• IT-Karriere:
  • Services:

Linux: Xscreensaver bekommt Security-Rewrite

Der fast 30 Jahre alte Xscreensaver gilt immer noch als Lockscreen-Referenz in Linux-Systemen und bekommt nun einen Rewrite.

Artikel veröffentlicht am ,
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben.
Die Sperre des Xscreensavers kann ein Sicherheitsrisiko sein. Der Code dafür wurde nun komplett neu geschrieben. (Bild: Pixabay)

Der Entwickler Jamie Zawinski hat eine Betavorschau der Version 6 des Xscreensavers veröffentlicht, wie er in seinem Blog schreibt. Das Open-Source-Projekt ist inzwischen fast 30 Jahre alt und die zugrundeliegende Technik wird trotz vieler konzeptioneller Probleme des X11-Codes von vielen Linux-Distributionen und Desktop-Oberflächen weiter verwendet. Zuletzt hat das in Linux-Mint zu einer Sicherheitslücke geführt. Zawinski hat mehrfach auf derartige Probleme anderer ähnlicher Projekte hingewiesen und nun offenbar auch als Reaktion darauf den eigenen Xscreensaver-Code mit einem Fokus auf Sicherheit komplett überarbeitet.

Stellenmarkt
  1. über duerenhoff GmbH, Freiburg im Breisgau
  2. ALDI International Services GmbH & Co. oHG, Mülheim an der Ruhr, Duisburg, Düsseldorf, Dortmund

Ziel des Xscreensaver Codes sei es immer gewesen, den kritischen Bestandteil weitgehend zu verringern. Laut Zawinski sei dieser kritische Teil jener, der bei einem Absturz dazu führe, dass der Bildschirm trotz einer Sperre freigegeben werden kann. Genau das ist auch der Screenlock-Implementierung von Linux Mint zum Verhängnis geworden. Diesen kritischen Code im altehrwürdigen Xscreensaver habe Zawinski nun eigenen Angaben zufolge um 87 Prozent reduziert.

Eben wegen der langen Erfahrung Zawinskis mit dem Projekt gilt dessen Code als Referenz für die anderen Implementierungen eines Screenlocks und des Bildschirmschoners. Doch trotz der langen Arbeiten am Xscreensaver sei der Code-Umfang bisher immer noch sehr groß gewesen. Das liege unter anderem daran, dass der Xscreensaver älter als HDMI und sogar älter als USB sei und der Code über die Jahrzehnte entsprechend angewachsen sei.

Großer Rewrite des Xscreensavers

Zawinski habe den Code nun nochmal völlig neu betrachtet und daraufhin analysiert, was wirklich in dem kritischen Teil vorhanden sein muss. Neben dem Ende des Supports für X11-Systeme, die mehr als 15 Jahre alt sind, hat Zawinski auch den Code und Aufbau von Xscreensaver grundlegend überarbeitet. Statt einer großen Binärdatei bestehe das Projekt nun aus drei ausführbaren Dateien, die zusammen auch weniger Code enthalten als vorher.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Zu den wohl wichtigsten Neuerungen gehört, dass bei einem Absturz der Passworteingabe damit nun nicht mehr auch der gesamte Xscreensaver abstürzt. Das neue Verhalten ist dabei analog zur Eingabe eines falschen Passworts. Stürzt zudem der für die Grafik zuständige Code ab, sei zwar immer noch zwischenzeitlich der Desktop sichtbar, bis zum Neustart seien aber weder Maus noch Tastatur nutzbar, der Bildschirm also im Prinzip weiter gesperrt. Das Umgehen der Sperrfunktion sollte also deutlich schwieriger sein als bisher.

Da es sich bei dem neuen Ansatz um eine sehr große Änderung am Code handele, fordert Zawinski nun Nutzer dazu auf, die Vorabversion ausgiebig zu testen und vor allem zu versuchen, den Code zum Absturz zu bringen und damit die Bildschirmsperre zu umgehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 29,90€ + Versand oder kostenlose Marktabholung (Bestpreis!)
  2. (u. a. Anno 1800 für 26,99€, Railway Empire für 14,99€, Code Vein für 16,99€)
  3. 119,90€ (Bestpreis mit Amazon)

Norcoen 23. Feb 2021 / Themenstart

welche ungesicherten Arbeiten gibt es denn heute noch so? Wenn man sich nicht eh schon...

simon.budig 22. Feb 2021 / Themenstart

Der Artikel ist irreführend. Die Probleme in Linux-Mint wurden *nicht* durch den Code aus...

Vanger 22. Feb 2021 / Themenstart

Nach dem Linux-"Sicherheit-ist-ein-zu-konfigurierendes-Markmal"-Mint-Fail hatte er in...

Kommentieren


Folgen Sie uns
       


Geforce RTX 3060 - Test

Schneller als eine Geforce RTX 2070, so günstig wie die Geforce GTX 1060 (theoretisch).

Geforce RTX 3060 - Test Video aufrufen
    •  /