Ich benutze Orgamax schon seit ein paar Jahren.
Nun habe ich heute mal ein bisschen mit dem heute Bereich herumgespielt und mir ist dort die Werbung sauer aufgestoßen.
Aber da wir vom Fach sind haben wir kurzerhand den Tab mit dem Advertisement deaktiviert.
ABER !
Als ich beim spielen mit dem heute bereich so über mein Orgamax Verzeichniss Surfte und damit ja auch im Bereich Dashboard, fiel mir folgendes auf :
Im verzeichniss Data ist solange man sich im Heutebereich befindet eine Datei zu finden die sich da nenn orgamax.xml
in dieser Datei stehen alle Daten die im Dashboard sichtbar sind im klartext drinn.
Das heisst im Umkehrschluss : und diesen haben wir in unserem Unternehmen gegengeprüft.
Alle Daten sind auf dem Rechner der als Server fungiert ( Freigabe des Orgamax verzeichnisses )
somit auch für alle mit zugriff auf dieses verzeichniss zu sehen, sobald jemand den Heutebereich auf diesem rechner benutzt.
Wenn dieser User dann noch die entsprechenden rechte hat ( Chef , Admin oder sowas )
dann stehen dort munter alle Umsatzzahlen , Bankkontostände u.s.w.
Den moment abzupassen in dem die Datei erstellt wird und sich davon eine Kopie zu machen ist sowas von einfach, dass das sogar jeder Praktikant schaffen würde.
Ich kann nur empfehlen den Heutebereich nicht auf dem Server zu öffnen oder die Software dort zu benutzen.
Wir haben zum glück einen extra Server an dem nicht gearbeitet werden kann.
Aber ich kann mir vorstellen das in so manchem Unternehmen das ein wenig anders ausschaut.
Ohne das ich hier eine Panik erzeugen will, erwarte ich eigentlich eine Stellungnahme von deltra zu dieser doch nicht ganz so kleinen Sicherheitslücke.
Lösungsansätze wären :
- Verlagerung der Datei aus dem Freigabeordner.
- Verschlüsseln der Datei.
- Die Daten innerhalb der Registry als string erzeugen
- die Daten als virtuelle Datei im Speicher halten und der externen Anwendung nur einen Zeiger dorthin zu übergeben
- ach es gibt doch soviele Möglichkeiten ...
viele Grüße
Honigkuchen
[Dieser Beitrag wurde 2mal bearbeitet, zuletzt am 12.04.2013 um 10:53.]