Autor Thema: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext  (Gelesen 2176 mal)

Offline WernerMo

  • @Notes Preisträger
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 3.050
  • Geschlecht: Männlich
Hallo

Heise berichtet von o.g. Problem bei Sametime ab V 7.5:

http://www.heise.de/newsticker/meldung/126766

hat auch Auswirkung auf Notes.

Gruß Werner
Gruß Werner
  o                                                  o   
 /@\  Nächster @Notes-Stammtisch  /@\  online Sept. 2020?
_/_\__________________________/_\_ Details folgen.

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
« Antwort #1 am: 03.02.09 - 09:47:42 »
Da hat der vowe aber lange gebraucht, bis er das vom Carl zu heise geschippert hat. ;)
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
« Antwort #2 am: 03.02.09 - 14:43:05 »
Ich habe schon überlegt ob ich Vowe was in sein Blog schreibe es aber dann gelassen, weil zu mühsam. Aber meiner Meinung nach hat die IBM völlig Recht, dass das keine Security Lücke ist. Weil man dazu Plugins installieren muß. Wenn ich auf einem Notes oder Sametime Client das Recht habe Plugins zu installieren, dann kann ich alles machen da sowohl Notes ab Version 8 als auch Sametime ab Version 7.5 aus Plugins bestehen. Das heisst es hindert mich auch niemand daran Core Plugins durch eigene manipulierte zu ersetzen. Was in Java eventuell nicht so dass Problem ist da man Java in einer relativ leicht decompilieren kann. Das heisst wer es seinen Leuten erlaubt jedes Plugin in sein Notes reinzupflanzen der hat auch keine Sicherheit. Das selbe ist übrigens bei Windows wenn man mit Adminrechten arbeitet. Die MSGINA ist schnell ausgetauscht und schon hat man die Passwörter eines Windowsbenutzer.

Grüße

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

Offline blizzard

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.183
  • Geschlecht: Männlich
  • Admin from hell :-)
Grüße Matthias :-)

***********************************
2 x Ironport C350 im Cluster
2500 8.5.3 User auf Win7 x64
43 8.5.3 Server
250 Blackberry User
50 Traveler User
Sametime 8.5.2
Quickr 8.5.1
Connections 3.0.1
Panagenda ClientManagement
Content Collector MailboxManagement
eDiscovery für Compliance Mailarchivierung
iOffice CTI mit zusätzl. Softphone
**************************************

Offline flaite

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 2.966
    • mein del.icio.us
Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
« Antwort #4 am: 08.02.09 - 17:23:23 »
Zur Ausgangsfrage: Mit Notes hat das nix zu tun.

Dafür müssten bösartige Entwickler plug-ins in das Verzeichnis der Anwender kopieren.
@Ralf: kenn mich mit den Sametime plug-ins nicht so aus, aber eclipse-mässig wäre es denkbar das Sametime-plugin zu erweitern.
Kann man mit dieser Api auch an Passworte anderer Anwender herankommen? Dann wäre das in der Tat eine Sicherheitslücke. 
Das gleiche ist sicherlich auch bei Microsoft Silverlight Clients möglich. Die Überprüfung der Berechtigung des Erstellers von Code ist ja eine Besonderheit von Notes. Das gibts im kommerziellen Bereich sonst noch bei Jini, afaik.
In jedem Fall stiftet dieser api-Call Sametime Plug-in Entwickler dazu an ihn auch zu benutzen und das hört sich nicht gut für die Sicherheit an.

Sicher ernster zu nehmen als vowe ist die Antwort von Nathan T. Freeman auf das IBM statement.
Ich stimm nicht mit allen überein, aber mit vielen und sowieso unterhaltsam -> https://www.youtube.com/channel/UCr9qCdqXLm2SU0BIs6d_68Q

---

Aquí no se respeta ni la ley de la selva.
(Hier respektiert man nicht einmal das Gesetz des Dschungels)

Nicanor Parra, San Fabian, Región del Bio Bio, República de Chile

Offline Ralf_M_Petter

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.879
  • Geschlecht: Männlich
  • Jeder ist seines eigenen Glückes Schmied
    • Ralf's Blog
Re: Heise: Lotus-Sametime-exponiert-Passwoerter-im-Klartext
« Antwort #5 am: 09.02.09 - 09:05:34 »
Wie gesagt, es ist eine Diskussion um des Kaisers Bart wie man bei uns so schön sagt. Sobald ich auf einen Rechner etwas installieren darf, habe ich keine, kaum Sicherheit mehr Viel einfacher als Sametime zu manipulieren ist es einfach einen Keylogger auf den Client zu laden und fertig. Nocheinmal wer zulässt, dass nicht vertrauenswürdige Software auf seine Rechner installiert wird hat bereits verloren.

Grüße

Ralf
Jede Menge Tipps und Tricks zu IT Themen findet Ihr auf meinem Blog  Everything about IT  Eine wahre Schatzkiste sind aber sicher die Beiträge zu meinem Lieblingsthema Tipps und Tricks zu IBM Notes/Domino Schaut doch einfach mal rein.

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz