Das Notes Forum

Sonstiges => Offtopic => Thema gestartet von: WernerMo am 03.02.09 - 09:41:59

Titel: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: WernerMo am 03.02.09 - 09:41:59

Hallo

Heise berichtet von o.g. Problem bei Sametime ab V 7.5:

http://www.heise.de/newsticker/meldung/126766

hat auch Auswirkung auf Notes.

Gruß Werner

Titel: Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: blizzard am 03.02.09 - 09:47:42

Da hat der vowe aber lange gebraucht, bis er das vom Carl zu heise geschippert hat. ;)

Titel: Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: Ralf_M_Petter am 03.02.09 - 14:43:05

Ich habe schon überlegt ob ich Vowe was in sein Blog schreibe es aber dann gelassen, weil zu mühsam. Aber meiner Meinung nach hat die IBM völlig Recht, dass das keine Security Lücke ist. Weil man dazu Plugins installieren muß. Wenn ich auf einem Notes oder Sametime Client das Recht habe Plugins zu installieren, dann kann ich alles machen da sowohl Notes ab Version 8 als auch Sametime ab Version 7.5 aus Plugins bestehen. Das heisst es hindert mich auch niemand daran Core Plugins durch eigene manipulierte zu ersetzen. Was in Java eventuell nicht so dass Problem ist da man Java in einer relativ leicht decompilieren kann. Das heisst wer es seinen Leuten erlaubt jedes Plugin in sein Notes reinzupflanzen der hat auch keine Sicherheit. Das selbe ist übrigens bei Windows wenn man mit Adminrechten arbeitet. Die MSGINA ist schnell ausgetauscht und schon hat man die Passwörter eines Windowsbenutzer.

Grüße

Ralf

Titel: Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: blizzard am 07.02.09 - 10:35:57

Statement von IBM
http://www-10.lotus.com/ldd/nflsblog.nsf/dx/response-to-plug-in-security

Titel: Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: flaite am 08.02.09 - 17:23:23

Zur Ausgangsfrage: Mit Notes hat das nix zu tun.

Dafür müssten bösartige Entwickler plug-ins in das Verzeichnis der Anwender kopieren.
@Ralf: kenn mich mit den Sametime plug-ins nicht so aus, aber eclipse-mässig wäre es denkbar das Sametime-plugin zu erweitern.
Kann man mit dieser Api auch an Passworte anderer Anwender herankommen? Dann wäre das in der Tat eine Sicherheitslücke. 
Das gleiche ist sicherlich auch bei Microsoft Silverlight Clients möglich. Die Überprüfung der Berechtigung des Erstellers von Code ist ja eine Besonderheit von Notes. Das gibts im kommerziellen Bereich sonst noch bei Jini, afaik.
In jedem Fall stiftet dieser api-Call Sametime Plug-in Entwickler dazu an ihn auch zu benutzen und das hört sich nicht gut für die Sicherheit an.

Sicher ernster zu nehmen als vowe ist die Antwort von Nathan T. Freeman auf das IBM statement.

Titel: Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
Beitrag von: Ralf_M_Petter am 09.02.09 - 09:05:34

Wie gesagt, es ist eine Diskussion um des Kaisers Bart wie man bei uns so schön sagt. Sobald ich auf einen Rechner etwas installieren darf, habe ich keine, kaum Sicherheit mehr Viel einfacher als Sametime zu manipulieren ist es einfach einen Keylogger auf den Client zu laden und fertig. Nocheinmal wer zulässt, dass nicht vertrauenswürdige Software auf seine Rechner installiert wird hat bereits verloren.

Grüße

Ralf