29.09.2009
AdminCamp 2009: Mein Vortrag "Kryptographie für Domino-Administratoren"
Category: AdminCamp, AdminCamp 2009, Konferenzen, OpenNTF
Hauptpunkte der Agenda:
- Pragmatische Einführung in Kryptographie
- Zertifikate und ID-Dateien
- Verschlüsselung
- Signaturen
- Internet
Die Folien zum Vortrag habe ich etwas ausführlicher formuliert, so dass man sie vielleicht auch verstehen kann, ohne in der Session gewesen zu sein:
KryptographieFuerDomino-Administratoren.pdf
(567 KB)
Das versprochenen Give-Away, einen Passwort-Safe für Teams, ist noch in der Überarbeitung und Übersetzung. Wenn er fertig ist, werden wir ihn auf OpenNTF.org unter einer Apache-Lizenz veröffentlichen.
Eine etwas ältere, rein deutsche Version habe ich hier beschrieben: Passwort-Safe
17.09.2009
Irreführende Fehlermeldung
Category: Lotus Notes
Die folgende Fehlermeldung hat mich heute ein wenig in die Irre geführt:
Das Adressbuch (%s) konnte wegen Fehler '%e' nicht geöffnet werden. Die Arbeitsumgebungen können erst verwendet werden, nachdem der Fehler behoben wurde.
Da weder der betroffene Anwender noch ich irgendetwas an dem Adressbuch oder den Arbeitsumgebungen geändert hatten und wir beide den gleichen Fehler bekamen, war ich ein wenig ratlos.
Wie sich nach einigem Suchen herausstellte, entstand der Fehler, weil ein Administrator eine Datenbank aus der Sicherung in das Domino Datenverzeichnis kopiert hatte. Auf einmal gab es zwei Datenbanken mit der gleichen ReplikID. Als dem Administrator aufging, dass das vielleicht nicht so gut war, hat er die eine Datenbank gelöscht. Leider bekam dass der Domino-Server nicht ganz mit. In dem LotusScript-Code, der den Fehler warf, wurde versucht per ReplikaID auf diese Datenbank zuzugreifen. Der Domino-Server suchte in seinen internen Tabellen nach dieser Datenbank und versuchte genau die gelöschte Datenbank zu öffnen. Das es einen Fehler gab, war also verständlich.
Nur die Fehlermeldung hatte überhaupt nichts mit dem Problem zu tun. Mein Verdacht ist, dass diese Fehlertext immer dann ausgegeben wird, wenn keine passender Fehlertext gefunden wurde.
14.09.2009
3 sicherheitskritische Lücken (Update)
Category: Lotus Notes, Lotus Domino, Administration
Kürzlich sind 3 (mehr oder weniger) sicherheitskritische Lücken aufgedeckt worden. Ich erinnere mich nicht mehr daran, wann (und ob) es jemals zuvor so eine Häufung gab?
Die erste ist "nur" ein Denial of Service des Domino-Servers, genauer der nserver.exe. Leider gibt es bisher keine weiteren Details, z. B. ob sich diese Lücke auch ohne Authentifizierung nutzen lässt.
Quelle: http://www.securityfocus.com/bid/36257
Die zweite Lücke ist da schon größer. Es geht darum, dass "böse" RSS-Feeds, wenn man sie über die RSS-Seitenleiste liest, im 8.5er Standard-Client nicht genügend geprüft werden, so dass darin enthaltene Skripte, Flash-Objekte und mehr ausgeführt werden, die im Internet Explorer im lokalen Sicherheitskontext laufen.
Quelle: http://www.securityfocus.com/archive/1/506296
Die dritte Lücke hat was mit iNotes (in der Version 8.0.1). Auch da werden bestimmte "Eingaben", das dürften dann ja wohl vor allem E-Mails und Besprechungseinladungen sein, nicht ausreichend auf "böse" Inhalte geprüft. Es gibt auch schon einen Hotfix dagegen.
Quelle: http://www-01.ibm.com/support/docview.wss?uid=swg27016745
und dort die SPR# EZEL7UURYC.
Update
Zur zweiten Lücke hat IBM "geantwortet": Response to 'IBM Lotus Notes 8.5 RSS Widget Privilege Escalation'
http://www-01.ibm.com/support/docview.wss?uid=swg21403834
05.09.2009
XPages im Notes 8.5.1 Standard-Client
Category: Lotus Notes
In Xing wurde gefragt, ob jemand schon Erfahrungen mit XPages unter Notes 8.5.1 (beta) hat. Ja, habe ich, aber nur als Anwender.
Ich habe eine Diskussionsdatenbank auf das Design der 8.5.1er Schablone umgestellt und die Starteigenschaften für den Notes-Client so umgestellt, so dass statt des normalen Framesets die XPage allDocuments.xsp gestartet wird:
Read More
Suche (Search)
Tags
Archiv (Archive)
Deutsche RSS-Feeds (German)
English RSS feeds