Forum: SuRun Beta RSS
SuRun 1.2.0.8 Schnelltest
Kay (Administrator) #1
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Betreff: SuRun 1.2.0.8 Schnelltest
Cosmo hat's befürchtet, Godfather hat's gefunden: Wenn man ein Programm mit SuRun administrativ startet, und Windows nicht runter fährt, ist das Benutzerpasswort dahin. :'(

Das liegt daran, dass Windows bei einer Kennwort-Änderung die Registry auf die Platte "flusht", wenn SuRun das alte Kennwort restauriert, muss SuRun die Registry manuell "flushen". Windows macht das nicht selbst, auch nach langer Zeit nicht.

Deshalb habe ich die Prozedur verändert, wie SuRun sich einen gültigen Benutzertoken ergattert:
1. aktuellen Kennwort-Hash nach HKLM\Security\SuRun\Restore speichern und Registry auf die Platte "flushen"
2. Benutzerkennwort auf ein zufälliges ändern
3. Benutzer in "Administratoren" eintragen
4. Benutzer mit neuem Kennwort anmelden
5. Benutzer aus "Administratoren" austragen
6. Benutzerkennwort in der Registry wiederherstellen und Registry flushen
7. Kennwort-Hash aus HKLM\Security\SuRun\Restore löschen und Registry auf die Platte "flushen"

Der Dienst stellt beim Start alle in HKLM\Security\SuRun\Restore vorhandenen Hashes wieder her.

Wenn jetzt zwischen 2. und 7. etwas schief geht, (z.B. weil der Strom ausfällt,) hat das keine Auswirkungen, da der Kennwort-Hash vom Dienst beim nächsten Start wiederhergestellt wird.

Bei Tests wurde gezielt 6. weggelassen und das System mit der RESET-Taste neu gestartet.
Der Autor hat eine Datei an diesen Beitrag angehängt:
surun1208b1.zip | Speichern   672,4 kBytes, 192 mal heruntergeladen
Cosmo #2
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Noch bevor ich teste:

Sollten hier keine bösen Überraschungen auftauchen, so plädiere ich dringend dafür, ohne irgendwelche anderen Änderungen (und Verzögerungen) die 8er zu finalisieren um die 7er so schnell wie möglich von der Downloadseite zu entfernen.

Alle weiteren Vorschläge (ich hab auch etwas auf der Pfanne, werde es hier und jetzt aber noch für mich behalten) sollten unbedingt bis danach zurück gestellt werden.
Thomas
Kay (Administrator) #3
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
So sehe ich das auch!
cmb #4
Mitglied seit 11/2007 · 63 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Antwort auf Beitrag #1
Zitat von Kay:
Cosmo hat's befürchtet, Godfather hat's gefunden: Wenn man ein Programm mit SuRun administrativ startet, und Windows nicht runter fährt, ist das Benutzerpasswort dahin. :'(

hammerhart... ich hatte das in den letzten wenigen Wochen drei mal und mich gefragt, wie es kommen kann, dass ich da nicht mehr in meinen account komme... glücklicherweise war nach Neusetzen des Passwords über den separaten Admin account jeweils die Welt wieder in Ordnung... an SuRUn hatte ich nicht gedacht... gut dass Ihr das herausgefunden habt...

- Clemens
Cosmo #5
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Ich hab es jetzt getestet, mit 1.2.0.7 und .8 jeweils hintereinander auf der gleichen Maschine und in identischer Weise. Das mit .7 vorhandene Problem tritt mit .8 nicht mehr auf.

Ich habe deine Zustimmung gelesen, Kay. Dennoch möchte ich nach dem erzielten Testergebnis noch einmal verstärken, daß IMHO innerhalb der nächsten 48 Stunden - sofern es nicht gegenteilig lautende Berichte geben sollte - 1.2.0.8 final die .7 ersetzt. Ich betrachte das Risiko des .7 Bugs als höher ein als die .6 Sicherheitslücke. (Vielleicht auch deshalb, weil ich letzte Woche hier einen Sekunden-Aussetzer beim Stromversorger hatte. Mit 1.2.0.7 und als SuRunner gestartetem Programm hätte ich mehr als einmal geflucht.)

Sollten später aus Langzeiterfahrungen doch noch weitere Korrekturen erforderlich sein, kann man sie immer noch vornehmen. Und auch darüber mit mehr Ruhe nachdenken, ob das Rücksetzen des Benutzerkennwortes über den Dienst eventuell selbst eine Sicherheitslücke darstellt. (Keine konkreten Bedenken zur Zeit, aber ein Gedanke.)
Thomas
Dieser Beitrag wurde am 22.09.2009, 15:00 von Cosmo verändert.
Kay (Administrator) #6
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Bin ganz Deiner Meinung!
Morgen wird die 1208 freigelassen.
Kay (Administrator) #7
Benutzertitel: Weltverbesserer
Mitglied seit 11/2007 · 1469 Beiträge · Wohnort: Magdeburg
Gruppenmitgliedschaften: Administratoren, Mitglieder
Profil anzeigen · Link auf diesen Beitrag
SuRun 1.2.0.8 ist freigegeben.
Cosmo #8
Mitglied seit 03/2008 · 451 Beiträge
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
Und läuft.
Thomas
Mik.c.OS #9
Benutzertitel: scriptkiddy :D
Mitglied seit 12/2007 · 338 Beiträge · Wohnort: Europa
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
... und läuft,...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
brume #10
Mitglied seit 01/2009 · 27 Beiträge · Wohnort: Schweiz
Gruppenmitgliedschaften: Mitglieder
Profil anzeigen · Link auf diesen Beitrag
... und ist anfängerfest! :-)
Kabel-TV Internetzugang
Windows XP Pro SP3, alle Patches
SuRun 1.2.0.8
Schließen Kleiner – Größer + Auf diesen Beitrag antworten:
Prüfcode: VeriCode Gib bitte das Wort aus dem Bild ins folgende Textfeld ein. (Nur die Buchstaben eingeben, Kleinschreibung ist in Ordnung.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Weitere Zeichen:
Gehe zu Forum
Nicht angemeldet. · Kennwort vergessen · Registrieren
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Seite erstellt in 90,9 ms (53,4 ms) · 95 Datenbankabfragen in 11,5 ms
Aktuelle Zeit: 20.10.2017, 07:08:57 (UTC +02:00)