Kacha schrieb:
Die Entwickler entwickeln fuer dieses Betriebssystem, also haben sie auch dafuer zu sorgen, dass ihre Software auf diesem System funktioniert.
Keine Frage. Das ist aber auch gar nicht der Punkt. Der Punkt ist, das Einige gleich den Untergang des Abendlandes beschwören.
Die andere Sache ist, das man leider mit Fehlern rechnen muss.
Kein Weg wird 100%ige Sicherheit bieten. Von daher kann man pragmatischerweise nur die Hürden so hoch wie möglich legen. Und wenn Passwortmanager sich dafür als geeignetes Werkzeug herausstellen, dann gehören die eben auch dazu.
Kacha schrieb:
Wenn dafuer gesorgt wird, dass im RAM nur verschluesselte Passwoerter stehen, dann hat das null Auswirkungen auf den Nutzer.
Die spannende Frage ist halt, wie man das machen soll. Spätestens wenn der Nutzer das braucht, um es beispielsweise in seinem Browser einzufügen muss es irgendwie klartextmäßig vorhanden sein. DU kannst die Zeitspanne kurzhalten. Du kannst die Zugriffsmöglichkeiten minimieren. Aber verhindern kannst Du es nicht.
Kacha schrieb:
Theoretisch kannst du das ohne Passwort machen.
Ja. Ich hatte ja schon selbst zu passwordless etwas gesagt. Nur hilft das dem Nutzer der Dienst XYZ nutzt aber eben nur Passwörter anbietet eben nicht weiter. Dem bleibt nur auf den Dienst zu verzichten oder sich mit Passwörtern zu arrangieren. Und wenn er sich für letzteres entscheidet, dann musst Du den Unzulänglichkeiten die das Passwortkonzept hat nun mal begegnen. Da nützt es ja nix zu sagen: Ich machen gar nix weil ich kriegs eh nicht sicher.
Kacha schrieb:
Nur weil ein anderer Angriffsvektor moeglich ist, soll eine Sicherheitsluecke kein Problem sein?
Das habe ich so nicht gesagt. Ich denke letztlich braucht man ein ganzes Bündel an Sicherheitsmaßnahmen, weil man sich eben auch nicht darauf verlassen kann das jede Sicherheitsmaßnahme auch greift und es nicht doch mal durch einen Bug, Fehlbedienung etc. zu einem Sicherheitsproblem kommen kann.
Kacha schrieb:
Ein Passwort sollte niemals als Klartext im RAM sein. So etwas darf einfach nicht passieren.
Es gibt viele Bugs die eigentlich nicht passieren dürfen und doch sind sie regelmäßig zu bestaunen. Mir wärs auch lieber, wir hätten sichere Software. DOch den Status haben wir nun mal (noch) nicht. Und das Beste was ich machen kann ist mir dessen bewusst zu sein und aktiuv darauf zu reagieren, um damit umzugehen. Also genau das Gegenteil von Deinem unterstellten iss ja alles nicht so schlimm.
Kacha schrieb:
Derzeit braucht man fuer die Methode Adminrechte, ja, wie schon gesagt, etwas schwerer zu bekommen
Ich sag mal so: Wenn die Schadsoftware auf Deinem Rechner ist, ist das eh schon der GAU. Und mit Adminrechten sowieso. Schon das darf nicht passieren.
Klar. Wird man aus den genannten Gründen auch nicht ausschließen können, weshalb Du Recht hast das solche Lücken in einer Software nicht sein sollten gemäß überschneidender Sicherheitsmaßnahmen die sich gegenseitig decken.
Dennoch ist halt hier der große Punkt des infiziertwerdens. Das ist halt ne ganz wichtige Sache. Darauf sollte die Hauptkonzentration liegen, weil damit viel steht und fällt. Der Passwortmanager sollte auch sicher sein. Klar. Aber das wiegt halt in der Gesamtbetrachtung nicht so schwer wie infektionsfrei zu bleiben.
Kacha schrieb:
Um bildlich zu sprechen, dass ist wie ein Loch im Boot nicht zu stopfen, weil der Teil bei normalem Wellengang immer ueber dem Wasser ist. Und dann kommt hoehrer Wellengang/Sturm, und du saufst ab.
Um in dem Bild zu bleiben:
Dennoch kann es sinnvoll sein erstmal die Seitenwände zu erhöhen, wenn über rüberschwappende Wellen mehr Wasser ins Boot läuft als durch das Leck.
Das heißt ja nicht, das das Leck zu stopfen nicht sinnvoll ist. Das heißt nur, das im Augenblick ne andere Maßnahme sinnvoller/wirksamer ist.
