Anregung: Linux für den besseren Zugriff auf Daten von unterwegs
Hauke Laging
mir kam gerade in den Sinn, dass man Knoppix (o.ä.) auch für einen
sicheren und bequemen Zugriff auf diverse Daten von unterwegs nutzen
könnte, wenn man keinen eigenen Rechner (dabei) hat:
http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
Auch ein Weg, einen größeren Teil der Windows-Fraktion zumindest
gelegentlich mal zu Linux rüberzuholen. :-)
Aber ich weiß, dass ist nicht jedermanns Ziel. Ich poste das hier
trotzdem :-P
F'up2 dcoud
CU
Hauke
--
http://www.hauke-laging.de/ideen/
---
Wie können 59.054.087 Leute nur so dumm sein?
Rainer Haessner
Hauke Laging wrote:
> mir kam gerade in den Sinn, dass man Knoppix (o.ä.) auch für einen
> sicheren und bequemen Zugriff auf diverse Daten von unterwegs nutzen
> könnte, wenn man keinen eigenen Rechner (dabei) hat:
>
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>
> Auch ein Weg, einen größeren Teil der Windows-Fraktion zumindest
> gelegentlich mal zu Linux rüberzuholen. :-)
Lassen wir mal das unpassende Wort der "Windows-Fraktion" beiseite.
Es gibt fuer den Windowseinsatz ebenso berechtigte Argumente wie
fuer Linux oder Mac/OS.
Und beim Fernzugriff spricht momentan alles fuer Windows.
Einen TS-Client findet man unterwegs praktisch ueberall und zwar
auf allen irgendwo vorgefundenen Plattformen. Das geht auch mit
sehr guter Performance ueber schmalbandige Leitungen
mit grossen RTT.
Dank Herrn Pinzari gibt es Unixseitig das in der Version 1.5
mittlerweile sehr gut funktionierende NX, mit den verfuegbaren
Clients sieht es auf irgendeiner unterwegs vorgefundenen Station
dann aber eher mau aus.
Und von X11 wollen wir bezueglich des Fernzugriffs doch bitte
erst gar nicht anfangen.
Ansonsten nichts fuer ungut.
Rainer Haessner
Roland K!pp
> mir kam gerade in den Sinn, dass man Knoppix (o.ä.) auch für einen
> sicheren und bequemen Zugriff auf diverse Daten von unterwegs nutzen
> könnte, wenn man keinen eigenen Rechner (dabei) hat:
>
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
Du schreibst, dass keine Einwände zu erkennen sind. Der erste Einwand,
den ich finden kann ist: Man muss neu booten, was von CD lange dauert
(Bequemlichkeit) und einem auch nicht auf jedem Rechner erlaubt wird
(Geht von "ich bin gerade was unter meiner Kennung was am machen" bis zu
"Dann haben Sie Zugriff auf meine Hardware").
ym2c
Roland
Hauke Laging
> Und beim Fernzugriff spricht momentan alles fuer Windows.
> Einen TS-Client findet man unterwegs praktisch ueberall und zwar
> auf allen irgendwo vorgefundenen Plattformen.
Das mag ja alles sein, aber welcher Normaluser lässt schon seinen
Rechner laufen, wenn er unterwegs ist? :-)
Hinzu kommt, dass derjenige DynDNS nutzen muss, und die
Sicherheitsproblematik ist damit auch nicht aus der Welt.
Arne H.
>
> Auch ein Weg, einen größeren Teil der Windows-Fraktion zumindest
> gelegentlich mal zu Linux rüberzuholen. :-)
Eine denkbar schlechte Idee. Viele fremde Rechner sind über ein
Netzwerk mit NAT mit dem Internet verbunden, oder sie müssen
für den Direktzugang entsprechend konfiguriert werden. Das müsste
dann auch jedesmal in Knoppix geschehen - absolut unbrauchbar!
Ein weiteres Problem: Der entsprechende Rechner müsste jedesmal
neu in Knoppix gebootet werden - was ebenfalls in der Regel nicht
möglich ist, bzw. zumindest höchst unerwünscht, da dann alle laufenden
Anwendungen abgebrochen werden müssten.
Hauke Laging
> Eine denkbar schlechte Idee.
Mit so einer Bewertung qualifiziert man sich nicht gerade für
Höheres.
> Viele fremde Rechner sind über ein
> Netzwerk mit NAT mit dem Internet verbunden, oder sie müssen
> für den Direktzugang entsprechend konfiguriert werden. Das müsste
> dann auch jedesmal in Knoppix geschehen - absolut unbrauchbar!
Du hast ziemlich komisch Kriterien für "absolut unbrauchbar", zumal
das leicht automatisiert werden kann.
> Ein weiteres Problem: Der entsprechende Rechner müsste jedesmal
> neu in Knoppix gebootet werden - was ebenfalls in der Regel nicht
> möglich ist, bzw. zumindest höchst unerwünscht, da dann alle
> laufenden Anwendungen abgebrochen werden müssten.
Nichts außer Wertungen.
Ich lasse sehr ungern Leute an meine Session. Insofern mag es dem
Rechnerbesitzer nur recht sein, wenn der andere zumindest keinen
direkten Zugriff auf sein System hat. Und der Gedanke, dass sich
jemand per bootfähiger CD an den eigenen Daten zu schaffen macht,
kommt wohl nur wenigen Leuten.
Wilfried Hemp
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
Als Admin hätte ich ein grosses Problem, jemanden (Dich) mit seinem eigenen
System in meinem Netzwerk arbeiten zu lassen.
Wenn es aber notwendig wäre, müsstes Du damit auskommen was ich dir zur
Verfügung stelle. Wenn dir das nicht passt, dann lass es.
Das gleiche würde gelten bei einem Einzelplatzrechner der sich selbst
einwählt. Denkst Du im ernst ich gebe dir meine Zugangsdaten?
Solange du einen Account benutzt der meine Daten (sei es auch nur meine
Telefonnummer) zur Identifizierung benutzt müsstes du dir auch noch
gefallen lassen, das ich wissen will was du machst.
Dein Sicherheitskonzept beruht nur auf Sicherheit für deine Daten, das
Sicherheitsbedürfnis des jenigen dessen Netz oder Hardware du benutzen
willst ist dir egal.
Wilfried
Hauke Laging
> Hauke Laging schrieb:
>
>> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>
> Als Admin hätte ich ein grosses Problem, jemanden (Dich) mit seinem
> eigenen System in meinem Netzwerk arbeiten zu lassen.
Dann verhinderst Du also auch irgendwie wirksam, dass jemand sein
Notebook anstöpselt? :-)
> Wenn es aber notwendig wäre, müsstes Du damit auskommen was ich dir
> zur Verfügung stelle. Wenn dir das nicht passt, dann lass es.
Sicher, aber wie repräsentativ bist Du?
> Das gleiche würde gelten bei einem Einzelplatzrechner der sich
> selbst einwählt. Denkst Du im ernst ich gebe dir meine
> Zugangsdaten?
Nein. Hast Du meinen Text überhaupt gelesen? Der geht auf das Problem
ein und geht nirgendwo davon aus, dass man Zugriff auf Einwahldaten
hat.
> Solange du einen Account benutzt der meine Daten (sei es auch nur
> meine Telefonnummer) zur Identifizierung benutzt müsstes du dir
> auch noch gefallen lassen, das ich wissen will was du machst.
Das weißt Du auch nur recht beschränkt, wenn Du jemanden an ein
laufendes Betriebssystem setzt. Wenn Du das detailliert weißt, bist
Du so gar nicht mehr repräsentativ.
> Dein Sicherheitskonzept beruht nur auf Sicherheit für deine Daten,
> das Sicherheitsbedürfnis des jenigen dessen Netz oder Hardware du
> benutzen willst ist dir egal.
Nicht egal, ich habe das bisher nicht als ernsthaftes Problem gesehen
- und das dürfte der Masse der Rechnerbesitzer so gehen. Wenn man
sich da um einen fairen Ausgleich bemüht, wird man sicher nicht an
dem Punkt landen, dass der "Gast" in sensiblem Bereich seine Hosen
runterlassen muss, während der "Gastgeber" im anderen Extremfall
nichts Relevantes zu befürchten hätte.
Ich versuche auch gerade mir vorzustellen, dass Deine Firma
geschäftlichen Besuch hat, jemand über sein Notebook Daten aus
seinem Firmennetz runterladen will, Du ihm aber IPsec, SSH usw.
verwehrst. Irgendwie glaube ich nicht, dass diese Diskussion zu
Deinen Gunsten ausginge. :-)
Norbert Tretkowski
> Wilfried Hemp schrieb am Samstag 12 November 2005 19:07:
>> Als Admin hätte ich ein grosses Problem, jemanden (Dich) mit seinem
>> eigenen System in meinem Netzwerk arbeiten zu lassen.
>
> Dann verhinderst Du also auch irgendwie wirksam, dass jemand sein
> Notebook anstöpselt? :-)
Es gibt Firmen in denen das in der Tat untersagt ist.
Norbert
Nikolaus Rath
> Ich lasse sehr ungern Leute an meine Session. Insofern mag es dem
> Rechnerbesitzer nur recht sein, wenn der andere zumindest keinen
> direkten Zugriff auf sein System hat.
Also wenn root Zugriff auf das gesamte System nicht direkt ist, was
ist dann direkt?
> Und der Gedanke, dass sich jemand per bootfähiger CD an den eigenen
> Daten zu schaffen macht, kommt wohl nur wenigen Leuten.
Ohne mal darauf einzugehen, ob dieser Gedanke wirklich so selten kommt
(mir liegt er recht nahe):
Was spielt das für eine Rolle? Entscheidend ist, dass es möglich ist.
Von erhöhter Sicherheit kann man da nicht sprechen.
--Nikolaus
--
Übermorgen bekommen sie mein endgültiges Vielleicht!
Hauke Laging
>> Dann verhinderst Du also auch irgendwie wirksam, dass jemand sein
>> Notebook anstöpselt? :-)
>
> Es gibt Firmen in denen das in der Tat untersagt ist.
Es gibt sogar Firmen, die das technisch verhindern. :-)
Aber man interessiert sich ja in der Regel für die 99% des Marktes
und nicht für das 1%.
Wilfried Hemp
> Dann verhinderst Du also auch irgendwie wirksam, dass jemand sein
> Notebook anstöpselt? :-)
Ja, und wenn Mittel angewendet werden, die versuchen diese Maßnahmen zu
umgehen hätte das weitreichende Konsquenzen.
> Sicher, aber wie repräsentativ bist Du?
Das ist mir egal.
Wenn Firmen eine andere Vorstellung haben möchte ich dort kein Admin sein.
>> Solange du einen Account benutzt der meine Daten (sei es auch nur
>> meine Telefonnummer) zur Identifizierung benutzt müsstes du dir
>> auch noch gefallen lassen, das ich wissen will was du machst.
>
> Das weißt Du auch nur recht beschränkt, wenn Du jemanden an ein
> laufendes Betriebssystem setzt. Wenn Du das detailliert weißt, bist
> Du so gar nicht mehr repräsentativ.
Als Admin kenne ich die Programme die der User benutzen kann und damit die
Möglichkeiten. Es gibt in Firmen Vereinbarungen die die Benutzung klar
regeln. Privat hättest Du bei mir keine Chance.
> Ich versuche auch gerade mir vorzustellen, dass Deine Firma
> geschäftlichen Besuch hat, jemand über sein Notebook Daten aus
> seinem Firmennetz runterladen will, Du ihm aber IPsec, SSH usw.
> verwehrst. Irgendwie glaube ich nicht, dass diese Diskussion zu
> Deinen Gunsten ausginge. :-)
Zum Glück gibt es auch Firmen in denen die Kompetenzen klar geregelt sind
und beachtet werden. Auch wenn es manchmal schwer ist einem Laien die
Entscheidung zu begründen.
Wilfried
Hauke Laging
>> Du hast ziemlich komisch Kriterien für "absolut unbrauchbar",
>> zumal das leicht automatisiert werden kann.
>
> Könntest du erklären, was du mit "leicht automatisiert" im
> Hinterkopf hast? Vielleicht kann ich Deine Gedanken dann leichter
> nachvollziehen.
Wie ich es in dem Text schon angeführt habe: Man packt auf die CD ein
Windows-Programm, das die Netzwerkkonfiguration scannt und - wenn es
sich nicht um DHCP handelt - die relevanten Daten (IP, Netzmaske,
Gateway, DNS) ermittelt. Diese Daten können dann lokal auf die
Platte geschrieben werden, wo Knoppix sie wiederfindet, oder auf ein
Wechselmedium oder zur Not ausgedruckt oder abgeschrieben werden.
Das taugt natürlich nicht, wenn der Rechner sich direkt einwählen
muss.
> Anbei vielleicht ein Szenario ...
> Netzwerk mit NAT
Haben alle.
> und ein Proxy ist gegeben
Hat fast keiner.
> ... Proxy braucht evtl.
> noch eine Anmeldung vom Rechner (nicht vom User) und läuft auf
> einem nicht standard-port. DHCP wird nicht angeboten ...
>
> Geht sicher ... aber leicht automatisierbar?!
Nein, das nicht. Aber das betrifft 1% der Fälle und ist daher
uninteressant. Die Proxyeinstellung (von der Anmeldung abgesehen)
lässt sich sicher auch aus den verbreiteten Browsern auslesen.
> Entspricht das mit dem Booten deinen Vorstellungen, Hauke?
Das wäre am besten, aber am Ende bin ich ja auf die Möglichkeit
eingegangen, das System auch auf Rechnern zu nutzen, die man nicht
booten kann.
> Wenn ja, dann denke ich auch dass das ein KO-Kriterium ist, weil:
> versuch mal an einem Surf-Terminal - wie es z.B. Universitäten,
> Bahnhöfen, Flugplätzen o.ä. zu finden ist eine CD einzulegen. Ich
> meine, das wären ja dann die entsprechenden Terminals, von denen
> man sicher arbeiten will.
Von solchen Rechnern aus geht das nicht, das ist klar. Eine CD sorgt
ja noch nicht für verfügbare Rechner. Aber wenn die Möglichkeit
besteht, ist sie sehr vorteilhaft, und der Aufwand, so eine CD zu
erstellen, erscheint mir überschaubar.
> Begründung: Damit hätte man Vollzugriff auf Hardware und somit auf
> die Daten.
Denk mal an die Masse der Rechner. Die Alternative wäre für die
meisten Leute, den Besucher mal an den eigenen Rechner zu lassen,
also an die eigene Session. Zugriff auf alle Daten, unter Windows in
aller Regel mit Adminrechten. Wenn man Mist bauen will, kann man das
so auch.
Auf meinem Rechner sind alle Datenpartitionen verschlüsselt, da kann
man meinetwegen ran :-)
> In dem Sinne - wenn ich dich richtig verstanden habe und
> du das mit so einer Boot-CD machen möchtest - halte ich das für
> bedenklich.
Es geht hier ja nicht um wildfremde Menschen, sondern Bekannte oder
Geschäftspartner. Die werden nicht vorhaben, den eigenen Rechner zu
sabotieren, zumal sie es - in den meisten Fällen - genauso könnten,
wenn man sie "normal" an den Rechner ließe.
> Und die Tatsache, dass man an entsprechenden Terminals
> nur ganz arg restriktiven Zugang hat zeigt mir, dass ich nicht der
> einzige bin, der so denkt.
An diesen Geräten sind Wildfremde unbeaufsichtigt über ggf. auch
längere Zeit aktiv.
> Alternativ gibt es Laptops, PDA's, Handys ... die die Funktionen -
> wenn gewünscht - auch übernehmen können.
Kauf Dir ein Notebook, anstatt Dir 'ne CD zu brennen. <LOL> Welch ein
Plan.
> Und wer mehr Sicherheit braucht, muss sich eben selber Gedanken
> machen oder jemanden bezahlen, der sich Gedanken macht - und die
> Verantwortung übernimmt.
Hä? Die Gedanken habe ich mir dochj gemacht. Mein Vorschlag
befriedigt das Sicherheitsbedürfnis des Nutzers prima. Bisher kamen
ausschließlich Einwände bezüglich der Sicherheit des
Rechnerbesitzers.
Hauke Laging
> Also wenn root Zugriff auf das gesamte System nicht direkt ist, was
> ist dann direkt?
Daten legt man verschlüsselt auf 'nem Rechner ab. Da bringt die
Boot-CD rein gar nichts.
Direkt nenne ich es, wenn Otto-Normal-Windowsuser mich an seinen
Rechner lässt. Mit Adminrechten. Folglich mit Zugriff auf alles.
> Was spielt das für eine Rolle? Entscheidend ist, dass es möglich
> ist. Von erhöhter Sicherheit kann man da nicht sprechen.
Du verwechselst gerade die Sicherheiten. Es geht um eine Erhöhung der
Sicherheit für den Nutzer. Wenn der keinen Rechner findet, der ihm
für einen Reboot zur Verfügung gestellt wird, kann er sich immer
noch entschließen, den unsicheren Weg zu gehen (siehe auch die
Erweiterung für nicht bootbare Rechner am Ende des Dokuments).
Rainer Hattenhauer
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
ich verstehe nicht genau, was da jetzt neu dran sein soll. Der erste
Teil des Konzepts (wo man Knoppix und einige Zertifikate / persönliche
Daten auf einer CD / DVD unterbringen soll) läuft auf ein Remastern von
Knoppix hinaus; Verschlüsselung des Heimverzeichnis: siehe das
französische Projekt Knoppix MiB), die zweite Geschichte (Knoppix in
Verbindung mit einem Wechselmedium, sprich USB-Stick) ist bei Knoppix
per default machbar.
Kläre uns bitte auf,
Gruß
Rainer
Florian Cramer
Ein wirklich "vertrauenswürdigen Zugang ins Netz", um das obige Papier
zu zitieren, bietet diese Lösung nicht, da
1.) auf dem Rechner, der als Zugangsterminal mit der CD gebootet werden
soll, ein Hardware-Keylogger laufen kann.
2.) wenn im lokalen Netz der Netzverkehr über einen Zwangsproxy läuft,
der den Datenverkehr manipuliert bzw. man-in-the-middle attacks
ausführt.
Ich sehe - abgesehen von eventuell installierten Software-Keyloggern -
keinen dramatischen Sicherheitsgewinn gegenüber der Lösung, auf einem
Windows-Fremdrechner die putty-Downloadseite aufzurufen, das Programm
direkt vom Browser aus zu starten und sich damit auf dem Heimrechner
einzuloggen.
-F
--
http://cramer.plaintext.cc:70
gopher://cramer.plaintext.cc
Adrian Knoth
>>> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
> Ein wirklich "vertrauenswürdigen Zugang ins Netz", um das obige Papier
> zu zitieren, bietet diese Lösung nicht, da
Ohne das Papier gelesen zu haben, aber die Lösung heißt sowieso
TrustedComputing (TCPA) oder eigene Hardware, z.B. im Smartphone,
Subnotebook oder wie auch immer.
Im Übrigen kann ich die Argumentation des Autors nicht gutheißen,
Einwände mit frei erfundenen "Hat keiner/hat jeder/brauchen nur 1%"-
Mengenangaben zu beantworten.
Ich warte auf den Tag, an dem das mobile System mir mit kryptografisch
gesicherter Hard- und Software (TCPA) sagt, daß ich in diesem Kontext
garantiert nicht sniffbar bin. Bis dahin verwende ich für den mobilen
Datenzugang Einmalpaßwörter (one-time passwords, z.B. opie).
--
mail: a...@thur.de http://adi.thur.de PGP: v2-key via keyserver
Lieber einen albernen Haufen als einen Haufen Albaner (Ingo Appelt)
Hauke Laging
> ich verstehe nicht genau, was da jetzt neu dran sein soll.
> Kläre uns bitte auf,
Du stellst wirklich interessante Fragen. Ich skizziere eine
Situation, in der ein Benutzer verbreiteter Internetsoftware sich
mit einem Hilfsprogramm mittels weniger Klicks ein indivuduelles
Knoppix erstellen kann, das einen ganz bestimmten Zweck erfüllt.
Gibt es das heute? Nein.
Was soll also die Frage, was daran neu sei?
Ich habe nicht behauptet - und das macht eine Idee auch nicht besser
-, dass hier technische Wunder zu vollbringen seien. Das ist ja
gerade das Schöne daran, dass dieser Vorschlag mit wenig Aufwand
umsetzbar ist.
Was "heute schon irgendwie geht, indem man a)... b)... c)..."
interessiert die Masse der User nicht, insbesondere die
Windows-User.
Hauke Laging
>>> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>
> Ein wirklich "vertrauenswürdigen Zugang ins Netz", um das obige
> Papier zu zitieren, bietet diese Lösung nicht, da
>
> 1.) auf dem Rechner, der als Zugangsterminal mit der CD gebootet
> werden soll, ein Hardware-Keylogger laufen kann.
Korrekt. Aber der bringt wenig, wenn man das System in der
angedachten Weise benutzt, jedenfalls keinen Zugriff auf die eigenen
Zugangsdaten. Auf dieses Problem bin ich im Text übrigens
eingegangen (Absatz "Sicherheit gegen gezielte Angriffe").
> 2.) wenn im lokalen Netz der Netzverkehr über einen Zwangsproxy
> läuft, der den Datenverkehr manipuliert bzw. man-in-the-middle
> attacks ausführt.
Wie soll denn ein Zwangsproxy SSL-Verbindungen entschlüsseln? Der Gag
an dieser Vorgehensweise ist ja gerade, dass man die Zertifikate
alle dabei hat. Natürlich kann eine Netzwerkkonfiguration
Verbindungen verhindern.
> Ich sehe - abgesehen von eventuell installierten
> Software-Keyloggern - keinen dramatischen Sicherheitsgewinn
> gegenüber der Lösung, auf einem Windows-Fremdrechner die
> putty-Downloadseite aufzurufen, das Programm direkt vom Browser aus
> zu starten und sich damit auf dem Heimrechner einzuloggen.
Bei der Masse der Anwender läuft weder der Heimrechner in
Abwesenheit, noch läuft auf dem ein sshd noch ist der Rechner per
DynDNS erreichbar. Und selbst wenn das so wäre, bietet putty immer
noch keinen Zugriff auf grafische Anwendungen.
Die Linux-Admin-Fraktion mag das so machen, ich mache es selber so,
aber das ist eben nur zum kleinen Teil die Zielgruppe (quantitativ
wie qualitativ).
Hauke Laging
> Florian Cramer <can...@zedat.fu-berlin.de> wrote:
>
>>>>
http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>> Ein wirklich "vertrauenswürdigen Zugang ins Netz", um das obige
>> Papier zu zitieren, bietet diese Lösung nicht, da
>
> Ohne das Papier gelesen zu haben, aber die Lösung heißt sowieso
> TrustedComputing (TCPA) oder eigene Hardware, z.B. im Smartphone,
> Subnotebook oder wie auch immer.
Was auch immer Trusted Computing jemandem bringen soll, der sich an
einen unbekannten Rechner setzt und lediglich die Bildschirmanzeige
als Anhaltspunkt hat. :-)
Natürlich löst sich das Problem, wenn man eigene Hardware hat. Dann
stöpselt man das Notebook an und gut ist. Hat aber nicht jeder. Ich
persönlich sehe in einer kostenlosen Softwarelösung schon eine
Alternative zum Kauf von Hardware.
> Im Übrigen kann ich die Argumentation des Autors nicht gutheißen,
> Einwände mit frei erfundenen "Hat keiner/hat jeder/brauchen nur
> 1%"- Mengenangaben zu beantworten.
Ich weiß ja nicht, wie Du Einwände "beantwortest" und wie Du im
täglichen Leben ohne "frei erfundene Abschätzungen" auskommen
willst, aber mit der wirtschaftlichen Realität hat Deine Bewertung
dann wohl wenig zu tun.
Welche Möglichkeiten gibt es, auf einen "Das kommt vor und verhindert
diese Umsetzung"-Einwand zu reagieren? Man kann zeigen, dass es die
Umsetzung nicht verhindert. Das war hier nicht der Fall. Ansonsten
muss man sich überlegen, ob der Einwand relevant ist, und das ist
eine Frage der Häufigkeit. Man könnte einen Einwand, der ohne
Behauptung der Häufigkeit kommt, schon als unseriös ansehen, denn
was soll man damit anfangen? Sicher kann man die Bringschuld bei mir
sehen, aber ich halte die genannten Abschätzungen für offensichtlich
und gedenke nicht, Umfragen zu veranstalten, um sie zu belegen. Wer
das anders sieht - bitte, damit habe ich kein Problem.
> Ich warte auf den Tag, an dem das mobile System mir mit
> kryptografisch gesicherter Hard- und Software (TCPA) sagt, daß ich
> in diesem Kontext garantiert nicht sniffbar bin.
Ist ja toll. Und so vertrauenswürdig, wenn ein unbekanntes System
einem das sagt... Abgesehen davon, kannst Du ja mal seriös schätzen,
wie viele Leute heute mit Einmalpasswörtern arbeiten. Und dann sag
mir noch, dass mein Ansatz sinnlos ist, weil ja kaum jemand für ihn
übrigbleibt...
Hauke Laging
> mag gehen, aber unter Benutzerfreundlich verstehe ich was anderes.
Was denn? Was denn mehr als "Benutzer muss kaum was tun und auch
nicht begreifen, was da passiert"?
> Welches Win-Programm würdest du einsetzen wollen?
Keine Ahnung, ob es so was schon gibt. Mit Windows kenne ich mich gar
nicht aus.
>> > und ein Proxy ist gegeben
>>
>> Hat fast keiner.
>
> Irrtum. Haben zumindest in Firmen fast alle. Die Dinger nennen sich
> da nur ALG's. Kannst ja mal googlen, was das ist und wozu das gut
> ist.
Och, da sich auf meiner Webseite u.a. ein Dokument findet, wie man
die noch für andere Zwecke sinnvoll einsetzen könnte, darf man davon
ausgehen, dass ich weiß, was das ist. :-)
> die 1% hab ich oben ausgehebelt. Geh mal davon aus, dass nur
> private Netze das nicht haben.
Eine Anmeldepflicht beim Proxy?
> Ein von CD startbares Cygwin ... gut ... aber zusammen mit der
> Knoppix-Boot-CD steigt an dieser Stelle der Aufwand immens...
Mag sein, ich kann das nicht beurteilen, aber wundern würde es mich
schon. Ich habe mal gelesen, dass Cygwin-Programme nur gegen andere
Bibliotheken gelinkt werden müssten. Das klang - für Leute mit
Ahnung - nicht so aufwendig. Die Konfigurationsmanipulation wäre ja
dieselbe, also an dieser Stelle kein Mehraufwand.
> hast du dafür schon einen Prototypen zum testen?
Sicher...
>> Auf meinem Rechner sind alle Datenpartitionen verschlüsselt, da
>> kann man meinetwegen ran :-)
>
> Datenpartitionen sicher ... mein Rootkit interessiert sich
> allerdings erst nach der Installation für deine Datenpartititonen
Und Du meinst, dass es einem Angreifer, der Zugriff zum laufenden
System bekommt, nicht möglich wäre, ein Rootkit zu installieren? Ich
erkenne an, dass das bei entsprechend konfigurierten Systemen und
Netzen schwieriger ist als per Boot-CD. Aber ob es das Risiko wert
ist? Wenn auf dem Rechner später irgendwelche Unstimmigkeiten
entdeckt werden und ja bekannt ist, dass man selber da dran war?
>> > Und die Tatsache, dass man an entsprechenden Terminals
>> > nur ganz arg restriktiven Zugang hat zeigt mir, dass ich nicht
>> > der einzige bin, der so denkt.
>>
>> An diesen Geräten sind Wildfremde unbeaufsichtigt über ggf. auch
>> längere Zeit aktiv.
>
> ich dachte genau solche Geräte meinst du. Bei Leuten, denen ich
> vertraue habe ich keine Probleme ...
Nein, die meinte ich nicht, weil man die ja nicht booten kann.
> naja, einen Rechner brauchst du so oder so ... und so teuer sind
> die Alternativen nicht mehr - entsprechende Handys gibts ab 0€
Na, dann hat ja bald die gesamte Zielgruppe eins - oder? ;-) Einen
Rechner brauche ich sowieso, aber der muss eben nicht mir gehören.
Außerdem geht es um ein einfaches, mehr oder weniger idiotensicheres
System. Das sehe ich beim Umstieg auf internetfähige Handys nicht.
> gut, und was ist, wenn ein Hardwarekeylogger mitläuft? Nur mal so
> als Anregung ...
Zumindest für die Zugangsdaten kein Problem, nur für von dort
geschriebene E-Mails. Darauf bin ich im Text eingegangen (Absatz
"Sicherheit gegen gezielte Angriffe").
Hauke Laging
>> Gibt es das heute? Nein.
>
> imho könnte man fli4l wahrscheinlich dazu vergewaltigen ... und das
> gibts schon ...
Was hilft denn "könnte"? Welche Plattform man nimmt, ist mir doch
völlig egal. Dass fli4l mit einem kompletten X-System und
Anwendungen daherkommt, ist mir allerdings neu.
Hauke Laging
>> Was hilft denn "könnte"? Welche Plattform man nimmt, ist mir doch
>> völlig egal. Dass fli4l mit einem kompletten X-System und
>> Anwendungen daherkommt, ist mir allerdings neu.
>
> naja, auf so einem könnte ist die ganze Disskussion bisher
> aufgebaut. warum das Rad neu erfinden, wenn man nur noch ein paar
> mehr Speichen einziehen muss, um es für die spezielle Verwendung
> fit zu machen?
Dem stimme ich zu, aber es wäre doch sinnvoll, dass Du dazusagst,
waum das mit fli4l einfacher sein soll als mit Knoppix.
Hauke Laging
>> Was denn? Was denn mehr als "Benutzer muss kaum was tun und auch
>> nicht begreifen, was da passiert"?
>
> Vorhin hast du noch was von "zugangsdaten aufschreiben und
> eingeben" geschrieben. Darauf hab ich mich bezogen... kann man hier
> im Usenet nachlesen.
Als Alternative, wenn ersteres nicht klappt.
> also fehlt diese Funktionalität deinem Prototyp ... aber es ist ja
> auch noch keine Endversion ...
Es wird von mir keinen Prototypen geben. Das ist eine Anregung.
Vielleicht greift die jemand auf, sonst eben nicht. Wenn ich das
selber machen wollte, täte ich mir das hier nicht an. :-)
> Das freut mich für dich. Dennoch, wie willst du um die
> Anmeldepflicht bei den Dingern herumkommen.
Gar nicht. Das ist dann der Fall eines nichtbootbaren Rechners.
>> > hast du dafür schon einen Prototypen zum testen?
>>
>> Sicher...
>
> Link?
Du verstehst Ironie schon, oder? Wenn ich etwas programmiert hätte,
hätte ich das hier wohl über die Webseite zugänglich gemacht.
> Grade für diese Wären Alternativen zu java-ssh und
> einmalpasswörtern interessant.
> Schade eigentlich.
SSH kommt für die meisten nicht in Frage. Für eine
Passwortalternative müssten entweder die genutzten Dienste geändert
werden, oder jemand müsste dafür einen Proxy bauen. Der dann alle
eigenen Zugangsdaten hätte... Da hat m,an die doch lieber auf CD.
Oder?
>> > naja, einen Rechner brauchst du so oder so ... und so teuer sind
>> > die Alternativen nicht mehr - entsprechende Handys gibts ab 0€
>>
>> Na, dann hat ja bald die gesamte Zielgruppe eins - oder? ;-)
>
> weiß nicht - wie groß ist denn der Handy-Verbreitungsgrad in der
> Zielgruppe. Kannst diese ja mal umreißen ...
Eben waren wir noch bei "entsprechenden Handys", oder?
Hauke Laging
> mal zusammenfassend ... viel heiße Luft um wenig neues also.
<LOL>
> Ich meine, so wie du dich anhörst hast du zwar einen Prototyp
Wirf mal einen Blick ins Subject, soll im Usenet ganz nützlich sein.
Adrian Knoth
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>> Ohne das Papier gelesen zu haben, aber die Lösung heißt sowieso
Ich hab es mir jetzt mal durchgelesen. Kann es sein, daß davon
bereits Teile im netdigest aufgetaucht sind? Ich war zumindest
streckenweise latent amüsiert ;)
Erst einmal grundsätzlich: ich würde *nie* *nie* *nie* relevante
Schlüsseldaten auf mobile Datenträger packen; bei deiner
Konfiguration steht und fällt alles mit der Passphrase.
Die Idee mit dem Softkeyboard ist nett, ich würde mich aber nicht
darauf verlassen wollen.
--- schnipp ---
Speicherung gesendeter Mails
Etwas ärgerlich ist, dass gesendete Mails bei POP3-Nutzern nicht
gespeichert werden können. Hilfreich wäre daher die Option, sich
selber diese Mails zu schicken (oder sie irgendwo im Netz abzulegen),
so dass man sie zu Hause als gesendet importieren könnte, wenn jemand
so nett ist, ein entsprechendes Programm zu schreiben.
--- schnapp ---
Das ist die Härte. Ich bewundere deine Fähigkeit, im Kontext
von Sicherheitsfragen an outgoing mailcopy zu denken, mal davon
abgesehen, daß IMAP das Problem lösen würde. Jenes von dir
gewünschte Programm existiert übrigens schon, in procmail wäre
es ein From-Matching.
Was du nicht bedenkst: der ausführende Rechner hat alles im
Klartext im RAM. Man nehme einen Firewire-Anschluß und kopiere
sich den Arbeitsspeicher auf ein anderes System. Voilà.
Die Einwände bezüglich Hardware-Keyloggern und "darf nicht
rebooten" kennst du bereits. Ich möchte noch auf coLinux
hinweisen, sofern das irgendwas hilft.
>> TrustedComputing (TCPA) oder eigene Hardware, z.B. im Smartphone,
>> Subnotebook oder wie auch immer.
> Was auch immer Trusted Computing jemandem bringen soll, der sich an
Man nimmt die Software, z.B. aus dem Netz, und sorgt dafür, daß
sie im gesicherten Kontext ausgeführt wird. Ohne entsprechende
Authorisierung der Hardware gegenüber der Software kommt die
Anwendung nicht zur Ausführung.
> Natürlich löst sich das Problem, wenn man eigene Hardware hat. Dann
> stöpselt man das Notebook an und gut ist. Hat aber nicht jeder.
> Ich persönlich sehe in einer kostenlosen Softwarelösung schon eine
> Alternative zum Kauf von Hardware.
Ich weiß schon, was du meinst, ich sage auch nicht, daß es
gänzlich unnütz ist, aber ein Knoppix zu booten und damit
einen halbwegs anständigen ssh-Client zu haben ist nicht
schwer. Die Idee, weitere Paßwörter nicht eingeben zu müssen,
weil sie schon abgespeichert sind, ist zwar nett, verlagert
das Problem aber nur auf eine andere Ebene.
Der Bastard-Rechner-from-Hell teilt das CDROM mit einer anderen
Kiste, snifft die Tastatur weg und kopiert das Image. Ich gebe
zu, daß das nicht die Regelkonfiguration ist, aber du willst
ja Sicherheit machen und nicht neue Scheunentore aufreißen.
>> Im Übrigen kann ich die Argumentation des Autors nicht gutheißen,
>> Einwände mit frei erfundenen "Hat keiner/hat jeder/brauchen nur
>> 1%"- Mengenangaben zu beantworten.
> Ich weiß ja nicht, wie Du Einwände "beantwortest" und wie Du im
> täglichen Leben ohne "frei erfundene Abschätzungen" auskommen
> willst,
Man argumentiert gegen Einwände. Man macht keine idiotischen
Allaussagen, die sowieso nicht haltbar sind. Und man erfindet
erst Recht keine Statistik, sondern besorgt sich eine, die
halbwegs wasserdicht ist, vulgo, bei der man die Fälschung
nicht sofort bemerkt.
"Jeder hat NAT". Ich darf das durchaus anders sehen, ja? An meinem
Laptop gibt es häufig nichtmal IPv4, dafür aber ne öffentliche
IPv6-Adresse. "Für alle Nutzer gilt"-Sätze erledigt man mit einem
Gegenbeispiel. Argument gekillt.
"Proxy hat fast keiner." Ok, immerhin ein "fast". Ich kenne und
betreue ausschließlich Firmen hinter Proxy-Gateways. Meine Sicht
ist natürlich nicht allumfassend, aber das Argument ist ziemlich
schwach. Es gibt sogar Firmen, da nimmt man einen Citrix-Client,
um irgendwo auf einem Applicationserver zu surfen. Es fallen
mir auf Anhieb zwei Beispiele ein.
"Das gilt für 99%". Wenn das wirklich Statistik wäre, würde ich
mir über solch eine Signifikanz Gedanken machen.
> Und dann sag mir noch, dass mein Ansatz sinnlos ist, weil ja
> kaum jemand für ihn übrigbleibt...
Implementier den Kram und stell ihn zum Testen zur Verfügung.
Ich bin ja wirklich immer dafür, alternative Ideen eine Chance
zu geben.
Ansonsten ist die Sache hiermit für mich beendet. Ach eines noch:
An welcher Uni studierst du eigentlich?
--
mail: a...@thur.de http://adi.thur.de PGP: v2-key via keyserver
If Windows crashes and destroys itself, is this called lossage?
Hauke Laging
> Erst einmal grundsätzlich: ich würde *nie* *nie* *nie* relevante
> Schlüsseldaten auf mobile Datenträger packen; bei deiner
> Konfiguration steht und fällt alles mit der Passphrase.
Eben. Deshalb packe ich auch hemmungslos Backups meiner sensiblen
Daten auf meine Webseite. :-)
> Das ist die Härte. Ich bewundere deine Fähigkeit, im Kontext
> von Sicherheitsfragen an outgoing mailcopy zu denken, mal davon
> abgesehen, daß IMAP das Problem lösen würde.
Kommen wir mal zu meiner Bewunderung. Erklär mir mal das
Sicherheitsproblem, wenn man eine Mail an Peter Müller schickt und
die außerdem an sich selber?
Natürlich löst IMAP das Problem, deshalb nutze z.B. ich es. "Steig
auf IMAP um" ist aber sicher kein Motto, mit dem man viele User
überzeugt, zumal die dafür womöglich plötzlich zahlen müssten und
generell eh keinen Bock haben, mehr als nötig umzustellen.
> Was du nicht bedenkst: der ausführende Rechner hat alles im
> Klartext im RAM. Man nehme einen Firewire-Anschluß und kopiere
> sich den Arbeitsspeicher auf ein anderes System. Voilà.
Interessant. Das probieren wir doch mal aus. Ich boote Linux von CD
auf einem Rechner mit Firewire-Anschluss, und Du lädst den
RAM-Inhalt runter. Da setze ich doch mal 50 EUR, dass das nichts
wird. :-) Sag Bescheid, wenn Du mal in Berlin bist.
> Ich möchte noch auf coLinux
> hinweisen, sofern das irgendwas hilft.
Als Sicherheitsbedrohung oder Realisierungserleichterung? ;-)
> Der Bastard-Rechner-from-Hell teilt das CDROM mit einer anderen
> Kiste, snifft die Tastatur weg und kopiert das Image. Ich gebe
> zu, daß das nicht die Regelkonfiguration ist, aber du willst
> ja Sicherheit machen und nicht neue Scheunentore aufreißen.
Zwei IDE-Adapter am selben Kabel? Das wird sicher geil. Aber das man
am IDE-Kabel sniffen kann, würde ich gerade noch glauben. Jeder muss
wissen, wie viel Sicherheit er braucht. Man lese dazu mal die
gpg-Doku. Die Erläuterung, warum Schlüssel nicht länger sein müssten
als 1024 Bit zieht einem echt die Schuhe aus. Nicht ohne Grund habe
ich den Begriff "Garantie" im Zusammenhang mit Sicherheit in meinem
Text in "" gesetzt. Auf jeden Fall reduziert man das Risiko einer
geknackten, viren- und oder trojanerverseuchten Maschine und eines
manipulierten Netzwerks auf Angriffe auf die konkrete Hardware. Über
wie viele Größenordnungen reden wir da, drei, vier? :-)
> Man argumentiert gegen Einwände.
Das Argument ist, abseits aller streitbaren Formulierungen -, dass
die genannten Problemfälle jeweils nicht so viele Rechner
ausschließen, dass der Ansatz dadurch sinnlos wird.
> "Für alle Nutzer gilt"-Sätze erledigt man mit einem
> Gegenbeispiel. Argument gekillt.
<LOL>
Für Kleingeister vielleicht, die über den Wortlaut nicht
hinausdenken.
> Implementier den Kram und stell ihn zum Testen zur Verfügung.
> Ich bin ja wirklich immer dafür, alternative Ideen eine Chance
> zu geben.
Was ändert sich an der Idee durch Implementierung? Die ist so
harmlos, dass noch keiner hier darin eine Hürde gesehen hat.
> Ansonsten ist die Sache hiermit für mich beendet.
Dagegen ist nichts zu sagen, sobald man Spuren in dem Konzept
hinterlassen hat.
> Ach eines noch:
> An welcher Uni studierst du eigentlich?
Das steht doch über dem Text, den Du gelesen hast. An der TU Berlin.
Dominique Görsch
> mir kam gerade in den Sinn, dass man Knoppix (o.ä.) auch für einen
> sicheren und bequemen Zugriff auf diverse Daten von unterwegs nutzen
> könnte, wenn man keinen eigenen Rechner (dabei) hat:
>
> http://www.hauke-laging.de/ideen/sicherheits-knoppix/konzept.html
>
> Auch ein Weg, einen größeren Teil der Windows-Fraktion zumindest
> gelegentlich mal zu Linux rüberzuholen. :-)
> Aber ich weiß, dass ist nicht jedermanns Ziel. Ich poste das hier
> trotzdem :-P
VMware-Player und fertige Surf-VMs existieren, da muss nichts gebootet
und nichts installiert werden und ich gebe keinem Zugriff auf meine
Hardware. Ich weiss nicht was für Freunde oder Bekannte du hast, aber
ich lasse auf meinen System niemanden ein eigenes OS booten, weil damit
die Policies und Regelementierungen unter meinem OS fürn Ar*** wären,
denn die habe ich nicht um mich selber zu Reglementieren, sondern für
Gäste...
Wenn mal jemand an meinen Rechner muss, der mit dem in der VM
gestarteten Surf-Linux nicht klarkommt, dem stelle ich einen
Gast-Account zur Verfügung. Immernoch sicherer und einfacherer als ein
anderes OS zu booten.
Wenn ich mir die Liste deiner "Erfindungen" und Ideen anschaue, drängt
sich mir die Vermutung auf, dass du viel zu viel Freizeit hast...
Im übrigens reicht auch ein Mini-USB-Stick mit PuTTY und Keyfiles um
sicher an eigene Daten zu kommen.
Gruß Domi.
Hauke Laging
> VMware-Player und fertige Surf-VMs existieren, da muss nichts
> gebootet und nichts installiert werden
Nicht mal die Surf-VM. :-)
> und ich gebe keinem Zugriff auf meine Hardware.
Dein gutes Recht.
> Ich weiss nicht was für Freunde oder Bekannte du hast
Mir scheint, dass die Masse der Leute das ganz anders sieht, denen
ist das schlicht egal.
> Wenn mal jemand an meinen Rechner muss, der mit dem in der VM
> gestarteten Surf-Linux nicht klarkommt, dem stelle ich einen
> Gast-Account zur Verfügung. Immernoch sicherer und einfacherer als
> ein anderes OS zu booten.
Du hast das Problem nicht verstanden, das ich damit lösen will.
> Wenn ich mir die Liste deiner "Erfindungen" und Ideen anschaue,
> drängt sich mir die Vermutung auf, dass du viel zu viel Freizeit
Zweifellos. Aber mit der Gesamtwertung sollte man etwas vorsichtig
sein. Habe gerade zwei Mails von R&D-Managern großer Unternehmen
bekommen, die das ganz anders sehen als Du. Und nun?
> hast... Im übrigens reicht auch ein Mini-USB-Stick mit PuTTY und
> Keyfiles um sicher an eigene Daten zu kommen.
Du hast das Problem nicht verstanden, das ich damit lösen will.
CU
Hauke
--
http://www.hauke-laging.de/ideen/
http://www.hauke-laging.de/software/
http://zeitstempel-signatur.hauke-laging.de/
Hauke Laging
>> Aber mit der Gesamtwertung sollte man etwas vorsichtig sein. Habe
>> gerade zwei Mails von R&D-Managern großer Unternehmen bekommen,
>> die das ganz anders sehen als Du. Und nun?
>
> Jene Manager hätten vielleicht vorher ihre Techniker fragen
> sollen. :-)
R&D-Manager SIND Techniker. Aber guter Versuch.
Rainer Weikusat
> Heiko Schlenker schrieb am Montag 13 Februar 2006 14:17:
>
>>> Aber mit der Gesamtwertung sollte man etwas vorsichtig sein. Habe
>>> gerade zwei Mails von R&D-Managern großer Unternehmen bekommen,
>>> die das ganz anders sehen als Du. Und nun?
>>
>> Jene Manager hätten vielleicht vorher ihre Techniker fragen
>> sollen. :-)
>
> R&D-Manager SIND Techniker.
'Techniker' sind strenggenommen Leute, die Kabel in der Gegend
herumtragen, und mit Aufgaben wie 'Reparatur', 'Kontrolle' und
'Wartung' (technischer Anlagen) zu tun haben, also mit 'Forschung und
Entwicklung' schon mal ueberhaupt gar nichts.
Ein 'Manager' ist, die der Namen schon sagt, jemand der etwas
'managt', also verwaltet. Typischerweise die Arbeit einer Gruppe von
Leuten, die selber nicht verwalten.
Dominique Görsch
>> VMware-Player und fertige Surf-VMs existieren, da muss nichts
>> gebootet und nichts installiert werden
>
> Nicht mal die Surf-VM. :-)
Die schon, nur muss ich dafür mein laufendes System nicht herunter
fahren/meine Session beenden. Abgesehen davon, dass ich für diesen
Augenblick keinen Zugriff auf meinen Rechner habe, weil jemand anderes
davor sitzt, beeinträchtigt mich diese Lösung überhaupt nicht.
>> und ich gebe keinem Zugriff auf meine Hardware.
>
> Dein gutes Recht.
>
>
>> Ich weiss nicht was für Freunde oder Bekannte du hast
>
> Mir scheint, dass die Masse der Leute das ganz anders sieht, denen
> ist das schlicht egal.
Wir scheinen definitiv in unterschiedlichen Kreisen zu verkehren, die
eindeutige Mehrzahl der Leute die ich kenne, haben berechtigte Bedenken,
jemand fremdes an ihren Rechner, und erst Recht an ihre Session oder
noch schlimmer als root unter einem fremden OS an ihre Hardware zu lassen.
>> hast... Im übrigens reicht auch ein Mini-USB-Stick mit PuTTY und
>> Keyfiles um sicher an eigene Daten zu kommen.
>
> Du hast das Problem nicht verstanden, das ich damit lösen will.
Mir scheint du suchst eher nach Problemen für deine Lösungsideen... ich
sehe keinen Nutzen für deine Idee.
Gruß Domi.
Dominique Görsch
>> Ich versuche auch gerade mir vorzustellen, dass Deine Firma
>> geschäftlichen Besuch hat, jemand über sein Notebook Daten aus
>> seinem Firmennetz runterladen will, Du ihm aber IPsec, SSH usw.
>> verwehrst. Irgendwie glaube ich nicht, dass diese Diskussion zu
>> Deinen Gunsten ausginge. :-)
>
> Glaub mir, das wird sie gehen. Derjenige hat heute genügend
> Möglichkeiten, direkt auf sein Firmennetz zuzugreifen (UMTS, HSCSD,
> W-Lan an öffentlichen HotSpot) Zumindest bei Firmen mit eigener
> IT-Abteilung, die ihre Arbeit gewissenhaft macht bedarf sowas so vieler
> Genehmigungen und Unterschriften ... (willkommen in der Bürokratie) dass
> das nicht mal eben in einer halben Stunde gemacht ist. Hängt sicher z.T.
> noch von der Wichtigkeit des Besuches ab, aber grundsätzlich gibt es
> solch "Extrawürste" nicht.
Die Firma für die ich als externer Entwickler arbeite, hat hier sehr
strenge Vorschriften. Mitarbeitern ist es strengstens untersagt, andere
Personen an Ihre Session zu lassen, ein fremder Rechner im LAN würde
sofort erkannt (es sind die MAC-Adressen aller firmen-eigenen und
"geduldeten" Systeme bekannt) und lokalisiert werden, der Mitarbeiter
der das an stöpseln geduldet hat, könnte anfangen seine privaten Dinge
zusammen zu packen. WLAN ist vorhanden, Zugang hierzu gibt es nur mit
vielen Unterschriften, und von dort aus ist auch kein Zugriff auf das
Firmen-LAN möglich sondern lediglich Internet (über Proxy, nur Port 80,
kein CONNECT). Es werden auf Antrag Gast-Konten für die vorhandenen
Maschinen vergeben, aber auch dies bedarf einer Reihe Unterschriften von
Vorgesetzten die bestätigen müssen, dass du für die Erfüllung deiner
Aufgaben ein Netzwerkkonto haben _musst_. In diesem Antrag wird im
übrigen dann auch genau reglementiert an welchen Domänen und sogar
Maschinen du dich anmelden können sollst. Bestimmte Domänen sind per
Definition verboten, hier bedarf es die Zustimmung eines
Vorstandsmitgliedes.
Wir reden hier im Übrigen über eine Bank (nicht Geschäftsbank) und
verbotene Domänen sind z.B. Bereiche des Handels.
Das man an vorhandenen Maschinen nichts eigenes booten kann oder
überhaupt Wechselmedien benutzen, sollte ja selbstverständlich sein.
Jedoch hatte ich bei meiner Arbeit dort eine Lücke gefunden, nn dem mir
zur Verfügung gestellten Notebook lies sich Infrarot aktivieren, so
konnte ich z.B. mein dort vorhandenes Adressbuch auf meinem Handy
sichern. Für große Datenmengen natürlich nicht praktikabel, dennoch eine
peinliche Lücke in dem eigentlich sehr dichten Konzept.
> Oder ist das bei euch anders?
Nein.
Gruß Domi.
Rainer Weikusat
> * Rainer Weikusat <rainer....@sncag.com> schrieb:
>> 'Techniker' sind strenggenommen Leute, die Kabel in der Gegend
>> herumtragen, und mit Aufgaben wie 'Reparatur', 'Kontrolle' und
>> 'Wartung' (technischer Anlagen) zu tun haben, also mit 'Forschung und
>> Entwicklung' schon mal ueberhaupt gar nichts.
>
> hat seine Wurzeln im Lateinischen sowie im Griechischen und bedeutet
> soviel wie 'Handwerk, Kunst, Fertigkeit, Wissenschaft'.
Das waere dann ausser Hilfsarbeitern jeder. Zum Beispiel arbeiten die
meisten von meinen Kollegen als 'technische' Telephonsupport-Kraefte.
Meine Haupttaetigkeit ist 'Systementwicklung'. Eine $sontwas-Manager
tut etwas vollkommen anderes (typischerweise jemandem verklagen oder
verklagen lassen).