---

Замечание к документу "Нууу....сколько пыли из ничего(+)"   >>>

Тема: Спасибо за советы. Но... (+)

Создан:	Alex G. Taranenko 02/24/2002 06:50 PM
Модифицирован:	Alex G. Taranenko 02/24/2002 09:46 PM

Папка: 00. Организационные вопросы, 01. Технические вопросы, 07. Разработка Web-приложений, 09. Администрирование Notes & Domino, 99. Разное

Тип сообщения: Мне лень заполнять это поле

---

Сообщение:
Извините Степан, но в данном случае Ваш ответ "не в кассу" :(

>2. Проблемы разработчиков, защищающих приложения левой ногой.
Разработка приложений это совершенно отдельная история,
которую я сознательно пока хочу опустить.
Я администратор, и для меня проблемы разработчиков - это проблемы разработчиков.

Я критикую уязвимый механизм web-авторизации Domino и некоторые другие его возможности (а также отсутствие оных...) которые значительно облегчают проведение атак с использованием
приемов социальной инженерии.

Кстати, как ни крути любое приложение будут страдать от этого, если будет использовать этот механизм. Скажите, даже если Ваши web-приложения прекрасно защищены от доступа _постороннего_ пользователя, а также от попыток privilege escalation
легального пользователя, то каким образом Вы сможете защитится
от того что некто узнает и воспользуется логином\паролем легального
пользователя??

Никак! Это ведь проблемы самих пользователей и администратора.
А наделен ли администратор Domino должными штатными рычагами что бы контролировать самую большую проблему любой системы - т.н. "человеческий фактор"?
На мой взгляд, говоря о доступе через web - нет.
Мало того - некоторые штатные возможности играют в этом случае против админа.

Вот то что на мой взгляд требует исправления\разработки :
1. Возможность использования одним пользователем нескольких login name (большинство из которые не просто предсказуема, а заранее всем известна!)

2. На стороне Domino Directory - возможность настройки особенностей работы через web индивидуально для каждого пользователя или группы (например может ли пользователь сам менять свой web-пароль, завставлять ли его регулярно делать это, уведомлять ли
администратора о факте изменения пароля).

3. На стороне базы данных - Отсутствие штатного механизма закрытия web-доступа к базе(ам) для конкретного
пользователя. Т.е. если в ACL базы есть пользователь который наделен определенными правами он всегда
сможет воспользоватся этими правами через web (несмотря на возможные ограничения функциональности).
А мне необходима четко задать возможность доступа к конкретной базе для конкретных пользователяй
( к примеру _только_ Пупкину) доступ только из Notes.
И делать я хочу это в стиле установки юзеру чекбокса в ACL, а не лезть в дизайн чужой базы который к
тому же может быть просто закрыт. Здорово было бы иметь возможность указания чекбоксом разрешить\запретить
выполнения из web для любой роли.

4. Предлагаемая по дефолту(и скажем честно - используемая администраторами в большинстве случаев)
схема размещения и именования почтовых ящиков. При отказе от оной как минимум снижется удобство
использования системы через web конечными пользователями(в частности из-за следующего пункта)

5. Отсутствие _штатной_ централизовнной системы web-авторизации( с соответствующим биллингом всех
событий web-авторизации, полиси и alarm'ами на "опасные" события). Я понимаю что ее можно попробовать
написать самому, потом дописать к ней механизм полиси и правил доступа + рассылку уведомлений, а потом написать
агентов для формирования статистических отчетов,а потом прописывать для каждой базы редирект что бы
никто не мог выйти на нее по прямой линке, и т.д и т.п...
Но я считаю что этот механизм должен быть разработан самим Lotus'ом и интегрироватся с ACL,
Reports database и родным биллингом.

6. Отсутствие штатного механизма проверки web-паролей на "стойкость", а не просто на их длину!
В R5 для web-паролей пользователей отсутствует проверка даже длины! Я ведь указываю
при заведении пользователя необходимую длину его пароля. После этого она прописывается
(и соответственно распространяется) только в id-файл.
Задаешь пользователю пароль минимум 8 символов а он меняет его на "вася"...

7. Регистрация всех событий связаных со сменой web-паролей пользователей.
Например в Notes Log в виде раздела Users\Security.


Без этого контролировать работу пользователей через web
да еще и в территариально-распределенных системах просто нереально.


>В любом случае, если кто-то начинает работать , и ему приходится отвечать
>за критически важные данные, за которые голову отрывают, то лучше пригласить коллегу,
>который сделает. Не экономьте 100$, оно того стоит.
Ищу коллегу который возьмется сделать вышеизложенное за $100 :)
Со своей стороны готов подготовить более детальную спецификацию,
благо за 4 года администрирования Domino накопилось много чего сказать
в аспекте безопасности...

---

Иерархия документов данной дискуссии:
Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... А что, действительно работает? У меня не получилось... А это не сайт Акопянца ломали? :-)))))) (-) (Nick A Norkin; VIT Server A) (15.02.2002 17:17:10)
........ У меня тоже не получилось. (-) (Denis U. Ivanov; NotesSrv400) (18.02.2002 10:38:47)
.... А вообще, кто-нибудь смотрел, какие там описаны дырки? Насколько они воспроизводимы? Насколько представляют угрозу? А насколько объясняются кривизной ручек? (-) (Nick A Norkin; VIT Server A) (19.02.2002 8:47:11)
........ Работает. (Cos Kosarev) (19.02.2002 13:08:06)
............ А можно поподробнее? (-) (Nick A Norkin; VIT Server A) (19.02.2002 14:21:36)
................ Подробнее ;) (Cos Kosarev) (20.02.2002 12:00:32)
.................... Только-то и всего? А шуму-то... ;-)) (+) (Nick A Norkin; VIT Server A) (20.02.2002 15:08:43)
........................ Там-же все описано было ;) (Cos Kosarev) (21.02.2002 12:09:42)
............................ Нет, не смог воспроизвести (+) (Nick A Norkin; VIT Server A) (21.02.2002 15:01:17)
................................ JCHN547JWV, JCHN4UMKLA - не уверен, что именно они, но очень похоже. (Dmitry Kovalev; dnet) (21.02.2002 15:26:40)
.................................... Нет. Это другие баги... (++) (Alex G. Taranenko) (22.02.2002 0:01:39)
........................................ Хотел узнать давно уже, а что значит в ACL запись типа [Anonymous]. Что значат вот эти квадратные скобки? (Artem Golovaty; MAIL) (22.02.2002 11:15:15)
............................................ это для создания базы из шаблонов. (Dmitry Kovalev; dnet) (22.02.2002 11:34:55)
............................................ Это значит, что в БД, созданной по шаблону с текущей, будет запись Anonymous (без квадратных скобок) с уровнем доступа, установленном в текущей для [Anonymous]. (Ivan Tsibanenko; MoscowHub) (22.02.2002 11:47:51)
........................................ Договорились... Баг существует, хотя и трудно воспроизводим (+) (Nick A Norkin; VIT Server A) (22.02.2002 9:26:09)
............................................ Вопрос конечно интересный... (+) (Alex G. Taranenko) (22.02.2002 17:49:37)
................................................ Alex, Вам интересно продолжение этого трейда? До всего приходится доходить своими мозгами, и просто приятно обсудить некоторые вещи с другими людьми (+) (Nick A Norkin; VIT Server A) (24.02.2002 13:27:21)
.................................................... У Домино же есть возможность расширения системы авторизации - DSAPI. (Alexander S Gorbunov; BRDOMINO) (25.02.2002 11:13:09)
........................................................ Александр, а что нужно ужесточать в системе авторизации? (Nick A Norkin; VIT Server A) (25.02.2002 13:27:33)
............................................................ Если проследить по обсуждению в данной цепочке, то я говорил о системе слежения за сложностью пароля... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 13:28:11)
................................................................ По моему разумению, механизм DSAPI вешается на механизм авторизации (чтой-то я после обеда косноязычно выражаюсь) (+) (Nick A Norkin; VIT Server B) (26.02.2002 14:17:31)
.................................................................... Можно и так, но тут дырка тогда в защите от администратора... (Alexander S Gorbunov; BRDOMINO) (26.02.2002 17:16:47)
........................................................................ Оргмеры + ECL (Nick A Norkin; VIT Server A) (27.02.2002 8:47:48)
............................................................................ А как быть с изменением пароля через браузер? (Alexander S Gorbunov; BRDOMINO) (27.02.2002 10:39:31)
................................................................................ Никак... Грамотный администратор найдет, в какую дырку здесь просочиться ;-)))) (Nick A Norkin; VIT Server A) (27.02.2002 18:15:26)
.................................................... Конечно... (+) (Alex G. Taranenko) (24.02.2002 21:23:33)
........................................................ Простите, Alex, тут я не ту опцию указал... Как насчет вот этого? (Nick A Norkin; VIT Server A) (25.02.2002 11:59:48)
............................................................ Уже легче... (+) (Alex G. Taranenko) (25.02.2002 19:51:47)
........................................................ У меня неплохо живут почтовые ящики в поддиректории mail\...\ (+) (Nick A Norkin; VIT Server A) (25.02.2002 12:11:11)
.................................................... Да, господа, благодарю покорно, я в это время сервера до 5.0.9.а абгрейдил :) (Alex Itun) (26.02.2002 23:44:12)
........................................................ А старушка в это время мыла фикус на коне (-) (Grigory A. Brumberg; NotesSrv400) (27.02.2002 10:25:31)
............................................................ :)) (Alex Itun) (27.02.2002 13:55:27)
................................................ Нууу....сколько пыли из ничего(+) (Karandin Stepan) (22.02.2002 19:26:30)
.................................................... Спасибо за советы. Но... (+) (Alex G. Taranenko) (24.02.2002 18:50:42)
........................................................ хм....ну что я все "мимо кассы" ж))) (+) (Karandin Stepan) (26.02.2002 14:58:33)
........................................................ Извините, что вмешиваюсь, но... (Constantin A Chervonenko) (25.02.2002 1:11:50)
............................................................ Согласен... (+) (Alex G. Taranenko) (25.02.2002 10:51:36)
................................................................ Интересно... А подробнее? (Constantin A Chervonenko) (25.02.2002 15:49:08)
.................................................................... Пожалуйста... (Alex G. Taranenko) (25.02.2002 18:48:43)
........................................................................ Спасибо! Вот только... (Constantin A Chervonenko) (25.02.2002 21:14:58)
............................................................................ Тогда "ой!"... (+) (Alex G. Taranenko) (26.02.2002 9:51:40)
................................................ прошу прощения что так поздно, но все таки... (Rodion P Varenikov) (05.03.2002 8:38:40)
.................................................... (+) (Dmitry Kovalev; dnet) (07.03.2002 10:29:08)
........................................................ www.domain.ru ? (Alexander M. Savelyev; InterTrust) (07.03.2002 17:55:43)
............................................................ а мне надо было свой домен написать? :-) (Dmitry Kovalev; dnet) (20.03.2002 14:57:58)
................................................................ И дать личный ключ... От квартиры, где деньги лежат. (Ivan Tsibanenko; MoscowHub) (20.03.2002 15:09:31)
........................................................ на то и щука в реке, чтоб карась не дремал (Rodion P Varenikov) (11.03.2002 9:10:38)
........................................ наверно другие, но эти баги в 5.0.9a тоже пофиксили (Dmitry Kovalev; dnet) (22.02.2002 10:43:17)
........................ Почему я поднял эту тему: (Alex Itun) (20.02.2002 16:46:48)
............................ Алексей, моя реакция относилась не к Вам... Я сам бы хотел знать, что происходит... (+) (Nick A Norkin; VIT Server A) (20.02.2002 17:51:11)
............................ ну отреагировали они уже, отреагировали ) (Dmitry Kovalev; dnet) (20.02.2002 16:52:55)
.................... на 5.0.9a эта дырка закрыта (Dmitry Kovalev; dnet) (20.02.2002 12:52:59)
............ Что при этом получается ? Становишься manager-ом ? Обходишь все readers поля ? (Denis U. Ivanov; NotesSrv400) (19.02.2002 16:00:19)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)
.... Безопасность Domino (Alex Itun) (15.02.2002 12:49:29)


Разработчикам и администраторам: курсы, книги, сертификация