Lotus Notes legt Benutzerpasswort offen (Heise)

    Klasse IBM...wenigstens ein Argument mehr, daß die ECL sauber zu halten ist. Eigentlich müßte man jetz noch dem Virenscanner sagen können, er soll auf den entsprechenden notes.ini Eintrag reagieren.


    Manche Debug-Parameter gehen sowas von nach hinten los...ein paar mehr zum Thema Passwörter gibts ja noch, die inzwischen teils bereinigt wurden (Anzeige von HTTP-Passwörtern sich einloggender Benutzer an der Konsole war mal so ein netter Debug-Parameter).


    +Kopfschüttel+


    Nunja, mit den nächsten Updates wird der Parameter wohl nicht mehr gehen => heißt dann wohl Updatepflicht bei (fast) allen Kunden.

    In diesen fall ist der schreiber des artikels einen namhaft bekannte Lotus notes redakteur, der sich hier mit zweifelhafte ehre bekleckert. Jeder darf seine meinung dazu selber bilden.
    Dazu die dagegebene beschreibung verschweigt meiner meinung nach auch noch welche details, die relativ wichtig sind für die entscheidung wie reagiert werden mußte.


    1. Der generierung der datei erfolg NUR beim kennwort änderung, und das machen die meiste notes anwender SEHR wenig.. ich habe mein kennwort seit mehr als 5 jahren nicht mehr geändert.


    2. Der Debug-datei muss nach den aktion zurück zum angreifer, und zwar so das dieses auch unbemerkt passiert. Auch hier ist eine menge an krimminele energie erfolderlich.


    3. Eine workspation policy reicht um den notes.ini variabele wieder zu entfernen.. und jeder admin kann dieses problemlos tun, sowohl den debug outfile auch auch dn entropy variabele sind dazu wunderbar predestiniert.


    4. es gibt wesentlich gefährlichere und einfachere wegen um an neue user id's zu kommen (stichwort escrow agent) die bei weitem gefährliches sind, und wesentlich schlechter zu entdecken.


    5. Wenn den CACHE von google gelöscht wäre, würde auch hier keine nachlesen können.. Da hat IBM mal wieder gepennt.. leider wird das löschen wahrscheinlich auch noch 2 monate warten.


    6. Ich persönlich sehe hier kein gefährdungspotential, wenn der user sein arbeitsplatz ordnungsgemäß sperrt, dann kommt auch keiner an die notes.ini dran.


    meine 2 cent..


    Ronka