Verzeichnis ACL - Bug ?

[Wipe]

Hallo Gemeinde,

habe mal ein bischen mit der Verzeichnis ACL gespielt. Dabei habe ich festgestellt wenn ein Verzeichnis verborgen ist ein Benutzer trotzdem auf eine in diesem Verzeichnis hinterlegte Datenbank zugreifen/öffnen kann sofern er den genauen Pfad, den Dateinamen der DB kennt und in der DB ACL z.B. als Leser eingetragen ist.

Kann mir das jemand bestätigen und vor allem sehe ich das als ein Sicherheitsloch an.

[Semeaphoros]

Sehe ich jetzt nicht unbedingt als Bug an. Es gibt diverse vergleichbare Situationen, so zum Bleistift versteckte Betriebssystemverzeichnisse verhalten sich genauso. Was für schützenswerte Informationen befinden sich schon in einem Verzeichnis? Die schützenswerte Info steckt in den Datenbanken und die sind sicher.

[Wipe]

Hallo Semeaphoros - ging ja wie immer flott bei Dir 

Nun - da kann man geteilter Meinung sein. Da wir zur Zeit eine Migration planen wäre es zumindest in meinen Augen wünschenswert, dass nicht jede Abteilung/Benutzer über gewollte/ungewollte Wege in irgendwelche Verzeichnisse reinschaut.

[Semeaphoros]

Sicher, wobei, wie gross ist denn die Wahrscheinlichkeit, dass jemand ein unsichtbares Verzeichnis findet, ausser man gibt einen Hint?

[Wipe]

aus Erfahrung kann ich sagen, dass wir schon einige Pappenheimer haben, die einen imensen Spieltrieb besitzen. 

Na ja - sehen wir das Thema als Erledigt.

[Semeaphoros]

Du kannst es ja an den Support melden, wenn Du den Aufwand nicht scheust. Interessant wäre schon, was da geantwortet wird.

[Ralf_M_Petter]

Ich denke die Arbeit kann ich euch ersparen, mit 95% Wahrscheinlichkeit ist die Antwort "Works as designed". Ausnahmsweise muß ich dabei Lotus/IBM sogar zustimmen.

Grüße

Ralf

[diali]

... dass nicht jede Abteilung/Benutzer über gewollte/ungewollte Wege in irgendwelche Verzeichnisse reinschaut

Kann er auch nicht, er muss schon den geneuen Pfad & Dateiname der DB kennen.

Das Verhalten ist schon seit 4.x so. Wäre auch nicht toll, wenn dies IBM ändern würde, da wir dieses Verhalten gewollt so nutzen!

[Semeaphoros]

Dem ist nun wirklich nichts mehr hinzuzufügen .....

[matze79]

Hallo,

das Feature könnte man mit Links nachbilden. Diesen Links kannst du "echte" Berechtigungen zuweisen.

matze

[diali]

DIR-Links verhalten sich genau so. Du kommst zwar im Datenbank-Öffnen-Dialog nicht in das Verzeichnis, aber kennst Du den Pfad & Dateinamen der DB  oder bekommst eine Verknüpfung per Mail, dann kannst Du (vorausgesetzt die ACL der DB lässt es zu) auf die DB zugreifen.

D.h. die ACL der DB ist wichtig, auch wenn sich die DB in einem Verzeichnis befindet, welches durch einen DIR-Link oder eine Verzeichnis-ACL geschützt ist.