Autor Thema: RunOnServer: Sicherheitslücke von Notes?  (Gelesen 1027 mal)

Offline pippo

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 580
  • I love YaBB 1G - SP1!
RunOnServer: Sicherheitslücke von Notes?
« am: 22.02.06 - 18:38:47 »
Hallo,
stellt RunOnServer unter umständen eine Sicherheitslücke dar, oder hat unser Admin die Serverdocumente schlecht konfiguriert?

Habe folgendes gemacht:
- DB1 auf Server
   -Agent1: startet den Agent2 mit runonserver...
   -Agnet2: liest alle Dokumete von DB2 über print aus...

- DB2 auf Server - User TOM hat auf diese DB keinen Zugriff!
   - einige Dokumente
-----------------------------------------------
Nun kommt der TEST
-----------------------------------------------
TEST1:
Wenn TOM also in DB1 Agent2 ausführt so kommt die Meldung, dass er die DB nicht öffnen kann-also richtig!
-----------------------------------------------
TEST2:
wenn TOM nun in DB1 Agent1 ausführt so werden ins Log folgende Zeilen geschrieben:
Agent ausgeführt von Server...
weiters werden die Felder der Dokumente geschrieben...
-----------------------------------------------
in der Noteshilfe steht, dass alle User vom Feld Serverzugriff das machen können (bei uns ist jeder in dem Feld drinnen).
Weiters steht, dass die ACL vom User (also TOM) den Zugriff bestimmt.
In Wirklichkeit läuft Agent 2 aber mit den Rechten vom SERVER.
-----------------------------------------------

Wer kann mir hierzu bitte etwas sagen

Grüße, Pippo


Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: RunOnServer: Sicherheitslücke von Notes?
« Antwort #1 am: 22.02.06 - 19:56:44 »
Serverseitige Agenten laufen eben mit dem Rechten des Unterzeichners.
Und der eventuell "gefährliche" DB2 Zugriffscode kann nur von Leuten verändert werden, die in dieser Datenbank Serveragenten erstellen dürfen und die entsprechenden Rechte in der names.nsf haben.
Dies wird so gemacht, um nur mit einem Datenbank-Client mit username, Passwort ob als ODBC-DSN, über jdbc oder einen nativen Client auf die RDBMS zuzugreifen.
Client Agenten können diesen Agenten nur starten, aber nicht verändern.
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz