Das Notes Forum
Domino 9 und frühere Versionen => Entwicklung => Thema gestartet von: pippo am 30.05.03 - 12:42:39
-
Hallo Leute,
ich habe eine DB auf Web mit Navigator und Ansichten für Web.
Nun muß ich in dieser DB Links von Dokumenten einfügen können, welche sich in anderen DBs befinden.
Habe fogende Änderung in den anderen DBs gemacht: Anonymous - Leser; Internetzugriff - Leser. Alle Ansichten für Web gesperrt.
Ergebnis: Klickt man auf Web auf diese Links, so werden die Dokumente herrlich angezeigt.
Nun möchte ich verhindern dass jemand beliebig in diesen DBs Dokumente öffnen kann.
Nun meine Frage: es handelt sich hier um eine Serfstation, wo eben nur diese Links der andern DBS angezeigt werden dürfen. Also gibt es eine Möglichtkeit (bestimmte Befehle...) zu den anderen Dokumenten der DBs zu kommen(irgendwie mit next...). Ich wiederhole, es gibt keine Ansichten in diesen DBs für Web. Habe bereits mit opendatabase versucht; dabei kommt die Meldung keine Ansichten gefunden.
Soll ich besser eine DefaultView mit Null erstellen?
Ich hoffe ich habe das eineigermassen gut beschrieben.
Besten Dank für jeden Beitrag - ist sehr wichtig für mich
Grüße, Pippo
-
Mit Anonymous - Leser kannst du das letztlich nicht vollständig verhindern. Du kannst es nur etwas unbequemer machen.
Statt eines Ansichtsnamens kann man z.B. immer einfach eine 0 setzen, die Dokumente sind dann immer über ihre ID zugreifbar.
-
Wenn sowohl die NoteID bzw. UniqueID eines Dokuments als auch Pfad/DB bzw ReplikaID der Datenbank bekannt ist, sieht das schlecht aus.
Und NoteIDs werden schön sequentiell angelegt, da kann man wunderbar ins Blaue tippen und dann weiterzählen.
Ansichten für's Web disablen (oder schlimmer noch: verstecken) hilft auch nichts.
Aber mal zurück:
Im Web hast Du im beschriebenen Szenario nur zwei offensichtliche Möglichkeiten:
a) 'Echte' Zugriffskontrolle oder
b) auf eindeutige IP der Station prüfen (falls statisch)
(a) kannst Du mit üblicher Domino-Security (ACL/Reader-Feldern) abdecken, für (b) habe ich zB den Weg gefunden, fallweise einen nicht vorhandenen WebQueryOpen-Agenten aufzurufen und so einen Fehler vor der Auslieferung des Dokuments zu provozieren (s.
http://www.sns1.de/partner/flamme/wflamme.nsf/Diese%20Ansicht%20gibt's%20doch%20gar%20nicht!!!/afa2bac922659ff5c1256cdf003eb7a5?OpenDocument (http://www.sns1.de/partner/flamme/wflamme.nsf/Diese%20Ansicht%20gibt's%20doch%20gar%20nicht!!!/afa2bac922659ff5c1256cdf003eb7a5?OpenDocument)) ;)
Wenn Dir keine der oben beschriebenen Lösungen gefällt, dann hast Du einfach Pech gehabt. Und zwar auf *jedem* System, denn das ist kein Notes-spezifisches Problem, sondern eine Eigenschaft des HTTP(S)-Protokolls: Wer den Link kennt und das Dokument lesen darf, der kann es eben lesen.
Ansonsten ist halt ein Zugriffsschutz mit Entsperrung durch eine Authentifizierung fällig.
Alles andere wäre 'security by obscurity' und das hat noch niemals zuverlässig funktioniert.
Natürlich könntest Du zB den Referer der Quellanwendung abprüfen und wenn er aus der richtigen URL stammt, *keinen* Fehler provozieren. Aber wehe, einer kommt drauf - und es sind immer die bösen Jungs, die drauf kommen - wie einfach doch Referer zu fälschen sind, dann kannst Du Dich unverhofft im Mittelpunkt einer öffentlichen Auspeitschung wiederfinden.
Ähnlich luschtische Schutzmechanismen werden in der Praxis aber dennoch gelegentlich verwendet. ZB ACL offen lassen, aber alle klickbaren URLs auf diese DBen mit ..&login 'absichern'. :-X Gibt's nicht, meint ihr? Gibt's doch!
-
Hallo Leute,
ich danke Euch für die Beiträge
Schönen Tag, Pippo
-
Hallo Leute,
habe da noch eine Frage
wie kann ich denn für Web eine andere Maske verwenden?
Dokument wird nur über Link geöffnet. Es gibt keine Ansichten für Web.
Kann ich das bei Webqueryopen irgendwie machen?
Grüße, Pippo
-
Du macht zwei Masken mit dem gleichen Alias:
MaskeNotes | Maske
MaskeWeb | Maske
Die Masken dann jeweils entweder für Notes oder Web verstecken.
-
Hallo,
danke und schönen Tag, Pippo