Forum: SuRun Wunschliste RSS
Feedback von SuRun-Benutzer
Seite:  vorherige  1  2  3  4  5  6  nächste 
Kay (Administrator) #61
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Antwort auf Beitrag ID 1122
Ich denke, dass das ohne neue Option geht. Ich muss nur eine Zeile in SuRun ändern.
Wenn ein Programm mit "nicht fragen" gekennzeichnet ist, würde nie ein Kennwort abgefragt werden und fertig.
Früher ging das nicht so leicht, da SuRun die Kennwörter gespeichert und nach Ablauf der Zeit wirklich gelöscht hat. Nun, da SuRun kein Kennwort mehr braucht, geht das.

Jetzt muss nur geklärt werden, ob das irgendwelche dummen Nebeneffekte hat.

Ich denke, dass das Konsistent ist. "Nicht fragen" bedeutet auch "Nicht nach einem Kennwort fragen".

Ich hoffe, Cosmo liest das hier.
Der hat ein empfindlicheres Gespür für Konsistenz als ich ;-)
Mik.c.OS #62
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
es währe aber auch schön wenn man es nacher in der programmliste wieder ändern kann
also eine checkbox in die setup-GUI bitte mit einfügen...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Cosmo #63
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Cosmo liest ...
und hat da ein Verständnis-Problem.
Wenn ein Programm einmal in der Liste steht, heißt das nach meinem Dafürhalten, der Benutzer hat es autorisiert, erhöht gestartet werden zu dürfen. Ein Programm, das nicht in der Liste steht, soll entweder von dem betreffenden (wahrscheinlich eingeschränkten) SuRunner nicht erhöht gestartet werden dürfen oder es wurde noch nicht der Versuch dazu gemacht.

Das Paßwort, von dem Mik hier schreibt, dient dazu, daß andere Personen, die zufällig an einem Rechner mit angemeldeten Konto vorbeikommen, kein Programm als SuRunner starten können sollen; der legitime Benutzer hat durch die Abfrage keine Sperre, sondern nur einen erheblichen Komfort-Nachteil. Mik, vielleicht kannst du mir erklären, warum diese Schutzfunktion - so man sie denn braucht, ich verwende sie hier nicht - Programm-abhängig sein soll, am besten an einem konkreten Beispiel. Mir fällt da beim besten Willen nichts ein und deswegen weiß ich auch nicht, wo ich nach Inkonsistenzen suchen sollte.

@Kay: Statt die Eigenschaft Kennwortabfrage (ihren Nährwert mal außen vor gelassen) mit der Eigenschaft Fragen zu verbinden könnte man sich genausogut ein Verbindung mit der Eigenschaft Automagie (ein) vorstellen. Aber wie gesagt, ohne daß Mik mich da auf eine Spur führt, habe ich so recht keine Idee dazu.

Aber eines sage ich mit Gewißheit: Gerade der Fehler, der zu der 1204a führte, macht deutlich, daß so eine Änderung nicht mal so als Schnellschuß dazwischen genommen werden darf, sondern ausführlicher Betatests (trotz der Tatsache, daß da manchmal auch etwas durch geht, was aber auch mit der zum Schluß ermüdend langen Betatest-Phase zu tun hatte).
Thomas
Mik.c.OS #64
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
mein ziel ist es wirklich das die passworteingabe einen dahergelaufenen user blockiert
programme die ich in die "whitelist" eingetragen habe sollen optional ohne benutzerpasswort starten können

z.B. automatisiert startende programme beim booten.
das ist wichtig wenn ich den pc mal unbetreut eine längere zeit laufen lassen will,
und nach ein absturtz sich neustarten muss.

übrigens:
habe ich einen shutdown-timer am laufen, der meinen pc alle 12h neustartet
ich habe schon erfolglos versucht ihn als dienst laufen zu lassen
aber mit surun klappt es jetzt auch...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Cosmo #65
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zitat von Mik.c.OS:
z.B. automatisiert startende programme beim booten.
das ist wichtig wenn ich den pc mal unbetreut eine längere zeit laufen lassen will,
und nach ein absturtz sich neustarten muss.
Ohne das du die betreffenden Programme benennst ist es schwer, sich über Konsistenzen Gedanken zu machen.
Daß jeder Zwang zur Paßworteingabe den Komfort des berechtigten Benutzers herabsetzt, liegt in der Natur der Sache. Das Opfer muß man leider zugunsten der Sicherheit bringen. Zum Beispiel sind die iTANs beim Online-Banking klar unkomfortabler als die normalen TANs, dennoch werden die nie mehr wieder kommen. Ich glaube, wir hatten schon einmal hier das Thema, daß man zum Schutz vor unberechtigten Zugriffen auch den Schutz durch den Bildschirmschoner erhöhen kann. Da gibt man denn einmal das Kennwort ein und gut ist. Es gibt (zumindest auf meinem Rechner) in den persönlichen Daten noch mehr schützenswertes als erhöhte Programmzugriffe via SuRun; mit welcher Logik sollen die offen zugängig sein? Oder sollte die Benutzeranmeldung gar ohne Paßworteingabe automatisiert sein?

Übrigens: Sollte der Rechner des öfteren einfach so abstürzen, daß das Thema relevant ist, würde ich mir Gedanken über das System machen.

Zitat von Mik.c.OS:
übrigens:
habe ich einen shutdown-timer am laufen, der meinen pc alle 12h neustartet
ich habe schon erfolglos versucht ihn als dienst laufen zu lassen
aber mit surun klappt es jetzt auch...
Da du das schon erwähnst: Kannst du für diese Maßnahme auch einen Grund angeben?
Thomas
Mik.c.OS #66
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
mein rechner startet ohne benutzereingabe selbstständig
meldet sich automatisch an
per autorun: schaltet zurrück zur logon seite & startet programme per script

p.s. abstürze...
wenn ich wüsste was die verursachen, dann hätt ich keine
aber auch ein "perfektes" system kann sich mal verhaspeln...

:edit
das mit automatisch mit adminrechten laufende programm ist:
.\Sysinternals\PsTools\psshutdown.exe
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Cosmo #67
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zitat von Mik.c.OS:
p.s. abstürze...
wenn ich wüsste was die verursachen, dann hätt ich keine
aber auch ein "perfektes" system kann sich mal verhaspeln...
Alle 12 Stunden? (Siehe deine vorhergehende Nachricht)? Selbst Windows 9x lief problemlos ein mehrfaches an Zeit ohne Abstürze, ein XP-System, daß da mehr als einmal patzt, ist IMHO nicht einmal in der gedanklichen Reichweite von "perfekt". (Was besagt, daß dieses Problem einer anderen Lösung bedarf.)

Zitat von Mik.c.OS:
das mit automatisch mit adminrechten laufende programm ist:
.\Sysinternals\PsTools\psshutdown.exe
Ich benutze es nicht.
Nach meinen Kenntnissen sind Admin-Rechte erforderlich, wenn du einen anderen Rechner im LAN ferngesteuert herabfahren willst, aber nicht für Aktionen am lokalen Rechner, für die ein eingeschränkter Benutzer ganz selbstverständlich die Rechte hat (solange man nicht heftig an den Richtlinien gedreht hat). So wie ich hier den gesamten Text verstanden habe, soll Psshutdown den Rechner nach der automatischen Anmeldung wieder sperren, also eine ganz normale Benutzeraktion. Und das wiederum deswegen, weil der Rechner dazu neigt, nach ein paar Stunden abzustürzen und prophylaktisch im Turnus automatisch neu gebootet wird. Das ist kein typisches Szenario, womit die Frage der Konsistenz (denn nur um die geht es hier ja) sich wiederum damit nicht beantworten läßt.

Je länger ich darüber nachdenke, desto weniger gescheite Gründe fallen mir ein, die Paßwortabfrage vom einzelnen Programm abhängig machen zu wollen; im Gegenteil sehe ich das Risiko, daß die Dinge unnötig kompliziert werden, wachsen. Das heißt für mich, daß man ein solches Feature als Privatwunsch natürlich schon einbauen kann (wenn man will), aber es darf auf keinen Fall mit einer der bisher als Programmeigenschaften in SuRun vorhandenen Features gekoppelt werden. Denn dann wäre die Folge, das für viele andere SuRun-Benutzer daraus Probleme resultieren werden.
Thomas
Mik.c.OS #68
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
[OT]
nein mein pc schafft es auch wochenlang duchzulaufen
doch wenn mal ein fehler kommt,
dann läuft er in der restzeit nuzlos vor sich hin

die 12 Stunden habe ich selbst bestimmt
so bootet der rechner grob 2 mal pro tag...
so ist der maximale ausfall eben 12 stunden statt 5 tage...


psshutdown ist wie shutdown nur das er eine größere zeitspanne unterstützt
shutdown (windows xp 64) unterstütz nur 600 sec. (10min)
da hat M$ mal wieder eine sinnlose beschänkung eingebaut... :(

"(solange man nicht heftig an den Richtlinien gedreht hat)"
ich habe alles gedreht...
ich kann ja mit dem orginal shutdown als eingeschränkter user zu 100% nutzen
leider klappt es mit psshutdown nicht,
weil es immer zur ausführung einen eigenen dienst benutzt,
welcher auch nicht dauerhaft unter "Dienste" eingetragen wird...

psshutdown ist nur für herunterfahren/neustarts zuständig
für die automatische sperrung nutze ich den befehl
rundll32.exe user32.dll,LockWorkStation
aber nich einfach im autostart sondern in der regestry
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows USER API Client DLL"="C:\\WINDOWS\\SysWow64\\rundll32.exe user32.dll,LockWorkStation"
was auch wunderbar funktioniert

p.s.:
wenn jemand weis wie ich beim booten mehrere benutzeraccounds anmelden kann
dann währe ich sehr dankbar dafür
[/OT]

ich weis nicht was du gegen die möglichkeit hast
programme die immer benötigt werden, aber adminrechte verlangen
nicht explizit in eine 'whitelist' einzutragen
damit nimand daran ändern kann habe ich ja das surun setup passwort geschützt
ich weis aber nicht ob eine schutzfunktion drin ist wenn jemand das programm austauscht (MD5-Hashing?)

also wie ich es mir eigendlich vorstelle ist,
dass es erstens eine globale einstellung gibt,
wo ich jedes programm ein passwort verlange
und zweitens die programmliste,
welche entegen der globalen einstellungen ausnahmen zulässt

natürlich muss man aufpassen welches programm man welche rechte gibt
das kann kein programm, dass muss und sollte immer der benutzer entscheiden
ggf. kann man eine warnung einblenden mit den möglichen risiken...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Cosmo #69
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Mik, Du fragst was ich gegen eine solche Liste von Programmen habe, die mit oder ohne Paßwortabfrage gestartet werden können sollen.

Tatsache ist, daß ich gefragt worden bin, ob ich ein Konsistenzproblem sehe, wenn man diese Eigenschaft für die einzelnen Programmeinträge mit einer der zur Zeit bereits behandelten Eigenschaften verbinden würde.

Ich hätte darauf wenig informativ antworten können, daß ich dazu nichts sagen kann, weil ich die Konsistenz auf Grund mangelnder Vorstellungskraft über den Sinn einer solchen Option nicht beurteilen kann, ich hätte auch ohne jede Begründung schreiben können "Weiß nicht".

Wie das so meine Art ist, habe ich geschrieben, wie ich das Feature betrachte und habe versucht, gemeinsam mit dir hinter den Sinn zu kommen. Ich habe übrigens auch klar geschrieben, daß man das Feature einbauen kann. (JFTR) Ich habe mich allerdings klar dagegen ausgesprochen, es mit einem anderen Feature zu koppeln. Und ich habe ebenso klar geschrieben, daß das nur nach ordentlichem Test geschehen darf; die Erfahrung, die zur Version 1204a führte, weil für einige Zeit unerkannt plötzlich SuRun Besitzeigenschaften anders gehandhabt hat, als es die Optionen aussagten, haben mich dazu geführt. Das geschah, wie Kay berichtet hat, übrigens genau im Zusammenhang mit einer technischen Änderung im Zusammenhang mit der Paßwort-Thematik. Wenn mich solche Erfahrungen nicht mehr alarmieren sollten, gehe ich in Rente.

Mit anderen Worten, ich habe nichts gegen eine solche Liste. Es ist mir aber trotz Bemühens nicht gelungen, den Nutzwert eines solchen Features zu erkennen. Und eine Option, bei der ich in der Lage bin, jemandem überhaupt zu erklären, in welcher Situation ein echter Nutzwert entsteht, vermag ich nun mal nicht klatschend zu begrüßen.
Thomas
Mik.c.OS #70
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
schuldigung wenn ich es falsch verstanden habe
aber dein text habe ich so verstanden, dass du gegen das feature bist
es ist natürlich immer gut alles zu hinterfragen :D

für das problem das das feature von otto-normal-user falsch verwendet werden könnte
könnte man die option nur für "erfahrene benutzer" freigeben

den nutzwert habe ich versucht zu vermitteln
ein pc der eigenständig mit den vorgegebenen programmen arbeiten soll
ist doch das beste beispiel
wenn ein programm benötigt wird, welches höhrere rechte braucht...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Kay (Administrator) #71
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Oh, oh: Ich bin zu langsam für Euch :-)

Gegen eine "Kennwort nie für dieses Programm abfragen"-Option habe ich prinzipiell nichts. Das jetzt einzubauen schaffe ich zeitlich nicht.

Was ich jetzt zeitlich schaffen würde ist eine Kopplung an andere Features.

Der Vorschlag von Kosmo, das mit der Automagie zu verbinden würde gehen ist aber IMHO nicht konsistent.
Die von mir vorgeschlagene Kopplung an "nicht mehr fragen" in der WhiteList finde ich eher konsistent.
Wenn ein Programm für "ohne Nachfrage" abgenickt ist, sollte SuRun auch nie mehr fragen, egal, ob die Gnadenfrist um ist.

Was spricht dagegen?
Cosmo #72
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Zitat von Kay:
Der Vorschlag von Kosmo, das mit der Automagie zu verbinden würde gehen ist aber IMHO nicht konsistent.
Die von mir vorgeschlagene Kopplung an "nicht mehr fragen" in der WhiteList finde ich eher konsistent.
Wenn ein Programm für "ohne Nachfrage" abgenickt ist, sollte SuRun auch nie mehr fragen, egal, ob die Gnadenfrist um ist.
Das war kein Vorschlag, sondern in der ganz frühen Phase der Diskussion ein Hinweis, welcher Gedankengang sich ebenfalls anbieten können. Motto: Wenn schon aus der Shell, dann auch ohne PW-Abfrage. Ich hatte aber gleich dazu geschrieben, daß das eine vorläufige Idee sei.

Im Verlauf der Diskussion habe ich ganz klar gesagt, daß eine Kopplung weder mit dem einen noch mit dem anderen Feature ratsam ist. Und dabei bleibe ich. Es gibt keine zwingende Logik, nach der eine Kopplung in jedem Fall ohne Probleme ablaufen kann.

Beispiel: Du koppelst also die Paßwort-Abfrage mit der Option, vor dem erhöhten Start zurückzufragen. Wie willst du es denn jetzt in den Fällen halten, in denen ein Programm zum ersten Mal "als Administrator" gestartet wird (oder aus anderem Grund sich nicht in der Programmliste befindet)? Soll da jetzt jedesmal das Benutzerkennwort eingegeben werden müssen? Sollen solche Programme - unter denen sich ja ohne weiteres gefährliche befinden können - mit geringerer Sperre (= ohne PW-Abfrage) von dem bei Mik allgegenwärtigen Menschen, der sich Zugang zu unbewacht laufenden Systemen verschafft, startbar sein, als solche, die bereits in der Liste stehen? Wo ist da die Logik, die besagte Konsistenz? Die von Mik genannte Person, die nach meinem Verständnis alle Züge eines personifizierten Angreifers hat, wäre in dem Fall, daß das Programm nicht gelistet ist (was hier ganz zwangsläufig zutrifft) in der Lage, seine Schadsoftware auf Stick mitzubringen und eben ohne Paßwort erhöht zu starten.

Oder soll die Antwort eine generelle Abfrage des PW vor dem erhöhten Start eines Programms sein, das bislang noch nicht in der Programmliste steht? Wir kennen zur Zeit einen einzigen Fall, um den es überhaupt geht (psshutdown), alle anderen sollen mit solchem Komfort-Nachteil bestraft werden? Ich wiederhole, was ich bereits geschrieben habe: Auf den meisten - und ich meine wirklich fast alle - Systemen ist das am meisten schützenswerte Gut die persönlichen Dokumente. Wer in einer Umgebung lebt, wo Angreifer auf Rechner zugreifen, muß durch automatische Sperre des Rechners (zum Beispiel über den Bildschirmschoner) für die Sicherheit des Zugriffs sorgen, hat er das aber getan, ist eine Paßwortabfrage vor dem erhöhten Start überflüssig.

Zitat von Kay:
Was spricht dagegen?
Alles.

Damit es nicht wieder mißverstanden wird: Ich vermag in diesem Feature nicht den geringsten Sinn zu sehen, aber ich sage nicht, daß es nicht aufgenommen werden könnte. Wo ich allerdings vehement dagegen bin st die Kopplung dieses Features mit einem der bereits für die Programmliste vorhandenen. Diese Kopplung wäre richtig übel.

Nebengedanke (eigentlich nicht das Thema, weil jeder sein System nach eigenen Vorstellungen konfiguriert, aber es ist nun einmal Ausgangspunkt der Diskussion): Mir dünkt, daß Mik's eigenes Vertrauen in sein Szenario, bei dem das System über psshutdown automatisch nach der Anmeldung wieder gesperrt ist, wenig Vertrauen entgegen zu bringen scheint. Denn wenn man davon ausgeht, daß das so wie beschrieben (oder von mir verstanden - vielleicht steh ich ja auf meiner Leitung) funktioniert, findet besagter Angreifer immer ein gesperrtes System vor. Wozu dann eine Paßwortabfrage-Option, wenn es gar nichts abzufragen gibt?
Thomas
Kay (Administrator) #73
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Wofür das Feature gut ist, leuchtet mir nun wieder ein:
Der Benutzer muss alle 1min sein Kennwort eingeben um das Programm mit erhöhten Rechten starten zu dürfen.
Für bestimmte Programme soll das entfallen, weil die unbeaufsichtigt laufen sollen.

Aber das ohne Verwirrung einzubauen... wird sicherlich schwer!
Eine weitere Spalte in der Programmliste mit einem Schlüssel-Symbol wäre vielleicht ok... mal sehen. Nach der Messe (EuroBlech in Hannover) habe ich voraussichtlich wieder Freizeit.
Mik.c.OS #74
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
hoi, kay

da du ja mal wieder ne nette beta unters folk gebracht hast,
wollte ich fragen ob das hier diskutierte feature:
"automatisch administrativ startende Programme, welche vorher expliziet freigegeben wurden"
schon hinzugefügt wurde, bzw. es wäre nett wenn es schon ich die nächste beta schaffen würde...

die diskusion dazu fängt bei beitrag #60 an.
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
Dieser Beitrag wurde am 25.11.2008, 19:03 von Kay verändert.
Kay (Administrator) #75
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Das hatte ich tatsächlich wieder verdrängt... :blush:

Danke für die Erinnerung.

Hab's jetzt aufgeschrieben!
Schließen Kleiner – Größer + Auf diesen Beitrag antworten:
Prüfcode: VeriCode Gib bitte das Wort aus dem Bild ins folgende Textfeld ein. (Nur die Buchstaben eingeben, Kleinschreibung ist in Ordnung.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Weitere Zeichen:
Seite:  vorherige  1  2  3  4  5  6  nächste 
Gehe zu Forum
Nicht angemeldet. · Kennwort vergessen · Registrieren
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Seite erstellt in 223,5 ms (181,5 ms) · 138 Datenbankabfragen in 30,9 ms
Aktuelle Zeit: 24.08.2017, 12:40:24 (UTC +02:00)