Das Notes Forum

Domino 9 und frühere Versionen => ND8: Administration & Userprobleme => Thema gestartet von: Ottmar am 18.05.18 - 10:00:07

Titel: Mails signieren unsicher?
Beitrag von: Ottmar am 18.05.18 - 10:00:07
Hallo liebes Forum,

Im Rahmen einer Schulung kam die Frage auf, wie sicher das signieren von Mails in Lotus Notes funktioniert.

Es wurde folgender Versuch durchgeführt.
Mailrouter wurde angehalten.
Eine signiertde Mail wurde versendet.
ID wurde gewechselt.
Mailtext wurde in der Server mail.box geändert. (per Backup-Agent, LotusScript, AppendText)
Router wurde neu gestartet.

Ergebnis:
Der Mailtext wurde mit Hilfe des Agenten (User-ID B) geändert.
Die Signatur (User-ID A) bleibt aber erhalten!!!! :o :o :o :o

Kann es wirklich sein, dass es im Notes eine derart dramatische Sicherheitslücke gibt?
Weiss jemand etwas darüber?


Titel: Re: Mails signieren unsicher?
Beitrag von: Ottmar am 18.05.18 - 10:01:25
Nachtrag:

Release 8.5.2 FixPack 4 (Ist eine Schulungsumgebung)
Titel: Re: Mails signieren unsicher?
Beitrag von: Tode am 18.05.18 - 11:21:45
Sorry, aber das halte ich für ausgeschlossen (auch in einer so alten Version von Domino)... Die Signatur wird definitiv beschädigt sein, und der Client wird das auch so in der Statuszeile melden...
Alles andere wäre eine Katastrophe...
Titel: Re: Mails signieren unsicher?
Beitrag von: Ottmar am 28.05.18 - 12:07:51
Fehler ist in einem anderen Schulungssystem (Release 8.5.3) reproduzierbar. Hab's gerade mal ausprobiert (siehe angehängte Bilder)

Für einen Anwender ist die Manipulation nicht erkennnbar. ?!

-
Titel: Re: Mails signieren unsicher?
Beitrag von: Peter Klett am 28.05.18 - 12:31:10
und kein Hinweis in der Statusleiste beim Öffnen des Dokuments?
Titel: Re: Mails signieren unsicher?
Beitrag von: Sven Hasselbach am 28.05.18 - 16:30:12
Kleiner Hinweis: Der Screenshot ist nicht zu 100% "anonymisiert"  ;)

EDIT:
Es wird in der Statusleitse angezeigt, dass die Mail nicht signiert ist.
Aber es ist selten dämlich gelöst, denn man sieht das nur in der Preview kurz in der Statusleiste.
Öffnet man dann die Mail, verschwindet der Hinweis aus der Statusleiste...

Eine simple Anpassung der Mailmaske mit einem roten Hinweistext und einer HideWhen-Formel a la
Code
@IsSigned & $SignatureStatus = "1"
ist auch ein bischen viel erwartet von der IBM.