hoeverre u uzelf hiertegen wilt wapenen; er zijn voldoende andere truukjes toe te passen wanneer fysieke toegang verschaft is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.