Firewall

ich klick mich mal rein. Allerdings eher, um dazu zu lernen,

Prima.

Mit Zone Alarm kann man sehr viel falsch machen. Der grösste
Fehler: Man installiert das Programm.

Warum? Siehe unten…

[…]

Rein empirisch kann man daraus doch folgern, dass AtGuard
etwas blockieren oder zulassen kann, oder?

Ja.

Da ich mir ein wenig die Regeln genauer angesehen habe, konnte
ich inzwischen für bestimmte Freigaben auch konkretere Angaben
machen. Dass zum Beispiel das Mail-Programm nur die Dienste
wie smtp und der Browser nur http freigegeben bekommt.

… was leider ausser acht lässt, daß sich ein Schadprogramm eben dieser Programme bedienen könnet, um die daten in die Welt zu senden.

Oder, dass ich eine Regel erstellt habe, die alles nicht
explizit freigegebene erst einmal blockiert.

Ich würde nicht soweit gehen. Die Programme blocken dann vermutlich das, was sie zu sehen bekommen. Das ist nicht notwendigerweise alles…

Dadurch bekomme
ich nicht bei jedem neuen Programm, welches Daten versenden
oder empfangen will, eine Meldung. Dieses wird erst einmal
blockiert.

Wenn es sich keiner anderen Programme zur Kommunikation bedient, wäre das im Idealfall so.

Sehr nützliche „Nebeneffekte“ sind das
Seiten-spezifische und leicht zu konfigurierende
Blockieren oder Zulassen von Cookies, Pop-Up’s, Java,
JavaScript und dergleichen.

Nun, das sollte Sache des Browsers sein. Bei verschlüsselten Verbindungen wird die „Firewall“ kläglich versagen.

Fazit:
Die letztendliche Frage ist natürlich, in wie weit man dem
eingesetzten Programm vertraut und welche Schlüsse man zieht.

Ja. In der Tat.

Aber: Trotz der sehr interessanten Diskussionen, die hier im
Brett zu diesem Thema immer wieder geführt werden und trotz
der ständig von euch Fachleuten resümierten Aussage: Diese
Programme nützen nichts und schaden eher - meine konkrete
Erfahrung spricht dagegen.

Möglicherweise kann eine Firewall machmal Traffic blocken, den man nicht will. Es wäre aber sinnvoller, erst garnicht solchen Datenverkehr entstehen zu lassen.

Ob es Programme gibt, die gezielt an sowas vorbeiübertragen, ist mir nicht bekannt, als „Proof-of-concept“ existieren aber bereits mehrere Möglichkeiten das zu erreichen.

Generell gilt: ein rechner wird unsicherer, wenn mehrere Programme darauf laufen. Denkbar sind konstallationen, in denen eine PF sich austrickesn lässt und „ungewolle Dinge“ tut. Jedes Programm auf dem Rechner (insbesondere welche mit Netzwerkfunktionalität) ist ein potentielles Angriffsziel und ein wichtiger Grundsatz ist es, die Konfiguration schlank zu gestalten.

Zudem gibt es Hinweise, daß sich gewisse Personal Firealls „überlasten“ lassen und sich dann abschalten. Im zusammenhang mit dem Gedanken erhöhter Sicherheit im Hinterkopf spätestens hier eine Katasrophe…

Keep on reading…

Sebastian

Das, was M$ da eingebaut hat, ist typisch M$. Genau wie bei
OE: Der kann auch NNTP und wird daher als Newsreader
missbraucht. Doch leider hält sich M$ nicht an langjährige,
etablierte und weltweit akzeptierte Usenet-Standards, sondern
kocht ein eigenes Süppchen. Der Aufwand, bis man OE so
konfiguriert hat, dass er halbwegs usenet-tauglich postet, ist
immens.

An was hält er sich nicht?

Du hättest umgekehrt fragen sollen:

Hang zu kaputten References, „AW:“ im Header beim Antworten, (mit entsprechenden Re: AW: Re-Kaskadierungen), Probleme beim standardkonformen Zeilenumbruch, Kammquoting, kein setzen von Quoingzeichen beim Antworten auf Quoted-Printable kodierte Artikel, Anzeigen von Attachments wo keine sind, Fehlerhafte Followup-To-Interpretation, überlange Einleitungszeile, falsche Umlautkodierung.

Das fiele mir so spontan ein.

Es gibt nur wenige Programme, die schlechter lesbare Artikel erzeugen.

Und Komfort darf man bei OE nun garnicht erwarten.

Bei meinen Newsgroup-Tätigkeiten - die nicht sehr häufig sind

• hatteich bis jetzt noch keinerlei Probleme, wenn man HTML
  deaktiviert.

In Microsoft-Newsgroups kennt man nichts anderess. In dcs.newsreadeer kannst Du mitlesen, um eine Ahnung von den Problemen zu bekommen, in dcoulm kannst Du dich grillen lassen (nein, nicht vom mir: OE-Artikel blende ich dort bevorzugt aus).

Welche Probleme gibt es noch? Link evtl.

OE-FAQ?

Bis jetzt habe ich XP ignoriert, weil ich die Product
Activation von MS für unverschämt halte.
Von Phone Home Angewphnheiten etc. habe ich allerdings noch
nichts verifiziertes gehört. Nur eben die üblichen Gerüchte,
die sich seit Jahren immer so halten.

Ja. Und wie sollen sie sich zerstreuen angesichts der Tatsache, daß der Quellcode nicht offenliegt. Tatsache ist, daß eine verhältnismäßig grosse datenmenge übertragen wird.

Gerücht ist, daß MS seit der missglückten GUID-Aktion neue Wege scuht um Daten zu sammeln.

Die „neue Firewall“ von WinXP kenne ich dementsprechend auch
nicht. Bei W2k war aber schon Packet Filtering integriert.
Desweiteren halte ich unter den NT Betriebssystemen eine
vernünftige (also eine die wirklich was bringt) Personal
Firewall Integration zumindest für möglich. Was die
integrierte leistet - wie gesagt nicht getestet.

Ich habe leider zu wenig Produkte aus dem Hause MS gesehen, die „wirklich was bringen“ um derartigen Glauben zu haben.

Und Netscape hat genau dasselbe gemacht - wer ist nun der
Böse? Sun macht nichts anderes - wer macht denn etwas anderes?

Opera? Mozilla?

das Konqueror-Team? Hm…

Sebastian

Hallo Sebastian,

wenn Du Kritik als Meckern bezeichnest, dann kann ich Dir auch nicht weiterhelfen. Weder in diesem Brett noch in einem anderen. Und wenn es Dir Spaß macht Ratschläge zu geben, die man nicht in die Praxis umsetzen kann, ist das wohl auch nicht zu ändern.

Gruß
Tommes

Hallo,

Da ich mir ein wenig die Regeln genauer angesehen habe, konnte
ich inzwischen für bestimmte Freigaben auch konkretere Angaben
machen. Dass zum Beispiel das Mail-Programm nur die Dienste
wie smtp und der Browser nur http freigegeben bekommt.

… was leider ausser acht lässt, daß sich ein Schadprogramm
eben dieser Programme bedienen könnet, um die daten in die
Welt zu senden.

sicher, nur würde es das auch tun, ohne „Firewall“, schaden tut letztere also nicht (außer, man verlässt sich 100%ig drauf, da hast du sicher Recht)

Oder, dass ich eine Regel erstellt habe, die alles nicht
explizit freigegebene erst einmal blockiert.

Ich würde nicht soweit gehen. Die Programme blocken dann
vermutlich das, was sie zu sehen bekommen. Das ist nicht
notwendigerweise alles…

siehe oben das Thema mit der 100%igkeit, auf die man sich nicht verlassen darf…

Dadurch bekomme
ich nicht bei jedem neuen Programm, welches Daten versenden
oder empfangen will, eine Meldung. Dieses wird erst einmal
blockiert.

Wenn es sich keiner anderen Programme zur Kommunikation
bedient, wäre das im Idealfall so.

wieder siehe oben zu „100%“, ansonsten ist das Blockieren zumindest der erkannten Kommunikation recht zuverlässig feststellbar.

Sehr nützliche „Nebeneffekte“ sind das
Seiten-spezifische und leicht zu konfigurierende
Blockieren oder Zulassen von Cookies, Pop-Up’s, Java,
JavaScript und dergleichen.

Nun, das sollte Sache des Browsers sein. Bei verschlüsselten
Verbindungen wird die „Firewall“ kläglich versagen.

Welcher Browser macht das denn spezifisch nach Seiten? Würde mich echt interessieren…!

Möglicherweise kann eine Firewall machmal Traffic blocken, den
man nicht will. Es wäre aber sinnvoller, erst garnicht solchen
Datenverkehr entstehen zu lassen.

Der erste Satz beschreibt gut den Grund, den ich für den Einsatz einer solchen „Firewall“ habe.

Zum zweiten Satz… siehe unten

Ob es Programme gibt, die gezielt an sowas vorbeiübertragen,
ist mir nicht bekannt, als „Proof-of-concept“ existieren aber
bereits mehrere Möglichkeiten das zu erreichen.

glaube ich dir auf’s Wort.

Generell gilt: ein rechner wird unsicherer, wenn mehrere
Programme darauf laufen. Denkbar sind konstallationen, in
denen eine PF sich austrickesn lässt und „ungewolle Dinge“
tut. Jedes Programm auf dem Rechner (insbesondere welche mit
Netzwerkfunktionalität) ist ein potentielles Angriffsziel und
ein wichtiger Grundsatz ist es, die Konfiguration schlank zu
gestalten.

Gut, es gibt 2 Lösungsansätze (bitte berichtige mich, wenn das falsch sein sollte):

1. Rechner puritanisch und nur mit Hilfe eines Spezialisten und unter Ausschluss der marktführenden Systeme betreiben.

2. Rechner unsicherer betreiben, dafür mehr Komfort und weniger Aufwand an Spezialisten haben. Teilbereiche der Kontrolle durch Software wiedererlangen, die (übertriebenermaßen) den Namen „Firewall“ trägt, sich aber bewusst sein, dass Komfort immer zu Lasten der Sicherheit geht.

Ich entscheide mich für letztere Variante und kann dieselbe Entscheidung vieler Leute nachvollziehen.
Ebenso nachvollziehen kann ich aber auch den Ärger der „Künstler“ über solche Verwässerung von perfekten Lösungen.

Zudem gibt es Hinweise, daß sich gewisse Personal Firealls
„überlasten“ lassen und sich dann abschalten. Im zusammenhang
mit dem Gedanken erhöhter Sicherheit im Hinterkopf spätestens
hier eine Katasrophe…

Da du von „erhöhter Sicherheit“ sprichst, ist die Bezeichnung Katastrophe m.E. logisch falsch. Ein dem Konzept widersprechendes Szenario spricht maximal gegen " absolute Sicherheit"…

Keep on reading…

Ja, mit Vergnügen…!

Salzmann

Hi,

Und Netscape hat genau dasselbe gemacht - wer ist nun der
Böse? Sun macht nichts anderes - wer macht denn etwas anderes?

Opera? Mozilla?

Wie bitte? Adware? supaaa…
und Open Source ist keine Firma…

das Konqueror-Team? Hm…

Konquerer war - zumindest in der Version, in der ich es benützt habe, SUSE 7.2, schlichtweg unbrauchbar.

btw: von was leben die meisten Open Source Programmierer? hmm… habt ihr es erraten?

ciao
ralf

… was leider ausser acht lässt, daß sich ein Schadprogramm
eben dieser Programme bedienen könnet, um die daten in die
Welt zu senden.

sicher, nur würde es das auch tun, ohne „Firewall“, schaden
tut letztere also nicht

Die Frage ist, was die Firewall an Nebeneffekten bringt.

Ich würde nicht soweit gehen. Die Programme blocken dann
vermutlich das, was sie zu sehen bekommen. Das ist nicht
notwendigerweise alles…

siehe oben das Thema mit der 100%igkeit, auf die man sich
nicht verlassen darf…

Ja, aber was hilft es einem weiter, wenn man ein Programm hat, was „irgendwie manchmal funzt“. Nichts. Entweder man will keine unerwünschte Kommunikation, dann installiert man halt kein Programm, was das tun könnte oder es ist einem egal.

Mir wäre es kein wirklicher Gewinn, wenn nur ausgewählte Spyware-Firmen Einblick in meine Kontostände und mehr bekämen…

wieder siehe oben zu „100%“, ansonsten ist das Blockieren
zumindest der erkannten Kommunikation recht zuverlässig
feststellbar.

Auch hier gilt mein obiges sinngemäß…

Sehr nützliche „Nebeneffekte“ sind das
Seiten-spezifische und leicht zu konfigurierende
Blockieren oder Zulassen von Cookies, Pop-Up’s, Java,
JavaScript und dergleichen.

Nun, das sollte Sache des Browsers sein. Bei verschlüsselten
Verbindungen wird die „Firewall“ kläglich versagen.

Welcher Browser macht das denn spezifisch nach Seiten? Würde
mich echt interessieren…!

Meiner nicht, aber konqueror ist da recht weit, Mozilla IIRC auch und Opera ebenso (Wobei bei letzerem gilt: Closed Source und Adware)

Generell gilt: ein rechner wird unsicherer, wenn mehrere
Programme darauf laufen. Denkbar sind konstallationen, in
denen eine PF sich austrickesn lässt und „ungewolle Dinge“
tut. Jedes Programm auf dem Rechner (insbesondere welche mit
Netzwerkfunktionalität) ist ein potentielles Angriffsziel und
ein wichtiger Grundsatz ist es, die Konfiguration schlank zu
gestalten.

Gut, es gibt 2 Lösungsansätze (bitte berichtige mich, wenn das
falsch sein sollte):

1. Rechner puritanisch und nur mit Hilfe eines Spezialisten
   und unter Ausschluss der marktführenden Systeme betreiben.

Das klingt, wie frisch aus der MS-Marketingabteilung…

Ich halte meinen Rechner für komfortabler als das, womit ich mich auf Windows-Systemen herumschlagen darf. Vielleicht sind die Programme etwas weniger bunt…

[Wenn das Wörtchen ‚Wenn‘ nicht wär’, wär’ ich lange Millionär:]

Wenn ich Computer verkaufen würde, hätte ich eine Linux-Standardkonfiguration, die ich den Kunden auf die Kiste knallen würde. So wie Windows halt auch im Allgemeinen vorinstalliert ist. Damit könnte man dann mit geringen Anpassungen (Passwörter, Zugänge) arbeiten.

Mich würde mal interssieren, was „den Leuten“ an meinem Rechner an Komfort fehlt…

das „Aldi-Kochbuch Version 2.001a“ lässt sich zugegebermassen nicht mal eben installieren. Nun denn.

2. Rechner unsicherer betreiben, dafür mehr Komfort und
   weniger Aufwand an Spezialisten haben.

Du meinst sicher „MS-Betriebssysteme“? Ich bin ja vielleicht inzwischen gegenüber den Dingern voreingenommen, aber daß das ständige Rebooten ein Komfortgewinn sein soll, bezweifele ich… Oder was fehlt Dir bei den Alternativen?

Teilbereiche der
Kontrolle durch Software wiedererlangen, die
(übertriebenermaßen) den Namen „Firewall“ trägt, sich aber
bewusst sein, dass Komfort immer zu Lasten der Sicherheit
geht.

Nö. Mein Mailprogramm ist 500 mal komfortabler als die Summe alldessen, was MS je auf diesem Gebiet zusammengestrickt hat.

Im Allgemeinen scheint es mir, daß insbesondre „Marketing“ auf Kosten der Sicherheit geht.

Zudem gibt es Hinweise, daß sich gewisse Personal Firealls
„überlasten“ lassen und sich dann abschalten. Im zusammenhang
mit dem Gedanken erhöhter Sicherheit im Hinterkopf spätestens
hier eine Katasrophe…

Da du von „erhöhter Sicherheit“ sprichst, ist die Bezeichnung
Katastrophe m.E. logisch falsch. Ein dem Konzept
widersprechendes Szenario spricht maximal gegen
" absolute Sicherheit"…

„Sicherheit“ ist zum einen gegen torfnasige Spyware-Autoren gerichtet, die irgendwelche TCP/IP-Pakete nach aussen schleudern. [Oder ist das nichteinmal ‚Sicherheit‘ im engeren Sinne? Ist das vielleicht Datenschutz/Vertraulichkeit?].
Sicherheit ist aber insbesondere Abwehr gegen gezielte Angriffe (das suggerieren eben auch die einschlägigen Produkte). Ein Programm, daß mittels einem gezielten Angriffsszenario schachmatt gesetzt werden kann, ist somit nicht mehr als „sicher“ zu betrachten.

Interessantes Gedankenspiel (ja, mehr ist es nicht): beim Update der Firewall werden korrumpierte Daten untergeschoben (Kleine Manipulation am DNS, sowas hat es schon gegeben), die zu einem Buffer-Overflow führen und erlauben, daß das installierte Programm fortan Dinge tut, die einem Angreifer weiterhelfen könnten.

Das ist es auch, warum ich zusätzliche Software nicht nur für unnötig halte…

Buffer Overflows hat es schon bei allen möglichen Programmen gegeben (sendmail, IIS, …) und zuverlässig schützt man sich nur davorm, indem man so wenig wie nur irgend möglich installiert…

Ja, mit Vergnügen…!

Dito.

Sebastian

Tach.

Und Netscape hat genau dasselbe gemacht - wer ist nun der
Böse? Sun macht nichts anderes - wer macht denn etwas anderes?

[…] Mozilla?

Wie bitte? Adware? supaaa…

Mozilla ist keine Adware, auf Opera trifft das Argument aber zu. (Die Protokolle sind zwar dokumentiert und nachvollziehbar, aber das Problem bleibt in der Tat.

und Open Source ist keine Firma…

Was will uns dieser Satz sagen?

das Konqueror-Team? Hm…

Konquerer war - zumindest in der Version, in der ich es
benützt habe, SUSE 7.2, schlichtweg unbrauchbar.

Hm. Er kann ja auch ActiveX. Ansonsten ist „brauchbar“ bei Browsern von erstaunlichem Definitionsspielraum geprägt.

btw: von was leben die meisten Open Source Programmierer?

Direkt oder indikekt von „Consulting“. Wenn sie es nicht als Hobby betreiben…

Das versuchen auch MSCEs, aber die bringen im Allgemeinen nicht das, was den Namen „Consulting“ verdienen würde.

hmm… habt ihr es erraten?

Was bringt uns die Aussage weiter?

Sebastian

Hi,

btw: von was leben die meisten Open Source Programmierer?

Direkt oder indikekt von „Consulting“. Wenn sie es nicht als
Hobby betreiben…

Ja, aber neben dem Hobby sind es meist auch im Beruf Programmierer. Und das selten für Open Source… Consulting ist wohl erst in letzter Zeit eine weitere Alternative geworden.

hmm… habt ihr es erraten?

Was bringt uns die Aussage weiter?

tja, stell Dir diese Frage nun nochmal (was kann ich dafür, wenn Du die „falsche“ Antwort lieferst? )

ciao
ralf

Hi

um dazu zu lernen,

Sehr gut. Das Wichtigste überhaupt.

Folgender Anwenderbericht von mir:

Status:
Ich habe Win2K und als sog. Firewall AtGuard (den Vorgänger
von Norton Internet Security).

Hatte ich auch mal testweise installiert.

Ich habe so gut wie keine Ahnung von TCP/IP, Ports und
dergleichen.

Schlecht. Das solltest Du, falls Du die Firewall längerfristig einsetzen willst, schnellstmöglich ändern.

Fakten:
Wenn AtGuard neu installiert ist, dann fragt es bei jedem
Programm, welches nach draußen (oder drinnen) Daten schicken
möchte, ob das ok ist.

Ein durchaus akzeptabler Ansatz. Doch kann es noch mehr als nur nach Programmen (Applikationen) filtern? Zone Alarm kann es nicht.

Rein empirisch kann man daraus doch folgern, dass AtGuard
etwas blockieren oder zulassen kann, oder?

Ja. Aber ob es das erlaubt bzw. blockiert, was Du willst, ist eine andere Frage. Und wenn es nur nach Applikationen geht, kann das auch mangelhaft sein.

Da ich mir ein wenig die Regeln genauer angesehen habe, konnte
ich inzwischen für bestimmte Freigaben auch konkretere Angaben
machen. Dass zum Beispiel das Mail-Programm nur die Dienste
wie smtp und der Browser nur http freigegeben bekommt.

Aha. Du machst etwas sehr wesentliches: Du befasst Dich mit den Regeln und versuchst, diese zu verfeinern. Dadurch lernst Du automatisch dazu. Ein sehr guter Ansatz IMHO.

Oder, dass ich eine Regel erstellt habe, die alles nicht
explizit freigegebene erst einmal blockiert.

Fragwürdig. Warum musst Du solch eine Regel selber definieren? Sowas muss eine Firewall von Haus aus tun.

Dadurch bekomme
ich nicht bei jedem neuen Programm, welches Daten versenden
oder empfangen will, eine Meldung. Dieses wird erst einmal
blockiert.

Richtig.

Wenn ich dann feststelle, dass das Programm nicht so
funktioniert, wie es soll, erstelle ich eben dafür eine
(möglichst eingeschränkte) Regel.

Aha. Und was brauchst Du, um solch eine Regel zu erstellen? Richtig: Know How. Du musst Dich damit auseinandersetzen, was das Programm eigentlich tun will, herausfinden, ob das notwendig oder sinnvoll ist etc. Ein Lernprozess.

In der Logdatei kann ich auch sehr gut nachvollziehen, welche
Regel wann gegriffen hat.

Du bist eine Ausnahme. 90% von den Leuten, die sich AtGuard, ZA oder ähnliches installieren, lesen keine Logdateien. Sie würden sie auch nicht verstehen und somit nichts nachvollziehen können. Und da halte ich das für unnötig, sinnfrei, überflüssig.

Sehr nützliche „Nebeneffekte“ sind das
Seiten-spezifische und leicht zu konfigurierende
Blockieren oder Zulassen von Cookies, Pop-Up’s, Java,
JavaScript und dergleichen.

Seitenspezifisch: Bitte schlag mich nicht, wenn ich falsch liege. Aber entweder Netscape 6.2 oder Opera 6 hat solch eine Möglichkeit. Gucks Dir mal an.

Fazit:
Die letztendliche Frage ist natürlich, in wie weit man dem
eingesetzten Programm vertraut und welche Schlüsse man zieht.

Korrekt.

Mir ist klar, dass mein Rechner nicht 100%ig sicher ist.

Ausgezeichnet.

Ich denke auch, dass solche „Personal Firewalls“ wie AtGuard
oder das buntere ZoneAlarm nichts für absolute Anfänger sind,

Bingo.

die bei jedem sich (scheinbar) von selbst öffnenden Fenster
vom Stuhl fallen und gleich den Netzstecker ziehen.

Jep.

Aber: Trotz der sehr interessanten Diskussionen, die hier im
Brett zu diesem Thema immer wieder geführt werden und trotz
der ständig von euch Fachleuten resümierten Aussage: Diese
Programme nützen nichts und schaden eher - meine konkrete
Erfahrung spricht dagegen.

Ich bin, womöglich im Gegensatz zu meinem geschätzten Kollegen Sebastian, nicht grundsätzlich gegen Firewalls. Doch ich bin dagegen, eine Firewall oder etwas, was sich so nennt (schimpft) zu installieren, ohne sich auch nur eine Spur auszukennen und ohne sich näher darum zu kümmern.

Mir geht es darum, den Leuten, die IMHO vielfach zu sehr das nachplappern, was CHIP und Co. vorkauen, aufzuzeigen, dass da durchaus auch Mist steht. Dass man solche Testberichte etc. kritisch sehen muss.

Denn schlussendlich ist es eigentlich fast egal, welche Firewall man sich installiert oder nicht. Wichtig ist, dass man sich informiert. Wichtig ist, dass man sich möglichst rasch in die Lage versetzt, die Firewall auch hinreichend zu konfigurieren. Zu verstehen, was die macht und warum. Und was sie nicht macht.

Bei Firewalls ist es IMHO etwas anders als bei anderen Programmen. Der Einsatz einer Firewall ist weder ein Allheilmittel noch einfach. Und wer nicht bereit ist, sich damit zu befassen, der lässt lieber die Finger davon.

CU
Peter

Hi

[OE]

An was hält er sich nicht?

Kammquotings, falsche Codierungen, Zeilenumbruch, kein Signaturtrenner… einiges wurde ja auch schon genannt.

Welche Probleme gibt es noch? Link evtl.

http://www.afaik.de/usenet/faq/zitieren/ - OE-User quoten äusserst selten korrekt.

http://www.oe-faq.de/
http://www.hreimers.de/oe5/

Noch Fragen?

Von Phone Home Angewphnheiten etc. habe ich allerdings noch
nichts verifiziertes gehört. Nur eben die üblichen Gerüchte,
die sich seit Jahren immer so halten.

Stimmt. Bislang sind das Gerüchte. Mitunter offenbar relativ haltlose, wie ein Artikel in der aktuellen c’t aufzeigt. Dennoch bleibt IMHO ein schaler Nachgeschmack.

Denn erstens hat M$ bei Win98 ja bereits mal eins auf den Deckel bekommen, weil sie doch mehr Daten sammelten, als sie zugaben. Zweitens ist die Informationspolitik von M$ bezüglich XP derzeit schlicht eine Zumutung. Wenn, dann kommen nur dumme Platitüden. Keinerlei konkrete Informationen, um die Gerüchte aus der Welt zu schaffen.

Desweiteren halte ich unter den NT Betriebssystemen eine
vernünftige (also eine die wirklich was bringt) Personal
Firewall Integration zumindest für möglich.

Erläutere das doch bitte mal etwas genauer. Wie stellst Du Dir das vor? Ich denke auch, dass es durchaus machbar ist. Würde mich aber interessieren, ob Du da ähnlich denkst wie ich.

Bitte nicht vergessen: Was M$ in ihre Produkte einbaut, ist
nicht immer wirklich gut. Vielfach wird es nur deswegen
eingebaut, weil sie a) damit der Konkurrenz eins auswischen
können (siehe IE vs. Netscape)

Und Netscape hat genau dasselbe gemacht - wer ist nun der
Böse? Sun macht nichts anderes - wer macht denn etwas anderes?

Ich meinte eher die Integration des IE in Windows, so dass andere Browser von der Mehrzahl der User schlicht ignoriert werden. Die kommen noch nicht mal auf die Idee, etwas anderes auch nur anzutesten.

BTW: die in XP eingebaute CD-Brennfunktion ist ja auch nicht
wirklich brauchbar. Wer etwas mehr von seinem Brenner haben
will, der kommt nach wie vor nicht umhin, sich ein
vernünftiges Brenn-Tool zu installieren.

Naja, für einfache Tätigkeiten ist sie aber ausreichend? =>
ich halte sie für sinnvoll

Es ist so, dass M$ manchmal durchaus gute Ideen hat und die auch einbaut. Etwa das Internet Connection Sharing. Leider mangelt es ihnen offenbar oftmals daran, die Sachen bis zum Ende komplett zu durchdenken. Beim ICS ist es etwa kein Problem dafür zu sorgen, dass die Verbindung bei Bedarf automatisch aufgebaut wird. Aber wie man die Verbindung später komfortabel vom ICS-Client aus wieder beenden kann, daran haben sie nicht gedacht. Also offenbar nur halbgar.

CU
Peter

[…]

btw: von was leben die meisten Open Source Programmierer?

Direkt oder indikekt von „Consulting“. Wenn sie es nicht als
Hobby betreiben…

Ja, aber neben dem Hobby sind es meist auch im Beruf
Programmierer.

Das stimmt ganz und gar nicht. Die meisten sind glaube ich Studenten. Dann kommen jede Menge Wissenschaftler (häufig im öffentlichen Dienst), die zwar auch Programmieren, deren Berufsbezeichnung aber Physiker, Mathematiker, Informatiker, Ingenieur, … ist. Dann jede Menge Menschen, die „eigentlich“ mit Computern gar nichts zu tun haben, aber sich das durchaus als Hobby antun (Musiker, Grafiker, etc.). Sicher gibt es auch ein paar Hauptberufliche Programmierer, aber das dürfte eine verschwindende Minderheit sein. Und wenn, dann werden sie auch häufig genau für das open source Programmieren bezahlt. Von Firmen wie SuSE, RedHat, IBM, Sun, etc.

Das Geschäft machen diese Firmen dann in der Tat im Beratungsbereich.

Ich glaube kaum, dass es unter den Microsoft-Mitarbeitern viele Open Source Programmierer gibt.

Gruß

Fritze

sicher, nur würde es das auch tun, ohne „Firewall“, schaden
tut letztere also nicht

Die Frage ist, was die Firewall an Nebeneffekten bringt.

Der Anwender wähnt sich in Sicherheit, obwohl er es nicht ist. Er ist womöglich dann so mutig und tut Dinge, die er ohne Firewall nicht tun würde, weil er (vielfach fälschlich) annimmt, dass ihn die Firewall vor Auswirkungen schützt.

'Hey, ich hab ABS im Auto und ‚n Airbag. Jetzt brauch ich keinen Sicherheitsabstand mehr einzuhalten.‘ - Sprachs und krachte dem Vordermann ins Heck.

CU
Peter

Hallo,

Fakten:
Wenn AtGuard neu installiert ist, dann fragt es bei jedem
Programm, welches nach draußen (oder drinnen) Daten schicken
möchte, ob das ok ist.

Ein durchaus akzeptabler Ansatz. Doch kann es noch mehr als
nur nach Programmen (Applikationen) filtern? Zone Alarm kann
es nicht.

Kann AtGuard auch nicht (glaube ich)…

Aber ob es das erlaubt bzw. blockiert, was Du willst, ist
eine andere Frage. Und wenn es nur nach Applikationen geht,
kann das auch mangelhaft sein.

Dessen bin ich mir bewusst.

Oder, dass ich eine Regel erstellt habe, die alles nicht
explizit freigegebene erst einmal blockiert.

Fragwürdig. Warum musst Du solch eine Regel selber definieren?
Sowas muss eine Firewall von Haus aus tun.

Naja, die „Firewall“ lässt gar nichts (von ihr Erkanntes) durch, wenn man es nicht explizit erlaubt.
Durch diese Regel erspare ich mir nur das ständige Nachfragen. In der Log-Datei kann ich dann nämlich nachträglich überprüfen, was da blockiert wurde und es ggf. mit einer neuen Regel erlauben.

Du bist eine Ausnahme. 90% von den Leuten, die sich AtGuard,
ZA oder ähnliches installieren, lesen keine Logdateien. Sie
würden sie auch nicht verstehen und somit nichts
nachvollziehen können. Und da halte ich das für unnötig,
sinnfrei, überflüssig.

Ich bin deiner Meinung, dass Anwender, die erstens kein Wissen und (noch wichtiger) zweitens keine Lust haben, sich etwas mit diesen Funktionen auseinanderzusetzen, solche Software nicht benötigen.
Allerdings sehe ich weiterhin nur einen Schaden durch den Einsatz solcher Programme, wenn der Anwender so dumm ist, sich dadurch in absoluter Sicherheit zu wiegen und leichtsinnig zu werden. Aber das liegt dann wohl am Anwender (vielleicht noch an dem irreführenden Marketing der PF-Verkäufer) und es stellt sich die Frage, ob er nicht auch ohne PF leichtsinnig wäre.

Seitenspezifisch: Bitte schlag mich nicht, wenn ich falsch
liege. Aber entweder Netscape 6.2 oder Opera 6 hat solch eine
Möglichkeit. Gucks Dir mal an.

Werde ich tun. Wäre eine sehr gute Neuerung…

Ich bin, womöglich im Gegensatz zu meinem geschätzten Kollegen
Sebastian, nicht grundsätzlich gegen Firewalls. Doch ich bin
dagegen, eine Firewall oder etwas, was sich so nennt
(schimpft) zu installieren, ohne sich auch nur eine Spur
auszukennen und ohne sich näher darum zu kümmern.

Naja, über die Installation von Software, ohne diese wirklich zu verstehen und sinnvoll anzuwenden würde ich mich nicht aufregen.
Wieviel Leute haben Excel oder Access auf dem Rechner und begreifen nicht einmal die Grundlagen dessen, was sie damit machen können.

Mir geht es darum, den Leuten, die IMHO vielfach zu sehr das
nachplappern, was CHIP und Co. vorkauen, aufzuzeigen, dass da
durchaus auch Mist steht. Dass man solche Testberichte etc.
kritisch sehen muss.

Natürlich. Und deshalb ist das Fachwissen dazu (wie von dir oder Sebastian) sehr, sehr hilfreich.
Wobei die Schlussfolgerungen daraus eben jeder selbst ziehen muss.

Tschüß (wie man hier so sagt),
Salzmann

Hallo,

Ja, aber neben dem Hobby sind es meist auch im Beruf
Programmierer.

Das stimmt ganz und gar nicht. Die meisten sind glaube ich
Studenten. […]

Aha. Das klingt doch sehr bestimmt
Kann uns vielleicht irgendjmd. Mit ein paar Zahlen aus der Patsche helfen, wer nun recht hat? =)

ciao
ralf

Hallo,

Desweiteren halte ich unter den NT Betriebssystemen eine
vernünftige (also eine die wirklich was bringt) Personal
Firewall Integration zumindest für möglich.

Erläutere das doch bitte mal etwas genauer. Wie stellst Du Dir
das vor? Ich denke auch, dass es durchaus machbar ist. Würde
mich aber interessieren, ob Du da ähnlich denkst wie ich.

Weiss nicht, ob ich ähnlich denke.
Mit dem Rechte und Dienste System unter NT sollte man in der Lage sein das relativ sicher zu gestalten. Vorrausgesetzt der Benutzer ist nicht andauernd mit Admin-Rechten am schaffen.
Dann haben es Programme, die ausgeführt werden relativ schwer die Filter zu umgehen. Direkter Zugriff auf die entsprechenden Netz Komponenten ist dem Anwender und damit den ausgeführten Programmen nicht so einfach möglich.
Im Gegensatz zu reinem Packet-Filtering kann damit sogar ein „Hauch“ von Application Level Filtering erreicht werden - ohne allzugrossen Aufwand.
Zumindest stelle ich mir das so vor. Weiss aber nicht wie genau der Zugriff von Anwendungen auf die Netzwerkdienste unter NT geregelt ist. Und ob es ohne weiteres möglich ist den kompletten Traffic durch die Firewall zu leiten. In wieweit das 3rd Party Anbieter machen können, weiss ich nicht. Zumindest für MS sollte es aber prinzipiell kein grosses Problem darstellen.

Sinn macht das ganze natürlich auch nur, wenn sie vernünftig konfiguriert wird. Aber wo ist das nicht so?

ciao
ralf

[PF]

Die Frage ist, was die Firewall an Nebeneffekten bringt.

Der Anwender wähnt sich in Sicherheit, obwohl er es nicht ist.

Nein, das meints ich nichteinmal, diese komponente haben wir in der Diskussion (unberechtigierweise) einmal weggelassen. Aber auch dann bringt zusäztliche Software Risiken.

Das Szenario „Buffer Overflow“ durch falsch untergeschobene Upedate-Datei mag recht theoretisch klingen…

Sebastian

Hallo,

Die Frage ist, was die Firewall an Nebeneffekten bringt.

Du meinst unerwünschte?

Ja, aber was hilft es einem weiter, wenn man ein Programm hat,
was „irgendwie manchmal funzt“. Nichts. Entweder man will
keine unerwünschte Kommunikation, dann installiert man halt
kein Programm, was das tun könnte oder es ist einem egal.

Naja, diese radikale Ansicht kann ich (vielleicht ja auch einfach nur aus Unkenntnis, wer weiß) nicht teilen.
Wenn ein Programm in Teilen funktioniert, dann funktioniert es zum Teil und nicht gar nicht.

Und: Wenn man der Meinung ist, Software installieren zu müssen, die evtl. unerwünschte Datenbewegungen nach „draußen“ haben könnte, dann ist eine weitere Software, die wenigstens einige dieser „Verräter“ blockiert, besser als gar keine.

Und: Wie soll der unbedarfte Anwender feststellen, welcher Software er vertrauen kann? Zumal ja wohl auch die sog. Fachzeitschriften z.T. Unfug schreiben…
Ich weiß - er sollte gar nichts installieren…

Sehr nützliche „Nebeneffekte“ sind das
Seiten-spezifische und leicht zu konfigurierende
Blockieren oder Zulassen von Cookies, Pop-Up’s, Java,
JavaScript und dergleichen.

Nun, das sollte Sache des Browsers sein. Bei verschlüsselten
Verbindungen wird die „Firewall“ kläglich versagen.

Ok, wenn es die neuen Browser inzwischen können - umso besser.
Und der Anteil der angesurften verschlüsselten Seiten sollte wohl eher gering sein, so dass dieses Thema eher marginal ist.

Gut, es gibt 2 Lösungsansätze (bitte berichtige mich, wenn das
falsch sein sollte):

1. Rechner puritanisch und nur mit Hilfe eines Spezialisten
   und unter Ausschluss der marktführenden Systeme betreiben.

Das klingt, wie frisch aus der MS-Marketingabteilung…

Das Widerliche an diesem Moloch ist ja, dass er leider mit solchen Behauptungen (noch?) Recht hat.

Ich halte meinen Rechner für komfortabler als das, womit ich
mich auf Windows-Systemen herumschlagen darf. Vielleicht sind
die Programme etwas weniger bunt…

Ich gebe zu, dass ich Nicht-Windows-Systeme noch nicht ausprobiert habe. Deswegen kann ich schlecht den Komfort vergleichen.

Wenn ich Computer verkaufen würde, hätte ich eine
Linux-Standardkonfiguration, die ich den Kunden auf die Kiste
knallen würde. So wie Windows halt auch im Allgemeinen
vorinstalliert ist. Damit könnte man dann mit geringen
Anpassungen (Passwörter, Zugänge) arbeiten.

Wenn es viele solcher Händler geben würde, wäre das sehr hilfreich.

Mich würde mal interssieren, was „den Leuten“ an meinem
Rechner an Komfort fehlt…

das „Aldi-Kochbuch Version 2.001a“ lässt sich zugegebermassen
nicht mal eben installieren. Nun denn.

Ich kann nur nach den bisher gehörten Aussagen von Linux-Anwendern urteilen. Und die hatten bisher immer mal wieder Probleme mit Software-Installationen. Was ja - bei der noch existierenden Martführerschaft von MS - irgendwie auch logisch ist. Nicht alle machen sich die Mühe, Software für alle existierenden Plattformen zu entwickeln.
Ob es bei den Inkompatibilitäten nur um Aldi-Kochprogramme und dergleichen geht, wage ich zu bezweifeln.

2. Rechner unsicherer betreiben, dafür mehr Komfort und
   weniger Aufwand an Spezialisten haben.

Du meinst sicher „MS-Betriebssysteme“? Ich bin ja vielleicht
inzwischen gegenüber den Dingern voreingenommen, aber daß das
ständige Rebooten ein Komfortgewinn sein soll, bezweifele
ich… Oder was fehlt Dir bei den Alternativen?

Was mir fehlt? Die Zeit, mich in eine ganz andere Systemwelt einzuarbeiten. Sollte ich mal dazu kommen, werde ich mir das mal ansehen um einzuschätzen, wie aufwändig ein Umlernen ist.

Und: ständiges Rebooten? Wann hast du einen Windows-Bildschirm zum letzten Mal gesehen? Oder mache ich etwas falsch? Irgendwie fehlen bei mir die Aufforderungen, ständig neuzustarten… Ist das eine neue Tücke von Gates?

Teilbereiche der
Kontrolle durch Software wiedererlangen, die
(übertriebenermaßen) den Namen „Firewall“ trägt, sich aber
bewusst sein, dass Komfort immer zu Lasten der Sicherheit
geht.

Nö. Mein Mailprogramm ist 500 mal komfortabler als die Summe
alldessen, was MS je auf diesem Gebiet zusammengestrickt hat.

Ich nutze TheBat und bin sehr zufrieden. Aber sicher gibt es Ähnliches auch für Linux…?

Da du von „erhöhter Sicherheit“ sprichst, ist die Bezeichnung
Katastrophe m.E. logisch falsch. Ein dem Konzept
widersprechendes Szenario spricht maximal gegen
" absolute Sicherheit"…

„Sicherheit“ ist zum einen gegen torfnasige Spyware-Autoren
gerichtet, die irgendwelche TCP/IP-Pakete nach aussen
schleudern. [Oder ist das nichteinmal ‚Sicherheit‘ im engeren
Sinne? Ist das vielleicht Datenschutz/Vertraulichkeit?].
Sicherheit ist aber insbesondere Abwehr gegen gezielte
Angriffe (das suggerieren eben auch die einschlägigen
Produkte). Ein Programm, daß mittels einem gezielten
Angriffsszenario schachmatt gesetzt werden kann, ist somit
nicht mehr als „sicher“ zu betrachten.

schwarz - weiß ?

Ein Programm, welches nur einen Teil der Angriffe abwehrt, ist ein teilweiser Gewinn von Sicherheit. Ohne, dass man sich damit vollständig sicher fühlen darf.

Interessantes Gedankenspiel (ja, mehr ist es nicht): beim
Update der Firewall werden korrumpierte Daten untergeschoben
(Kleine Manipulation am DNS, sowas hat es schon gegeben), die
zu einem Buffer-Overflow führen und erlauben, daß das
installierte Programm fortan Dinge tut, die einem Angreifer
weiterhelfen könnten.

Das Gleiche kann mir beim Update meiner Virendefinitionen passieren. Wäre übel, aber wie sollte ich das vermeiden? Soll ich Symantec bitten, mir die Updates auf Diskette zu schicken?

Gruß,
Salzmann

Die Frage ist, was die Firewall an Nebeneffekten bringt.

Du meinst unerwünschte?

Jaja.

Ja, aber was hilft es einem weiter, wenn man ein Programm hat,
was „irgendwie manchmal funzt“. Nichts. Entweder man will
keine unerwünschte Kommunikation, dann installiert man halt
kein Programm, was das tun könnte oder es ist einem egal.

Naja, diese radikale Ansicht kann ich (vielleicht ja auch
einfach nur aus Unkenntnis, wer weiß) nicht teilen.
Wenn ein Programm in Teilen funktioniert, dann funktioniert es
zum Teil und nicht gar nicht.

… und zum letzen Drittel kontraproduktiv?

Und: Wenn man der Meinung ist, Software installieren zu
müssen, die evtl. unerwünschte Datenbewegungen nach „draußen“
haben könnte, dann ist eine weitere Software, die wenigstens
einige dieser „Verräter“ blockiert, besser als gar keine.

Hmm. Und wenn die Personal Firewall auch nach draussen telefoniert hat Du den Teufel mit dem Beelzebub…

Und: Wie soll der unbedarfte Anwender feststellen, welcher
Software er vertrauen kann?

Das ist beileibe nicht trivial - und lässt sich nicht generell beantworten. Der harte Weg ist: Sicherheitsrelevante Software muss im Quellcode offen liegen und einem entsprechenden „Review“ unterliegen. Ein anderer Weg wäre eine schriftliche (Haftungs-)Hereinbarung mit den Softwarelieferanten.

Zumal ja wohl auch die sog.
Fachzeitschriften z.T. Unfug schreiben…
Ich weiß - er sollte gar nichts installieren…

Nun ja…

Ok, wenn es die neuen Browser inzwischen können - umso besser.

Da klappts auch mit verschlüsselten Seiten.

Und der Anteil der angesurften verschlüsselten Seiten sollte
wohl eher gering sein, so dass dieses Thema eher marginal ist.

Nope. Gerade Webmail-Anbieter bieten zunehmand verschlüsselte Übertragung an. Andereseits haben dort andere (nämlich Mailversender) gute Chancen, Unerwünschtes zur Anzeige zu bringen.

[Microsoft Produkte sind komfortabel, Alternativen ein „Pain-in-the-ass“]

Das Widerliche an diesem Moloch ist ja, dass er leider mit
solchen Behauptungen (noch?) Recht hat.

Inwiefern?

Mich würde mal interssieren, was „den Leuten“ an meinem
Rechner an Komfort fehlt…

das „Aldi-Kochbuch Version 2.001a“ lässt sich zugegebermassen
nicht mal eben installieren. Nun denn.

Ich kann nur nach den bisher gehörten Aussagen von
Linux-Anwendern urteilen. Und die hatten bisher immer mal
wieder Probleme mit Software-Installationen.

Da werden Äpfel mit Birnen verglichen - in der Regel. Ein passendes RPM- oder DEB-Paket zu installieren ist trivialer als alles, was man unter Windows jemals gesehen hat. Programme zu kompilieren kann problematischer sein, ich habe da bislang wenig Probleme gehabt.

Das Hauptproblem scheint zu sein, daß Windows einem das Lesen von Dokumentationen gründlich abgewöhnt.

logisch ist. Nicht alle machen sich die Mühe, Software für
alle existierenden Plattformen zu entwickeln.
Ob es bei den Inkompatibilitäten nur um Aldi-Kochprogramme und
dergleichen geht, wage ich zu bezweifeln.

Nein. Natürlich. Aber mein Standardbeispiel: Wenn die ‚Anforderung‘ lautet: „wir wollen Windows-Media-Player-Dateien erzeugen“ ist es trivial, daß das am besten auf Windows geht.

Leider haben viele Leute schon verlernt, sauber Anforderungen zu formulieren.

„Wir wollen ein gut komprimierbares Format für Sounddateien nutzen“ wäre eine sinnvolle Frage. - Und die Antwort wäre möglicherweise ogg-vorbis…

… Oder was fehlt Dir bei den Alternativen?

Was mir fehlt? Die Zeit, mich in eine ganz andere Systemwelt
einzuarbeiten. Sollte ich mal dazu kommen, werde ich mir das
mal ansehen um einzuschätzen, wie aufwändig ein Umlernen ist.

Geh’ davon aus, daß du von Null auf anfängst. Die Konzepte sind anders, Du wirst gewaltig umdenken müssen [Das traue ich Dir aber absolut zu]. Es lohnt sich aber.

Tu es!

Und: ständiges Rebooten? Wann hast du einen Windows-Bildschirm
zum letzten Mal gesehen?

Gestern. Und ich werde heute wieder einen erleiden müssen.

Ja, ich weiss, worauf ich schimpfe.

„Problem im Druckertreiber. Bitte starten Sie Windows neu“

Als ein prominentes von vielen Beispielen.

Irgendwie fehlen bei mir die Aufforderungen, ständig
neuzustarten… Ist das eine neue Tücke von Gates?

Keine Ahnung.

Nö. Mein Mailprogramm ist 500 mal komfortabler als die Summe
alldessen, was MS je auf diesem Gebiet zusammengestrickt hat.

Ich nutze TheBat und bin sehr zufrieden.

Das glaube ich. Es hat einen „unixoiden“ also guten Ruf. Auch wenn ich es leider noch nie gesehen habe.

Aber sicher gibt es
Ähnliches auch für Linux…?

Gnus gibt es für nahezu alle Betriebssysteme.

schwarz - weiß ?

Ein Programm, welches nur einen Teil der Angriffe abwehrt, ist
ein teilweiser Gewinn von Sicherheit. Ohne, dass man sich
damit vollständig sicher fühlen darf.

Wenn man genau definieren kann, was es tut und wo es versagt ist es ein Gewinn. Leuider trifft das auf genannte Programmgruppe nicht zu.

Interessantes Gedankenspiel (ja, mehr ist es nicht): beim
Update der Firewall werden korrumpierte Daten untergeschoben
(Kleine Manipulation am DNS, sowas hat es schon gegeben), die
zu einem Buffer-Overflow führen und erlauben, daß das
installierte Programm fortan Dinge tut, die einem Angreifer
weiterhelfen könnten.

Das Gleiche kann mir beim Update meiner Virendefinitionen
passieren.

Bingo.

Wäre übel, aber wie sollte ich das vermeiden? Soll
ich Symantec bitten, mir die Updates auf Diskette zu schicken?

Du glaubst, daß SIE die Pakete an Dich nicht auspacken und den Inhalt der Diskette ändern.

Im Ernst: Alles, was von F-Prot kommt, trägt kryptographische Signaturen (PGP) und ist somit in seiner Authentizität verifizierbar.

Dummerweise trötet F-Prot nicht „Spiel mir das Lied vom Tod“ wenn es glaubt, einen Schlingel entdeckt zu haben und ist folglich für moderne Multimedia-Maschinen mehr als ungeeignet.

Se „Abgesehen davon: wozu Virenscanner?“ bastian

Mit dem Rechte und Dienste System unter NT sollte man in der
Lage sein das relativ sicher zu gestalten. Vorrausgesetzt der
Benutzer ist nicht andauernd mit Admin-Rechten am schaffen.
Dann haben es Programme, die ausgeführt werden relativ schwer
die Filter zu umgehen.

Gerade von jemandem gehört, den ich für sehr kompetent halte, daß es ihm nicht gelungen ist, seine benötigten Programme so einzurichten, daß sie ohne „Administrator“-Provileg sinnvoll laufen.

… nun gut, der kommt zwar mehr aus der Unix-Welt…

Und ich werde wohl in naher Zeit auch das zweifelhafte Vergnügen haben, mich mit der Rechteverwaltung unter Win2k herumzuschlagen.

*aieeee!*

Se „Ich muss viel fressen, so viel wie ich kotzen werden muss“ bastian

Hallo,

Gerade von jemandem gehört, den ich für sehr kompetent halte,
daß es ihm nicht gelungen ist, seine benötigten Programme so
einzurichten, daß sie ohne „Administrator“-Provileg sinnvoll
laufen.

Es gibt Programme die wollen das wirklich nicht (das einzige, das ich kenne: Morpheus). Aber um ehrlich zu sein: diesen Programmen wäre ich von vorherein mal sehr skeptisch gegenüber.

Und ich werde wohl in naher Zeit auch das zweifelhafte
Vergnügen haben, mich mit der Rechteverwaltung unter Win2k
herumzuschlagen.

Hehe, dann wünsche ich Dir viel Spass, wenn es Neuland für Dich wird. Aber eigentlich sind Gruppenrichtlinien etc. was schönes. (manches etwas umständlich, manches gut gelöst - wie überall?) Und da ich schätze, dass es in der Unix Welt zumindest ähnliche Konzepte geben muss, um ein grössres Netzwerk zu verwalten, wirst Du dich auch schnell einfinden. Ob Du es dann für etwas besser hältst, oder es nochmehr hasst, bleibt Dir dann immer noch überlassen.

ciao
ralf