Re: Passwörter sicher speichern

Hi,

-- Oliver Fromme <olli(at)lurza.secnetix.de> wrote:

> > > > ja, nur werden die Notizen eben zuvor mit einem Editor in /tmp
> > > bearbeitet
> > >
> > > Oder anderswo; das Verzeichnis ist konfigurierbar. Es muß
> > > nicht /tmp sein (ich hab's auf $HOME/tmp eingestellt).
> >
> > wo ist ja egal, ich meinte das als Metapher.
>
> Oha, dann verstehe ich die Metapher nicht. :-)

"Verzeichnis für Temporäre Dateien".
Ich bin ursprünglich davon ausgegangen, dass der Autor File::Temp nutzt,
hatte beim Überfliegen den Auruf von "gettemp" für "tempfile" gehalten,
das möglichst sichere temporäre Dateien liefert und die i.d.R. in /tmp
anlegt.
Ich weiß auch nicht warum ich das verwechselt habe, wahrscheinlich weil
ich es gewohnt bin für solche Standardaufgaben getestete Module zu
verwenden, zumal wenn sie zum Standard-Lieferumfang gehören.

> > Auf jeden Fall werden die Textdateien unverschlüsselt gespeichert
> und > erst anschließend verschlüsselt abgelegt.
>
> Ja, es geht ja nicht anders, wenn man das Zeug mit seinem
> Editor bearbeiten will.

das ist richtig, aber damit ist es zwar für Notizen geeignet, aber eben
nicht wie empfohlen für "Passwörter sicher speichern".

> Es sei denn, das Tool hat seinen
> eigenen Editor eingebaut, der die Verschlüsselung selbst
> macht, aber das wäre ja grober Pfusch.

warum wäre das "ja grober Pfusch"?
Mein Tool hat den entsprechenden Editor eingebaut und ich finde nirgendwo
auf der ganzen Platte Fragmente der von mir bearbeiteten Passwortlisten.
Und das nenne ich alles andere als groben Pfusch.

> > Für die Aufgabe "Passwörter
> > sicher speichern" ist dies eine denkbar schlechte Lösung,
>
> Es gibt keine andere praktikable Lösung, wenn man alle ge-
> wünschten Anforderungen erfüllen möchte.

die oberste Anforderung für "Passwörter sicher speichern" ist ja
erstmal "Passwörter sicher speichern". ;-)
Wenn man dann auf seinen Lieblingseditor verzichten muss: tjanun ...

Dewegen halten sich moderne Programme seit spätestens 15 Jahren an
allgemeine Richtlinien, damit der Anwender zumindest die Grundfunktionen
überall gleich bedienen kann.

Es mag sein, dass "note" nicht primär zum sicheren Speichern von
Passwörtern entwickelt wurde. OK, aber dann ist es eben dafür auch
nicht das Werkzeug erster Wahl.

> > denn dann kann
> > ich die Passwörter fast gleich als User Root ohne Leserechte für
> andere > ablegen.
>
> Dann kann sie aber kein User ohne root-Rechte lesen.

dann legt man sie eben als User ohne Leserechte für andere ab. Dann kann
es zwar Root lesen, aber dem muss man im anderen Falle ja auch vertrauen.

> Ja, ich hatte Dich so verstanden, daß Du mlock(2) meinst.
> Und das geht nur als root.

hmmm, unter OS X ist dies laut man mlock nicht der Fall. Wie ich nun sehe
unter FreeBSD schon; tjanun, ich gehe davon aus dass es eine wie auch
immer geartete andere Möglichkeit gibt.

> Das einfachste wäre ein Keylogger oder ein Terminallogger
> (ein sehr einfacher wird sogar schon bei FreeBSD mitgelie-
> fert: watch(8)). Der liefert einem dann auch gleich noch
> viele andere interessante Daten.

das hilft aber nichts, wenn er den Rechner unter Kontrolle hat, wenn der
legitime Nutzer ihn nicht unter Kontrolle hat. Da gehen wir vielleicht
von anderen Szenarien aus.

> Zum Fall Notebook schrieb ich ja, daß Swap (und alle rele-
> vanten Dateisysteme) verschlüsselt sein sollten, wenn sen-
> sitive Daten drauf sind.

ja, aber auch ein Desktop-Rechner kann gestohlen werden.

> > [Perl]
>
> Ich lasse das jetzt einfach mal komplett weg. Können wir
> uns darauf einigen, daß unsere Ansichten über Perl stark
> divergieren und sich auch nicht ändern werden? Das Thema
> ist hier ohnehin off-topic.

mich interessieren eben immer die Gründe dafür, insbesondere wenn die
Möglichkeit besteht entsprechende Unzulänglichkeiten zu beseitigen.
Schade, dass Du keine Lust hast die Gründe aufzuzählen. Wenn Du Deine
Meinung änderst, gerne auch als PM.

Jeder hat das Recht, irgendetwas -- berechtigt oder unberechtigt -- nicht
zu mögen. Das ist vollkommen OK, ich mag auch viele Sachen nicht.

Ohne Begründung muss ich aber davon ausgehen, dass es neutral betrachtet
unberechtigt ist ;-) Aber auch das ist OK. Nur wenn dann eben groß
behauptet wird, es sei der größte Mist überhaupt, dann ist das
unschön -- vor allem wenn dies von jemandem kommt, der im allgemeinen
sehr kompetent ist.

> (Übrigens arbeite ich durchaus mit Perl 5, und ich lassse
> mir nicht unterstellen, daß ich mich damit nicht auskennen
> würde. Ich entwickle allerdings keine neuen Anwendungen
> darin, sondern beschränke mich darauf, von anderen geschrie-
> bene Machwerke zu reparieren, zu pflegen, und -- wenn es
> nicht zu viel Zeit kostet -- sie in eine besser geeignete
> Programmiersprache zu konvertieren.)

entschuldige, aber wenn Begründungen fehlen liegt es immer nah, dass
sich der Autor damit nicht gut genug auskennt oder irgendwelchen
Vorurteilen hinterherläuft.
Ich habe daher eher den Eindruck, dass Du die Qualität der Machwerke die
Du zu pflegen hast auf die Sprache projizierst. Nur wenn jemand in Perl
üble Machwerke zusammenpfuscht heißt das noch lange nicht, dass sie in
einer anderen Sprache vom gleichen Autor besser geworden wären.

Außerdem behaupte ich mal, dass man nur durch das Pflegen von
Pfusch-Programmen die entsprechende Sprache nicht beherrschen kann,
sondern ausschließlich dann, wenn man selbst umfangreiche Applikationen
entwickelt. Bei jeder mittleren bis größeren Sache die ich in Perl baue
lerne ich neues dazu.

Nunja, nichts für ungut.

Ciao
  Alvar

-- 
** Alvar C.H. Freude, http://alvar.a-blast.org/
** http://www.wen-waehlen.de/
** http://odem.org/
** http://www.assoziations-blaster.de/

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 10 Mar 2006 - 13:58:51 CET