Re: RTFM! - Schwachstelle durch festes Passwort in O…

passwortDas ist keine Schwachstelle, da in vielen Anleitungen (z.B. [1])
> > schon darauf hingewiesen wird, die vorgebenen “secret”-Paßwörter
> > auszutauschen!
> >
> > Typischer Fall von PEBCAK und Leseschwäche …
>
> Nein - das ist ein großer Designfehler. So ein Benutzer hat nicht per
> default gesetzt zu werden. Erst wenn der User dies verlangt - und nur
> auf explizite Nachfrage.
Ein Designfehler ist es erst, wenn es nicht dokumentiert wäre. In
diesem Fall ist es eher ein “Feature”.
> Was würdest du davon halten, wenn z.B. sich bei jedem neu
> installierten WinXP ein Benutzer test:test per rdp einloggen kann?
Wenn es dokumentiert ist, wie etwa beim SQL-Server, wo ein Konto “sa”
existiert, das mit einem Nullpasswort ausgestattet ist und es eine
Anleitung dazu gibt, dieses zu Ändern, wäre es für mich kein Problem.
Wie gesagt, die Möglichkeit bei der Installation ein Nullpasswort
bzw. einfaches Passwort zu vergeben existiert bei jedem Serverdienst.
Damit wäre für jede Installation eines beliebigen Dienstes
prinzipiell eine Schwachstelle vorprogrammiert.
Bis denne,
label.
Bis denne,
labeel.
> Keep smiling
> yanosz

September 22nd, 2008 - Posted in Allgemein | |

Leave a reply

You must be logged in to post a comment.