---

Замечание к документу "Договорились... Баг существует, хотя и трудно воспроизводим (+)"   >>>

Тема: Вопрос конечно интересный... (+)

Создан:

Alex G. Taranenko 02/22/2002 05:49 PM

Папка: 00. Организационные вопросы, 01. Технические вопросы, 07. Разработка Web-приложений, 09. Администрирование Notes & Domino, 99. Разное

Тип сообщения: Мне лень заполнять это поле

---

Сообщение:
Это конечно не бага, но уязвимость.
Социальная инженерия штука опасная...
Ее недооценивать нельзя.
Сама по себе возможность определить почтовый файл конкретного
пользователя как бы и не страшна, но в купе с другими слабостями Domino и не брежностью пользователей...

Позволю себе пофантазировать.
Читаю я в рассылке что ЗАО СуперСтрой внедрило новую систему документооборота на Lotus Notes\Domino и презентовало свой портал. Круто! ЗАО СуперСтрой...
Ба, да это же контора в которой работает менеджером мой сосед Вася Пупкин!
Здорово! Сейчас он у меня ответит за своего помешаного ротвелера который покусал меня месяц назад... Что мне для начала нужно?
0. Адрес представительства ЗАО СуперСтрой (url в рассылке)
1. Путь и название почтового файла
2. Логин
3. Пароль

Захожу на сайт ЗАО СуперСтрой...
Первое (до гадалки не ходи!) будет \mail\vpupkin.nsf (или вариации) [уязвимость №1]
В качестве второго (каким бы нибыл шортнейм) я могу _также_ использовать фамилию!
Т. е. Pupkin.(уязвимость №2 - и еще какая!)
Таким образом из 3 необходимых компонент я _сразу_ знаю 2!

А пароль...
Может ему админ и поставил нормальный пароль на авторизацию с web, но ведь он 99% самостоятельно
сменил его на удобный _ему_! А умник админ ни сном ни духом [уязвимость 3]...
Можно конечно сначала попробовать 12345, фамилию или дату рождения...
Но я знаю что он обожает своего долбаного ротвеллера, и я набираю "Спайк"...
Вот и все! Осталось порытся в его почтовом ящике и отослать свежий маркетинговый план от его имени всем конкурентам...

Вот такая, блин, социальная инженерия... :((
При такой схеме вся безопасность при доступе с web'а ложится на пароль который завел себе пользователь. Я считаю что это не есть правильно.

Насчет уязвимости №1 - я понимаю что здесь все зависит от админа, и он может спкойно присваивать при создании почтовому файлу произвольное имя. Но все равно большинство админов соглашаются с наименованием, которое предлагает Notes.
Немаловажен здесь и тот момент что пользователю легче найти свой ящик с web'а как vpupkin.nsf а не как 43503917.nsf...
IMHO пользователь должен ходить к своему ящику не на прямую, а через центральную базу по логину(short name) и паролю (как в любом webmail).
Конечно можно и самому подобное слепить, но лучше чтобы это был _штатный_ механиз с возможность вклчения его в задачу биллинга.

Насчет уязвимости №2 - я считаю что Lotus'у обязательно необходимо закрыть при авторизации через web возможность использования нескольких вариантов login name ( среди которых last name ).
Для авторизации должен использоватся только short name, и он не должен быть слишком интуитивным!

Насчет уязвимости №3 - _Факт_ самостоятельной смены пользователем пароля (да еще и для web-авторизации) должен становится известен админу, а возможно и проходить с некоторым его участием.
Классно было бы иметь _штатный_ механизм проверки паролей для web-авторизации на "стойкость" в момент когда пользователь его вводит.

Фух... Расписался я однако... :)
Просто в свое время ТЗИ'шники доставали...

To All:
Если я в чем то ошибаюсь просьба не пинать, а поделится опытом.

---

Иерархия документов данной дискуссии:
Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... А что, действительно работает? У меня не получилось... А это не сайт Акопянца ломали? :-)))))) (-) (Nick A Norkin; VIT Server A) (15.02.2002 17:17:10)
........ У меня тоже не получилось. (-) (Denis U. Ivanov; NotesSrv400) (18.02.2002 10:38:47)
.... А вообще, кто-нибудь смотрел, какие там описаны дырки? Насколько они воспроизводимы? Насколько представляют угрозу? А насколько объясняются кривизной ручек? (-) (Nick A Norkin; VIT Server A) (19.02.2002 8:47:11)
........ Работает. (Cos Kosarev) (19.02.2002 13:08:06)
............ А можно поподробнее? (-) (Nick A Norkin; VIT Server A) (19.02.2002 14:21:36)
................ Подробнее ;) (Cos Kosarev) (20.02.2002 12:00:32)
.................... Только-то и всего? А шуму-то... ;-)) (+) (Nick A Norkin; VIT Server A) (20.02.2002 15:08:43)
........................ Там-же все описано было ;) (Cos Kosarev) (21.02.2002 12:09:42)
............................ Нет, не смог воспроизвести (+) (Nick A Norkin; VIT Server A) (21.02.2002 15:01:17)
................................ JCHN547JWV, JCHN4UMKLA - не уверен, что именно они, но очень похоже. (Dmitry Kovalev; dnet) (21.02.2002 15:26:40)
.................................... Нет. Это другие баги... (++) (Alex G. Taranenko) (22.02.2002 0:01:39)
........................................ Хотел узнать давно уже, а что значит в ACL запись типа [Anonymous]. Что значат вот эти квадратные скобки? (Artem Golovaty; MAIL) (22.02.2002 11:15:15)
............................................ это для создания базы из шаблонов. (Dmitry Kovalev; dnet) (22.02.2002 11:34:55)
............................................ Это значит, что в БД, созданной по шаблону с текущей, будет запись Anonymous (без квадратных скобок) с уровнем доступа, установленном в текущей для [Anonymous]. (Ivan Tsibanenko; MoscowHub) (22.02.2002 11:47:51)
........................................ Договорились... Баг существует, хотя и трудно воспроизводим (+) (Nick A Norkin; VIT Server A) (22.02.2002 9:26:09)
............................................ Вопрос конечно интересный... (+) (Alex G. Taranenko) (22.02.2002 17:49:37)
................................................ Alex, Вам интересно продолжение этого трейда? До всего приходится доходить своими мозгами, и просто приятно обсудить некоторые вещи с другими людьми (+) (Nick A Norkin; VIT Server A) (24.02.2002 13:27:21)
.................................................... У Домино же есть возможность расширения системы авторизации - DSAPI. (Alexander S Gorbunov; BRDOMINO) (25.02.2002 11:13:09)
........................................................ Александр, а что нужно ужесточать в системе авторизации? (Nick A Norkin; VIT Server A) (25.02.2002 13:27:33)
............................................................ Если проследить по обсуждению в данной цепочке, то я говорил о системе слежения за сложностью пароля... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 13:28:11)
................................................................ По моему разумению, механизм DSAPI вешается на механизм авторизации (чтой-то я после обеда косноязычно выражаюсь) (+) (Nick A Norkin; VIT Server B) (26.02.2002 14:17:31)
.................................................................... Можно и так, но тут дырка тогда в защите от администратора... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 17:16:47)
........................................................................ Оргмеры + ECL (Nick A Norkin; VIT Server A) (27.02.2002 8:47:48)
............................................................................ А как быть с изменением пароля через браузер? (Alexander S Gorbunov; BRDOMINO) (27.02.2002 10:39:31)
................................................................................ Никак... Грамотный администратор найдет, в какую дырку здесь просочиться ;-)))) (Nick A Norkin; VIT Server A) (27.02.2002 18:15:26)
.................................................... Конечно... (+) (Alex G. Taranenko) (24.02.2002 21:23:33)
........................................................ Простите, Alex, тут я не ту опцию указал... Как насчет вот этого? (Nick A Norkin; VIT Server A) (25.02.2002 11:59:48)
............................................................ Уже легче... (+) (Alex G. Taranenko) (25.02.2002 19:51:47)
........................................................ У меня неплохо живут почтовые ящики в поддиректории mail\...\ (+) (Nick A Norkin; VIT Server A) (25.02.2002 12:11:11)
.................................................... Да, господа, благодарю покорно, я в это время сервера до 5.0.9.а абгрейдил :) (Alex Itun) (26.02.2002 23:44:12)
........................................................ А старушка в это время мыла фикус на коне (-) (Grigory A. Brumberg; NotesSrv400) (27.02.2002 10:25:31)
............................................................ :)) (Alex Itun) (27.02.2002 13:55:27)
................................................ Нууу....сколько пыли из ничего(+) (Karandin Stepan) (22.02.2002 19:26:30)
.................................................... Спасибо за советы. Но... (+) (Alex G. Taranenko) (24.02.2002 18:50:42)
........................................................ хм....ну что я все "мимо кассы" ж))) (+) (Karandin Stepan) (26.02.2002 14:58:33)
........................................................ Извините, что вмешиваюсь, но... (Constantin A Chervonenko) (25.02.2002 1:11:50)
............................................................ Согласен... (+) (Alex G. Taranenko) (25.02.2002 10:51:36)
................................................................ Интересно... А подробнее? (Constantin A Chervonenko) (25.02.2002 15:49:08)
.................................................................... Пожалуйста... (Alex G. Taranenko) (25.02.2002 18:48:43)
........................................................................ Спасибо! Вот только... (Constantin A Chervonenko) (25.02.2002 21:14:58)
............................................................................ Тогда "ой!"... (+) (Alex G. Taranenko) (26.02.2002 9:51:40)
................................................ прошу прощения что так поздно, но все таки... (Rodion P Varenikov) (05.03.2002 8:38:40)
.................................................... (+) (Dmitry Kovalev; dnet) (07.03.2002 10:29:08)
........................................................ www.domain.ru ? (Alexander M. Savelyev; InterTrust) (07.03.2002 17:55:43)
............................................................ а мне надо было свой домен написать? :-) (Dmitry Kovalev; dnet) (20.03.2002 14:57:58)
................................................................ И дать личный ключ... От квартиры, где деньги лежат. (Ivan Tsibanenko; MoscowHub) (20.03.2002 15:09:31)
........................................................ на то и щука в реке, чтоб карась не дремал (Rodion P Varenikov) (11.03.2002 9:10:38)
........................................ наверно другие, но эти баги в 5.0.9a тоже пофиксили (Dmitry Kovalev; dnet) (22.02.2002 10:43:17)
........................ Почему я поднял эту тему: (Alex Itun) (20.02.2002 16:46:48)
............................ Алексей, моя реакция относилась не к Вам... Я сам бы хотел знать, что происходит... (+) (Nick A Norkin; VIT Server A) (20.02.2002 17:51:11)
............................ ну отреагировали они уже, отреагировали ) (Dmitry Kovalev; dnet) (20.02.2002 16:52:55)
.................... на 5.0.9a эта дырка закрыта (Dmitry Kovalev; dnet) (20.02.2002 12:52:59)
............ Что при этом получается ? Становишься manager-ом ? Обходишь все readers поля ? (Denis U. Ivanov; NotesSrv400) (19.02.2002 16:00:19)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)


Разработчикам и администраторам: курсы, книги, сертификация