Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: tttonic am 09.03.09 - 14:40:48
-
Hi,
habe folgende Behauptung an den Kopf geschmissen bekommen.
Mein Kollege meinte, dass die Passwort Hashes im HTML-Seitenquelltext zu sehen sind, wenn
die names.nsf über den entsprechenden Webview aufgerufen wird.
auf Rückfrage erklärte mein Kollege, dass der Notes Server so eingestellt werden kann, dass die Hashes nicht angezeigt werden.
Vielleicht ist dies in den von Ihnen eingesetzten Versionen standardmäßig bereits so - oder die Systeme sind gut konfiguriert ;-)
Ist da was dran?
-
Hi,
Gegenfrage: was ist schlimm daran? Mir wäre keine Einstellung bekannt, die das Anzeigen des Hashwertes im Names unterbindet.
-
Hallo,
1. Wenn die ACL richtig eingestellt ist, dann kann auf ein DD (names.nsf) nur ein autorisierter user zugreifen.
2. dieser Autorisierte User sieht dann übers web genauso viel wie über Notes.
d.h. unter Version 8 sieht er die Hashwerte nur, wenn er User in der Names bearbeiten kann/darf.
Gruß Werner
Prüf doch mal die ACL Deiner Names
-
IBM Technote 1091043: How to Upgrade to More Secure Internet Password Format (http://www-01.ibm.com/support/docview.wss?uid=swg21091043)
-
Habs gefunden.
Über den Adminclient kann man das Domino und damit alle Personendokument zum "sicheren" Internetkennwort" upgraden.
Das Problem ist hier nicht die Absicherung über die ACL sondern dieses ist ein zu überprüfender Punkt bei Zertifizierungen hinischtlich BSI.
Daher die Frage.
Danke für die Mühe ;)
-
Da das Thema ja durch ist ein bisschen OT: Welche Zertifizierung strebt ihr an? Mehr als Grundschutz?
Gruß, Patrick