Admin- oder Standard Benutzerkonto - Was nutzt Ihr überwiegend?

[andy_m4]

Du stellt eine wirre These auf und kannst die nicht ansatzweise halten.

Dafür das die angeblich so wirr ist fällt es Dir aber verdammt schwer die zu widerlegen. ;-)

Fakt: Es gibt jeden Tag Millionen an Viren die durch AV Software geblockt werden. Den Schaden, den diese verursachen würden ohne AV wäre gigantisch.

Naja. Du hast offenbar meine These gar nicht verstanden. Durch AV weglassen und trotzdem den Rest so grottig lassen wie er ist wirst Du vermutlich tatsächlich einen positiven Effekt erzielen. Das war aber gar nicht meine These.

Ich versuchs mal anders zu formulieren. Mag ja sein, das AV-Software Bedrohungen abwehrt. Aber genauso beobachten wir, das AV-Software regelmäßig scheitert. Nicht umsonst haben z.B. diese Ransomware-Wellen immer wieder durchschlagenden Erfolg. Und das obwohl die alle irgendwelches Antvir-Zeugs installiert haben. Weil das wird halt gemeinhin (wie von Dir ja auch) als Basis-Schutz angesehen.

Wenn man also anerkennt das Antivir kein wirklich guter Schutz ist und da auch mal was durchrutschen kann, dann braucht es weitere Sicherheitsmaßnahmen. Und die müssen gut sein, weil Du ja nicht weißt was durchrutscht. Das kann was harmloses sein. Das kann Dir aber auch die komplette Infrastruktur niederwalzen.
Und diese anderen Schutzmaßnahmen müssen effektiver sein als Antivir weil sonst bräuchtest Du sie ja nicht. Und wenn sie ohnehin effektiver sind, wozu brauchst Du dann noch Antivir?

Vorschlag zu Güte:
Du sagst gegen was Du Dich schützen willst und ich sage Dir, was Du als Alternative machen kannst.

Denn da gibts durchaus Einiges. Viele Präventivmaßnahmen stellt auch das Betriebssystem bereit nur wird das halt häufig nicht genutzt.

Und selbst beim Einsatz von Antivir kann man den so gestalten, das man die Vorteile mitnimmt aber die Nachteile reduziert. Ganz ganz simples Beispiel: Wenn man Software-Downloads überprüfen möchte den Dienst www.virustotal.com benutzen. Man braucht lokal nix installieren so das es keine Unverträglichkeiten gibt oder sich Bugs aufs eigene System auswirken. Außerdem wird gleich gegen ein Dutzend Antivir-Engines getestet und nicht nur mit der, die man zufällig gerade installiert hat.

Daher bestehen z.B. Versicherungen darauf, dass ein Unternehmen einen AV im Einsatz hat.

Das bedeutet gar nichts. Versicherungen schreiben alle möglichen Klauseln in ihre Verträge rein um Schlupflöcher zu haben dann doch im Schadensfall nicht zahlen zu müssen.
Und solange das die Kunden klaglos akzeptieren, gibts ja kein Grund solche Klauseln nicht in die Verträge zu schreiben.

Otto Normal User komplett auf Virenschutz verzichten würden, wäre es noch schlimmer zumal die sich auch kaum bis überhaupt nicht um ihre Windows 10/11Absicherung kümmern.

Schwierig zu sagen. Was häufig zu beobachten ist ist sowas wie Risikokompensation. Viele Leute verhalten sich im Bewusstsein Antivir zu verwenden unvorsichtiger. Keine Ahnung wie oft ich schon Sätze wie "Ich hab doch Schutz drauf" gehört hab wenn ich darauf hingewiesen hab, das man vielleicht nicht auf alles klicken sollte was nicht bei drei auf den Bäumen ist.
Man muss auch sagen, das Windows jetzt nicht unbedingt secure-by-design ist. Bei Smartphones sieht die Sache anders aus. Da hat man bestimmte Dinge direkt im System. Die Situation ist da immer noch beschissen. Aber immerhin deutlich besser als bei Windows.

Dort sind wenigstens erst mal grundsätzlich die Apps voneinander getrennt (wenn man keine Berechtigungen frei gibt). Unter Windows ist es per default so das der MedienPlayer auf Deine Word-Dokumente zugreifen kann. Eigentlich ein völlig unnötiges Risiko. Der MedienPlayer kann mit Deinen Word-Dokumenten ohnehin nix anfangen aber das führt dazu das wenn der MedienPlayer exploitet wird auch Deine Word-Dokumente geshreddert werden können.

Zum Glück finden solche Sicherheitsmechanismen zunehmend auch Einzug in Windows.
Allerdings werden einige Sicherheitsbemühungen auch durch die Kunden torpediert. Ich kann mich noch gut an die Einführung von UAC erinnern was auf Widerstand bei den Kunden stieß weshalb man das Konzept dann aufgeweicht hat.
Oder, um mal zum Topic des Threads zurückzukommen, der Versuch zu etablieren das man nicht mehr per default als Admin arbeitet (was ein großen Sicherheitsgewinn). Die Umfrage zeigt aber, das das trotzdem immer noch häufig gemacht wird.

Solange solch grundsätzliche Sicherheitsmaßnahmen nicht gemacht werden braucht man sich über weiterführende Sicherheitsmaßnahmen wie Antivir eigentlich gar keinen Kopf zu machen, weil die dadurch unterminiert werden.

Wie ich schon mehrmals sagte. Antivir nimmt einen zu hohen Stellenwert ein und andere Maßnahmen werden vernachlässigt. Diese Mischung ist das Hauptproblem.

 

[Ramschbude]

Dafür das die angeblich so wirr ist fällt es Dir aber verdammt schwer die zu widerlegen. ;-)

Das sieht nur für dich so aus.

Man muss auch sagen, das Windows jetzt nicht unbedingt secure-by-design ist. Bei Smartphones sieht die Sache anders aus. Da hat man bestimmte Dinge direkt im System. Die Situation ist da immer noch beschissen. Aber immerhin deutlich besser als bei Windows.

Haltlose Behauptung

Und solange das die Kunden klaglos akzeptieren, gibts ja kein Grund solche Klauseln nicht in die Verträge zu schreiben.

Versicherungen schreiben nichts rein, was dazu führt, dass sie häufiger bezahlen müssen. Würden sie aber ohne AV Software. Die können halt rechnen.

Ganz ganz simples Beispiel: Wenn man Software-Downloads überprüfen möchte den Dienst www.virustotal.com benutzen.

Klar, man kann natürlich als Unternehmen erstmal einen Alphabet-Dienst nutzen ... der alles von einem sammelt was man möchte. Oder man hat halt ein zentrales Software-Management...

Und wenn sie ohnehin effektiver sind, wozu brauchst Du dann noch Antivir?

Sie sind nicht effektiver, sie wirken anders. Deine Bremsen ersetzen nicht deinen Sicherheitsgurt. Um mal dein "Sicherheits"-System Backups zu nennen. Eine Firma, die darauf setzt, dass man ja Backups hat und deshalb kein AV braucht, ist vermutlich eine signifikante(!) Zeit damit beschäftigt Backups einzuspielen.

Vorschlag zu Güte:
Du sagst gegen was Du Dich schützen willst und ich sage Dir, was Du als Alternative machen kannst.

Als ISO 27001 Lead Implementer und zig Jahren Erfahrung in Großkonzernen sowie Mittelstand denke ich, dass ich die Bandbreite an Sicherheitsmaßnahmen, Risikokompensationen und dazugehörige Complianceanforderungen soweit kenne...

 

[Rios]

@fishraven & @purzelbär
Gerne könnt ihr euch weiter mit @andy_m4 "unterhalten".
Bereits in Post #50 habe ich aufgegeben und daher nur kurz&knapp geantwortet.

Da ist doch Hopfen- und Malz verloren. Nicht weil andy unbedingt überall Unrecht hat, sondern, weil eine vernünftige Diskussion schlichtweg mit so einer Kommunikationsart nicht möglich ist. Zudem ist es OT.

Hauptsache ellenlanger Text mit Dingen, die man in 2 Sätzen ausdrücken kann...sofern die Posts überhaupt Inhalt haben. Meistens dann auch noch komplett an angebrachten Argumenten vorbei, Worte gedreht usw. Studien zur Wirksamkeit von AV wurden auch bereits gepostet und wir sollen es immer noch belegen.

Ne - ohne mich. Es wird einen Grund haben, warum nicht wenige seiner Beiträge mit Split markiert sind...
Das Thema hier war eigentlich Admin- oder Standardkonto, nicht AV ja/nein.

 

[andy_m4]

Haltlose Behauptung

Gut. Wenn Dir das technische Verständnis fehlt dann ist das Deine Sache.
Ich habe dargelegt warum das so ist. Der Argumentation kann man folgen oder sie widerlegen. Aber einfach nicht darauf einzugehen ist halt völlig substanzlos und hat mit Diskussion nichts zu tun. Das ist Trollniveau.
Wenn das Dein Anspruch ist: Bitteschön. Aber meiner nicht und deshalb lasse ich mich auch nicht länger darauf ein.

Versicherungen schreiben nichts rein, was dazu führt, dass sie häufiger bezahlen müssen. Würden sie aber ohne AV Software.

Ich habs Dir erklärt warum das kein hinreichender Beleg für irgendwas ist.
Kann natürlich sein, das Versicherungen umfangreichere Untersuchungen gemacht haben die dazu irgendeinem Ergebnis gekommen sind. Aber das ist reine Spekulation. Wenn Du Belege dazu bringen kannst: Bitte sehr. Dann los. Komm endlich mal zu Potte anstatt ständig nur drum herum zu reden.

Klar, man kann natürlich als Unternehmen erstmal einen Alphabet-Dienst nutzen ... der alles von einem sammelt was man möchte.

Das war jetzt nur mal ein ganz simples Beispiel für ein ganz bestimmtes Szenario. Nur um einfach mal halt ein Beispiel zu geben wie sowas aussehen könnte.
Das dann einfach dadurch ins lächerliche zu ziehen indem man das auf beliebige Szenarios ausdehnt ist einfach nur schlechter Diskussionsstil. Auch das zeigt wiederum: Dir gehts gar nicht ums argumentieren. Du willst nur trollen.

Sie sind nicht effektiver, sie wirken anders. Deine Bremsen ersetzen nicht deinen Sicherheitsgurt. Um mal dein "Sicherheits"-System Backups zu nennen. Eine Firma, die darauf setzt, dass man ja Backups hat und deshalb kein AV braucht, ist vermutlich eine signifikante(!) Zeit damit beschäftigt Backups einzuspielen.

Hör auf Nebenkriegsschauplätze aufzumachen und von irgendwelchen Sicherheitsgurten und Bremsen zu reden. Jetzt mal ganz konkret: Welche Bedrohung(en) willst Du mit Antivir abwehren. Dann können wir darüber reden, ob es geeignet oder ob es nicht bessere Methoden gibt.

Komisch. Immer wenn es um konkrete Aussagen geht weichst Du aus. Ich sag ja: Du willst nur trollen.

Als ISO 27001 Lead Implementer und zig Jahren Erfahrung in Großkonzernen sowie Mittelstand denke ich, dass ich die Bandbreite an Sicherheitsmaßnahmen, Risikokompensationen und dazugehörige Complianceanforderungen soweit kenne...

Na dafür bist Du dann aber erstaunlich zurückhaltend mit Argumenten.

Da ist doch Hopfen- und Malz verloren. Nicht weil andy unbedingt überall Unrecht hat, sondern, weil eine vernünftige Diskussion schlichtweg mit so einer Kommunikationsart nicht möglich ist.

Naja. Wer nicht mal in der Lage ist zu formulieren kann was Antivir konkret für ihn tun soll oder einfach mal ein Beleg über dessen Wirksamkeit (im Sinne von: wiegen die Nachteile die Vorteile mehr als auf) zu bringen dann hat das wenig mit dem Kommunikationskanal zu tun, sondern wohl eher damit, das hinter dem Gesagten in Wirklichkeit keinerlei Substanz steckt.

Studien zur Wirksamkeit von AV wurden auch bereits gepostet und wir sollen es immer noch belegen.

Dazu habe ich bereits was geschrieben. Komischerweise geht aber niemand darauf ein. Würde ich mal so deuten, das da die Argumente fehlen.

Das Thema hier war eigentlich Admin- oder Standardkonto, nicht AV ja/nein.

Ich habe die Antivir-Diskussion nicht losgetreten. Vielleicht solltest Du Dich mal an den wenden, der damit angefangen hat.
Übrigens kommt es ein wenig komisch rüber das dieser Einwand ausgerechnet von Dir kommt. Jemanden der sich lebhaft an der Antivir-Diskussion beteiligt hat. Und plötzlich ist das alles ganz schlimm. Jaja :-)

Dabei sind User-Accounts (gerade in Hinblick auf Security) ein spannendes Thema. Weil das sind Sicherheitsfeatures die es schon länger gibt und die dementsprechend ausgereift sind. Und sie sind einfach benutzbar (man braucht nicht so viel Know-How und es gibt auch wenig Stolperfallen das falsch zu konfigurieren).
Unter UNIX(-ähnlichen) Systemen ist das ja durchaus sehr verbreitet und wird doch exzessiv genutzt um eine wirksame Trennung zwischen verschiedenen Aufgaben und Diensten zu realisieren.
Es ließe sich ne Menge dazu sagen. Aber selbst da wird ja dann die Diskussion reduziert auf Admin oder Standard bzw. UAC ein UAC aus.

 

[purzelbär]

Stichwort Benutzerkonto, ich habe dieses:

 

[andy_m4]

Wobei ja noch spannender ist als die Entscheidung für XYZ ist, warum man die Entscheidung getroffen hat.

Aus Security-Sicht ist natürlich am besten kein Admin zu sein plus UAC voll aufzudrehen (was ja auch die offizielle Microsoft-Empfehlung ist). Welche Gründe gibt es davon abzuweichen?
Schrottsoftware die anders nicht läuft? Bequemlichkeit? Das gute Gefühl Gott auf dem System zu sein?

 

[Karan S'jet]

Schrottsoftware die anders nicht läuft? Bequemlichkeit? Das gute Gefühl Gott auf dem System zu sein?

Bei mir ist es reinste Bequemlichkeit (auf dem privaten PC).

 

[purzelbär]

@andy_m4: ich benutze schon immer seit XP so den Kontotyp, ich bin alleiniger Nutzer des PC's(meine Frau hat ihren eigenen Laptop mit Windows 10)ja und was habe ich mir all die Jahre damit an schlimmer Infektion eingefangen? fast nix, nur 2012 geriet ich an einem Sperrbild Trojaner der den Desktop sperrte mit so einem Polizei Fake Sperrbild, den konnte ich löschen indem ich das XP damals im Abgesicherten Modus mit Eingabeaufforderung bootete und dann mit Malwarebytes scannte. Aber das reichte mir damals nicht und ich spielte ein Systembackup von XP ein das ich zufällig einen Tag vorher gemacht habe. Ach ja vorhin was vergessen:

 

[Lotsenbruder]

Moin,

da ich ein vernünftiges OS habe, kann ich auch ganz vernünftig den Standarduser nehmen.

Beste Grüße, Kai

 

[andy_m4]

ich benutze schon immer seit XP so den Kontotyp, ich bin alleiniger Nutzer des PC's(meine Frau hat ihren eigen Laptop mit Windows 10)ja und was habe ich mir all die Jahre damit an schlimmer Infektion eingefangen?

Naja. Selbst wenn man sich keine Infektion eingefangen hat ist das alleine ja noch kein Grund. Sagt ja auch keiner: "Ich höre jetzt nicht auf mit rauchen weil bisher hab ich noch keinen Lungenkrebs gekriegt".
Möglicherweise bekommt der auch nie einen. Das ist aber nicht der Grund aufzuhören, sondern damit man die Wahrscheinlichkeit senkt.

den konnte ich löschen indem ich das XP damals im Abgesicherten Modus mit Eingabeaufforderung bootete und dann mit Malwarebytes scannte. Aber das reichte mir damals nicht

Im Falle einer Infektion sollte man ohnehin IMMER neu installieren. Immer und ohne Ausnahme. Weil man halt nie wissen kann, was die Schadsoftware sonst noch im Hintergrund treibt. Und das man sie zuverlässig restlos entfernt kriegt (egal ob durch manuelles löschen oder via Programm) ist mehr oder weniger Glückssache. Wenn man sicher gehen will führt kein Weg an einem Neuinstall bzw. zurückspielen des letzten sauberen Images vorbei. Insofern war Deine Einschätzung völlig korrekt.

da ich ein vernünftiges OS

Mir ist kein vernünftiges OS bekannt.
Die Linuxer meinen zwar immer "ihr" System wäre per se sicher, was aber nicht stimmt.

 

[purzelbär]

Im Falle einer Infektion sollte man ohnehin IMMER neu installieren. Immer und ohne Ausnahme. Weil man halt nie wissen kann, was die Schadsoftware sonst noch im Hintergrund treibt. Und das man sie zuverlässig restlos entfernt kriegt (egal ob durch manuelles löschen oder via Programm) ist mehr oder weniger Glückssache. Wenn man sicher gehen will führt kein Weg an einem Neuinstall bzw. zurückspielen des letzten sauberen Images vorbei. Insofern war Deine Einschätzung völlig korrekt.

Ergänzend dazu andy_m4: ich wusste damals das es 2 Varianten dieses Sperrbild Trojaners gab: die eine Variante sperrte nur den Desktop was ja bei mir der Fall war und die andere Variante verschlüsselte wohl auch schon Dateien. Nachdem ich wieder Zugriff hatte weil Malwarebytes per Schnellscan im Abgesicherten Modus mit Eingabeaufforderung die Infektion löschen konnte, scannte ich trotzdem mein damaliges XP mit Full Scans mit AVG, Emsisoft Emergency Kit und mit Malwarebytes jeweils volle Scans und kein Scanner fand was. Trotzdem spielte ich danach besagtes Systembackup ein.

 

[Lotsenbruder]

Mir ist kein vernünftiges OS bekannt.
Die Linuxer meinen zwar immer "ihr" System wäre per se sicher, was aber nicht stimmt.

Na Du muss es ja wissen.

 

[andy_m4]

sperrte nur den Desktop was ja bei mir der Fall war und die andere Variante verschlüsselte wohl auch schon Dateien.

Ja. Genau das Variantenproblem ist einer der Gründe weshalb man manueller Entfernung nicht trauen sollte. Man weiß halt nicht mit welcher Variante man es zu tun hat und ob es nicht sogar eine brandneue ist wozu es weder Erfahrungswerte noch zuverlässige Scans gibt.

Na Du muss es ja wissen.

Naja. Ein gehöriger Anteil der Linux-Security beruht auf zwei Dingen:

1. Angriffe auf den Desktop sind eher selten ganz einfach weil es vergleichsweise wenig Linux-Nutzer in dem Bereich unterwegs sind
2. Programme installieren erfolgt aus gepflegten Distributions-Repositories und nicht in dem man von irgendeiner (ggf. auch dubiosen) Webseite ne setup.exe runterlädt und ausführt.

Rechnet man das mal raus wird der Abstand zu Windows schon deutlich kleiner. Ohne Frage kann man sich diesen Effekt zunutze machen. Aber es hat halt weniger mit Sicherheit per se zu tun. Auf beiden Plattformen kann man durch geeignete Konfiguration und durch entsprechendes Verhalten ein ähnlich gutes Sicherheitsniveau erreichen.

 

[BeBur]

Aus Security-Sicht ist natürlich am besten kein Admin zu sein plus UAC voll aufzudrehen (was ja auch die offizielle Microsoft-Empfehlung ist). Welche Gründe gibt es davon abzuweichen?
Schrottsoftware die anders nicht läuft? Bequemlichkeit?

Bequemlichkeit, natürlich und zu recht. Du kannst ja ausschließlich PGP verschlüsselte E-Mails verschicken... wenn der Empfänger damit nicht umzugehen weiß, dann ruf halt an, richte ihm PGP ein, lass dir den pubkey zukommen und erklär ihm, wie er deine E-Mail entschlüsseln kann. Oder bist du zu bequem dafür? Es gibt definitiv einen Sicherheits/Usability Tradeoff und solche Betrachtungen sind auch sinnvoll, wenn etwas so nervt, dass man sich nicht dran gewöhnt, dann wird oft ausgestellt und es gibt keinen definierten Zustand mehr.

 

[Lotsenbruder]

Angriffe auf den Desktop sind eher selten ganz einfach weil es vergleichsweise wenig Linux-Nutzer in dem Bereich unterwegs sind

Falsch, Angriffe können nicht erfolgen weil es keine einheitliche Angriffsfläche gibt. Jedes Linux ist anders und ein Angriff müsste jedes Mal neu "programmiert" werden. Ein Virus, Malware etc. für Dich, würde bei mir z.B. nicht wirken. Windows hat dagegen immer die gleiche Grundlage, welche es dem Angreifer sehr einfach macht. Trotzdem würde ich vermutlich auch da einen Standarduser bevorzugen, um mal wieder zum Thema zu kommen.

Programme installieren erfolgt aus gepflegten Distributions-Repositories und nicht in dem man von irgendeiner (ggf. auch dubiosen) Webseite ne setup.exe runterlädt und ausführt.

Auch das ist möglich, nur das dadurch keine Angriffsfläche auf das gesamte System entsteht.

 

[Karan S'jet]

Falsch, Angriffe können nicht erfolgen weil es keine einheitliche Angriffsfläche gibt. Jedes Linux ist anders und ein Angriff müsste jedes Mal neu "programmiert" werden.

Hahaha... genau, und weil Linux perfekt ist, gibt es dort auch keine Sicherheitslücken. Wann lernen die Leute endlich, dass auch in der Linux / Unix Welt nur mit Wasser gekocht wird?

https://blog.admin-intelligence.de/sicherheitsluecke-in-linux-erlaubt-root-rechte/
https://www.stepping-stone.ch/aktue...rheitsluecke-dirty-pipe-beschert-root-rechte/
https://www.computerbase.de/2022-01...chwachstelle-erlaubt-root-rechte-unter-linux/
https://www.derstandard.de/story/20...spuert-mehrere-gefaehrliche-linux-luecken-auf

Und das waren jetzt auch nur ein paar rausgesuchte i-Tüpflchen.

 

[andy_m4]

Bequemlichkeit, natürlich und zu recht. Du kannst ja ausschließlich PGP verschlüsselte E-Mails verschicken... wenn der Empfänger damit nicht umzugehen weiß, dann ruf halt an, richte ihm PGP ein, lass dir den pubkey zukommen und erklär ihm, wie er deine E-Mail entschlüsseln kann. Oder bist du zu bequem dafür?

Ja. Es ist sicher ein Kompromiss. Aber gerade bei Standard-User/UAC-hoch sind die Komforteinbußen bei sogenannter Normalbenutzung ja eher gering.

wenn etwas so nervt, dass man sich nicht dran gewöhnt, dann wird oft ausgestellt und es gibt keinen definierten Zustand mehr.

Wenn etwas nervt weil beispielsweise im Minutentakt Meldungen hochpoppen dann ist die Sicherheitsmaßnahme ohnehin zweifelhaft, weil man dann dazu neigt Meldungen einfach nur noch ungelesen wegzuklicken.

Falsch, Angriffe können nicht erfolgen weil es keine einheitliche Angriffsfläche gibt. Jedes Linux ist anders und ein Angriff müsste jedes Mal neu "programmiert" werden.

Es ist ein Faktor. Aber den sollte man nicht überschätzen. Den so groß sind die Distributionsunterschiede dann doch nicht.

Auch das ist möglich, nur das dadurch keine Angriffsfläche auf das gesamte System entsteht.

Möglich ja, aber eben nicht üblich. Selbst wenn Du Dir doch mal Software am Paketmanagement vorbei installierst bleibt das eben i.d.R. die Ausnahme.
Allerdings wenn es soweit ist, dann ist natürlich potentiell auch das gesamte System betroffen. Das heißt, wenn Du irgendwo ein Installationsprogramm/-skript runter lädst und das als root ausführst dann hat das natürlich Zugriff aufs gesamte System.

https://blog.admin-intelligence.de/sicherheitsluecke-in-linux-erlaubt-root-rechte/

Apropos sudo: Das ist eh eher suboptimal weil es relativ umfangreich (unnötige Komplexität und damit auch unnötig viele potentielle Bugs) ist aber die meisten Features gar nicht benutzt werden.
Alternativen wie doas sind da in der Hinsicht deutlich besser. Dummerweise setzen die meisten Distributionen trotzdem auf sudo.
Das zweite Problem ist, das sudo gern anders benutzt wird als ursprünglich gedacht. Eigentlich kann man genau festlegen was man tun können soll. Üblicherweise konfigurieren die Distributionen das aber so vor, das man eine Blankovollmacht bekommt.
Glücklicherweise kommt aber immer häufiger PolKit zum Einsatz wo dann wieder genauere Aktionsdefinitionen zum Einsatz kommen. Allerdings hat das auch wieder entsprechend Komplexität im Schlepptau.
Allein das Beispiel zeigt (jetzt mal unabhängig von den gefundenen Sicherheitslücken) das auch Linux natürlich seine Probleme hat.

 

[Lotsenbruder]

Es ist ein Faktor. Aber den sollte man nicht überschätzen. Den so groß sind die Distributionsunterschiede dann doch nicht.

Es gibt, für mich, den gravierenden Unterschied z.B. mit Linux vom Stick (DVD) zu arbeiten.
Ein Kali-, Tails- oder Qubes-Linux sind schon anders aufgestellt als die bekannteren Distris ala Ubuntu, Debian, Fedora etc.

Möglich ja, aber eben nicht üblich. Selbst wenn Du Dir doch mal Software am Paketmanagement vorbei installierst bleibt das eben i.d.R. die Ausnahme.

Da sind wir eins.

Apropos sudo: Das ist eh eher suboptimal weil es relativ umfangreich (unnötige Komplexität und damit auch unnötig viele potentielle Bugs) ist aber die meisten Features gar nicht benutzt werden.
Alternativen wie doas sind da in der Hinsicht deutlich besser. Dummerweise setzen die meisten Distributionen trotzdem auf sudo.
Das zweite Problem ist, das sudo gern anders benutzt wird als ursprünglich gedacht. Eigentlich kann man genau festlegen was man tun können soll. Üblicherweise konfigurieren die Distributionen das aber so vor, das man eine Blankovollmacht bekommt.
Glücklicherweise kommt aber immer häufiger PolKit zum Einsatz wo dann wieder genauere Aktionsdefinitionen zum Einsatz kommen. Allerdings hat das auch wieder entsprechend Komplexität im Schlepptau.
Allein das Beispiel zeigt (jetzt mal unabhängig von den gefundenen Sicherheitslücken) das auch Linux natürlich seine Probleme hat.

Auch da bin ich bei dir.
Nur wenn ich von einem vernünftigen System rede, gehe ich davon aus das man es sich genauso vernünftig einrichtet und auch weiss was er tut. Ein absolut sicheres OS wird es nie geben.
Aber ich bekomme immer wieder ne Krise wenn ich sehe welch ein Scheizz sich Leute mit Windows zusammen murxen und sich dann wundern wenn sie ihren Rechenknecht neu aufsetzen müssen, sei es Dummheit oder Viren oder was auch immer.
Wer dann noch tönt er nutze immer den Admin, dem verweigere ich mittlerweile meine Hilfe.

Danke für die Diskussion. Ich wünsche dir ein schönes WE. Kai

 

[andy_m4]

Es gibt, für mich, den gravierenden Unterschied z.B. mit Linux vom Stick (DVD) zu arbeiten.
Ein Kali-, Tails- oder Qubes-Linux sind schon anders aufgestellt als die bekannteren Distris ala Ubuntu, Debian, Fedora etc.

Ich will ja auch nicht sagen das es keine Unterschiede gibt oder das man Linux nicht auch sicher konfigurieren kann (oder es auch sicher vorkonfiguriert ist).
Ich sagte ein System ist nicht automatisch deshalb sicher weil es ein Linux ist.

Und die Unterschiede zwischen den üblichen Mainstream-Distributionen a-la ubuntu, Manjaro, SuSE, Fedora und wie sie alle heißen sind für viele Angriffsszenarien gar nicht so wichtig.

Nur wenn ich von einem vernünftigen System rede, gehe ich davon aus das man es sich genauso vernünftig einrichtet und auch weiss was er tut.

Weiß jetzt nicht, ob Linux ein vernünftiges System ist. Aber Linux ist inzwischen so weit in den Mainstream gerückt das sich dort (inzwischen) alle möglichen Anwender finden. Insofern hast Du da auch zunehmend ähnliche Problematiken.

Wer dann noch tönt er nutze immer den Admin, dem verweigere ich mittlerweile meine Hilfe.

Ja. So ein Minimum an Vorsichtsmaßnahmen sollte schon sein.

Danke für die Diskussion. Ich wünsche dir ein schönes WE

Dankeschön. Das wünsche ich Dir auch.

 

[BeBur]

Apropos sudo: Das ist eh eher suboptimal weil es relativ umfangreich (unnötige Komplexität und damit auch unnötig viele potentielle Bugs) ist aber die meisten Features gar nicht benutzt werden.
Alternativen wie doas sind da in der Hinsicht deutlich besser. Dummerweise setzen die meisten Distributionen trotzdem auf sudo.

Das ist ziemlich irrelevant, wenn du als Nutzer einfach root-Rechte erhalten kannst, dann kann das ein Virus auch. Das da eine Passwortabfrage vorher kommt ist keine Hürde für einen Virus.
Bei sudo und Co. geht es rein um "safety" also Schutz vor Unfällen, bezüglich "security" ist das so wie wenn man die ganze Zeit als root arbeitet.