mmi consult - tipps und tricks blog

Datenschutz

Feeds

Neue Einträge

Archive

8.0.x 8.5.x 9.0

Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Manfred Meise 3 Mai 2013 15:06:29

Seitdem gestern auf heise.de von einem riesigen Java-Loch berichtet wurde, sind Administratoren unserer Kunden verunsichert und entwickeln ungewohnten Aktionismus. Besondern gern wird in Erwägung gezogen, die in der Meldung genannten Notes.ini Parameter

 
 EnableJavaApplets=0
 EnableLiveConnect=0
 EnableJavaScript=0

zu setzen, ohne zu wissen, welche Client Funktionen sie damit blocken oder welche Anwendungen anschließend nicht mehr funktionieren.

Führt man den entsprechenden Heise.de Mailcheck für Java aus, erhält man eine entsprechende Testmail, um zu prüfen, ob die Lotus Notes Clients unsignierten Code ausführen. Ich bin dabei sehr entspannt, denn in Fällen wo wir aktiv die ECLs der Lotus Notes Notes Clients bei uns und unseren Kunden (über Desktop-Richtlinien) konzipiert und kontrolliert haben, schützen diese die Lotus Notes Clients von Haus aus. Hierbei ist es wichtig, Keine Aktionen für unsignierten (und noch besser: auch für "-Default-" Signaturen) Code nicht auszuführen. Hat man obendrein auch dem Benutzer das Recht entzogen selbst Vertrauensstellungen auszusprechen, muss ich eigentlich keine Panik haben.
Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Darüber hinaus könnten Administratoren auch explizit die Applet-Security in Desktop-Richtlinien spezifisch steuern:

Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Also: Keine Panik, aber bitte auch nicht einfach an ECLs und Richtlinien "schrauben", ohne die Auswirkungen abschätzen zu können.

Zielgruppe: Administrator

Kategorien: ECL Signatur

Diskussion: Kommentare [3]

Kommentare

1Harald Wolf 06.05.2013 12:14:19 Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Hallo,

ich dachte ähnlich. Doch trotz der oben erwähnten Einstellungen in der ECL, bekam ich das rote Fenster der Heise-Mail zu sehen. Zuerst gab es zwar die erwartete Abfrage, ob man den Code ausführen wolle, aber ein "Nein" führte trotzdem einen Teil des Codes aus, so dass das rote Fenster erschien.

Daraufhin habe ich dann doch lieber die Notes.ini- Einträge gesetzt bzw. per Richtlinie verteilt.

Viele Grüße

Harald Wolf

2Manfred Meise 07.05.2013 10:01:40 Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Hallo Harald,

bei unseren Tests verhielt sich die ECL Beschränkung anders. Doch auch andere Kunden haben berichtet, dass trotz restriktiver ECL der Heise Test durchkam. Ich muss da wohl noch einmal nach weiteren Abhängigkeiten Ausschau halten.

Manfred

3Manfred meise 13.05.2013 13:25:28 Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Habe den Sachverhlat noch einmal geprüft. Fälle in denen die ECL keine Sperrung des Code verursachten waren allesamt auf Richtlinien zurückzuführen, die noch aktiv waren (und z.B. die ECL weider änderten). Wichtig für einen Test:

1. Pocliy Cache am Client löschen

2. Client neu starten

3. Heise Test durchführen.