Sicherheit von Datenbanken (Passwort / Zwischenablage)

[Mirko]

Hallo Bernhard,

nochmals: Zugriffskontrolle zu DB per ACL, protokollieren der Zugriffe,auch die über Gehe zu ....
Ich habe mir das nicht ausgedacht. Und die Mitarbeiter des Krisenstabes sollen sich noch mal überlegen, ob es wirklich nötig ist, da reinzuschauen.
Falls es andere Möglichkeiten gibt, die ich noch nicht kenne (bin ja noch nicht der totale Notesprofi), dann wäre jetzt der richtige Zeitpunkt für ein paar Tips.
Niemand hat behauptet "Notes taugt nichts", ich muß nur die Suppe auslöffeln, die jemand anderes eingebrockt hat. Laut Programmierangebot an die Personalabteilung ist es wie gewünscht machbar.
Wie ich das einbauen will hatte ich schon beschrieben, bin für jeden besseren Tip dankbar.
Ein QueryOpen-Ereignis der DB finde ich leider nicht, PostOpen halte ich für zu spät, da ja dann wohl schon eine Ansicht offen ist.

Mirko

[eknori]

QueryOpen-Ereignis = Initialize im DB Script

Man kann zur Protokollierung der Zugriffe natürlich auch einen ExtensionManager auf dem Server einrichten ( z.B. Trigger Happy v. OpenNTF ).
Damit kannst du dann Zugriffe protokollieren.

Ich bleibe aber bei meinem Vorschlag:

ACL ( obligatorisch ) +
SplashScreen mit Captcha
 

ich muß nur die Suppe auslöffeln, die jemand anderes eingebrockt hat

kenne ich nur zu gut ...

[Mirko]

Danke Ulrich,

das waren gerade zwei mittlere Kolbenklemmer: Initialize - logisch nehme ich bei jedem Script, aber noch nie beim Datenbankstart. Und dass der dann auch noch in den Datebankressourcen steckt...
Ist aber auch noch früh am morgen.
Ansonsten ACL = Pflicht.

Viele Grüße

Mirko

[koehlerbv]

Mirko, nochmals: DatabaseScript-Initialize wie der ganze andere Code des DatabaseScripts wird nicht immer ausgeführt. Die Idee, über das pure Öffnen der DB und ein "He, wollen Sie wirklich??" ist Quatsch.

Denk mal über die zweite, nur auf "Wollen Sie wirklich? Ja? Wissen Sie, was Sie da tun? Echt? Das wird genau aufgezeichnet - überlegen Sie es sich noch mal! Alos okay .." zu füllende DB nach, die der Server auf Anforderung mit den wirklich (Echt!) erforderlichen Daten füllt.

Bernhard

[Mirko]

Ich komme mir vor wie bei "Was bin ich :" Gehe ich recht in der Annahme...

... ich soll eine zweite Datenbank erstellen. Das halte ich nicht nicht so für sinnvoll. Die Personalabteilung will ja immer Zugriff auf die Datenbank haben. Das mit der Abfrage im Initialize ist auch nicht so toll, im Hintergrund wird schon der Rest der DB angezeigt.
Ich werde es wie folgt anstellen:
- Grundsätzliche Leseberechtigung per ACL, Leserfelder für die Rollen [PrimärUser] und [Admin]
- Beim Start der DB wird der im Anhang gezeigte Dialog in einer Rahmengruppe dargestellt. Wenn man dort abbricht passiert nichts. Für die Rolle [Admin] gibt es noch einen Button, der die Codeeingabe umgeht. Der Button Öffnen schaltet dann auf eine Rahmengruppe mit Navigator und Ansichten.
Für mich sind die Leute damit ausreichend informiert. Und können immer noch abbrechen, wenn es ihnen zu heiß wird ;-)
- das Öffnen der Ansichten wird protokolliert. (Außer Rolle [Admin])
Damit sollte ich alle Anforderungen der Personalabteilung erfüllt haben. Schließlich haben die nicht gefordert, dass der Krisenstab nur im Notfall Zugriff haben darf, sondern dass dieser die DB nur im Katastrophenfall verwenden darf und Zugriffe protokolliert werden.

Ich habe natürlich immer noch ein offenes Ohr für Vorschläge, aber zu kompliziert will ich es nicht machen.

Jetzt muss ich es nur noch der Personalabteilung verkaufen ;-)

Viele Grüße

Mirko

[DerAndre]

Nur so als Idee.
Der Administration hängt dann der Makel des unprotokollierten an.
Wie wäre es, wenn ein Admin darauf zugreift, was er ja auch nicht aus Langeweile tun sollte, ein Textfeld für eine Begründung eingeblendet bekommt?

[Mirko]

Danke für den Hinweis,
die Rolle [Admin] hat sich allerdings die Personalabteilung für sich gewünscht, hat also nichts mit dem Notesadmin zu tun. Und die Personaler wollen auch ohne Protokoll zugreifen.
Aber das Feld für die Begründung an sich ist nicht so verkehrt, auch als "Erinnerungshilfe" für den Krisenstabler der die DB "notwendigerweise" öffnen musste.
 
Viele Grüße

Mirko

[eknori]

die Rolle [Admin] hat sich allerdings die Personalabteilung für sich gewünscht,

Dann würde ich die auch so nennen [PA] ( oder neudeutsch HR )
Morgen weiss das dann wieder keiner und dann tritt die Situation ein, die Andre meinte.

[koehlerbv]

Mirko, ich habe keinen Plan, warum Du Dir vorkommst wie bei "Was bin ich?". Du kannst das ja so machen, wie Du es beschrieben hast, aber als "Interessierter" und nicht "ganz-auf-der-Wurstsuppe-Dahergeschwommener" würde ich dann eben immer per File-Database-GoTo zu den Ansichten gehen, die mich mal so zwischendurch interessieren. Du wirst dann nichts in Deinem Protokoll finden.

Ich würde bei dieser Anforderung immer noch zu meiner Zwei-Datenbanken-Lösungen tendieren - *diesen* Vorgang "Fülle DB 2 mit den wirklich erforderlichen Informationen aus DB 1" kannst Du immer überwachen, da gibt es kein "Drumherum".

Dein gegenwärtiger Plan ist jedenfalls "security by obscurity" und daher in meinen Augen untauglich.

Bernhard

[Mirko]

@ Ulrich,
darüber werde ich noch mal nachdenken und den entsprechenden Leuten das so verkaufen. Mit HR weiß ja dann hoffenlich jeder, was gemeint ist.

@ Bernhard,
manche Kommentare sind für mich halt wie Rätselraten, ich brauche Aussagen wie: dieses ist schlecht weil ..., jenes ist besser weil ... So was begreife ich wenigstens ;-)
Aber egal, wenn einer über "gehe zu Ansicht xxx" zu einer Ansicht hüpft, macht er das meiner Meinung nach bewußt und erscheint im Log. Dieses schreibe ich übrigens im Ereignis "Queryopen" der Ansicht selbst. Das wird hoffentlich immer ausgefürt.

Viele Grüße

Mirko