Hallo Heiner, hallo Thomas, hallo Leute, Am Sonntag, 21. April 2002 16:02 schrieb Heiner Lamprecht:
On Sunday, 21. April 2002 15:51, Thomas Föcking wrote:
[hier wurden etliche Vorredner gekillt]
Du hast zwar Recht, aber Du kannst gleich nach dem Programmstart oder dem Terminalfenster mit xhost - alles wieder unterbinden. Das Fenster od. das Programm läuft dann normal weiter, sprich das Risiko ist zeitlich sehr begrenzt.
Dafür ist es aber ein recht großes Risiko, wenn man den Hostnamen nicht angibt: Nochmal: "xhost +" IST EIN SICHERHEITSRISIKO !!! Stattdessen xhost +hostname verwenden, das reduziert die Zahl der möglichen Angreifer von "nahezu unendlich" (falls der PC am Internet hängt) auf nur einen Host! Bezüglich der zeitlichen Begrenzung: Die ist prinzipiell gut. Wenn allerdings jemand unbedingt in Deinen X-Server eindringen möchte, kann er das auch gewaltsam tun, indem er per Schleife 1x pro Sekunde versucht zu connecten. Bist Du so schnell? ;-) Für absolute Sicherheit ist also das xhost-Kommando nicht geeignet (bessere Lösung siehe unten)
Ne, geht nicht. Wenn Du "xhost -" machst, reagiert die Anwendung, die gestartet wurde nicht mehr. Es muss während
Kann ich hier nicht nachvollziehen. Es tut, wie der Vorredner (glaube es war Christian) geschrieben hat.
Ich habe es sowohl mit XEmacs, als auch mit kwrite unter SuSE7.2 und SuSE8.0 ausprobiert. Glaube mir, in allen Fällen kann ich auch nach "xhost -" noch mit dem jeweiligen Programm arbeiten.
Nachdem xhost -localhost hängt die Anwendung. Vielleicht liegts an der neuen XFree86 Version... Ist ja auch logischer und sicherheitstechnisch besser.
Das sehe ich anders: Der Zugriff ist in Deiner Version während der gesamten Arbeitszeit mit einem Programm geöffnet. In meiner jedoch nur, bis ich das Programm gestartet habe ...
aus man xhost (X 4.1.0 / SuSE 7.3): | -name | The given name is removed from the list of allowed to connect to the | server. The name can be a host name or a user name. Existing | connections are not broken, but new connection attempts will be | denied. Note that the current machine is allowed to be removed; | however, further connections (including attempts to add it back) will | not be permitted. Resetting the server (thereby breaking all | connections) is the only way to allow local connections again. Der Zugriff eines _laufenden_ Programms auf den X-Server ist auch nach einem xhost -hostname noch möglich (gerade nochmal getestet) Wenn Du dich wirklich absichern möchtest, verwende nicht xhost +hostname, sondern arbeite mit xauth -> man xauth Damit kannst Du den Zugriff auf den X-Server userbezogen freigeben, was IMHO sicherer ist, als es hostbezogen zu machen. Gruß Christian Boltz -- Registrierter Linux-Nutzer #239431 Linux - life is too short for reboots.