Sicherheitslücke in Lotus Notes: ID-File-Klau

by Michael Urspringer - 14.11.2006

Wie in dieser IBM-Technote beschrieben, kann man unter bestimmten Umständen an Lotus Notes-ID-Files von neu eingerichteten Benutzern kommen ohne sich vorher am Server authentifizieren zu müssen. Dies funktioniert aber nur für ID-Files die im Personendokument des Adressbuchs gespeichert werden (eigentlich auch für Passwörter von Roaming-Usern, da diese aber verschlüsselt gespeichert werden, sind die ID-Files ziemlich nutzlos.)

Allerdings handelt es sich hier m.E. eher um eine theoretische Lücke. Oder speichert jemand wirklich die ID-Files neuer User im Adressbuch anstatt sie den Usern auf sicherem Weg zukommen zu lassen? Zusätzliche komplizierte Initialpasswörter auf den ID-Files sowie erzwungener Passwortwechsel beim ersten Anmelden sollten eigentlich genug Sicherheit bringen.

Trotzdem ist das mal ein guter Zeitpunkt für den Admin im Adressbuch zu checken ob nicht doch noch so ein paar Personendokumente mit angehängtem ID-File aus der Vergangenheit exitsieren und diese ggf. zu löschen.

Tagged with:  

2 Responses to Sicherheitslücke in Lotus Notes: ID-File-Klau

  1. Basiert das Roaming nicht genau darauf, dass die ID zentral (im Domino-Verzeichnis?) gespeichert wird, so dass sie heruntergeladen werden kann, wenn der Benutzer sich das erste Mal auf einem neuen/anderen Client anmeldet?

    Ansonsten kenne ich niemand, der absichtlich IDs im Domino-Verzeichnis speichert.

    Nebenbei bemerkt: Vielleicht wird es mal Zeit, dass IBM die Vorgabe bei der Registrierung neuer Benutzer ändert?!

  2. Die ID wird zentral gespeichert, aber im persönlichen Adressbuch des Benutzers. Dabei wird sie zusätzlich auch noch verschlüsselt. Aus der Admin-Hilfe von R7:

    If you selected the option to allow the user’s personal address book to be replicated by the user, the user’s Personal Address Book may also contain a Roaming User’s ID and the user’s dictionary as file attachments. The user ID is double-encrypted for added security before being attached. Because the user ID replicates, users no longer need to copy their IDs to different computers when it is modified (for example, by changing the password).

Leave a Reply

© 2000-2015 Michael Urspringer