Hallo, ich bin auf der Suche nach einer Webseite, die es ermöglicht einen Link zu einer anderen Seite anzugeben um indirekt Dateien ohne Endung zu laden. Habe so etwas vor Jahren mal gesehen, aber vergessen wo. Der Grund dürfte bekannt sein, eine völlig vertrottelte IT-Abteilung. Also nochmal verdeutlicht: Ich gehe auf Seite A und gebe da in einem Eingabefeld den Link zu einer Datei auf Seite B an. Dann Startet der Server den Download von Seite A und reicht mehr oder minder onthefly die Datei ohne die Dateiendung an mich weiter.
Gib den Link hier ins Forum ein. Klicke auf Vorschau. Rechtsklick auf den Link, "Ziel speichern unter", fertig. Oder Tools wie curl, wget nutzen.
Beitrag #7263780 wurde von einem Moderator gelöscht.
Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die SSL Verbindung aufbricht und alles mögliche Filtert. Also komme ich da mit curl und wget nicht weiter. Aktuell behelfe ich mir damit, dass ich eine Mail an einen Kumpel schicke und der mir die Datei dann eben bei sich auf den Webspace legt, aber ich habe keinen Bock ihm immer wieder wegen so einer Scheiße auf die Nerven zu gehen.
Es waere wohl einfacher, wenn Du um eine Kuendigung bitten wuerdest. Bruch von Company policies haben meistens Konsequenzen. Ba!
Und hier mit der Vorschau hilft mir auch nicht weiter, da die betreffenden Endungen (z.B. .bin, .hex, .iso, .zip usw.) von allen Webseiten geblockt werden.
Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin den es stört das ich nicht vernünftig arbeiten kann.
Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun.
Beitrag #7263797 wurde vom Autor gelöscht.
Fragender schrieb: > Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin > den es stört das ich nicht vernünftig arbeiten kann. Ist wie mit den Geisterfahrern: Einer? Hunderte. Ba!
Selber basteln! Eine kleine VM bei Hetzner (ich hätte dir da nen 20 Euro Weiterempfehlungsgutschein wenn du willst), dann NGINX drauf installieren, und den als Reverse proxy konfigurieren. content-type header durch application/octet-stream ersetzen & die dateiendung raus-regexen. Das sollte funktionieren
Purzel H. schrieb: > Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht > wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun. Genau, erstmal ein Ticket schreiben und 1-2 Tage warten, bis dahin hab ich die Datei selber auf dem Rechner. Thomas W. schrieb: > Fragender schrieb: >> Dann sollen sie kommen, mein Problem ist, dass ich eher der einzige bin >> den es stört das ich nicht vernünftig arbeiten kann. > > Ist wie mit den Geisterfahrern: Einer? Hunderte. > > Ba! Nein, das ist ja das traurige, wenn ich gegen die Policy verstoße interessiert das genauso wenig jemanden, außer den Vortänzer in der IT und dann kann der versuchen einen zu finden der was dagegen unternimmt. Ich wäre mehr als froh wenn es endlich mal richtig knallen würde und dann tatsächlich mal eine Entscheidung erzwungen werden würde. Entweder arbeiten können oder diese unsinnige Policy weiter pflegen. Sean G. schrieb: > Selber basteln! Eine kleine VM bei Hetzner (ich hätte dir da nen 20 Euro > Weiterempfehlungsgutschein wenn du willst), dann NGINX drauf > installieren, und den als Reverse proxy konfigurieren. > > content-type header durch application/octet-stream ersetzen & die > dateiendung raus-regexen. Das sollte funktionieren Das klingt interessant, werde ich heute nach der Arbeit mal testen, einen kleinen V-Server hätte ich sogar noch.
Fragender schrieb: > Purzel H. schrieb: > >> Dann soll die IT Abteilung diese Datei runterladen. Wenn sie nicht >> wollen, dann eben nicht. Es gibt sicher auch noch anderes zu tun. > > Genau, erstmal ein Ticket schreiben und 1-2 Tage warten, bis dahin hab > ich die Datei selber auf dem Rechner Exakt. Nach dem 5. Mal überlegt man sich da dann ob das nicht effizienter geht. Das gleiche Spiel wenn man 3× täglich nach lokalen Adminrechten fragt.
Genau wegen solchen Leuten wie dir haben auch wir in der Firma (ich selbst war Head of IT) solche Policys eingeführt. Weil ein Entwickler wie DU das gefühl hat, alles zu wissen und alles zu können und sowieso Admin-Rechte braucht. Für etwas sollte es Toolchain Manager geben, welche zusammen mit der IT abklären was wie gebraucht wird und mit was entwickelt wird. Genau Leute wie DU schleppen dann Viren ein, weil ja Unbedingt Tool X und Downloader Y dort benötigt wird. Und warum macht man SSL Interception? Schonmal an den Sicherheitsaspekt gedacht? Auch Verstreuer von bösartiger Software werden schlauer und wissen, dass eine Firewall auf SSL Verbindungen ohne Interception keinen Content-Scan durchführen kann. Wenn ich solche Leute wie dich erwischt habe, gab es via HR zuerst eine Verwarnung und beim nächsten Mal die fristlose Kündigung. Mit deinem Verhalten bringst du die ganze Firma in gefahr. Wenn es dir nicht passt wie du arbeiten sollst, und auch nicht daran interessiert bist Lösungen zusammen mit der IT zu finden, rate ich dir schnellstmöglich zu Kündigen und einen Branchenwechsel in betracht zu ziehen. Dank solchen Leuten wie dir Kotze ich im Strahl!
Toor schrieb: > Weil ein Entwickler wie DU das gefühl hat, alles zu wissen und alles zu > können Entwickler wie ich entwickeln all die schönen Tools, die ihr IT-Leute nur installiert. Toor schrieb: > Wenn ich solche Leute wie dich erwischt habe, gab es via HR zuerst eine > Verwarnung und beim nächsten Mal die fristlose Kündigung IT-Leute sind leichter zu ersetzen als Entwickler.
Die Schutzmaßnahmen der Firma (egal ob IT-Sicherheit oder Arbeitsschutz) eigenmächtig auszuhebeln, ist nie eine gute Idee. Du weitest damit das ursprüngliche Problem, für das du nicht verantwortlich bist, zu einem größeren Problem aus, dessen Verursacher du allein bist. In irgendeiner Form wird das früher oder später ganz gewaltig auf dich zurückfallen. Wenn du wegen der Restriktionen nicht vernünftig arbeiten kannst, solltest du das mit deinem Vorgesetzten besprechen und zusammen mit ihm und der IT-Abteilung nach einer praktikablen Lösung suchen. Führt dies nicht zum Erfolg, wirst du notgedrungenerweise weiterhin mit reduzierter Effizienz arbeiten müssen. Da du dieses Problem aber bereits gemeldet hast und nachweislich¹ offen für mögliche Lösungen warst, ist das Problem ab sofort nicht mehr dein eigenes, sondern das deines Vorgesetzten und der IT-Abteilung. ───────────── ¹) Dazu am besten ein Protokoll der Besprechung erstellen und an die Beteiligten zur Kenntnisnahme schicken.
Fragender schrieb: > mein Problem ist, dass ich eher der einzige bin den es stört das ich > nicht vernünftig arbeiten kann. Dann musst Du eben auch sagen "Ja dann l... eg ich mich halt nieder". 😁
Yalu X. schrieb: > Wenn du wegen der Restriktionen nicht vernünftig arbeiten kannst, > solltest du das mit deinem Vorgesetzten besprechen und zusammen mit ihm > und der IT-Abteilung nach einer praktikablen Lösung suchen. > > Führt dies nicht zum Erfolg, wirst du notgedrungenerweise weiterhin mit > reduzierter Effizienz arbeiten müssen. Das halte ich auch für die sinnvollste Vorgehensweise. Letzten Endes ist es das Problem der Firma, wenn ihre Mitarbeiter mit geringerer Effizienz arbeiten und sollte das der Firma das Genick brechen, macht es ohnehin Sinn, sich frühzeitig nach etwas anderem umzusehen bevor das geschieht. Und in schlechten Zeiten suchen Firmen ohnehin gezielt Gründe, um den ein oder anderen loszuwerden. Da sollte man dann keine Angriffsfläche bieten, was man ja täte, wenn man die Sicherheitsregeln in der Firma aushebelt bzw. umgeht. Mit so einem Schritt kann man also nur verlieren.
Niklas G. schrieb: > Entwickler wie ich entwickeln all die schönen Tools, die ihr IT-Leute > nur installiert. Entwickler wie du, die sich für gottgleich und unfehlbar halten, produzieren keine Qualtitätssoftware. Warum sollten sie überhaupt auf Fehlersuche gehen, sie machen ja keine. Georg
mal so nebenbei gefragt: Wo gibt es denn so viele Dateien ohne Dateierweiterung, dass Du die so oft benötigst? Da ist das Problem doch nicht bei Eurer Firewall sondern beim Anbieter dieser files? Mir käme nicht in den Sinn irgendwo im Internet nach Programmen oder Dateien zu suchen, um diese dann auf dem Firmenrechner zu verwenden. Natürlich benötige ich auch Datenblätter, Zeichnungen, 3D-Modelle oder sourcecode / Programmbibliotheken - das wird doch aber alles von seriösen Quellen zur Verfügung gestellt. Egal ob TI, NXP, Mouser, oder sonst was, selbst GitHub werden wohl die meisten ITs als "sicher" freischalten... Und wenn alle anderen Kollegen zurecht kommen - was machen die dann anders? - die arbeiten eben alle nicht so gut und effizient wie Du? schonmal ernsthaft und gutwillig mit der IT geredet? Den ITlern geht es doch nicht anders als uns Entwickler - wenn alles läuft sieht man Dich nicht und wenn es eben nicht läuft bist Du "zu dumm!" - IT ist auch kein einfaches Brot...
User #0815 schrieb: > Wo gibt es denn so viele Dateien ohne Dateierweiterung, Wenn ich es richtig verstanden habe, geht es darum, dem Firmen-Server einen Link ohne Dateiendung vorzugaugeln, um den Virenscanner auszutricksen.
Ich betreibe sowas für Penetrationstester. Für 10€ Grundgebühr zzgl. 0,5€ pro angefangene 100MB. (+ Steuern). Dafür erhältst du Zugang zu einer Plattform, die genau das bietet (und noch viel mehr, um Datein weiter zu obfuskieren=.
Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken lässt.
René H. schrieb: > Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken > lässt. Wenn kein Virus in der Datei ist, hat auch ein AV-Scanner nichts zu melden. Und wenn ein Virus drin ist, gibt es genug Techniken den AV Scanner auszutricksen.
h4ck3r schrieb: > René H. schrieb: > >> Ich bezweifle, dass sich ein guter AV-Scanner davon beeindrucken >> lässt. > > Wenn kein Virus in der Datei ist, hat auch ein AV-Scanner nichts zu > melden. Und wenn ein Virus drin ist, gibt es genug Techniken den AV > Scanner auszutricksen. Unser Emailserver hält erstmal alle Mails zurück. Dann werden Anhänge und Links geprüft. Verdächtige Inhalte werden einer schärferen Prüfung unterzogen. Manchmal werden Links nach der Prüfung auch entfernt, oder geändert. Durch eine verschärfte Prüfung verzögert sich die Zustellung der Mail bis zu 30 Minuten. Mit Austricksen ist da nicht viel.
René H. schrieb: > Mit Austricksen ist da nicht viel. Du hast nicht genug Phantasie. Mit Steganographie kann man eine Menge verstecken. Natürlich ist die Datei beim Empfänger dann nicht mehr direkt ausführbar, aber ein Powershell Script, um die Dateien wieder zusammenzusetzen kann man mal als Text einer E-Mail reinschicken. Ganz davon abgesehen geht es hier um Dateien von einem Webserver. Da wird noch viel weniger geprüft und es gibt kaum Beschränkungen im Hinblick auf die Dateigröße. Du darfst nicht vergessen, dass hier der Komplize schon an einem Rechner im internen Netz sitzt. Die initiale Infektion des Rechners entfällt also.
h4ck3r schrieb: > Ganz davon abgesehen geht es hier um Dateien von einem Webserver. Da > wird noch viel weniger geprüft und es gibt kaum Beschränkungen im > Hinblick auf die Dateigröße. Da kennst Du unseren Emailserver nicht. Der prüft alles. Und vom Intranet (BKU) ins Internet darf auch nicht jeder. Programme installieren darf auch nur DB-Systel, und die prüfen Programme bevor sie zur Nutzung im BKU freigegeben werden (viele Programme werden erst garnicht freigegeben) und verlangen auch noch Geld für die Installation. Nur im privaten Bereich der Tablets/Smartphones kann man installieren was man will. Das hat aber keinen Einfluss auf den Arbeitsbereich, da ein gegenseitiger Zugriff ausgeschlossen ist. Im Arbeitsbereich hat man auch keinen Zugriff auf externe Datenträger und auch keinen Zugriff per PC (Datensicherung nur in der dienstlichen Cloud möglich). (Android Enterprise Recommended, oder das Apple-Pendant).
USB ist auch vernagelt? Oder kannst du deine Schadsoftware über einen USB-Stick einschleusen? Notfalls über einen Stick der sich als Tastatur meldet, und ein Schadsoftware-Powershell-Script live in einen Editor tippt?
:
Bearbeitet durch User
Fragender schrieb: > ich habe keinen Bock ihm immer wieder wegen so einer Scheiße auf > die Nerven zu gehen. Der ist ja auch nicht zuständig. Zuständig ist die IT, geh der auf die Nerven und informiere Deinen Chef, wie lange Du jeweils warten musstest, bevor Du weiter arbeiten konntest.
Εrnst B. schrieb: > USB ist auch vernagelt? Oder kannst du deine Schadsoftware über einen > USB-Stick einschleusen? USB-Sticks auf Desktoprechnern sind erlaubt. Aber eine Installation von Programmen ist nicht möglich. Und da der Standardnutzer keinen Internetzugriff hat, nützen auch "portable apps" nichts. Offiziell sind nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen eher nicht. Auf den dienstlichen Tablets jedoch sind USB-Sticks im Arbeitsbereich nicht nutzbar, und Side-Load ist da auch nicht möglich. Im Arbeitsbereich können nur Apps aus dem dienstlichen App-/Play-Store installiert werden. Die Restriktionen bei uns sind sehr stark, leider auch zum Nachteil mancher Mitarbeiter.
:
Bearbeitet durch User
Fragender schrieb: > dass ich eher der einzige bin > den es stört das ich nicht vernünftig arbeiten kann. Sucht ihr noch Leute? Kann man auch in Homeoffice nicht arbeiten bei Euch? Könnte ich das auch nebenbei zu meinem eigentlichen Job machen? Ich finde es schwer zu verstehen das Du häufig Dateien aus dem Netz benötigts, die diese Endungen haben. Fragender schrieb: > (z.B. .bin, .hex, .iso, .zip usw.) Zumindest ist ein mutwilliges Aushebeln der IT Sicherheitsregeln eine gefährliche Sache. Melden macht frei. Zeiten aufschreiben, Begründung liefern, Minesweeper spielen oder eine Fremdsprache lernen.
René H. schrieb: > Da kennst Du unseren Emailserver nicht. Der prüft alles. Magst du mal Kontakt zu eurer IT herstellen? Würde mal eine kunstvoll kodierte exe reinschicken, falls eure IT zustimmt. Ich sag dir, das geht. Man muss nur genug Aufwand treiben. Wie gesagt, wer einen Komplizen am empfangenen Rechner hat, der bekommt auch Software ausgeführt. Und dieser Komplize wäre hier ja der TO. René H. schrieb: > Und da der Standardnutzer keinen > Internetzugriff hat, nützen auch "portable apps" nichts. Ok. Das ändert natürlich schon etwas die Ausgangslage. Ist aber nicht die Ausgangslage des TO und in den meisten Firmen auch unüblich. René H. schrieb: > Offiziell sind > nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man > per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen > eher nicht. Aha, daher weht der Wind. Ihr seid also kritische Infrastruktur? Da erfolgen Infektionen tatsächlich gerne mal etwas anders (siehe auch Stuxnet). Hier im Thread ging es bislang offensichtlich um eine 0815 Firma. Aber bei der DB ist eine Angriff auf interne Systeme zur Sabotage zum Glück gar nicht nötig, solange es reicht die richtigen Glasfasern durchzuschneiden.
h4ck3r schrieb: > solange es reicht die richtigen Glasfasern durchzuschneiden. Es reicht ja schon, die Zugzielanzeiger und Fahrplanseiten anzugreifen, die sind ja bekanntlich von außen zugänglich. 😉
h4ck3r schrieb: > Aber bei der DB ist eine Angriff auf interne Systeme zur Sabotage > zum Glück gar nicht nötig, solange es reicht die richtigen Glasfasern > durchzuschneiden. Laub auf den Schienen reicht auch.
h4ck3r schrieb: > Würde mal eine kunstvoll kodierte exe reinschicken, falls eure IT > zustimmt. Wenn Du Dich entsprechend bewirbst, soll ja Firmen geben, die auf Auftrag die Sicherheit testen. Mit "Social Engineering" an der richtigen Stelle würdest Du auch ins Herzstück des BKU kommen.
:
Bearbeitet durch User
BTW: Eventuell reicht schon das Umbennen der Dateien in "txt". Funktioniert bei mir in VBA problemlos, da gebe ich eine Exe-Datei als txt-Datei aus (die wird trotzdem als Exe ausgeführt).
:
Bearbeitet durch User
Fragender schrieb: > Ich gehe auf Seite A und gebe da in einem Eingabefeld den Link zu einer > Datei auf Seite B an. Dann Startet der Server den Download von Seite A > und reicht mehr oder minder onthefly die Datei ohne die Dateiendung an > mich weiter. Das klingt alles irgendwie sehr gesucht. Ich bin eher ein Freund davon, wenn sich gewisse Dinge in gewisser Weise von allein erledigen. Das kann man natürlich nicht immer erwarten - ich bin aber diesbezüglich (des "gesuchten" bzw. des "erzwungenen" )vorsichtiger geworden. Versuch mal eine Hindernisanalyse, Zusammenhangüberschau, Ist-Soll-Reflexion, sowas in der Art. https://de.wikipedia.org/wiki/Trojanisches_Pferd
Angehängte Dateien:
-
wannacry.png
3,3 MB
René H. schrieb: > Wenn Du Dich entsprechend bewirbst, soll ja Firmen geben, die auf > Auftrag die Sicherheit testen. Genau so etwas mache ich tatsächlich. Denke aber, dass systel da schon gut beraten wird. Ich habe dir gerade mal den echten wannacry in ein PNG geschrieben. Virustotal stuft die Datei als unverdächtig ein. Am Mailfilter käme sie also sehr wahrscheinlich vorbei. Vielleicht ist sie etwas groß, aber man könnte sie ja in mehrere Teile aufteilen. Auf dem Clientrechner muss die natürlich wieder zur exe werden. Das könnte man z.B. per JavaScript mit der Canvas API im Browser machen. Das JavaScript dazu kann man ebenfalls per Text als Email reinschicken oder per Post/Fax zum abtippen. An dieser Stelle sollte natürlich im Fall von Wannacry der Virenscanner aktiv werden. Aber der ist nur so gut wie seine Signaturen und wird angepasste Schadsoftware nicht erkennen.
h4ck3r schrieb: > Ich habe dir gerade mal den echten wannacry in ein PNG geschrieben. Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den Holzhammer kannst Du wieder wegpacken. 😉
René H. schrieb: > Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den > Holzhammer kannst Du wieder wegpacken. 😉 Was meinst du damit?
h4ck3r schrieb: > wannacry.png > ... > Auf dem Clientrechner muss die natürlich wieder zur exe werden. Das > könnte man z.B. per JavaScript mit der Canvas API im Browser machen. Das > JavaScript dazu kann man ebenfalls per Text als Email reinschicken oder > per Post/Fax zum abtippen. Na ja, du kannst von einem Windows-User vielleicht erwarten, dass er einen E-Mail-Anhang gedankenlos anklickt, mehr aber auch nicht. Wenn er erst noch JavaScript-Code im Browser laufen lassen soll, den er zuvor aus einer Briefsendung abtippen muss, wird er damit hoffnungslos überfordert sein und deswegen Unterstützung bei der IT-Abteilung holen. Dort wird ihm natürlich erst einmal ordentlich der Kopf gewaschen :) Wobei das Verschicken von Malware per E-Mail am Thread-Thema vorbeigeht, denn der TE will die (potentiell verseuchten) Dateien ja selber direkt vom Web herunterladen.
:
Bearbeitet durch Moderator
René H. schrieb: > Aber eine Installation von > Programmen ist nicht möglich. Und da der Standardnutzer keinen > Internetzugriff hat, nützen auch "portable apps" nichts. Offiziell sind > nur von DB-Systel geprüfte Datenträger zulässig. Theoretisch könnte man > per VBA was machen, aber aufgrund der sehr umfangreichen Restriktionen > eher nicht. Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne Adminrechte. Am Anfang war sogar der "Windowsshop" offen, da konnte man aus den vollen schöpfen. Hab mir Move Mouse geladen, dann hat keiner Gemerkt, wenn man mal 2 Stunden nicht am Rechner war ;)
René H. schrieb: > Eventuell reicht schon das Umbennen der Dateien in "txt". Bevor der TE die Datei umbenennen kann, muss er sie aber erst einmal herunterladen, was aber nach seiner Aussage wegen der (verdächtigen) Endung von der IT verhindert wird.
Yalu X. schrieb: > Na ja, du kannst von einem Windows-User vielleicht erwarten, dass er > einen E-Mail-Anhang gedankenlos anklickt, mehr aber auch nicht. > > Wenn er erst noch JavaScript-Code im Browser laufen lassen soll, den er > zuvor aus einer Briefsendung abtippen muss, wird er damit hoffnungslos > überfordert sein und deswegen Unterstützung bei der IT-Abteilung holen. > Dort wird ihm natürlich erst einmal ordentlich der Kopf gewaschen :) Natürlich, einen gedankenlosen Angriff kann ich damit nicht machen. Hier ist aber das Szenario doch, dass wir einen Innentäter haben, der mit aller Gewalt potentiell schädliche Dateien an den Schutzeinrichtungen des Unternehmens vorbeischmuggeln möchte. Und in diesem Szenario ist mein Weg durchaus gangbar. Yalu X. schrieb: > Wobei das Verschicken von Malware per E-Mail am Thread-Thema vorbeigeht, > denn der TE will die (potentiell verseuchten) Dateien ja selber direkt > vom Web herunterladen. Stimmt. Aber was am Mailfilter vorbeigeht, geht auch am Webfilter vorbei und hilft damit auch dem TE.
Fragender schrieb: > Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die > SSL Verbindung aufbricht und alles mögliche Filtert. Und damit ist sämtliche Sicherheit von SSL dahin. Du weißt nicht einmal ob gerade eine MITM läuft nachdem du nur das root CA eures dummen Filters siehst. Klingt für mich nach sehr viel Bullshitbingo eingekauft mit AV Scannern usw. Selbst wenn du eine Lösung findest um diesen Schwachsinn zu umgehen, für wie schlau hältst du es einem 0815 Webservice zu vertrauen dass der die Daten nicht auch ggf manipuliert? Einfach Mail mit Download Wunsch an die IT und wenn es halt nicht klappt dann klappt es halt nicht. Das gibst du dann deinem Vorgesetzten weiter und legst die Beine hoch. Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit gelinde gesagt im Arsch.
René H. schrieb: > Du glaubst doch nicht wirklich, dass ich darauf reinfalle. Den > Holzhammer kannst Du wieder wegpacken. 😉 Hier ist übrigens das Tool zum dekodieren, getestet im Firefox: https://robin.meis.space/files/decoder/ Lad das Bild hoch und probier es aus. Beim Click auf Download wird die Datei nicht als .exe heruntergeladen, sodass sie selbst keinen Schaden anrichten sollte. Die Checksumme der dekodierten Datei lautet ed01ebfbc9eb5bbea545af4d01bf5f1071661840480439c6e5babe8e080e41aa und entspricht somit der von Wannacry.
h4ck3r schrieb: > Hier ist übrigens das Tool zum dekodieren, getestet im Firefox: > https://robin.meis.space/files/decoder/ Achso: Ist natürlich alles nur Javascript und würde somit auch lokal laufen. Aber hier kommen dann eben zwei unverdächtige Teile zusammen, um an den gängigen Filtern vorbeizukommen. Ich könnte mir sogar vorstellen, dass das ein Weg sein könnte, um Unternehmen doch anzugreifen. Einfach einen Link per E-Mail schicken, und dann auf Umwegen an allen Filtern vorbei ein Macrodokument bereitstellen. Beide Dateien könnten auf jedem beliebigen Webspace gehostet werden und sind damit auch nicht von irgendwelchen besonderen Servern abhängig.
René H. schrieb: > Eventuell reicht schon das Umbennen der Dateien in "txt". Funktioniert > bei mir in VBA problemlos, da gebe ich eine Exe-Datei als txt-Datei aus > (die wird trotzdem als Exe ausgeführt). Man kann eine Datei ja auch mit MIME oder UUE codieren. Das sind dann reine Textdateien, die eigentlich fast überall durchgehen. Das Problem ist halt das der Empfänger einen passenden Decodierer btaucht um daraus wieder das Orginal zu machen. Mit dem Totalkommander z.B. geht beides. Allerdings ist der auf Firmenrechnern wohl eher nicht drauf und darf i.d.R. auch nicht installiert werden. Bei uns in der Firma sind die Regeln auch sehr restriktiv und behindern auch manchmal die Arbeit. Da hilft nur eines, den Chef informieren das man seine Arbeit nicht wie gefordert erfüllen kann. Da wurde in der Vergangenheit meistens eine Lösung gefunden.
Karl schrieb: > Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist > beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne > Adminrechte. Das war vielleicht mal so. Die aktuellen BKU-Rechner sind abgesichert. Nur bei Non-BKU-Rechnern ist der Anwender auch Administrator, mit allen Rechten und Pflichten, und er trägt das volle Risiko (installiert er eigene Software, und es kommt dabei zu Schäden, möchte ich nicht in seiner Haut stecken). Natürlich kommt man vom Internet aus ins BKU (muss man ja), aber nicht von privaten Rechnern aus, man benötigt von DB-Systel gemanagte Geräte oder zugelassene Non-BKU-Geräte (mit den entprechenden Zertifikaten drauf).
:
Bearbeitet durch User
San Miguel de Joker schrieb: > Fragender schrieb: >> Das Problem ist es lauft eine transparente Firewall im Netzwerk, die die >> SSL Verbindung aufbricht und alles mögliche Filtert. > > Und damit ist sämtliche Sicherheit von SSL dahin. Genau das, man sieht auf allen Seiten immer nur das Zertifikat der Firewall/Virenscanner Kombo. > Du weißt nicht einmal ob gerade eine MITM läuft nachdem du nur das root > CA eures dummen Filters siehst. Auch das stimmt. > Klingt für mich nach sehr viel Bullshitbingo eingekauft mit AV Scannern > usw. Exakt. > Selbst wenn du eine Lösung findest um diesen Schwachsinn zu umgehen, für > wie schlau hältst du es einem 0815 Webservice zu vertrauen dass der die > Daten nicht auch ggf manipuliert? Zum einen habe ich für die meisten Sachen den Hash und bei den anderen Sachen wird es eben wie ein rohes Ei behandelt bzw. es ist egal ob es manipuliert ist, da es nicht ausgeführt wird sondern nur Nutzdaten enthält. > Einfach Mail mit Download Wunsch an die IT und wenn es halt nicht klappt > dann klappt es halt nicht. Das gibst du dann deinem Vorgesetzten weiter > und legst die Beine hoch. Der Vorgesetzte stellt dann fest das die IT nicht in die normale Hierarchie eingegliedert ist und prinzipiell nur von der GF Anweisung befolgen würde. Die GF will aber mit so einem Kram, von dem sie keinen blassen Dunst hat, nicht belastet werden. Und wenn der ITler sagt das ist wegen der Sicherheit, ist das eben so. > Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das > halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit > gelinde gesagt im Arsch. Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise auch der Grund ist warum ich die Kiste überhaupt mitnehme.
Fragender schrieb: > Der Witz dabei ist, natürlich wird so > nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend > mit nach Hause nehme, kann ich alles laden wie ich will. Wenn das bei Deiner Firma geht. Bei uns könntest Du zwar laden, aber nicht installieren (wenn es kein NON-BKU-Gerät ist).
Fragender schrieb: > wenn ich den Rechner am Abend > mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise > auch der Grund ist warum ich die Kiste überhaupt mitnehme. Wenn man die Sicherheitsfragen mal außen vor lässt, könnte man zumindest versuchen, die Überstundenbezahlung (auch /Nacht- und Feiertagszuschuss usw.) hochzuzählen.
@Fragender Als ob du jedesmal das Zertifikat einer Verbindung überprüfst. Sei doch ehrlich. Eine Mitm Attacke festzustellen ist 1. Nicht dein Problem und 2. Innerhalb des netzwerks eher unwahrscheinlich. Hier gibt es genug Schutzmechanismen die eingesetzt werden können. Was habt ihr eigentlich das gefühl dass die IT einfach irgend eine FW / AV Combo Nutzt? Die auch noch Mail kann? Das sind meist getrennte Appliances (z.B. Fortinet - FW Fortigate, Mail eine FortiMail und als Webfilter eine Kombo aus FortiGate und FortiWeb) welche jeweils ihre Aufgabe alleine oder in Kombination erfüllen. "Wie ein Rohes Ei behandelt" - Da haben wirs wieder, du meinst du kennst dich mit den Gefahren aus. Gar keine Ahnung hast du davon. Was du kannst ist vermutlich innerhalb deiner Firma schlechte Stimmung gegenüber der IT Verbreiten. Pfui.
René H. schrieb: > Wenn das bei Deiner Firma geht. Bei uns könntest Du zwar laden, aber > nicht installieren (wenn es kein NON-BKU-Gerät ist). Ausführen reicht doch. Zumindest Schadsoftware kommt nicht mit den gängigen UAC Abfragen und Installationsabfragen.
Alternativen: Offene Schnittstellen nutzen, z.B. Bluetooth (bei uns ist USB zugestopft, aber über BT geht alles. Zippen und Passwort drauf (so lässt sich z.B. unser dämlicher Mailfilter überreden, Mails mit Javascript-Anhängen zu akzeptieren).
Toor schrieb: > "Wie ein Rohes Ei behandelt" - Da haben wirs wieder, du meinst du kennst > dich mit den Gefahren aus. Gar keine Ahnung hast du davon. Was du kannst > ist vermutlich innerhalb deiner Firma schlechte Stimmung gegenüber der > IT Verbreiten. > Pfui. Wenn's nach der IT ginge, dann würden wir wieder mit Hammer und Meißel arbeiten. Ganz ehrlich: Bei uns sitzen da vier Orks, einer fetter als der andere, und die halbe Wand voll mit Autopostern und Weibern. Wenn wir uns mit einem RDP verbinden wollen, dann dürfen wir erstmal eine Abfrage a la "Ich bin nicht böse" mit OK bestätigen. Das sind dann die Sicherheitsmaßnahmen, die die bösen Buben fernhalten sollen. Gleichzeitig wird plötzlich von heute auf morgen der Mailserver so eingestellt, dass er kommentarlos Javascript-Dateien aus den Anhängen löscht. Gut, dann verschicken wir das eben entweder verschlüsselt, so dass der Scanner gar nicht erst reinschauen kann. Oder halt gleich über WeTransfer. Wenn die Helden dann WeTransfer blocken, dann wird ein anderer Dienst benutzt. Wenn man sich dabei geil fühlt, den Usern das Leben möglichst schwer zu machen ohne dabei irgendwas zu erklären, dann braucht man sich nicht wundern, wenn Workarounds gesucht, gefunden und tunlichst nicht kommuniziert werden. Für jedes verdammte Software-Update darf ich erstmal lokale Adminrechte beantragen. Am Arsch, ich werd nicht bei der IT zum Bittsteller, um dann auch noch deren Job zu erledigen. Wenn die Updates wollen und ich die schon nicht selber installieren darf, dann dürfen die das schön selber machen. Unten in der IT hat wahrscheinlich jeder eine Ausnahme und es wird schön das gecrackte Need For Speed gespielt. Wenn man will, dass User kooperieren und mitmachen, dann sollte man sich nicht wie ein Arsch verhalten. Rant over.
Bei uns ist es noch schlimmer. Wir müssen erstmal einen Antrag bei Führungskraft und/oder Kostenstellenverantwortlichen stellen. Und die entscheiden dann, ob die Software gekauft werden kann und das Budget dafür reicht. In anderen Firmen wird es sicher auch so sein.
:
Bearbeitet durch User
Bart schrieb: > Gleichzeitig wird plötzlich von heute auf morgen der Mailserver so > eingestellt, dass er kommentarlos Javascript-Dateien aus den Anhängen > löscht. Gut, dann schreiben wir ein Ticket mit Fehlerbeschreibung. Kopie an Chef - klar. Und warten auf dessen Bearbeitung.
Fragender schrieb: > Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so > nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend > mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise > auch der Grund ist warum ich die Kiste überhaupt mitnehme. Du wirst doch bezahlt egal ob die Arbeit erledigt werden kann oder nicht. Wenn es nicht geht, dann geht es da halt nicht. Ich kommuniziere so etwas einfach schriftlich damit ich entsprechenden Nachweis hab und dann lese ich halt den ganzen Tag Dokumentation. Wenn das den Vorgesetzten stört, dann muss er halt die IT passend machen oder Kloheule gehen, mir kann er da nicht ans Leder, ich habe ja auf das Impediment (wir sind ganz fesch agil) hingewiesen und bin schlichtweg blockiert durch die IT. Ich habe auch kein Problem damit so etwas direkt beim Geschäftsführer anzusprechen, imho ist der ja auch nur daran interessiert, dass die Mitarbeiter möglichst produktiv arbeiten können. Und dann wird eigentlich immer eine Lösung gefunden.
Bei uns wurden alle kleinen Dateianhänge gelöscht, weil Viren kämen meist mit kleinen Dateien. Aber wenn jemand ein ollen XP Rechner und einen Firefox 3.x mit 8000 Versionen Patch Rückstand verwenden wollte, klar, kein Thema. Der Exchance Server war so alt das ein Geschäftspartner mich frage ob wir eigentlich noch ganz klar sind sowas zu verwenden, wo doch jedes Script Kiddy da eindringen kann. Als dann eine gefakte Bewerbung kam und gleich mit beigefügtem Passwort entpackt wurde um die Datei zu öffnen dateiname.pdf.exe, .exe war natürlich ausgeblendet vom System, fing der Rechner an zu rattern und das Netz wurde langsam. Klar, ist echte Arbeit die Server mit SW Versionen aus dem Pleistozän zu befallen und alle Gurkenrechner am Netz. Ich gehörte zu denen, deren Rechner nicht mal einen Krümel abbekam. Aktuell gepatchtes WIN10, alle SW mit aktuellen Updates, Win Firewall aktiv, kein Online Scanner. Vertrieb und Chef, die mit den meisten Kontakt nach aussen, waren am schlechtesten geschützt. Der Klassiker. Es gab dann ein Internetsecurity Meeting mit Tipps die aus den späten 90er kamen. Hui, gefälschte links die durch typos so aussehen wie die echten, kapern deinen Rechner und alle werden sterben. Nö, nicht in diesem Jahrtausend wenn man nur 1sek nachdenkt vor wild herumclicken, die verkackten Updates macht, nicht als Admin unterwegs ist und nicht jede Sicherheitsabfrage willenlos wegclickt. Manipulierte USB Sticks die einem untergejubelt werden? Fake news von Leuten die ja keine Ahnung haben. Win XP unsicher? Ach das ist nur ein Gerücht. Das jeder mit vollen Admin Rechten arbeitet? Normal, oder? Die Kontaktaufnahme des BSI das wir ausgespät werden? Freude das wir so geilen Scheiss machen das die xxxx sich dafür interessieren. Was willste da sagen? Da kann man seinen PC nur noch vor dem eigenen Firmennetzwerk schützen.
Max M. schrieb: > Manipulierte USB Sticks die einem untergejubelt werden? Das ist durchaus realistisch wenn man das Ziel von Nachrichtendiensten/Industriespionage ist. Ob man das ist hängt natürlich von der Firma ab, aber in 99% aller Fälle natürlich nicht. Kein Mensch interessiert sich für die Daten eines Gas-Wasser-Scheisse Installateurs. Außer der mit dem Crypto Trojaner und der ist eigentlich auch nur an der Lösegeldzahlung interessiert. ;) Max M. schrieb: > Hui, gefälschte links die durch typos so aussehen wie die echten, kapern > deinen Rechner und alle werden sterben. Durchaus plausibel, wird aber meist nur für Fingerprinting und Bestätigung ob hinter der Mailadresse ein Mensch der gerne klickt steckt ist. Einen Zero Day Exploit für den Browser verteilt eigentlich niemand auf gut Glück per Spam Mails. Viel zu kostbar... Was bei Leuten mit einem schnellen Klickfinger hilft: iPads mit Tastatur für Mails austeilen. Das Zeug ist eigentlich relativ sicher und >99% der Schadsoftware läuft darauf gar nicht erst.
Beitrag #7265238 wurde von einem Moderator gelöscht.
René H. schrieb: > Karl schrieb: >> Scheinst einen anderen BKU-Rechner zu haben, als ich hatte. Internet ist >> beim Homeoffice ja wohl zwingend. Ausführen konnte man fast alles ohne >> Adminrechte. > > Das war vielleicht mal so. Die aktuellen BKU-Rechner sind abgesichert. Ein Monat ist jetzt nicht solang her ;)
Beitrag #7265265 wurde von einem Moderator gelöscht.
Sagt mal mods wollt ihr wannacry hier wirklich stehen lassen? Habe es getestet und scheint echt zu sein. Bin dafür das Bild und den Link zum Decoder zu löschen.
Beitrag #7265664 wurde von einem Moderator gelöscht.
Erste Handlung an jedem Arbeitsplatz: lokales Administrator Passwort zurücksetzen, Keylogger installieren und IT an den Rechner bitten.
Schlaumaier schrieb: > Sagt mal mods wollt ihr wannacry hier wirklich stehen lassen? Habe > es getestet und scheint echt zu sein. Bin dafür das Bild und den Link > zum Decoder zu löschen. Dann führ die Datei doch einfach nicht aus?! Sollte die diesbezügliche Lücke nicht eh schon gepatcht sein?
Fragender schrieb: >> Wenn die Infrastruktur nicht zum Arbeiten geeignet ist, dann geht das >> halt nicht. Wenn "Sicherheits Voodoo" zu Hacks führt ist die Sicherheit >> gelinde gesagt im Arsch. > > Stimmt, ändert aber nichts daran. Der Witz dabei ist, natürlich wird so > nur das Arbeiten in der Firma erschwert, wenn ich den Rechner am Abend > mit nach Hause nehme, kann ich alles laden wie ich will. Was teilweise > auch der Grund ist warum ich die Kiste überhaupt mitnehme. Nun ja, wenn das möglich ist, ist der IT Abteilung wohl für eine richtig umgesetzte IT-Sec Strategie das Geld ausgegangen. Normalerweise läuft auf dem Rechner irgendwas Richtung (X)DR Agent der genau sowas verhindert ... und natürlich hat ein Entwickler KEINE administrativen Rechte auf seinem Laptop. Überhaupt finde ich das Verhältnis in deiner Firma zwischen Entwicklern und der IT Abteilung recht befremdlich.
DerAndereGast schrieb: > und natürlich hat ein Entwickler KEINE administrativen Rechte auf seinem > Laptop Wie macht das ein Entwickler, welcher z.B. einen Treiber entwickelt, oder "nur" ein USB-Gerät und dafür ständig Zugriff auf den Gerätemanager benötigt? Oder jemand, der mit SBCs (z.B. R-PI) arbeitet und dafür SD-Karten flashen muss (via Win32 Disk Imager), oder z.B. an einem FAT32-Treiber à la FatFs arbeitet und daher SD-Karten im Raw-Modus lesen muss (z.B. via HxD), oder der selbst eine setup.msi für ein eigenes Projekt entwickelt? Darf man überhaupt root-Zugriff auf einem SBC oder z.B. selbst entwickelten Android-Gerät haben? Was ist, wenn man alle paar Wochen völlig neue Projekte macht, die jeweils ganz andere Toolchains/IDEs inkl. Treibern brauchen? Wenn man Open-Source-Libraries mit Zig Abhängigkeiten nutzt/selbst kompiliert, muss man auch jede Menge Zeug installieren. Nicht alles davon geht ohne Admin-Rechte. Wie ist das mit Updates - wer so eine große Zahl an IDEs und Tools nutzt, hat auch ständig was zum aktualisieren. Klar kann man das alles über die IT machen, welche einem immer alle Tools installiert/startet, aber bei der typischen IT-Abteilung, die 4 Monate für das Einrichten eines User-Accounts braucht, wäre das schon enorm träge. Man kann vieles davon in VMs und dort mit lokalem Admin-Zugriff machen, aber wie man hier so liest funktioniert das Weiterreichen von Geräten (JTAG-Debugger & Co) auch nicht immer so toll. Wenn man z.B. ein USB-Gerät entwickelt, welches sich nicht korrekt enumeriert und daher gar nicht erst durchreichbar ist, wird das ohne Admin-Rechte auch schwer zu debuggen. Und wenn man alles in der VM macht, wozu existiert dann noch das Host-System? Die Trojaner.exe kann auch von der VM aus auf das Netzwerk zugreifen. Wenn man die VM komplett von der Außenwelt isoliert kann man da auch nicht arbeiten (Gitlab-Zugriff, e-Mail usw.). Interessant finde ich auch, dass ein Unternehmen einem frisch eingestellten IT-Menschen von der Berufsschule der nichtmal weiß wie mein eine "cmd" startet, mehr vertraut, als z.B. einem M.Sc. Informatik der viele Jahre für die Firma arbeitet und eine ganz andere Gehaltsklasse hat (Bestechlichkeit und so). Da fällt mir immer wieder die Geschichte vom IT-Security-Experten ein, der seinen Rechner konfisziert und "desinfiziert" bekam, weil die IT-Abteilung dort ein Virus gefunden hatte - welches er dort gerade mit dem Disassembler analysierte. Keine Ahnung ob das ein Märchen ist, aber bei Aussagen wie "Entwickler haben keine Ahnung" wundert mich nichts.
Im Grunde ist das bei Angestellten nicht anders als bei einem Hund. Wenn sich der Hund zu lang geärgert fühlt, beißt er und sucht sich seine eigenen Wege. Wenn sich ein Angestellter lange genug verarscht fühlt, wird er sich wie oben gesagt eigene Wege an der IT vorbei suchen. In einer Firma geht das deswegen, weil der Großteil tatsächlich nicht Software schreiben oder testen muss, sondern irgendwelche Word-Formulare ausfüllt und am Telefon klebt. Die Leute sind auch dann glücklich, wenn die IT ihren goldenen Käfig enger macht, weil sie weniger Freiraum brauchen. Diejenigen, die den Freiraum brauchen, brechen irgendwann aus. Früher oder später, irgendeine Lücke gibt es fast immer. Manchmal offensichtlich (Bluetooth), manchmal weniger offensichtlich (Standardpasswort für die Konfig vom WLAN-Accesspoint). Je mehr die IT nervt, desto mehr Antrieb haben die Power-User, ein Schlupfloch zu finden. Sicher, manche gehen zum Chef und jammern den voll. Vielleicht passiert was, vielleicht auch nicht. Wer ein Schlupfloch findet, ist dann nicht mehr auf den Chef angewiesen. So ist die Lage, ob das der IT nun gefällt oder nicht.
Niklas G. schrieb: > Wie macht das ein Entwickler, welcher z.B. einen Treiber entwickelt, > oder "nur" ein USB-Gerät und dafür ständig Zugriff auf den Gerätemanager > benötigt? Oder jemand, der mit SBCs (z.B. R-PI) arbeitet und dafür > SD-Karten flashen muss (via Win32 Disk Imager), oder z.B. an einem > FAT32-Treiber à la FatFs arbeitet und daher SD-Karten im Raw-Modus lesen > muss (z.B. via HxD), oder der selbst eine setup.msi für ein eigenes > Projekt entwickelt? Darf man überhaupt root-Zugriff auf einem SBC oder > z.B. selbst entwickelten Android-Gerät haben? Was ist, wenn man alle > paar Wochen völlig neue Projekte macht, die jeweils ganz andere > Toolchains/IDEs inkl. Treibern brauchen? Wenn man Open-Source-Libraries > mit Zig Abhängigkeiten nutzt/selbst kompiliert, muss man auch jede Menge > Zeug installieren. Nicht alles davon geht ohne Admin-Rechte. Wie ist das > mit Updates - wer so eine große Zahl an IDEs und Tools nutzt, hat auch > ständig was zum aktualisieren. Danke! So sehe ich das auch - als Entwickler, der schnell Lösungen finden soll oder auch nur was ausprobieren muss, um zu wissen ob es der richtige Weg ist, gehört die Entscheidungsfreiheit, was er wann installiert und verwendet - Bürokratische Prozesse um Admin-Rechte sind da eher hinderlich, effektiv arbeiten lässt sich in meinen Augen so nicht. Mit Freiheit kommt natürlich Verantwortung, das braucht eigenständiges Denken - das mag nur heutzutage kaum einer mehr und lässt sich lieber bevormunden. Aber wenn ein Arbeitgeber von mir besonders gute Leistungen erwartet, muss er mir auch ein paar Freiheiten zugestehen. Ansonsten gibt's nur Dienst nach Vorschrift...
Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher nicht am Netz haengt ... Einer meiner Rechner ist ein XP Rechner mit den alten Tools drauf. Der braucht kein Netz.
Wiederholt sich hier nicht auch die Geschichte ein wenig? Das war wohl schon bei Vista so, dass man plötzlich für den Process-Explorer oder einen Hexeditor Adminrechte brauchte um sie zu nutzen. Völliger Schwachsinn. U.a. auch deswegen, weil ich mein Admin-Passwort für Vista längst vergessen habe. Dann gab es noch die Situation der Kriminalisierung. Man musste ja vorsichtig sein, das Word Hexeditor überhaupt auszusprechen. Glücklicherweise gab es Leute, die einen gewissen politischen Willen entwickelt hatten. https://www.heise.de/security/meldung/Hacker-Paragraf-iX-Chefredakteur-zeigt-sich-selbst-an-191403.html Auch Ausbildungstechnisch müsste eine oberflächliche Betrachtung von Werkzeugen zu schlechter Ausbildung führen.
ungern_bevormundeter schrieb: > Mit Freiheit kommt natürlich Verantwortung, das braucht eigenständiges > Denken - das mag nur heutzutage kaum einer mehr und lässt sich lieber > bevormunden Mit Freiheit hat das weniger zu tun, eher mit Vertrauen. Wenn man ohne Admin-Rechte durch die IT-Abteilung alles eingerichtet bekommt, kann man ja auch alles machen, es dauert "nur" unendlich lange. Purzel H. schrieb: > Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher > nicht am Netz haengt Wie greifst du dann auf Versionskontroll-Server, Backup-Server, Netzlaufwerke, e-Mail, Stackoverflow zu, wie installierst du Libraries und Software über Paketmanager welche Internetzugang benötigen (z.B. via vcpkg, conan, pip), wie lieferst du kompilierte Releases aus? Was wenn du eine Software entwickelst die mit Cloud-Servern kommuniziert? rbx schrieb: > Das war wohl schon bei Vista so, dass man plötzlich für den > Process-Explorer oder einen Hexeditor Adminrechte brauchte um sie zu > nutzen. Völliger Schwachsinn. Naja, wenn der Hexeditor direkt auf das Laufwerk zugreift, am Dateisystem vorbei, hat er Vollzugriff auf sämtliche Daten und Programmdateien. Es ist schon sinnvoll, dass das nur mit Admin-Rechten geht. Das Linux-Äquivalent, d.h. der Direkt-Zugriff auf die Geräte-Dateien wie /dev/sda, erfordert ebenfalls root-Rechte.
Niklas G. schrieb: > Naja, wenn der Hexeditor direkt auf das Laufwerk zugreift, am > Dateisystem vorbei, hat er Vollzugriff auf sämtliche Daten und > Programmdateien. Es ist schon sinnvoll, dass das nur mit Admin-Rechten > geht. Das Linux-Äquivalent, d.h. der Direkt-Zugriff auf die > Geräte-Dateien wie /dev/sda, erfordert ebenfalls root-Rechte. Konnte man am Anfang von Vista mit debug von Usb-Stick aus auch machen - ohne Adminrechte. Nun kann man mit debug auch hexedits machen, nur nicht ganz so schön wie mit einem schönen Hexeditor. Für debug gab es aber keine Adminanmeldeaufforderung. Von mir aus darf ja der Zugriff auf C: beschränkt sein, wenn man das mit Benutzerkontensteuerung laufen lässt. Aber eine einfache Datei auf Benutzerebene sollte man schon ohne jedesmal Admin-Anmeldung - bearbeiten können. Das war vorher auch unproblematisch. Ganz ähnlich läuft das auch auf Linux. Ich meine nicht, dass man sich für den Aufruf von radare (oder für andere Hexeditors da) extra als Admin anmelden muss. Grundsätzlich kann ich natürlich auch an meinen Windows ME PC zurückgehen, und da machen, was ich möchte. Vista (32 Bit) war aber besser, wegen der wirklich guten DOS-Freundlichkeit. Nur Vollbild gab es nicht vom Grafiktreiber her. Da musste ich mir ein paar nette Sachen auch auf dem ME-Rechner ansehen, u.a. auch, weil so eine in Asm geschriebene (DOS) Grafik da auch nicht laufen wollte.
rbx schrieb: > Konnte man am Anfang von Vista mit debug von Usb-Stick aus auch machen - > ohne Adminrechte. Klingt nach einem gefährlichen Bug in Vista. Hast du dazu einen Link? rbx schrieb: > Aber eine einfache Datei auf Benutzerebene sollte man schon ohne > jedesmal Admin-Anmeldung - bearbeiten können. Das war vorher auch > unproblematisch. Kann man auch, z.B. mit HxD. Wüsste nicht dass das jemals nicht ging, und warum auch nicht?! Windows erkennt ja wohl kaum dass es sich um einen Hex-Editor handelt um dann das Starten zu verweigern? Erklärung: Der Autor deines Hex-Editors hat im Application Manifest das "requestedExecutionLevel" auf "requireAdministrator" gesetzt. Dann verlangt Windows Admin-Rechte. Bei HxD z.B. ist das nicht der Fall, man kann es als normaler User starten, aber nur wenn man es als Admin startet hat man "Raw-" Zugriff auf die Laufwerke, ansonsten nur auf Dateien auf die man eben die Berechtigungen hat.
:
Bearbeitet durch User
Niklas G. schrieb: > Klingt nach einem gefährlichen Bug in Vista. Hast du dazu einen Link? Nein, leider nur eigene Erfahrung. Aber zu dem Zeitpunkt waren auch andere Dinge nicht schön, etwa keine Sonderzeichen in der Konsole. Codec-Pack von Außen musste auch installiert werden, für dies und das.
>>Purzel H. schrieb: >> Ich seh das Problem nicht, an einem Notebook zu entwickeln, welcher >> nicht am Netz haengt >> >erlkoenig schrieb Wie greifst du dann auf Versionskontroll-Server, Backup-Server, Netzlaufwerke, e-Mail, Stackoverflow zu, wie installierst du Libraries und Software über Paketmanager welche Internetzugang benötigen (z.B. via vcpkg, conan, pip), wie lieferst du kompilierte Releases aus? Was wenn du eine Software entwickelst die mit Cloud-Servern kommuniziert? Es geht darum unter widrigen Umstaenden zu Entwickeln. Auf dem Notebook entwickelst du, auf einem Desktop den Rest. Fuer einen Cloud Server muss man eh einen lokalen Server als Entwicklungs Server haben. Ich verwende zB eine Synology als lokalen Server.
Purzel H. schrieb: > Auf dem Notebook entwickelst du, auf einem Desktop den Rest. Wie bekommst du Quellcode Änderungen auf das Notebook und zurück, immer mit USB-Sticks? Unfassbar lästig und auch nicht wirklich sicher. Wenn die IT wüsste dass du mit verseuchten Sticks an die Office-Rechner gehst... Purzel H. schrieb: > Fuer einen Cloud Server muss man eh einen lokalen Server als > Entwicklungs Server haben Nicht besonders realistisch, je nach gewünschter Cloud Software (Azure IoT Hub? AWS Lambda?...) nicht einfach zu installieren (ob die IT Abteilung das hin bekommt?), und braucht teilweise spezialisierte Serverhardware (nix mit Synology). Einer der Vorteile der Cloud ist ja, dass man als Entwickler Server betreiben kann ohne die IT zu involvieren. Anstatt 25 Meetings und 3 Monate abzuwarten um eine Server-VM zu bekommen klickt man sich in der AWS/Azure/Whatever -Konsole so viele Dienste und Server (mit Internetzugang!!) wie man möchte und kann damit alles machen was man braucht. Man kriegt dann eine schöne geschlossene Abrechnung die man auf das Projekt bucht (statt diffuser Kosten durch die IT, die sich schlecht Projekten zuordnen lassen). Spart unglaublich viel Ärger. Die IT stört das nicht weiter, ist ja nicht deren Server. Ein Problem ist aber, dass die IT in der Firewall die Verbindung zur Cloud erlauben muss. Wenn man ein spezielles Protokoll dafür nutzt (insb. für IoT), kann die IT sich quer stellen, weil man "HTTPS auf Viren scannen kann, MQTT aber nicht" (ahja). Wenn man die Cloud jetzt "on premise" haben will ist das ein ziemlicher Aufwand und Kosten für die IT, ich möchte mir gar nicht vorstellen was passiert wenn man das vorschlägt.
:
Bearbeitet durch User
Fragender schrieb: > mein Problem ist, dass ich eher der einzige bin > den es stört das ich nicht vernünftig arbeiten kann. Ja so wird es wohl sein. Alle anderen verrichten ihre Arbeit an den Firmen-PCs ohne größere Probleme. Daß alles über einen Firewall geht, ist doch völlig normal. Darf man fragen, an was super speziellem Du arbeitest, daß es dabei Probleme gibt?
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.