Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: Tode am 15.03.18 - 09:46:45

Titel: [gelöst] iNotes- Referer: Abschalten möglich?
Beitrag von: Tode am 15.03.18 - 09:46:45

Wenn ich in iNotes eine Mail lese, die einen Link enthält und ich den Link anklicke, dann erhält der Admin der Zielwebsite in den Logs einen Eintrag mit Referer, der etwa so aussieht:

Zitat

10.x.x.x - - [14/Mar/2018:16:40:47 +0100] "GET / HTTP/1.1" 200 3793 "https://inotes.mydomain.de/mail/tlink.nsf/iNotes/Welcome/?OpenDocument&ui=dwa_frame&l=de&CR&MX&TS=20180314T011725,66Z&TSX=20121119T152443,32Z&charset=ISO-8859-1&charset=ISO-8859-1&ua=gecko" [^] "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:52.0) Gecko/20100101 Firefox/52.0"

Daraus kann er sehen, wie mein mailfile heißt und damit -bei vielen Firmen- auf den Kurznamen schließen... Dieser Kurzname ist aber per default ein gültiger Benutzername, er braucht also nur noch das Kennwort dazu.

Kann ich den Domino Web Server so konfigurieren, dass er bei Links den Referer unterdrückt?

Ich habe schon gegoogelt und die gängigen Hilfe- Seiten durchforstet, aber keine Möglichkeit gefunden.
Jemand ne Idee?

Danke

Titel: Re: iNotes- Referer: Abschalten möglich?
Beitrag von: umi am 15.03.18 - 11:28:40

Moin

Wird der referer nicht vom Browser aus geschickt ?
Alle Links müssten ein rel=noreferrer im html tag haben... entweder über eine Browser extension oder via JS erweiterung im iNotes....

Titel: Re: iNotes- Referer: Abschalten möglich?
Beitrag von: Tode am 15.03.18 - 13:27:13

Ja, das macht der Browser. Aber der Server kann Vorgaben machen. Habe grade mal ein wenig weitergesucht. Wenn man Internet- Sites aktiviert, kann man tatsächlich einen zusätzlichen Header über eine Web-Site-Rule vom Typ "HTTP response headers" den header "Referer-Policy" mit einem der folgenden Werte

Zitat

Referrer-Policy: no-referrer
Referrer-Policy: no-referrer-when-downgrade
Referrer-Policy: origin
Referrer-Policy: origin-when-cross-origin
Referrer-Policy: same-origin
Referrer-Policy: strict-origin
Referrer-Policy: strict-origin-when-cross-origin
Referrer-Policy: unsafe-url

hinzufügen. Siehe dieser Link (https://www.caicorp.com/2017/11/22/adding-security-http-response-headers-to-ibm-lotus-domino-server-to-get-an-a-rating/).

Das löst das Problem für mich.

Titel: Re: [gelöst] iNotes- Referer: Abschalten möglich?
Beitrag von: umi am 15.03.18 - 15:38:20

Cool. Danke. und schon wieder etwas gelernt...

Titel: Re: [gelöst] iNotes- Referer: Abschalten möglich?
Beitrag von: Tode am 15.03.18 - 16:33:31

Ja, die verlinkte Seite ist interessant. Ein Kunde hatte mich schonmal wegen Frame- Highjacking bei Domino gefragt. Konnte ich nicht beantworten. Jetzt weiß ich: dafür gibt es den Header "X-Frame-Options: SAMEORIGIN", den kann ich über die notes.ini setzen... Da kann ich beim nächsten Termin glänzen...