Domino 9 und frühere Versionen > Entwicklung

Security ->Lokale Kopie einer Server DB nutzlos machen

<< < (3/5) > >>

klaussal:
@rob,

aha, der "poweruser" kommt NUR dran, wenn er den designer hat, sonst nicht. ODER ?

Rob Green:
und den Designer hat doch mittlerweile jeder, wenn man eine designer.exe hat....nein, nicht die designer.exe  ;)

Eigentlich verstehe ich WFlamme reht gut, der - ok, aus ner anderen Richtung kommend - die mangelnde Security bei Notes beklagt...es ist über das Internet für jeden Poweruser simpelst ohne Ende an Infos zu kommen, DBs zu knacken, alles zu lesen, solange...es nicht verschlüsselt ist ODER man an die Readerfield Einträge rankommt..aber auch da habe ich mir sagen lassen, daß man durchaus die Struktur eines NSF Files recht schnell kapieren kann, wenn man professioneller das ganze angehen möchte...und da interessiert nicht mehr, was die ACL, Design, Readerfields etc machen/verhindern wollen.

So gesehen ist der Zugang zu DBs bis R5 incl. sicherer über den Browser als über Notes Native Clients.

Jörg P.:
@Rob:
Ich muss dir wiedersprechen:

--- Zitat von: Rob Green am 27.03.03 - 12:11:11 ---Eigentlich verstehe ich WFlamme reht gut, der - ok, aus ner anderen Richtung kommend - die mangelnde Security bei Notes beklagt...
--- Ende Zitat ---
Wenn ich wflamme richtig verstanden habe, wird nicht die Notes-Security bemängelt, sondern die mangelnde Konfiguration vieler Dominos, insbesondere im Web.



--- Zitat von: Rob Green am 27.03.03 - 12:11:11 ---So gesehen ist der Zugang zu DBs bis R5 incl. sicherer über den Browser als über Notes Native Clients.

--- Ende Zitat ---
Na, Na, Na, übertreiben wir hier nicht etwas. Für den Client spricht hier vor allem die Notes-ID. Ohne ID mit gültiger Zulassung stehe ich ziemlich auf der Rolle.


Natürlich hast du recht, wenn es um die Problematik mit den lokalen Kopien geht. Bis wir R6 im Einsatz haben bleibt daher nur, bei sensiblen Daten Verschlüsselung auf Feldebene und möglichst noch privaten Key zu verwenden.
Wenn jemand weiss, wie das zu knacken ist....


@klaussal:
Deine Prüfung, ob DB lokal liegt, kann nur sicher sein, wenn die Gestaltung verborgen ist und das zugehörige Template in sicheren Händen ist. Mir fällt zumindest nicht ein, wie man das aushebeln sollte. Der Hinweis von Rob mit dem aushebeln der verborgenen Gestaltung funktioniert so nicht. Was sich erreichen lässt ist, das Gestaltungselemente sichtbar werden, aber keinerlei Formeln oder Scripte.


Aber, seeeehr Interessantes Thema. ::)

klaussal:
@rob,

jetzt aber mal "butter bei die fische"...... ;D

Jörg P.:
@Rob:

man lernt ja nie aus. Gibt's die exe irgendwo frei verfügbar?

Das Thema Security von Notes ist bei uns gerade ganz aktuell, und in einer Sache konnten wir die Aussage eines IBM-Mitarbeiters bereits wiederlegen (so nach dem Motto: Db auf Server lokal verschlüsseln, konsis. ACL, Server ohne Zugriff mit Usertyp Server und dann kommen selbst die Admins nicht mehr ran -> 5 Min haben wir gebraucht, davon vier für die suche nach dem "wie gehts am schnellsten"  ;D ;D ;D )

Navigation

[0] Themen-Index

[#] Nächste Seite

[*] Vorherige Sete