Anmeldung

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich anzumelden.

Sicherheitslücke aber sowas von ...

Honigkuchen
Neuling
Themenersteller
Verfasst am: 12.04.2013 [10:46]
Hallo Liebe Community!

Ich benutze Orgamax schon seit ein paar Jahren.
Nun habe ich heute mal ein bisschen mit dem heute Bereich herumgespielt und mir ist dort die Werbung sauer aufgestoßen.
Aber da wir vom Fach sind haben wir kurzerhand den Tab mit dem Advertisement deaktiviert.

ABER !

Als ich beim spielen mit dem heute bereich so über mein Orgamax Verzeichniss Surfte und damit ja auch im Bereich Dashboard, fiel mir folgendes auf :

Im verzeichniss Data ist solange man sich im Heutebereich befindet eine Datei zu finden die sich da nenn orgamax.xml

in dieser Datei stehen alle Daten die im Dashboard sichtbar sind im klartext drinn.

Das heisst im Umkehrschluss : und diesen haben wir in unserem Unternehmen gegengeprüft.

Alle Daten sind auf dem Rechner der als Server fungiert ( Freigabe des Orgamax verzeichnisses )
somit auch für alle mit zugriff auf dieses verzeichniss zu sehen, sobald jemand den Heutebereich auf diesem rechner benutzt.
Wenn dieser User dann noch die entsprechenden rechte hat ( Chef , Admin oder sowas )
dann stehen dort munter alle Umsatzzahlen , Bankkontostände u.s.w.

Den moment abzupassen in dem die Datei erstellt wird und sich davon eine Kopie zu machen ist sowas von einfach, dass das sogar jeder Praktikant schaffen würde.

Ich kann nur empfehlen den Heutebereich nicht auf dem Server zu öffnen oder die Software dort zu benutzen.
Wir haben zum glück einen extra Server an dem nicht gearbeitet werden kann.
Aber ich kann mir vorstellen das in so manchem Unternehmen das ein wenig anders ausschaut.

Ohne das ich hier eine Panik erzeugen will, erwarte ich eigentlich eine Stellungnahme von deltra zu dieser doch nicht ganz so kleinen Sicherheitslücke.
Lösungsansätze wären :

  • Verlagerung der Datei aus dem Freigabeordner.
  • Verschlüsseln der Datei.
  • Die Daten innerhalb der Registry als string erzeugen
  • die Daten als virtuelle Datei im Speicher halten und der externen Anwendung nur einen Zeiger dorthin zu übergeben icon_biggrin.gif
  • ach es gibt doch soviele Möglichkeiten ...


viele Grüße

Honigkuchen icon_smile.gif


[Dieser Beitrag wurde 2mal bearbeitet, zuletzt am 12.04.2013 um 10:53.]
Honigkuchen
Neuling
Themenersteller
Verfasst am: 12.04.2013 [11:40]
Nun da wir dieses so nicht hinnehmen wollen haben wir folgendes getan :

1. freigabe Orgamax schliessen für niemenaden freigeben.
2. Die Ordner Archiv, Zeichnungen , Reports und Dokumente auf eines unserer NAS Laufwerke von QNAP verschoben.
3. Danach einfach die Einstellungen editiert und den neuen Sicheren Pfad dort eingetragen.
4. Firmenintern überprüfen, das keines der Internen Orgamax Verzeichnisse von den rechnern freigegeben ist.

kurzer Test und alles läuft.

Trotzdem sollte Deltra hier zeitnah reagieren um diese Lücke im System zu schließen. [Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 12.04.2013 um 11:40.]
domgre
Amateur
Verfasst am: 13.04.2013 [08:28]
Hallo Honigkuchen,

so wie du es beschreibst gibt es trotzdem keine Sicherheit, ich kann ja auch auch an jeden Client-PC gehen und einfach in den OM-Ordner klicken und mir die Datei ziehen. Arbeitet ihr in einer Domäne? Oder sind die Rechner als Arbeitsgruppe vernetzt? Lokale Kennwörter auf PC's sind kein Hindernis mehr.
Profilaie
Amateur
Verfasst am: 15.04.2013 [17:15]
Du kannst auf dem Client aber nur die HTML ziehen, die Du selbst mit Deinen Rechten in OM generierst. Also warum willst Du das machen, wenn Du es Dir doch auch in OM angucken kannst?

Oder habt ihr das OM Verzeichnis auf jedem Client freigegeben? ______________________________________________________________

Sind wir nicht alle ein bisschen Buhl?
Honigkuchen
Neuling
Themenersteller
Verfasst am: 16.04.2013 [10:27]
"Profilaie" schrieb:

Du kannst auf dem Client aber nur die HTML ziehen, die Du selbst mit Deinen Rechten in OM generierst. Also warum willst Du das machen, wenn Du es Dir doch auch in OM angucken kannst?


Richtig ...
Da ist es wirklich egal weil dort nur die Clientrechte greifen.

Süsse Grüße

orgaMAX Forum hat 4202 registrierte Benutzer, 5134 Themen und 17062 Antworten.
Es werden durchschnittlich 7.08 Beiträge pro Tag erstellt.

Zur Zeit sind 0 Benutzer online, davon 0 registrierte Benutzer.
Heute waren bereits 7 registrierte Benutzer online.

Schulungen
orgaMAX Schulungen

Wir zeigen Ihnen, wie Sie orgaMAX optimal einsetzen.
Mehr erfahren

Weiterempfehlen
orgaMAX empfehlen

Prämie bis zu 50€ sichern.
Mehr erfahren

Webinare
Webinare

Unsere kostenlosen Online-Seminare.
Mehr erfahren

FAQ
FAQ-Bereich

Antworten auf die häuftigsten Fragen.
Mehr erfahren

Download
orgaMAX Handbuch

Kostenlos als PDF herunterladen.
Download

Newsletter
orgaMAX Blog

Bleiben Sie auf dem Laufenden.
Mehr erfahren

Support-HotlineWir sind für Sie da

Entweder Sie stellen Ihre Support-Anfrage per E-Mail
oder rufen uns direkt an:

+49 (0)5231 7090-0

Unsere Telefonzeiten 
Montag bis Freitag: 
8 bis 12 und 12.45 bis 18 Uhr

E-Mail Anfrage