Autor Thema: Frage zur Sicherheit auf Feldebene  (Gelesen 6401 mal)

Offline TMC

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.660
  • Geschlecht: Männlich
  • meden agan
Frage zur Sicherheit auf Feldebene
« am: 17.04.04 - 20:53:56 »
Hi,

ich arbeite gerade an einer DB, wo ich sicherstellen muss, dass 1 Feld nur Leute lesen, die das auch dürfen.

Bisherige Vorkehrungen:
- Konsistente ACL
- Leserfeld (wenn "", dann @Username)
- Autorenfeld (wenn "", dann @Username)
- Beim zu sichernden Feld: im Propeller-Tab die 'Security-Options' auf 'Enable encryption for this field' eingestellt

War das schon alles?

Muss ich sonst noch was machen, damit niemand Zugriff hat, der nicht im Leserfeld steht?
« Letzte Änderung: 17.04.04 - 20:54:54 von TMC »
Matthias

A good programmer is someone who looks both ways before crossing a one-way street.


Offline -Michael-

  • Aktives Mitglied
  • ***
  • Beiträge: 153
  • Geschlecht: Männlich
    • Software Guide
Re:Frage zur Sicherheit auf Feldebene
« Antwort #1 am: 17.04.04 - 21:36:24 »
Ist so leider keinesfalls sicher.

Versuche mal folgendes:
Du trägst in dem Leser- oder Autorenfeld den User "ABC" ein.

Dann schließst Du Notes und installierst eine neue Arbeitsumgebung etc., mit dem User "ABC".
Dieser User kann dann das Dokument lesen. Selbst bei konsistenter ACL, da muss halt dann mal schnell ein Hex-Wert geändert werden um Zugriff auf die DB zu bekommen.




Offline animate

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.540
  • Uh, I'm just gonna go find a cash machine.
    • LA2
Re:Frage zur Sicherheit auf Feldebene
« Antwort #2 am: 17.04.04 - 21:45:55 »
Ist so leider keinesfalls sicher.

Versuche mal folgendes:
Du trägst in dem Leser- oder Autorenfeld den User "ABC" ein.

Dann schließst Du Notes und installierst eine neue Arbeitsumgebung etc., mit dem User "ABC".
Dieser User kann dann das Dokument lesen. Selbst bei konsistenter ACL, da muss halt dann mal schnell ein Hex-Wert geändert werden um Zugriff auf die DB zu bekommen.





verstehe ich nicht. natürlich kann der User ABC es lesen, wenn er im Leserfeld steht.
Und wenn ein Feld verschlüsselt ist (wie das genau geht, weiß ich nicht mehr) ,dann braucht jeder, der den Inhalt des Felds lesen will, den Schlüssel dazu in seiner ID. Und das ist sicher.
Ich bin zufällig heute über einen ARtikel über Feldverschlüsselung in IrisToday gestoßen, vielleicht ganz interessant in dem Zusammenhang: http://www.notes.net/today.nsf/f01245ebfc115aaf8525661a006b86b9/24d3f7b03bcaf0c388256abb00730519?OpenDocument
« Letzte Änderung: 17.04.04 - 21:59:14 von Thomas Völk »
Thomas

Fortunately, I'm adhering to a pretty strict, uh, drug, uh, regimen to keep my mind, you know, uh, limber.

Offline -Michael-

  • Aktives Mitglied
  • ***
  • Beiträge: 153
  • Geschlecht: Männlich
    • Software Guide
Re:Frage zur Sicherheit auf Feldebene
« Antwort #3 am: 17.04.04 - 21:54:29 »
Schon klar, aber TMC hat oben die bisherigen Umsetzungen aufgelistet.
Und mein Beispiel sollte zeigen, dass man so trotzdem Zugriff hat, wenn der Username bekannt ist.
Sprich die bisherige Umsetzung war auf Dokumentenebene und nicht Feldebene, auch wenn das eine Feld entsprechend so selektiert wurde.

Ich muss gestehen, selbst auch noch nie eine feldbasierende Verschlüsselung implementiert zu haben, daher kann ich da leider keine Tipps geben.

Und afaik bietet - wie Martin schon richtigerweise erwähnt hat - nur die Feldebene eine sichere Verschlüsselung, Server / DB / Doc - Ebene ist afaik nicht absolut sicher.
** EDIT ** Ups, MartinG hat seinen Beitrag wieder gelöscht

Es geht TMC wohl auch - verständlicherweise - darum, dass z.B. ein Notes-Admin dieses eine Feld nicht lesen darf/kann ohne entsprechender ID.
« Letzte Änderung: 17.04.04 - 21:55:53 von -Michael- »

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re:Frage zur Sicherheit auf Feldebene
« Antwort #4 am: 17.04.04 - 22:15:44 »
Wenn die Interpretation stimmt, dann heisst es tatsächlich Schlüssel generieren und an die berechtigten Personen verteilen. Hab ich selber auch noch nie machen müssen. Es gibt aber zur ganzen Sicherheit in Notes ein Redbook von IBM, weiss grad nicht wie es heisst, da geht es um Security ich glaub im R5, das ganze ist aber nicht wirklich geändert worden und kann somit auf alle gängigen ND-Versionen angewandt werden.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline animate

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.540
  • Uh, I'm just gonna go find a cash machine.
    • LA2
Re:Frage zur Sicherheit auf Feldebene
« Antwort #5 am: 17.04.04 - 22:44:52 »
also ich habs genau einmal gemacht und ich kann mich daran erinnern, dass es ziemlich einfach ist. Der Schlüssel wird per email verteilt und dann irgendwie in die ID importiert (ging auch ganz einfach).
Thomas

Fortunately, I'm adhering to a pretty strict, uh, drug, uh, regimen to keep my mind, you know, uh, limber.

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re:Frage zur Sicherheit auf Feldebene
« Antwort #6 am: 17.04.04 - 22:48:22 »
Jo, soweit ich mich an die Literatur erinnern kann, ist es wirklich keine Hexerei, der Gegenschlüssel legt sich in der Datenbank selber ab und wird beim Speichern zum Verschlüsseln verwendet.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline TMC

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.660
  • Geschlecht: Männlich
  • meden agan
Re:Frage zur Sicherheit auf Feldebene
« Antwort #7 am: 17.04.04 - 23:20:38 »
Danke für Eure Infos etc.

Ich werde mir jetzt erstmal den Artikel von Thomas reinziehen, melde mich wieder....
Matthias

A good programmer is someone who looks both ways before crossing a one-way street.


Offline TMC

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.660
  • Geschlecht: Männlich
  • meden agan
Re:Frage zur Sicherheit auf Feldebene
« Antwort #8 am: 17.04.04 - 23:37:27 »
Many thanks, Thomas, sehr guter und praxisnaher Artikel  :D

Das hilft sehr weiter.
Matthias

A good programmer is someone who looks both ways before crossing a one-way street.


Offline koehlerbv

  • Moderator
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 20.460
  • Geschlecht: Männlich
Re:Frage zur Sicherheit auf Feldebene
« Antwort #9 am: 18.04.04 - 01:47:20 »
Ist so leider keinesfalls sicher.

Hallo, Michael,

ich mag das jetzt nicht ganz so stehen lassen ;)
Zitat
Du trägst in dem Leser- oder Autorenfeld den User "ABC" ein.
Das ist aber schon ein gewisser Unterschied  ;D
Autorenfelder bewirken völlig anderes als Leserfelder.
Zitat
Selbst bei konsistenter ACL, da muss halt dann mal schnell ein Hex-Wert geändert werden um Zugriff auf die DB zu bekommen.
Jetzt bröseln wir das mal auf:
DB hat eine konsistente ACL. Wenn ich mir die DB auf OS-Ebene vom Server (!!!) ziehen kann, habe ich ein paar mehr Chancen (da hat dann aber die Administration versagt). So oder so - die kACL lässt sich knacken.
Ist die kACL lokal geknackt, kann ich Dokumente, die ich eigentlich nicht bearbeiten soll, doch bearbeiten. Nützt mir aber nix: Der Server lehnt diese Änderungen bei der Replikation schlichtweg ab.
Habe ich eine OS-Kopie (!!!), kann ich natürlich dann auch Dokumente lesen, in dem ich nicht als User / Gruppe / Rolle in  einem leserfeld eingetragen wurde.
Der Punkt ist also: Die DB muss auf dem Server geschützt werden. Kann ich "nur" replizieren, bekomme ich auch
- keine Dokumente, die ich nicht lesen darf und
- darf keine geänderten Doks zurück replizieren, bei denen ich kein Autor bin.

Unbeschadet davon ist aber der eigentliche Punkt dieses Threads: Bestimmte items sollen nur im Zugriff (lesend und schreibend) der Berechtigten sein. Wie schon von den verehrten Kollegen vorher beschrieben, bietet Notes hier hinreichend Bordmittel an. Darüber hinaus kann man die Inhalte von Items ja auch selbst verschlüsseln ;-)

Bernhard


Offline TMC

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.660
  • Geschlecht: Männlich
  • meden agan
Re:Frage zur Sicherheit auf Feldebene
« Antwort #10 am: 18.04.04 - 18:43:10 »
@Bernhard:
Ich denke Michael wollte mit seinem Beispiel mehr zeigen, wie unsicher das ganze ist. Und dem kann ich nur zu gut folgen.
Worst Case (bei meiner oben erwähnten Konstellation):
Ein Admin hat sich sämtliche Passwörter (oder TAN-Listen vom Onlinebanking, oder was auch immer) so abgelegt, und repliziert sich die DB aufs Notebook. Für einen Dieb wäre es ein einfaches, so an die Daten zu kommen.
Da hilft die ganze serverseitige Absicherung nix, wenn die berechtigten User replizieren und die DB dann in falsche Hände kommt.

@All:
Ich habe die feldbezogene Verschlüsselung jetzt erfolgreich umgesetzt, u.a. anhand dem von Thomas erwähnten Iris Today - Artikel.

Ist ja im Prinzip verdammt einfach umzusetzen.

Will man Verschlüsselung auf Secret Key - Ebene: Ein Feld "SecretEncryptionKeys" ergänzen.
Will man Verschlüsselung auf Public Key - Ebene: Ein Feld "PublicEncryptionKeys" ergänzen.

Das ist dann auch egentlich schon alles. Die Secret Keys muss man dann über File / Tools / UserID erzeugen und entsprechend verteilen.

In meinem jetzigen Projekt biete ich beides zur Auswahl an (per Radio-Button).

Eine Einschränkung über die ich gestolpert bin: Ich hatte im PostSave zusätzliche call doc.save(false,false) drin, dadurch wird das Dok dann nicht verschlüsselt. Daher hab ich diese ins Querysave verschoben.
Matthias

A good programmer is someone who looks both ways before crossing a one-way street.


Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re:Frage zur Sicherheit auf Feldebene
« Antwort #11 am: 18.04.04 - 19:06:09 »
Und was man nicht vergessen darf, mit den Secret Keys ergeben sich logistische Aufgaben: Das Verteilen von Schlüsseln und man denke daran, was man machen muss, wenn ein User nicht mehr drauf zugreifen darf, einen Schlüssel zurückziehen geht nicht, man muss dann neue Schlüssel verteilen
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

Offline TMC

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.660
  • Geschlecht: Männlich
  • meden agan
Re:Frage zur Sicherheit auf Feldebene
« Antwort #12 am: 18.04.04 - 19:41:47 »
Genau.
Anders herum ist es halt schon verdammt sicher mit Secret Keys zu arbeiten, weil dann nicht mal Admins Zugriff haben, die 'nur' die alte ID mit Passwort des Users haben.
Matthias

A good programmer is someone who looks both ways before crossing a one-way street.


Offline MartinG

  • Freund des Hauses!
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.802
  • Geschlecht: Männlich
Re:Frage zur Sicherheit auf Feldebene
« Antwort #13 am: 18.04.04 - 20:50:21 »
Da kann ich Dir nur zustimmen - vor allem da ja ab Notes6 die Admins den Full Access Administrator aktivieren können was ich schon für sehr heftig halte. Ab Notes6 hebelt der Admin halt mit einem einzigen Mausklick die ACL, Leser- und Authorenfelder, Rollen etc aus....

Klar kann man immer argumentieren das ein Admin eine Vertrauensperson sein sollte - nur manchmal scheiden auch Admins aus der Firma im Ungroove aus...

Gruss
Martin
Martin
Wir leben zwar alle unter dem gleichen Himmel, aber wir haben nicht den gleichen Horizont.
KONRAD ADENAUER

Offline Semeaphoros

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 8.152
  • Geschlecht: Männlich
  • ho semeaphoros - agr.: der Notesträger
    • LIGONET GmbH
Re:Frage zur Sicherheit auf Feldebene
« Antwort #14 am: 18.04.04 - 21:08:01 »
Na ja, Martin, das stimmt schon, IBM hat den Superadmin allerdings nicht ganz freiwillig gemacht, das kam vom Kundendruck und zudem ist das ja sehr konfigurierbar, mit einer einzigen Ini-Variablen kannst Du das Ding abschalten, und um die zu verändern, brauchst Du Betriebssystem-Access. Denkbar ist auch, dass man für den SuperAdmin nur eine ID zulässt, die doppelte Unterschrift trägt (sprich 2 Passwörter) oder noch mehr, man kann das also schon recht gut steuern, aber tun muss man es und vor allem gut planen.
Jens-B. Augustiny

Beratung und Unterstützung für Notes und Domino Infrastruktur und Anwendungen

Homepage: http://www.ligonet.ch

IBM Certified Advanced Application Developer - Lotus Notes and Domino 7 und 6
IBM Certified Advanced System Administrator - Lotus Notes and Domino 7 und 6

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz