Domino 9 und frühere Versionen > Entwicklung

Frage zur Sicherheit auf Feldebene

<< < (3/3)

TMC:
@Bernhard:
Ich denke Michael wollte mit seinem Beispiel mehr zeigen, wie unsicher das ganze ist. Und dem kann ich nur zu gut folgen.
Worst Case (bei meiner oben erwähnten Konstellation):
Ein Admin hat sich sämtliche Passwörter (oder TAN-Listen vom Onlinebanking, oder was auch immer) so abgelegt, und repliziert sich die DB aufs Notebook. Für einen Dieb wäre es ein einfaches, so an die Daten zu kommen.
Da hilft die ganze serverseitige Absicherung nix, wenn die berechtigten User replizieren und die DB dann in falsche Hände kommt.

@All:
Ich habe die feldbezogene Verschlüsselung jetzt erfolgreich umgesetzt, u.a. anhand dem von Thomas erwähnten Iris Today - Artikel.

Ist ja im Prinzip verdammt einfach umzusetzen.

Will man Verschlüsselung auf Secret Key - Ebene: Ein Feld "SecretEncryptionKeys" ergänzen.
Will man Verschlüsselung auf Public Key - Ebene: Ein Feld "PublicEncryptionKeys" ergänzen.

Das ist dann auch egentlich schon alles. Die Secret Keys muss man dann über File / Tools / UserID erzeugen und entsprechend verteilen.

In meinem jetzigen Projekt biete ich beides zur Auswahl an (per Radio-Button).

Eine Einschränkung über die ich gestolpert bin: Ich hatte im PostSave zusätzliche call doc.save(false,false) drin, dadurch wird das Dok dann nicht verschlüsselt. Daher hab ich diese ins Querysave verschoben.

Semeaphoros:
Und was man nicht vergessen darf, mit den Secret Keys ergeben sich logistische Aufgaben: Das Verteilen von Schlüsseln und man denke daran, was man machen muss, wenn ein User nicht mehr drauf zugreifen darf, einen Schlüssel zurückziehen geht nicht, man muss dann neue Schlüssel verteilen

TMC:
Genau.
Anders herum ist es halt schon verdammt sicher mit Secret Keys zu arbeiten, weil dann nicht mal Admins Zugriff haben, die 'nur' die alte ID mit Passwort des Users haben.

MartinG:
Da kann ich Dir nur zustimmen - vor allem da ja ab Notes6 die Admins den Full Access Administrator aktivieren können was ich schon für sehr heftig halte. Ab Notes6 hebelt der Admin halt mit einem einzigen Mausklick die ACL, Leser- und Authorenfelder, Rollen etc aus....

Klar kann man immer argumentieren das ein Admin eine Vertrauensperson sein sollte - nur manchmal scheiden auch Admins aus der Firma im Ungroove aus...

Gruss
Martin

Semeaphoros:
Na ja, Martin, das stimmt schon, IBM hat den Superadmin allerdings nicht ganz freiwillig gemacht, das kam vom Kundendruck und zudem ist das ja sehr konfigurierbar, mit einer einzigen Ini-Variablen kannst Du das Ding abschalten, und um die zu verändern, brauchst Du Betriebssystem-Access. Denkbar ist auch, dass man für den SuperAdmin nur eine ID zulässt, die doppelte Unterschrift trägt (sprich 2 Passwörter) oder noch mehr, man kann das also schon recht gut steuern, aber tun muss man es und vor allem gut planen.

Navigation

[0] Themen-Index

[*] Vorherige Sete