G 4.12 Fehlende Authentisierungsmöglichkeit zwischen X-Server und X-Client

Für das X-Window-System gilt im besonderen Maße, dass es ohne geeignete Sicherheitsmechanismen, wie z. B. "Magic Cookies" oder Verwendung von Secure Shell, nur in einer vertrauenswürdigen Umgebung eingesetzt werden sollte. Ohne Sicherheitsfunktionen besteht für alle beteiligten Benutzer die Möglichkeit, sowohl den X-Client als auch den X-Server zu korrumpieren. Der X-Server-Prozess, der auf einem Rechner für die Ein- und Ausgabe zuständig ist, kann nicht erkennen, wem der X-Client-Prozess gehört, der mit ihm kommuniziert. Alle X-Clients können also auf alle Daten, die auf einem X-Server eingegeben werden, zugreifen, und der X-Server hat keine Möglichkeit festzustellen, von welchem X-Client er Daten erhält. So simuliert z. B. das Programm meltdown das optische "Schmelzen" des Bildschirms eines beliebigen X-Servers. Genauso ist es möglich, Daten von einem xterm-Client zu lesen oder ihm eigene Daten zu schicken, also z. B. Bildschirmabzüge von einem anderen, mit X-Window arbeitenden Rechner zu machen.

Beispiele: