Forum: SuRun Beta RSS
SuRun 1.2.0.8 Schnelltest
Kay (Administrator) #1
User title: Weltverbesserer
Member since Nov 2007 · 1507 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Subject: SuRun 1.2.0.8 Schnelltest
Cosmo hat's befürchtet, Godfather hat's gefunden: Wenn man ein Programm mit SuRun administrativ startet, und Windows nicht runter fährt, ist das Benutzerpasswort dahin. :'(

Das liegt daran, dass Windows bei einer Kennwort-Änderung die Registry auf die Platte "flusht", wenn SuRun das alte Kennwort restauriert, muss SuRun die Registry manuell "flushen". Windows macht das nicht selbst, auch nach langer Zeit nicht.

Deshalb habe ich die Prozedur verändert, wie SuRun sich einen gültigen Benutzertoken ergattert:
1. aktuellen Kennwort-Hash nach HKLM\Security\SuRun\Restore speichern und Registry auf die Platte "flushen"
2. Benutzerkennwort auf ein zufälliges ändern
3. Benutzer in "Administratoren" eintragen
4. Benutzer mit neuem Kennwort anmelden
5. Benutzer aus "Administratoren" austragen
6. Benutzerkennwort in der Registry wiederherstellen und Registry flushen
7. Kennwort-Hash aus HKLM\Security\SuRun\Restore löschen und Registry auf die Platte "flushen"

Der Dienst stellt beim Start alle in HKLM\Security\SuRun\Restore vorhandenen Hashes wieder her.

Wenn jetzt zwischen 2. und 7. etwas schief geht, (z.B. weil der Strom ausfällt,) hat das keine Auswirkungen, da der Kennwort-Hash vom Dienst beim nächsten Start wiederhergestellt wird.

Bei Tests wurde gezielt 6. weggelassen und das System mit der RESET-Taste neu gestartet.
The author has attached one file to this post:
surun1208b1.zip | Save   672.4 kBytes, downloaded 248 times
Cosmo #2
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Noch bevor ich teste:

Sollten hier keine bösen Überraschungen auftauchen, so plädiere ich dringend dafür, ohne irgendwelche anderen Änderungen (und Verzögerungen) die 8er zu finalisieren um die 7er so schnell wie möglich von der Downloadseite zu entfernen.

Alle weiteren Vorschläge (ich hab auch etwas auf der Pfanne, werde es hier und jetzt aber noch für mich behalten) sollten unbedingt bis danach zurück gestellt werden.
Thomas
Kay (Administrator) #3
User title: Weltverbesserer
Member since Nov 2007 · 1507 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
So sehe ich das auch!
cmb #4
Member since Nov 2007 · 63 posts
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post #1
Quote by Kay:
Cosmo hat's befürchtet, Godfather hat's gefunden: Wenn man ein Programm mit SuRun administrativ startet, und Windows nicht runter fährt, ist das Benutzerpasswort dahin. :'(

hammerhart... ich hatte das in den letzten wenigen Wochen drei mal und mich gefragt, wie es kommen kann, dass ich da nicht mehr in meinen account komme... glücklicherweise war nach Neusetzen des Passwords über den separaten Admin account jeweils die Welt wieder in Ordnung... an SuRUn hatte ich nicht gedacht... gut dass Ihr das herausgefunden habt...

- Clemens
Cosmo #5
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Ich hab es jetzt getestet, mit 1.2.0.7 und .8 jeweils hintereinander auf der gleichen Maschine und in identischer Weise. Das mit .7 vorhandene Problem tritt mit .8 nicht mehr auf.

Ich habe deine Zustimmung gelesen, Kay. Dennoch möchte ich nach dem erzielten Testergebnis noch einmal verstärken, daß IMHO innerhalb der nächsten 48 Stunden - sofern es nicht gegenteilig lautende Berichte geben sollte - 1.2.0.8 final die .7 ersetzt. Ich betrachte das Risiko des .7 Bugs als höher ein als die .6 Sicherheitslücke. (Vielleicht auch deshalb, weil ich letzte Woche hier einen Sekunden-Aussetzer beim Stromversorger hatte. Mit 1.2.0.7 und als SuRunner gestartetem Programm hätte ich mehr als einmal geflucht.)

Sollten später aus Langzeiterfahrungen doch noch weitere Korrekturen erforderlich sein, kann man sie immer noch vornehmen. Und auch darüber mit mehr Ruhe nachdenken, ob das Rücksetzen des Benutzerkennwortes über den Dienst eventuell selbst eine Sicherheitslücke darstellt. (Keine konkreten Bedenken zur Zeit, aber ein Gedanke.)
Thomas
This post was edited on 2009-09-22, 15:00 by Cosmo.
Kay (Administrator) #6
User title: Weltverbesserer
Member since Nov 2007 · 1507 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
Bin ganz Deiner Meinung!
Morgen wird die 1208 freigelassen.
Kay (Administrator) #7
User title: Weltverbesserer
Member since Nov 2007 · 1507 posts · Location: Magdeburg
Group memberships: Administratoren, Mitglieder
Show profile · Link to this post
SuRun 1.2.0.8 ist freigegeben.
Cosmo #8
Member since Mar 2008 · 451 posts
Group memberships: Mitglieder
Show profile · Link to this post
Und läuft.
Thomas
Mik.c.OS #9
User title: scriptkiddy :D
Member since Dec 2007 · 338 posts · Location: Europa
Group memberships: Mitglieder
Show profile · Link to this post
... und läuft,...
[0001 0110]
Mik.c.OS Shell Extensions for SuRun (rev3.1) [2010-10-27] ("The Ugly One" :D )
brume #10
Member since Jan 2009 · 27 posts · Location: Schweiz
Group memberships: Mitglieder
Show profile · Link to this post
... und ist anfängerfest! :-)
Kabel-TV Internetzugang
Windows XP Pro SP3, alle Patches
SuRun 1.2.0.8
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Go to forum
Not logged in. · Lost password · Register
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Page created in 53.5 ms (30.5 ms) · 95 database queries in 9 ms
Current time: 2019-07-22, 04:11:01 (UTC +02:00)