home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #26 / NN_1992_26.iso / spool / comp / security / misc / 1669 < prev    next >
Encoding:
Text File  |  1992-11-08  |  2.6 KB  |  54 lines
  1. Newsgroups: comp.security.misc
  2. Path: sparky!uunet!destroyer!sol.ctr.columbia.edu!eff!ckd
  3. From: ckd@eff.org (Christopher Davis)
  4. Subject: Re: Window watching programs
  5. In-Reply-To: gordon@ug.cs.dal.ca's message of Thu, 5 Nov 1992 15:12:00 GMT
  6. Message-ID: <CKD.92Nov6190040@loiosh.eff.org>
  7. Sender: usenet@eff.org (NNTP News Poster)
  8. Nntp-Posting-Host: loiosh.eff.org
  9. Organization: Electronic Frontier Foundation Tech Central
  10. References: <Bx77D0.1In@cs.dal.ca> <1992Nov4.175914.13259@organpipe.uug.arizona.edu>
  11.     <CKD.92Nov4141022@loiosh.eff.org> <Bx90w2.L2u@cs.dal.ca>
  12. Distribution: na
  13. Date: Sat, 7 Nov 1992 00:00:43 GMT
  14. Lines: 38
  15.  
  16. Scott> == Scott King <gordon@ug.cs.dal.ca> 
  17.  
  18.  Scott> This seems that it would fix the problem on a Sun.  What about
  19.  Scott> an HP.  In my original post, I neglected to mention that the
  20.  Scott> machine that I was able to "watch" without even an account on
  21.  Scott> the machine was an HP.  I am not to familiar with HP's so I'm
  22.  Scott> not sure what is going on.  Does anyone have any insights that
  23.  Scott> they could add to make this problem a little clearer?
  24.  
  25. It was probably xhost +'ed by default (i.e. access to the world).  I
  26. don't know, I don't use HPs.
  27.  
  28.  Scott> On the Sun I found that you had to set xhost to be able to watch
  29.  Scott> the screen.  The problem was that someone logged in to the
  30.  Scott> machine from another one could set the DISPLAY environment
  31.  Scott> variable to the machine they logged into, setup xhost and watch
  32.  Scott> the display remotely using the window watching program.
  33.  
  34.  Scott> Does the suggestion that Mr. Davis presented above prevent users
  35.  Scott> not logged in to the console from setting up xhost and their
  36.  Scott> DISPLAY variable and then directing output to the console (or
  37.  Scott> reading it)?
  38.  
  39. The answer is to use MIT-MAGIC-COOKIE-1 or something better.  xhost
  40. access control can be changed from the "controlling host" (normally the
  41. workstation running the X server).  If the "controlling host" is a
  42. multiuser machine, by default X will allow all processes on that machine
  43. to connect, and therefore any user can use xhost to change the access
  44. list.  The entire xhost model of "security" is almost entirely useless,
  45. since you can almost never trust an entire host (even barring DNS
  46. spoofing attacks).
  47.  
  48. See Xsecurity(1) and xauth(1) (as well as fbtab(5) on Sun systems).
  49. --
  50. Christopher K. Davis      | ``Usenet seems to run much like the Kif (or,
  51. <ckd@eff.org>   EFF #14   |   for the TV generation, Klingon) high command.
  52. System Administrator, EFF |   Whoever takes action and can be heard wins.''
  53. +1 617 864 0665  [CKD1]   |   --Peter da Silva <peter@ferranti.com>
  54.