Rechte in der ECL für "-No Signature-"

    Hallo zusammen,


    mich würde vom Sicherheitsaspekt mal interessieren, was Ihr so an Rechten in der ECL für "-No Signature-" einstellt. In der Literatur wird eigentlich immer darauf hingewiesen, dass sowohl "-Default-" als auch "-No Signature-" nichts zugelassen werden sollte. Siehe BSI-Grundschutz-Katalog und Informationen für eine neue Administrations-ECL erfassen .


    So weit so gut. Nun ist jedoch die iQSuite mit diesen Einstellungen nicht zufrieden. Sowohl die Quarantäne- als auch die Clerk-Datenbank hätten gerne mit "-No Signature-" Schreibzugriff auf das dasselbe Fenster. Genauso gibt es Mails - wie irgendwelche Newsletter - die diese Funktion gerne möchten und den User dann mit einem Sicherheitsalarm auf die zu geringen Rechte hingewiesen.


    Wie geht ihr mit diesem Thema um? Was stellt ihr zentral für die User ein? Solltet ihr der Vorgabe des BSI folgen, wie erklärt ihr den Usern, dass er eine Mail nicht öffnen/ansehen kann? Die Mail ist in diesem Fall ja immer UNGLAUBLICH wichtig... ;)


    Viele Grüße


    Christian

    OS: XP & 2k3 TS über ICA
    Notes: 6.5.5 & 8.0.2
    Domino: 8.0.2FP1
    ...

    Die Ebene "-No Signature-" muss man logisch und technisch etwas auftrennen:


    Bei Notes-Designelementen gilt:
    jedes Element ist einzeln signiert, wenn hier tatsächlich mal "-No Signature-" abgefragt wird hat jemand gepennt, dann fehlt entweder die zentrale Verteilung der betreffenden Signatur oder aber alternativ wurde nicht nachträglich die eingekaufte Applikation nachsigniert.


    "-No Signature-" heißt für Notes-Elemente lediglich "Keine vertrauenswürdige Signatur" und setzt voraus, dass im vorherigen Fenster mit der Querzulassung "Nein" angeklickt wurde. Sonst wäre die Signatur nämlich vertrauenswürdig und damit "vorhanden". Wenn man das nicht will - eigene ID nehmen und neu signieren.


    Bei Internet-Mails gilt:
    ich freue mich schon auf die ersten signierten Javascript-Mails, bis dahin geht Sicherheit vor und ein guter Newsletter hat m.E. immer noch einen Knopf "...wenn diese Mail nicht vernünftig dargestellt wird dann klicken Sie hier..."


    Oder anders ausgedrückt: HTML (und Javascript, wer's denn braucht) einer Mail sollte nicht mehr Rechte haben als der Nutzer beim Surfen zulassen würde, das können durchaus ein bis zwei Häkchen sein, sofern Javascript tatsächlich gewünscht ist.


    IQ-Suite:
    Grad probiert (und vorher alle Haken aus dem betreffenden Bereich der ECL säublerlichst entfernt) Allerdings habe ich beim Testen eben keine Stelle in der IQ-Suite (vorsichtshalber habe ich auch die aktuelle 11.0.1 genommen) gefunden, die irgendeinen Haken bei "-No Signature-" braucht.


    Carsten