Das Dokument beschreibt Sicherheitsaspekte und Zugriffskontrollen im IBM Lotus Domino-System. Es erläutert die Unterschiede zwischen Server- und Client-Sicherheit, die verschiedenen Zugriffsmöglichkeiten für Dokumente sowie die spezifischen Regeln für das Erstellen, Lesen, Ändern und Löschen von Dokumenten. Zusätzlich werden Herausforderungen und Einschränkungen bei Web-Anwendungen und die Relevanz sicherer Zugriffskontrolllisten hervorgehoben.

1. 1 / 50
DB-Security – Sichere
& fraglich sichere Techniken
Christian Habermüller
http://news.fuer-IT-Profis.de

2. 2 / 50
Grobeinteilung der Sicherheit (Ausschnitt)

3. 3 / 50
Notes-Client
Betrieb-System
Datei-System
lokale Domino-Datei
Domino-Server
Netzwerk

4. 4 / 50
Unterschiede in der Sicherheitsbetrachtung

5. 5 / 50
Domino-Administrator
Verwendet ein vorgegebenes Zugriffskonzept !

6. 6 / 50
Domino-Entwickler
Entwickelt pro Applikation ein vollkommen
neues Zugriffskonzept !

7. 7 / 50
Schematischer Aufbau einer Domino-Datei

8. 8 / 50
Gestaltung Dokumente
Zugriff

9. 9 / 50
Was kann wie zugriffsberechtigt werden ?

10. 10 / 50
Gestaltung Dokumente
Zugriff
Gestaltung
verbergen
Autorfeld
Zugriffs-
kontrollliste
Leserfeld
Zugriffs-
kontrollliste

11. 11 / 50
Unterteilung der Zugriffsmöglichkeiten

12. 12 / 50
Zugriffsmöglichkeiten
Erstellen Lesen Verändern Löschen

13. 13 / 50
Neue Dokumente erstellen

14. 14 / 50
Neue Dokumente erstellen
• Einschränkung über
• Alle anderen Techniken sind unsicher
– z.b.: Erstellen mit der Kopierfunktion der
Zwischenablage
Zugriffskontrollliste

15. 15 / 50
Regeln: Neue Dokumente
erstellen
• Zugriffsstufe Leser darf nur lesen aber
nichts erstellen
• Erstellberechtigung lediglich für die
Zugriffsstufe Autor entziehbar
• Editor sowie jede höhere Zugriffsstufe kann
uneingeschränkt neue Dokumente
erstellen

16. 16 / 50
Vorhandene Dokumente lesen

17. 17 / 50
Vorhandene Dokumente lesen
• Einschränkung über
• Alle anderen Techniken sind unsicher
– z.B.: Lesen über eine persönliche Ansicht
Leserfeld

18. 18 / 50
Regeln: Vorhandene Dokumente
lesen
• Jedes Dokument
– ohne Leserfeld bzw.
– mit Leserfeld ohne Inhalt
• ist für jede Zugriffsstufe ab Leser sichtbar
• Leserfelder ergänzen sich gegenseitig
• Im Leserfeld stets Rollenbezeichnungen
verwenden
– niemals: Einzelname / Gruppenbezeichnungen !

19. 19 / 50
Sichtbares Dokument verändern

20. 20 / 50
Sichtbares Dokument verändern
• Einschränkung über
• Alle anderen Techniken sind unsicher
– z.B.: Veränderung über einen Agenten
Autorfeld

21. 21 / 50
Regeln: Sichtbares Dokument
verändern
• Jede höhere Zugriffsstufe als Autor kann
alle sichtbaren Dokumente verändern
• Autorenfelder ergänzen sich gegenseitig
• Autorfeld erteilt auch Lesezugriff !!!
• Im Autorenfeld stets Rollenbezeichnungen
verwenden
– niemals: Einzelname / Gruppenbezeichnungen !

22. 22 / 50
Wichtiger Hinweis
Ein Ersteller kann die eigenen Dokumente
nicht mehr verändern, wenn ...
1.) seine Zugriffsstufe Autor ist und
2.) ein Autorfeld diesen Zugriff verhindert

23. 23 / 50
Sichtbares Dokument löschen

24. 24 / 50
Sichtbares Dokument löschen
• Einschränkung über
• Alle anderen Techniken sind unsicher
– z.B.: Löschen über einen Agenten
Zugriffskontrollliste

25. 25 / 50
Regel: Sichtbares Dokument
löschen
• Löschberechtigung für jede Zugriffsstufe ab
Autor einstellbar

26. 26 / 50
Hinweise zu Dokument löschen

27. 27 / 50
Dokumenteninhalte können auch durch
überschreiben der Feldinhalte gelöscht
werden

28. 28 / 50
Unsichtbare Dokumente können von
niemanden gelöscht werden

29. 29 / 50
Wichtiger Hinweis
Stets an Replikation denken !

30. 30 / 50
Replikation
• Server auf Server
– Server übernehmen
Zugriffssteuerung
• Server auf Client
– Client übernimmt
nun
Zugriffssteuerung

31. 31 / 50
Unterschiede zwischen Server & Client
bezüglich Sicherheit

32. 32 / 50
Unterschiede zwischen Server &
Client bezüglich Sicherheit
• Server
– BIOS- & BS-Zugang
geschützt
– Dateisystem
geschützt
– Zugriff über
Netzwerk
• Server steuert
Berechtigungen
• Client
– BIOS- & BS-Zugang
meist ungeschützt
– Dateisystem meist
ungeschützt
– Zugriff über
Dateisystem
• Client steuert
Berechtigungen

33. 33 / 50
Regel: Client steuert
Berechtigung
• Generell gilt …
– Auf eine Applikation, die über das Dateisystem
geöffnet werden kann, hat man Managerzugriff
• Unabhängig von der Einstellung der
Zugriffskontrollliste !!!
• … wenn die DB lokal unverschlüsselt ist,
• … und solange, bis konstistente
Zugriffskontrollliste markiert ist !

34. 34 / 50
Regeln: Konsistente
Zugriffskontrollliste
• Client anerkennt Zugriffskontrollliste
– Inkonsistent bedeutet: stets Managerzugriff
• Client anerkennt Rollen
– Inkonsistent bedeutet: Rollen nicht auslesenbar
• Aber: Nettes Leistungsmerkmal, jedoch
kein wirksamer Schutz
– Kann mit Spezialkenntnissen umgangen
werden, Zeitaufwand: 30 Sekunden

35. 35 / 50
Zugriffssteuerung bei Web-Applikationen

36. 36 / 50
Unterschied zwischen Intra- &
Internet bezüglich Sicherheit
• Intranet
– Zugriff kann
authentifiziert
werden
– Server & Client
steuern gemeinsam
die Berechtigung
– User.ID vorhanden
• Internet
– Zugriff kann nicht
nicht authentifiziert
werden
– Server steuert
alleinig die
Berechtigung
– Keine User.ID
vorhanden

37. 37 / 50
Ein Internet-Zugriffsprogramm (Web-Browser)
verfügt über keine User.ID, die der Domino-
Server verwenden könnte.
Was nun ?

38. 38 / 50
Lösung
Benutzername und Internet-Kennwort zur
Authentifikation

39. 39 / 50
Damit
Benutzername und Internet-Kennwort
beim Web-Zugriff abgefragt wird muß die DB-
Zugriffskontrollliste den Eintrag
Anonymous = kein Zugriff
Typ = unspezifiziert
haben

40. 40 / 50
Die Zugriffskontrollliste verfügt über eine
Web-Zugriffsschranke

41. 41 / 50
Wichtiger Hinweis
Für die Web-Programmierung gelten
(dokumentierte) Einschränkungen.
Bestimmte Eigenschaften, @Funktionen und
LotusScript sind funktionslos (not supported)

42. 42 / 50
Ungeeignete Elemente für die
Zugriffssicherheit
Diese Aufzählung ist nicht vollständig !

43. 43 / 50
Ungeeignet für die
Erstellberechtigung
• Manche Gestaltungselementeigenschaften

44. 44 / 50
Ungeeignet für die
Leseberechtigung
• Ansichtsselektionsformeln
• Selektive Replikation
• Verberge-Wenn-Eigenschaften
• Manche Gestaltungselementeigenschaften

45. 45 / 50
Ungeeignet für
Editierberechtigung
• Zugriffsgesteuerte Abschnitte ohne
Unterschrift
• Eingabeberechtigung

46. 46 / 50
Ungeeignet für die
Löschberechtigung
• Ergebnisse mit programmiertem Abbruch
im Moduswechsel

47. 47 / 50
Was ist IBM Lotus Domino? (1/2)
• Teamfähige Kommunikations-Software
– Informationen werden nicht in Echtzeit
ausgetauscht
– Intra-/Internet-Fähig
• Hochsicherheitssystem
– Für sensible Daten
• Dezentral in der Datenhaltung
– Daten können verteilt werden, auch Off-Line

48. 48 / 50
Was ist IBM Lotus Domino? (2/2)
• Programmierbar
– IBM Lotus Domino verfügt über 4 integrierte
Programmierunterstützungen
• Formelsprache
• Lotus Script
• JavaScript
• Java
• Dokumentenorientiert
– Jeder Datensatz kann eine individuelle
Datenstruktur haben

49. 49 / 50
Diese Präsentation ist urheberrechtlich geschützt.
© 2010 Christian Habermüller – http://chabermu.wordpress.com
Alle Rechte vorbehalten.
Kein Teil dieser Präsentation darf ohne schriftliche Genehmigung
des Autors in irgendeiner Form durch
Fotokopie, Mikrofilm, Scannen, Download oder andere Verfahren
reproduziert, gespeichert, wiedergegeben oder verbreitet werden.
Insbesondere die Rechte der Wiedergabe durch Vortrag, Funk,
Fernsehen und Internet sind dem Autor vorbehalten.
Jede Zuwiderhandlung wird zivil- & strafrechtlich verfolgt.

50. 50 / 50
Diese Präsentation ist ausschließlich für den informativen Einsatzzweck gedacht und wird
als diese ohne jegliche Garantie oder Gewährleistung bereitgestellt.
Der Autor ist ausdrücklich nicht haftbar für mögliche Folgen oder mögliche Schäden, die
durch die Verwendung des bereitgestellten Materials entstehen können oder könnten.
Hinweise, Verweise oder Verknüpfungen bzw. Links in diesem Material unterliegen
ebenfalls diesem Haftungsausschluß und sind Eigentum des jeweiligen Rechteinhabers.
Die Rechte von geschützten Markennamen, Handelsmarken sowie alle weiteren Rechte
unterliegen den jeweilgen Rechteinhaber und bzw. oder des Eigentümers derselben.