veiligheidslek? Opgelost

Meestal gebruik ik Safari, maar soms, voor bankzaken, is Firefox nodig. Uit veiligheidsoverwegingen werk ik met een account zonder administratieve rechten. Indien noodzakelijk voor installatie van software klop ik naam en wachtwoord van de administrator in. Zonet had ik, als gewone gebruiker, Firefox gestart. Melding dat er een update was. Ok, doe dat maar. Firefox haalt dan de nieuwe versie op en installeert die. Zonder te vragen om het wachtwoord van de administrator! Nog even gekeken of er bij Applications dan wel iets veranderd is. Wel degelijk, de pakketinhoud is aangepast voor de nieuwe versie. Dit betekent dat Firefox in staat is om de in OS X 10.5.6 c.q. het onderliggende Unix ingebouwde beveiliging te omzeilen. Via een gewone gebruiker kan Firefox kennelijk schrijven in een directory waarop die gewone gebruiker geen schrijfrechten heeft. /Applications staat op: drwxrwxr-x+ 79 root admin 2686 1 mei 19:43 Applications Voor de zekerheid in terminal nog even getest. Ik kan als gewone gebruiker niet schrijven in /Applications Ik vind dit verontrustend, als Firefox dit kunstje kan flikken, dan zou bepaalde malware dit in principe ook moeten kunnen.

Cheers!

Is het niet normaal dat een applicatie z'n eigen inhoud kan veranderen? Je kunt geen nieuwe applicaties installeren zonder wachtwoord, maar als Firefox (dat je de eerste keer als admin geinstalleerd hebt, en dus "vertrouwt") zelf iets aan z'n eigen pakketinhoud verandert kan dat wel.

Tenminste, dat zou ik logisch vinden. Ik heb er zelf geen ervaring mee, aangezien ik altijd als admin aangemeld ben.

Geen antwoord op je vraag, maar alles wat beveiligd is, kan men ook kraken... Ik ben zelf aan bankieren via postbank (correctie ing) maar ik kijk ongeveer 3 keer per week of er dingen zijn die niet kloppen en verder maak ik me geen zorgen.

Zo logisch lijkt mij dat toch niet. Er is geen gebruiker Firefox met schrijfrechten op de inhoud van de applicatie Firefox. Juist als je niet voortdurend als admin werkt, merk je dat er bij updates altijd om naam en wachtwoord van een admin wordt gevraagd. Bij Firefox kennelijk niet. Ra ra hoe kan dat?

Kennelijk heb je FireFox de eerste keer geïnstalleerd vanuit je administrator account. Hoe dit 'terug te draaien' is, weet ik niet. Eenvoudigweg verwijderen en opnieuw installeren lijkt me je 'probleem' niet op te lossen.

en hoe staan de rechten van /applications/firefox.app ? Een applicatie is namelijk gewoon een mapje met de benodigde bestanden. Firefox hoeft dus niets in de map /applications te wijzigigen, maar in de onderliggende map firefox.app!

Bovendien leest en schrijft Firefox continue bij gebruik in zijn eigen .app mapje, en in application data mappen in de bibliotheek; dat doen programma's simpelweg. Een programma blijft echter binnen zijn grenzen, dat is de 'beveiliging'.

en hoe staan de rechten van /applications/firefox.app ?

Tja, daar ben ik de eigenaar van. Geen wonder dat Firefox daarin voor mij wel iets kan wijzigen. Daarmee is het ‘probleem’ opgelost. Ik ga er wel op letten hoe die updates verlopen bij andere niet-Apple programma’s. Ik zie bijv. dat de map voor NeoOffice niet op mijn naam staat, maar op root en daarvoor moet ik inderdaad bij iedere patch het wachtwoord van admin ophoesten.
Bedankt voor de reacties.

[quote:5d8cc7e0f8="Ouw"]Ik ga er wel op letten hoe die updates verlopen bij andere niet-Apple programma's. Ik zie bijv. dat de map voor NeoOffice niet op mijn naam staat, maar op root en daarvoor moet ik inderdaad bij iedere patch het wachtwoord van admin ophoesten.[/quote:5d8cc7e0f8] Firefox installeer je door het vanuit een DMG naar (bijvoorbeeld) de Applications map te slepen. De eerste keer zal een gewone gebruiker dan inderdaad een wachtwoord gevraagd worden om die Firefox.app map te mogen maken, maar zoals je ziet blijven de gekopieerde bestanden zélf wel van die gebruiker. Dat geldt dus voor alle software die je op die manier installeert. (Uitzondering: sommige programma's vragen bij de eerste keer starten alsnog om je admin wachtwoord.)

OpenOffice.org installeer je niet door het zelf naar Applications te slepen, maar met een installatieprogramma. Dat vraagt in dat geval een wachtwoord, en kopieert de bestanden dan blijkbaar met andere rechten. Geen idee waarom dat nodig is. En dat hoeft ook niet voor iedere installer te gelden.

Kortom: je zult wel verschillen blijven zien denk ik.

Klopt, de meeste programma's die een update melden, laten je een image downloaden. Vervolgens programma afbreken, image mounten en installeren. Daarvoor is dan een wachtwoord nodig. Firefox is nu juist de uitzondering die het zelf regelt. Geen wonder dat er dan geen wachtwoord nodig is als Firefox onder je eigen account draait dat tevens eigenaar is van de map /Applications/Firefox.app. Er is dus helemaal geen veiligheidslek.