Twitter

 8.0.x  8.5.x  9.0 

Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Manfred Meise  3 Mai 2013 15:06:29
 
Seitdem gestern auf heise.de von einem riesigen Java-Loch berichtet wurde, sind Administratoren unserer Kunden verunsichert und entwickeln ungewohnten Aktionismus. Besondern gern wird in Erwägung gezogen, die in der Meldung genannten Notes.ini Parameter

 
EnableJavaApplets=0
EnableLiveConnect=0
EnableJavaScript=0



zu setzen, ohne zu wissen, welche Client Funktionen sie damit blocken oder welche Anwendungen anschließend nicht mehr funktionieren.

Führt man den entsprechenden Heise.de Mailcheck für Java aus, erhält man eine entsprechende Testmail, um zu prüfen, ob die Lotus Notes Clients unsignierten Code ausführen. Ich bin dabei sehr entspannt, denn in Fällen wo wir aktiv die ECLs der Lotus Notes Notes Clients bei uns und unseren Kunden (über Desktop-Richtlinien) konzipiert und kontrolliert haben, schützen diese die Lotus Notes Clients von Haus aus. Hierbei ist es wichtig, Keine Aktionen für unsignierten (und noch besser: auch für "-Default-" Signaturen) Code nicht auszuführen. Hat man obendrein auch dem Benutzer das Recht entzogen selbst Vertrauensstellungen auszusprechen, muss ich eigentlich keine Panik haben.
Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Darüber hinaus könnten Administratoren auch explizit die Applet-Security in Desktop-Richtlinien spezifisch steuern:

Image:Heise.de: Lotus Notes mit riesigem Java-Loch! - Ich verstehe die Aufregung nicht!

Also: Keine Panik, aber bitte auch nicht einfach an ECLs und Richtlinien "schrauben", ohne die Auswirkungen abschätzen zu können.