Domino 9 und frühere Versionen > ND6: Entwicklung

Problem/Sicherheit: Homepage mit Überprüfung der notesid

(1/3) > >>

Martin7:
Hallo Forum-Mitglieder,

ich soll eine Website mit sensiblen Daten erstellen. Der wichtigste Punkt hierbei ist die Sicherheit. Es soll gewährleistet werden, dass auch wirklich nur die auf die Seite kommen, die auch nur wirklich bei uns arbeiten.

Meine Idee wäre folgende:

- Unser Lotus Notes besitzt eine eigene Startseite mit Menüführung. Auf dieser Startseite wollte ich einen Link setzen, der die Seite öffnet. Hierbei ist ja schon gewährleistet, dass ja die Leute nur auf die Seite kommen, die Zugriff zum Lotus Notes besitzen. Aber da ja dann die URL im Browser beim Öffnen angezeigt wird, könnte man die ja später kopieren und jemanden schicken und er könnte sich die auch anschauen.

Ist es irgendwie möglich, dass die Seite erst überprüfen kann,ob es eine NotesID gibt und die gültig ist mit User und vielleicht auch noch Passwort (Ohne das Internetpasswort zu pflegen?)?

Klappt dass dann auch nur, wenn ich dann die Seite auf den Notes-Server packe und mit Notes erstelle? Oder ist es auch möglich dann auf einen anderen Server mit apache und php zu verweisen?

Es klingt vielleicht alles ein bißchen kompliziert aber vielleicht stand ja jemand auch schon mal vor dem Problem und könnte mir da weiterhelfen.

Vielen Dank im Voraus.

m3:
Das "Notespasswort" wird im ID-File gespeichert, das kannst vergessen. Du kannst auch nicht das Notes-ID-file für die Anmeldung an einem Webserver verwenden.

Für eine "sichere" Anmeldung an einen Webserver würde ich mit SSL-client-Zertifikate vergeben. Diese sind deutlich sicherer, als eine reine Username/Passwort Authentifizierung. Willst Du ganz sicher gehen, kannst auch noch eine 2-Weg-Authentifizieerung mit Einmal-Passwörtern (RSA-Key, ...) einrichten.

SSL-Verschlüsselung der Kommunikation ist ja wohl selbstverständlich.

Um die "Pflege" des Internet-Passwortes wirst Du (außer im Falle des SSL-Client-Zertifikats) nicht herum kommen.

Wenn Du die ACL der Notes-Datenbank "richtig" eingestellt hast, können die Leute den Link herumschicken, wie sie wollen, sie kommen trotzdem nicht rein. Sich darauf zu verlassen, dass eine vorgelagerte Datenbank die Authentifizeirung übernimmt und nur angemeldete User auf die "sensiblen Daten" kommen, halte ich für kein vernünftiges Sicherheitskonzept.

Was willst Du mit Apache und PHP???? Wir sprechen hier doch von einer Notes-Datenbank, in welcher die "sensiblen Daten" liegen, oder?

Irgendwie hab ich den Eindruck, dass Du von Notes/Domino und den integrierten Sucherheitsfeatures wenig Ahnung hast, oder? Wenn Du ein wenig suchst, wirst Du wunderbare Redbooks und Artikel auf notes.net zum Thema "sichere Webanwendungen" finden.

P.S.: ES GIBT KEINE "INTERNETSEITEN" !!!!!!  >:(

Martin7:
Hi m3.

Vielen Dank für Deine Antwort. Ich glaube ich habe mich einfach falsch ausgedrückt.

Aufgabenstellung: Es soll eine Homepage erstellt werden mit verschiedensten  Sachen (Bildern, Text etc.). Diese Seite wollte ich schön mit php erstellen.

Alles schön und gut. Hier sind soweit keine Probleme.

Nun sagt mein Chef, dass die Page "sicher" sein soll. Ich habe vorgeschlagen ein Username und Passwort zu vergeben. Die Antwort lautete in etwa "Die User vergessen 100% das Passwort etc., dass können wir denen nicht zumuten.... Kann man das nicht irgendwie über die NotesID abwickeln?"

Und da war halt meine Frage, ob das irgendwie ginge. Die einfachste Möglichkeit wäre ja mir eine DB zu erstellen, die webbasiert läuft, dann kann man aber von anderen PCs die Seite auch aufrufen. Dieses wollte ich eigentlich durch die Abfrage der notesid unterbinden?

Ich hoffe, dass es so ein bissl verständliche rübergekommen ist. :)

m3:
OK. Besser.  ;D ;)

1) Grundsatzentscheidung Notes oder PHP
Beides ist -- aus der Websicht -- gleich "sicher" da auch Notes nur die Mechanismen verwenden kann, die für andere Weblösungen gelten. Für die Entscheidung Notes oder PHP ist dies also kein Argument.
Die Entscheidung Notes oder PHP muss also auf einer technischen Ebene getroffen werden.

2) "Einfache" aber "sichere" Anmeldung
Wenn Dein Chef keine Username/Passwort Anmeldung will, braucht er entweder Smartcards, Tokens oder andere Hilfsmittel. IMHO wird er dafür aber nicht das Budget locker machen. ;)
Nochmals: Die Notes-ID kann NICHT zur Authentifizierung im Web hernagezogen werden, dafür braucht man SSL-Client-Zertifikate, die mit dem Notes-ID-File NICHTS zu tun haben.

3)
--- Zitat ---Die einfachste Möglichkeit wäre ja mir eine DB zu erstellen, die webbasiert läuft, dann kann man aber von anderen PCs die Seite auch aufrufen. Dieses wollte ich eigentlich durch die Abfrage der notesid unterbinden?
--- Ende Zitat ---
WTF? Was soll diese Aussage? Sinn und Zweck einer Website ist es doch, von unterschiedlichen Rechnern aus aufrufbar zu sein, oder? Und wenn Du nur bestimmten Personen ZUgriff gewähren willst, dann musst Du halt entweder im Notes die ACL korrekt setzten oder unter Apache eine entsprechende .htaccess-Datei erstellen oder in PHP entsprechenden Authentifizerungscode schreiben.
Und nochmals zur Notes-ID: Siehe (2) !!!

Martin7:
;) Danke m3 für Deine Bemühungen.

Die Homepage soll für unseren Aussendienst erstellt werden. Und jeder der ADler hat von uns einen Laptop. Von diesem soll er halt nur auf die Seite kommen.

Mit php hab ich halt mehr Möglichkeiten also designtechnisch. im notes hat man das ja leider nicht?

so wie ich das jetzt sehe, wäre die einfachste möglichkeit eine DB mit masken zu erstellen, worauf sich die informationen befinden. so brauchen sie kein extra kennwort und es ist relativ "sicher". leiderist es die lösung die ich nicht nehmen wollte. :(

Navigation

[0] Themen-Index

[#] Nächste Seite