Domino 9 und frühere Versionen > ND6: Administration & Userprobleme
Domino-Passwörter unzureichend geschützt?
Glombi:
--- Zitat von: datenbanken24 am 28.07.05 - 09:36:02 ---Und einfach mal so eine Maskenoption des N&A zu ändern,
--- Zitat ---Formulareigenschaften "Generate HTML for all fields abgeschaltet werden”
--- Ende Zitat ---
hui - viel Spaß damit, mit diesem Workaround fängt man sich hundert mal Fehler ein, als die man behebt.
--- Ende Zitat ---
Im IBM Artikel steht:
--- Zitat ---To disable the display of hidden field values from View Source in the browser, open the Person Form in the Domino Designer. Select Design -> Form Properties. On the second tab, disable the option to "Generate HTML for all fields." When this setting is disabled, the values of all hidden fields on the document will not be displayed.
--- Ende Zitat ---
Andreas
Semeaphoros:
Andreas, ob das eine gute Idee ist, wird auch IBM-Intern angezweifelt.
Glombi:
--- Zitat von: Semeaphoros am 29.07.05 - 11:00:17 ---Andreas, ob das eine gute Idee ist, wird auch IBM-Intern angezweifelt.
--- Ende Zitat ---
Entweder sagt IBM, dass ist ok oder das ist nicht ok. Warum das Zweifel bestehen ist mir nicht klar.
Und in dem IBM Artikel kann ich keinen Zweifel erkennen - oder soll das der geneigte User zwischen den Zeilen lesen.
Das überhaupt Passworte in Personendokumente geschrieben werden, ist ansicht schon sehr heikel. Ich denke da nun an die Notes-User, die per Notes-Client innerhalb eines Unternehmens auf die Personendokumente zugreifen können. Wenn dann das "gesalzene" Passwort nicht gesetzt ist, kann ein böswilliger User schon mal versuchen, dass Internetkennwort vom Chef zu erraten.
Andreas
Semeaphoros:
Das ist alles klar Andreas. Dass die ungesalzenen Passwörter noch existieren liegt daran, dass es Fremdapplikationen gibt, die dieses Passwort nutzen, die würden "brechen", wenn man plötzlich nur noch die gepfefferten PWs zulässt. Das spätere Beseitigen von Funktionalitäten, selbst wenn sie fragwürdig sind, ist halt nun mal ein riesiges "Nightmare". Und hier haben es die Endkunden ja in der Hand, das selber zu stopfen.
0xse:
Man nehme den Domino Hash Bruteforcer oder halt Brutus/John mit Addon, eine gute Wordlist und warte ein paar Minuten. In der Regel werden damit alle Passwörter geknackt :)
Bruteforce ist bei dem 256 Bit Hash eigentlich Zeitverschwendung.
Sollten Kunden Webzugänge haben, sollte man ihnen einfach den Zugriff auf's Adressbuch sperren. Wenn ein Mitarbeiter sowas macht, kann man ja immer noch in den Logs nachgucken welcher es war ^^
Navigation
[0] Themen-Index
[*] Vorherige Sete
Zur normalen Ansicht wechseln