Domino 9 und frühere Versionen > ND6: Entwicklung
datenbank sicher machen !?
Silent_Bob:
Ja alles klar!
Das sind schonmal ein paar Anhaltspunkte, damit kann ich was tun.
Danke
TMC:
Sehe ich auch so, absolut sicher geht nur mit Secret Encryption der entsprechenden Felder. Dank Key haben auch die Admins keinen Zugriff, selbst wenn sie z.B. die ursprüngliche Notes.id mit dem ursprünglichen Passwort haben (ist glaub ich oft der Firmenname oder sowas ;D).
Interessant hierzu der Artikel "Using field encryption in applications" von Rich Schwartz:
http://www-10.lotus.com/ldd/today.nsf/f01245ebfc115aaf8525661a006b86b9/24d3f7b03bcaf0c388256abb00730519?OpenDocument
Bekomme allerdings aktuell "The connection was refused when attempting to contact www-10.lotus.com." wenn ich den Link anwähle, kann aber gut sein, IBM ist ja bekannt für die "Beständigkeit" der Links :P
Glombi:
Der Link geht wieder...
Tip: Bei den URLs von IBM/Lotus immer die Zahlen hinter www. entfernen, dann sind die Links auch beständiger. IBM ist da offenbar sehr dynamisch.
Andreas
flaite:
Du müsstest eigentlich deine Frage genauer stellen.
Sicherheit wie auch "Performance" sollten immer in dem Kontext der konkreten Aufgabenstellungen gesehen werden und dann gegen konkrete Angriffsziele abgesichert werden.
z.B.
- Übertragungsweg -> Sichere Protokolle wie SSH, SSL
- Integrität der Daten (kein nachträgliches ändern durch unbefugte) -> Message Digest
- Lesen durch unbefugte -> Zugriffssteuerung oder/und Verschlüsselung
- Identität des Autors -> Public Key Infrastructur.
- und einiges mehr, aber relativ überschaubar.
Wenn du Daten zwar feldverschlüsselst, aber den Zugriff über ein offenes Protokoll wie HTTP freigibst, dann können Leute möglicherweise Dokumente abfangen, ein bischen ändern und dann auf dem Server abspeichern. Der Inhalt eines verschlüsselten Feldes würde dann vielleicht keinen Sinn mehr machen, aber für Verwirrung sorgen.
Feldverschlüsselung wurde aus meiner Sicht relativ wenig verwendet, da für die meisten Anwendungsfälle Authentifizierung/Autorisierung ausreichend ist. Jedoch gibt es Fälle, in denen es Sinn macht Daten tatsächlich zu verschlüsseln und in manchen Bereichen gibt es dazu auch entsprechende gesetzliche Vorschriften.
Btw. hat inzwischen im XML Bereich Notes-Feldverschlüsselung ein eindeutiges Pendant bekommen und zwar die XML-Signature/Encryption Spezifikationen. Hat mir geholfen endlich zu verstehen, was Feldverschlüsselung eigentlich ist. Viele Leute sehen den Sinn nicht, da sie z.B. für Webservices die Kombination sicheres Protokoll + sichere Authentifizierung/Autorisierung für ausreichend halten. Für einige, eher wenige Anwendungsfälle braucht man aber schon eine explizite Verschlüsselung der Daten oder zumindest digitale Unterschrift / Message Digest zum Schutz gegen unbefugtes nachträgliches ändern.
umi:
Wobei die Notes Feldverschlüsselung meines Wissens nicht über das Web funktioniert.....
gruss
umi
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln