Das Notes Forum

Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: Wipe am 04.08.05 - 17:54:58

Titel: Verzeichnis ACL - Bug ?
Beitrag von: Wipe am 04.08.05 - 17:54:58

Hallo Gemeinde,

habe mal ein bischen mit der Verzeichnis ACL gespielt. Dabei habe ich festgestellt wenn ein Verzeichnis verborgen ist ein Benutzer trotzdem auf eine in diesem Verzeichnis hinterlegte Datenbank zugreifen/öffnen kann sofern er den genauen Pfad, den Dateinamen der DB kennt und in der DB ACL z.B. als Leser eingetragen ist.

Kann mir das jemand bestätigen und vor allem sehe ich das als ein Sicherheitsloch an.

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Semeaphoros am 04.08.05 - 17:57:47

Sehe ich jetzt nicht unbedingt als Bug an. Es gibt diverse vergleichbare Situationen, so zum Bleistift versteckte Betriebssystemverzeichnisse verhalten sich genauso. Was für schützenswerte Informationen befinden sich schon in einem Verzeichnis? Die schützenswerte Info steckt in den Datenbanken und die sind sicher.

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Wipe am 04.08.05 - 18:03:54

Hallo Semeaphoros - ging ja wie immer flott bei Dir  ;D

Nun - da kann man geteilter Meinung sein. Da wir zur Zeit eine Migration planen wäre es zumindest in meinen Augen wünschenswert, dass nicht jede Abteilung/Benutzer über gewollte/ungewollte Wege in irgendwelche Verzeichnisse reinschaut.

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Semeaphoros am 04.08.05 - 18:07:47

Sicher, wobei, wie gross ist denn die Wahrscheinlichkeit, dass jemand ein unsichtbares Verzeichnis findet, ausser man gibt einen Hint?

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Wipe am 04.08.05 - 18:11:45

aus Erfahrung kann ich sagen, dass wir schon einige Pappenheimer haben, die einen imensen Spieltrieb besitzen.  ;)

Na ja - sehen wir das Thema als Erledigt.

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Semeaphoros am 04.08.05 - 18:19:31

Du kannst es ja an den Support melden, wenn Du den Aufwand nicht scheust. Interessant wäre schon, was da geantwortet wird.

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Ralf_M_Petter am 05.08.05 - 07:46:37

Ich denke die Arbeit kann ich euch ersparen, mit 95% Wahrscheinlichkeit ist die Antwort "Works as designed". Ausnahmsweise muß ich dabei Lotus/IBM sogar zustimmen.

Grüße

Ralf

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: diali am 05.08.05 - 07:52:11

Zitat von: Bubble am 04.08.05 - 18:03:54

... dass nicht jede Abteilung/Benutzer über gewollte/ungewollte Wege in irgendwelche Verzeichnisse reinschaut

Kann er auch nicht, er muss schon den geneuen Pfad & Dateiname der DB kennen.

Das Verhalten ist schon seit 4.x so. Wäre auch nicht toll, wenn dies IBM ändern würde, da wir dieses Verhalten gewollt so nutzen!

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: Semeaphoros am 05.08.05 - 08:07:13

Dem ist nun wirklich nichts mehr hinzuzufügen .....

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: matze79 am 05.08.05 - 11:02:49

Hallo,

das Feature könnte man mit Links nachbilden. Diesen Links kannst du "echte" Berechtigungen zuweisen.

matze

Titel: Re: Verzeichnis ACL - Bug ?
Beitrag von: diali am 05.08.05 - 11:12:42

DIR-Links verhalten sich genau so. Du kommst zwar im Datenbank-Öffnen-Dialog nicht in das Verzeichnis, aber kennst Du den Pfad & Dateinamen der DB  oder bekommst eine Verknüpfung per Mail, dann kannst Du (vorausgesetzt die ACL der DB lässt es zu) auf die DB zugreifen.

D.h. die ACL der DB ist wichtig, auch wenn sich die DB in einem Verzeichnis befindet, welches durch einen DIR-Link oder eine Verzeichnis-ACL geschützt ist.