Domino 9 und frühere Versionen > ND9: Administration & Userprobleme
SSLv3 (CVE-2104 bis 3566), Domino ist nicht sicher ?
datenbanken24:
Andrew:
--- Zitat ---Der Patch wird nur die Version 1.0 unterstützen.
--- Ende Zitat ---
Das befürchte ich auch.
Nimmt man Andrews Tabelle
--- Zitat ---Mal eine kleine Übersicht:
TLS 1.0 - 1999
TLS 1.1 - 2006
TLS 1.2 - 2008
TLS 1.3 - draft 07/2014
--- Ende Zitat ---
in Verbindung mit m3's Post
--- Zitat ---TLS 1.2 wird auch nicht erwähnt ....
--- Ende Zitat ---
und liest man dieses IBM Webcast
http://www-01.ibm.com/support/docview.wss?uid=swg27039743
ihs und domino: "They are very different HTTP servers; one is based on Apache server and one is Domino (homegrown about 15 years ago)."
(2014 - 15 Jahre = 1999)
kann man das erwarten.
Ein alsbaldiger TLS 1.0 Fix wäre ein Riesen-Schritt für Domino.
Da SSL-3 und TLS 1.0 aber nicht sehr weit auseinander liegen,
ist die Frage, ob das ausreicht...
WildVirus:
Decke drüber?
Wer darüber redet - ist hier fehl am Platz?
Das Thema eskaliert in allen N/D Foren weltweit.
Zum Glück.
Das atnotes.de Forum ist zusammen mit dem dominoforum.de
sicherlich der 95-prozentige Treffpunkt aller N/D Experten in DACH.
Das MUSS hier rein.
Ob hier direkt nun ein paar IBM Mitarbeiter "mitlesen" oder nicht - ist mir sowas von egal.
IBM muss die weltweite Eskalation dieses Topics mitbekommen.
Die müssen aufwachen. Der Wecker muß klingeln. Überall !
Dein Arbeitsplatz ist sicherer danach als davor.
Genauso wie meiner.
Gruß,
Uwe
m3:
--- Zitat von: Andrew Harder am 24.10.14 - 22:32:24 ---
--- Zitat von: m3 am 23.10.14 - 21:55:54 ---TLS 1.2 wird auch nicht erwähnt ....
--- Ende Zitat ---
Warum sollte es erwähnt werden?
Der Patch wird nur die Version 1.0 unterstützen.
Mal eine kleine Übersicht:
TLS 1.0 - 1999
TLS 1.1 - 2006
TLS 1.2 - 2008
TLS 1.3 - draft 07/2014
SHA-2 support ist aber dabei, das ist doch schon mal positiv.
--- Ende Zitat ---
Aber IMHO zu wenig.
Ohne TLS 1.2 gibt es nur den RC4 cipher, der (serverseitig) gegen die BEAST Attacke hilft. Und RC4 wird nicht mehr als sicher angesehen.
Also bräuchten wir TLS 1.2 Support eigentlich wie einen Bissen Brot.
Micha B:
Bezüglich Traveler habe ich noch folgendes gefunden:
http://www-10.lotus.com/ldd/ndseforum.nsf/xpTopicThread.xsp?documentId=8906EA6748C9CFFC85257D7B0032AD66#FB43F3EC7CD77D4385257D7B006BF894
flaite:
Ich steh da weit draussen.
Ich war übrigens bei den letzten beiden erfolgreichen Gesprächen zwecks Projekt-Akquise einigermassen schockiert über die Detailliertheit mit denen da auf XSS und SQL Injektion rumgeritten wurde. Ich konnte da alles andere als druckreif liefern, vermittelte aber nach Ansicht der Interviewer den Eindruck, dass mir die entsprechenden Probleme schon hinreichend bewusst waren.
Als ich dann die vorhandene Codebasis sah, verstand ich dann auch warum. Da war massiv viel Logik in JSPs, naiver JavaScript code - JavaScript ist ja nix für "wirkliche" Programmierer - und natives SQL, gerne in seitenlangen stored procedures. Ich selbst setze eigentlich seit 2003 auf frameworks wie hibernate/JPA und dann diese Kette an Webframeworks. Oft kamen da Einwände von wegen, dass das alles nur kompliziert und es low level ja viel, viel einfacher ginge. Nicht nur von n00bs sondern oft auch von Leuten, die in ihrer Freizeit rfcs lesen und von denen ich mir bash Tricks abschaue.
Der Framework-code wird von Leuten geschrieben, die einfach mehr Zeit haben, um sich auf Sicherheitsaspekte zu fokussieren. Natürlich muss man auch als Anwendungsprogrammierer eine Vorstellung davon haben, wie eine Web- oder Intranetanwendung angegriffen werden kann. Nur hilft es halt enorm, dass der Anwendungsentwickler bzw. die inhouse Administratoren von dem Bereitsteller des frameworks hinreichend unterstützt werden. Es gibt Schalter um die eingebaute Sicherheit in (Beispiel) JSF und JPA für einzelne features auszuschalten. Nur betätige ich die nie oder nur im äussersten Notfall mit eingehenden security review. Selbst bei hochmotivierten Mitgliedern der do it yourself Fraktion hab ich zu viele Lücken wg. übersehener Details gesehen.
In der frühen Hochkultur der Khmer war es ja auch Aufgabe der Staatsspitze, das grundlegende Bewässerungssystem in Ordnung und v.a. auch sicher zu halten. Oder das Straßennetz im Inka-Reich und in Rom.
Wenn es innerhalb von IBM "Realisten" beginnen das anders zu sehen, ist es wirklich höchste Eisenbahn, dass die Anwendungsentwickler/Administratoren die andere Seite innerhalb von IBM zu unterstützen. Weil es nämlich ansonsten eine Frage der Zeit ist, dass da wirklich mal eine Mine öffentlichkeitswirksam hochgeht.
Gruß Axel
m3:
Zum Traveler gibts jetzt auch eine Technote:
http://www-01.ibm.com/support/docview.wss?uid=swg21688179
Navigation
[0] Themen-Index
[#] Nächste Seite
[*] Vorherige Sete
Zur normalen Ansicht wechseln