02.02.2016

IBM Connect 2016: REST Services in Domino - Key to modern Web Applications

Category: IBM Domino, REST, XPages, Lotusphere, IBM Connect, Konferenzen

IBM Connect 2016

As promised the slides and the sample database from my session at IBM Connect 2016 REST Services in Domino - Key to modern Web Applications.

Even if you didn't had the chance to make it to my session, with the slides and specially with the sample database you have a good starting point.

.

29.01.2016

Interims Fix 1 für IBM Domino 9.0.1 Fix Pack 5 erschienen

Category: IBM Domino, Administration

IBM Domino
Und wieder wird die Welt ein bißchen sicherer - zumindest wenn wir den ersten Interims Fix für den IBM Domino-Server mit der Version 9.0.1 und Fix Pack 5 einspielen.
Die 4 Verbesserungen in dem Interims Fix drehen sich alle um TLS und der wichtigste stopft eine Lücke bei TLS 1.2 in Bezug auf den MD5-Signatur-Algorithmus, die auf den Namen "SLOTH" getauft wurde:

"The TLS protocol could allow weaker than expected security caused by a collision attack when using the MD5 hash function for signing a ServerKeyExchange message during a TLS handshake. An attacker could exploit this vulnerability using man-in-the-middle techniques to impersonate a TLS server and obtain credentials."

Quellen:
Security Bulletin: Vulnerability in MD5 Signature and Hash Algorithm affects IBM Domino (CVE-2015-7575)
Interim Fixes & JVM patches for 9.0.1.x versions of IBM Notes, Domino, iNotes & Notes Browser Plug-in
Downloads des 9.0.1 FP 5 IF 1

26.01.2016

Mit einem Wisch ist alles weg?

Category: Administration, Mobile Device Management, Sicherheit

Was passiert eigentlich, wenn Sie oder einer Ihrer Nutzer Ihr Smartphone verloren haben?
Sie haben hoffentlich Ihre Nutzer in dem Maße sensibilisiert (und das ggf. in entsprechende Betriebsvereinbarungen eingearbeitet), dass sie sich sofort melden.
Sie deaktivieren die SIM-Karte, veranlassen ein Remote-Wipe auf dem Gerät und sperren die Berechtigungen auf dem Server.

Alles getan, oder?


Na ja, für eine Großzahl der Verluste sind diese Maßnahmen sicher ausreichend. Der Finder würde das Gerät ohnehin löschen bzw. eine neue SIM-Karte einlegen und es dann für eigene Zwecke nutzen. Aber für solche Fälle, in denen der Finder auch Interesse an den Daten auf dem Gerät hat, reicht das nicht an sich. Ein solcher Finder wird vermutlich als eine der ersten Maßnahmen die Netzverbindung des Gerätes unterdrücken. Dann wirkt ein Remote-Wipe nicht mehr und er hat alle Zeit, die er braucht, um die Gerätesicherheit zu brechen.
Es sei denn...

Read More

18.01.2016

DBMaint-Kommando ersetzt NTS_DEFRAG_INTERVAL_DAYS

Category: IBM Notes Traveler, Administration

IBM Notes Traveler
Mir ist heute nach dem Update auf IBM Notes Traveler 9.0.1.9 etwas aufgefallen: Im Serverprotokoll erscheint die folgende Warnung nach jedem Neustart:.
Traveler: WARNING *system Unrecognized IBM Traveler parameter in notes.ini: NTS_DEFRAG_INTERVAL_DAYS
Etwas in die nähere Vergangenheit geschaut, stellte sich schnell heraus, dass die Warnung schon länger ausgegeben wurde - seit dem Update auf die 9.0.1.8.

Seit dieser Version gibt es das DBMaint-Kommando für den Traveler-Task, so dass man mit
tell traveler dbmaint set interval 30
tell traveler dbmaint set auto on
die automatische, regelmäßige Defragmentierung einstellen und NTS_DEFRAG_INTERVAL_DAYS wieder löschen kann.

In der Dokumentation im IBM Knowledge Center konnte ich nichts dazu finden, aber Ice-Tee bei atnotes.de lieferte den passenden Hinweis: in der deutschen Dokumentation steht nichts, wohl aber in der englischsprachigen!
Read More

18.01.2016

IBM Notes Traveler 9.0.1.9 erschienen

Category: IBM Notes Traveler, Administration

IBM Notes Traveler
Die Fix List zur Version 9.0.1.9 vom IBM Notes Traveler enthält beeindruckende 32 Einträge, Mir ist dabei aber nichts Weltbewegendes aufgefallen, aber in der Produktdokumentation fehlt noch die neue Version.
Quellen

IBM Traveler Server 9.0.1.9-Downloads
IBM Traveler Server 9.0.1.9 Release Documentation
IBM Traveler Fixes by Release - 9.0.1.9

12.01.2016

Mehrheit aller Android Smartphones von kritischer Sicherheitslücke betroffen

Category: Administration, Android, Mobile Device Management, Sicherheit

Ein, im Oktober auf t3n veröffentlichter, Artikel spricht von im Schnitt 87,7% aller Android Geräte, die von einer kritischen Sicherheitslücke betroffen sein sollen. In den vergangenen knapp 3 Jahren ist dieser Anteil im Prinzip nie unter 50% gesunken.

Im Fall der bekannten Stagefright-Lücke reicht zum Beispiel die Zustellung einer MMS bereits aus, um das Gerät zu kompromittieren. Der Nutzer muss meist nicht einmal tätig werden, indem er eine manipulierte Mediendatei (Audio oder Video) aus der MMS abspielt.

Dass diese Sicherheitslücke wie viele andere auf vielen Smartphones noch immer nicht geschlossen ist, liegt vor allen Dingen daran, dass eine Aktualisierung des Betriebssytems vom Hersteller des Smartphones abhängig ist und nicht von den Entwicklern des Betriebssytems. Jene scheuen oft den Aufwand das Betriebsystem erneut zu packen und auszurollen oder er wird bestenfalls nur die ersten zwei Jahre der Gerätelebensdauer durchgeführt.Google hat versucht, die Hersteller zu einer freiwilligen Selbstverpflichtung zu motivieren, die mit 18 Monaten Update-"pflicht" ohnehin eher knapp ausfällt, aber tatsächlich oft gar nicht eingehalten wird.

Hier reden wir eigentlich über Lehren, die wir im Desktop-Bereich bereits gemacht haben. Es gehört schon seit vielen Jahren zum Gemeingut, dass es mit erheblichen Risiken verbunden ist, Software und insbesondere Betriebssysteme einzusetzen, für die keine Patches veröffentlicht werden. Es werden lieber die oftmals nicht unerheblichen Kosten für Migrationsprojekte in Kauf genommen als sich dem Risiko auszusetzen.
Warum ist das bei Smartphones anders? Warum werden sogar Geräte gekauft, die bereits mit veralteten Versionen ausgeliefert werden und für die zukünftige Updates ein glücklicher Zufall sind?

Eine mobile Strategie endet also nicht bei der Auswahl einer MDM-Software, sondern erstreckt sich auch auf die Auswahl des Betriebssystems bzw. Herstellers. Das hat natürlich besondere Implikationen für den BYOD-Ansatz.
Dazu und zu weiteren Aspekten einer mobilen Strategie beraten wir Sie gerne.

11.01.2016

Firefox 43 unterstützt das Notes Browser Plug-in (noch?) nicht

Category: Administration, IBM Notes

Passend zu meinem Blogeintrag vom 01.12.2015 hat IBM letzte Woche einen Alert veröffentlicht, der erneut zeigt, wie wackelig eine Browser-Strategie sein kann. Seit der Version 43 deaktiviert Firefox alle Addons, die nicht von Mozilla signiert wurden bzw. freigegeben wurden. Da dies offenbar entweder für das Notes Browser Plug-in nicht möglich oder einfach nicht geschehen ist, kann dieses im Moment nicht mit Firefox genutzt werden.

Meiner Einschätzung nach dürfte dies vergleichsweise einfach zu beheben sein, zumal Organisationen, die unternehmenskritische Webanwendungen haben, sicher auch ein Releasemanagement für Ihre Browser betreiben, jedoch macht das erneut darauf aufmerksam, dass eine Browser-Strategie im Allgemeinen und eine Notes-Browser-Strategie im Speziellen nicht ohne Risiken ist.

Zu diesem Schluss kam angesichts solcher Meldungen auch einer unserer Kunden nach Prüfung des Notes Browser Plug-ins, der jetzt bei einem somit gestärkten Notes-Client verbleibt.

Quellen:
Blogeintrag vom 01.12.2015
Alert von IBM

06.01.2016

Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6, sowie Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6 erschienen

Category: Administration, IBM Domino, IBM Notes

IBM NotesIBM Domino
Seit Montag steht das Interims Fix 11 für den Domino-Server 8.5.3 (Fixpack 6) bei IBM zum Download zur Verfügung. Das Pendant für den Notes-Client ist bereits seit dem 16. Dezember verfügbar.
Beide Interims Fixes beheben eine kritische Sicherheitslücke, welche Ende September letzten Jahres in der CVE Datenbank von mitgre.org eingetragen wurde. Aufmerksam wurde man auf das Prinzip dieser Sicherheitslücke, durch eine Präsentation von Gabriel Lawrence und Chris Frohoff.

Konkret ist von CVE-2015-7450 die Rede, eine Sicherheitslücke, welche dem Angreifer ermöglicht beliebige Befehle auszuführen.
Das Problem hierbei liegt hierbei nicht direkt in der Bibliothek Apache Commons Collection, wie es häufig behaupted wird, sondern allgemein in "..Anwendungen, welche die Java-Deserialisierung auf unsichere Art und Weise benutzen" (Benedikt Ritter).
Im Blog von Benedikt Ritter finden Sie mehr Informationen zur Sicherheitslücke.
Die Apache Software Foundation hat zu dem Thema bereits ein Statement abgegeben.




Quellen:
http://www-01.ibm.com/support/docview.wss?uid=swg21971751
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7450
http://www-01.ibm.com/support/docview.wss?uid=swg21663874
http://www-933.ibm.com/support/fixcentral/
https://blog.codecentric.de/2015/11/kommentar-zur-sogenannten-sicherheitsluecke-in-apache-commons-collections/
https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
http://frohoff.github.io/appseccali-marshalling-pickles/
Download Interims Fix 11 für IBM Domino 8.5.3 Fix Pack 6
Download Interims Fix 7 für IBM Notes 8.5.3 Fix Pack 6

25.12.2015

Weihnachtsgrüße

Category: Sonstiges

Gerade jetzt zur Weihnachtszeit,

wünschen wir Ihnen eine gute Zeit.
Viel Glück, Gesundheit und auch Segen,
bleiben Sie sich immer treu, auf all Ihren Wegen.

Herzlichen Dank für die gute Zusammenarbeit und für das entgegengebrachte Vertrauen. Wir wünschen Ihnen ein frohes Weihnachtsfest und ein gesundes und erfolgreiches neues Jahr.

Ihr assono-Team

17.12.2015

IBM Connect 2016 - We'll be there

Category: IBM Connect, Lotusphere, Konferenzen

IBM Connect 2016

As in recent years I have the honor to give a sessions at Lotusphere IBM Connect.

AD-1238A: REST Services in Domino - Key to modern Web Applications
Session date Monday, 2016-02-01
Session time 04:45 PM - 05:45 PM
Session location Hilton Orlando, Lake Highland AB
Speaker Bernd Hort, assono GmbH

Any modern Web Application, whether it is implemented in IBM BlueMix or using AngularJS, uses REST services. REST became the de facto standard for interaction between systems.

With the integration of XPages in Domino, there are a lot ways to provide REST services. It is time to take a closer look how we can provide REST services in Domino.

After laying the groundwork with a short introduction to REST, we will discuss how to use the IBM Domino Access Services.

Another way to utilize the REST Services which come with the Extension Library are Custom Rest Services.

Next we will introduce JAX-RS and show how to implement a custom written REST Service in Java.

Looking forward to see you at IBM Connect 2016.


Kalender (Calendar)

Tags

Deutsche RSS-Feeds (German)

Custom Button Custom Button

English RSS feeds

Custom Button Custom Button