Domino 9 und frühere Versionen > Entwicklung

Frage zur Sicherheit auf Feldebene

(1/3) > >>

TMC:
Hi,

ich arbeite gerade an einer DB, wo ich sicherstellen muss, dass 1 Feld nur Leute lesen, die das auch dürfen.

Bisherige Vorkehrungen:
- Konsistente ACL
- Leserfeld (wenn "", dann @Username)
- Autorenfeld (wenn "", dann @Username)
- Beim zu sichernden Feld: im Propeller-Tab die 'Security-Options' auf 'Enable encryption for this field' eingestellt

War das schon alles?

Muss ich sonst noch was machen, damit niemand Zugriff hat, der nicht im Leserfeld steht?

-Michael-:
Ist so leider keinesfalls sicher.

Versuche mal folgendes:
Du trägst in dem Leser- oder Autorenfeld den User "ABC" ein.

Dann schließst Du Notes und installierst eine neue Arbeitsumgebung etc., mit dem User "ABC".
Dieser User kann dann das Dokument lesen. Selbst bei konsistenter ACL, da muss halt dann mal schnell ein Hex-Wert geändert werden um Zugriff auf die DB zu bekommen.

animate:

--- Zitat von: -Michael- am 17.04.04 - 21:36:24 ---Ist so leider keinesfalls sicher.

Versuche mal folgendes:
Du trägst in dem Leser- oder Autorenfeld den User "ABC" ein.

Dann schließst Du Notes und installierst eine neue Arbeitsumgebung etc., mit dem User "ABC".
Dieser User kann dann das Dokument lesen. Selbst bei konsistenter ACL, da muss halt dann mal schnell ein Hex-Wert geändert werden um Zugriff auf die DB zu bekommen.





--- Ende Zitat ---

verstehe ich nicht. natürlich kann der User ABC es lesen, wenn er im Leserfeld steht.
Und wenn ein Feld verschlüsselt ist (wie das genau geht, weiß ich nicht mehr) ,dann braucht jeder, der den Inhalt des Felds lesen will, den Schlüssel dazu in seiner ID. Und das ist sicher.
Ich bin zufällig heute über einen ARtikel über Feldverschlüsselung in IrisToday gestoßen, vielleicht ganz interessant in dem Zusammenhang: http://www.notes.net/today.nsf/f01245ebfc115aaf8525661a006b86b9/24d3f7b03bcaf0c388256abb00730519?OpenDocument

-Michael-:
Schon klar, aber TMC hat oben die bisherigen Umsetzungen aufgelistet.
Und mein Beispiel sollte zeigen, dass man so trotzdem Zugriff hat, wenn der Username bekannt ist.
Sprich die bisherige Umsetzung war auf Dokumentenebene und nicht Feldebene, auch wenn das eine Feld entsprechend so selektiert wurde.

Ich muss gestehen, selbst auch noch nie eine feldbasierende Verschlüsselung implementiert zu haben, daher kann ich da leider keine Tipps geben.

Und afaik bietet - wie Martin schon richtigerweise erwähnt hat - nur die Feldebene eine sichere Verschlüsselung, Server / DB / Doc - Ebene ist afaik nicht absolut sicher.
** EDIT ** Ups, MartinG hat seinen Beitrag wieder gelöscht

Es geht TMC wohl auch - verständlicherweise - darum, dass z.B. ein Notes-Admin dieses eine Feld nicht lesen darf/kann ohne entsprechender ID.

Semeaphoros:
Wenn die Interpretation stimmt, dann heisst es tatsächlich Schlüssel generieren und an die berechtigten Personen verteilen. Hab ich selber auch noch nie machen müssen. Es gibt aber zur ganzen Sicherheit in Notes ein Redbook von IBM, weiss grad nicht wie es heisst, da geht es um Security ich glaub im R5, das ganze ist aber nicht wirklich geändert worden und kann somit auf alle gängigen ND-Versionen angewandt werden.

Navigation

[0] Themen-Index

[#] Nächste Seite