Hallo Liebe Community!

Ich benutze Orgamax schon seit ein paar Jahren.
Nun habe ich heute mal ein bisschen mit dem heute Bereich herumgespielt und mir ist dort die Werbung sauer aufgestoßen.
Aber da wir vom Fach sind haben wir kurzerhand den Tab mit dem Advertisement deaktiviert.

ABER !

Als ich beim spielen mit dem heute bereich so über mein Orgamax Verzeichniss Surfte und damit ja auch im Bereich Dashboard, fiel mir folgendes auf :

Im verzeichniss Data ist solange man sich im Heutebereich befindet eine Datei zu finden die sich da nenn orgamax.xml

in dieser Datei stehen alle Daten die im Dashboard sichtbar sind im klartext drinn.

Das heisst im Umkehrschluss : und diesen haben wir in unserem Unternehmen gegengeprüft.

Alle Daten sind auf dem Rechner der als Server fungiert ( Freigabe des Orgamax verzeichnisses )
somit auch für alle mit zugriff auf dieses verzeichniss zu sehen, sobald jemand den Heutebereich auf diesem rechner benutzt.
Wenn dieser User dann noch die entsprechenden rechte hat ( Chef , Admin oder sowas )
dann stehen dort munter alle Umsatzzahlen , Bankkontostände u.s.w.

Den moment abzupassen in dem die Datei erstellt wird und sich davon eine Kopie zu machen ist sowas von einfach, dass das sogar jeder Praktikant schaffen würde.

Ich kann nur empfehlen den Heutebereich nicht auf dem Server zu öffnen oder die Software dort zu benutzen.
Wir haben zum glück einen extra Server an dem nicht gearbeitet werden kann.
Aber ich kann mir vorstellen das in so manchem Unternehmen das ein wenig anders ausschaut.

Ohne das ich hier eine Panik erzeugen will, erwarte ich eigentlich eine Stellungnahme von deltra zu dieser doch nicht ganz so kleinen Sicherheitslücke.
Lösungsansätze wären :

• Verlagerung der Datei aus dem Freigabeordner.
• Verschlüsseln der Datei.
• Die Daten innerhalb der Registry als string erzeugen
• die Daten als virtuelle Datei im Speicher halten und der externen Anwendung nur einen Zeiger dorthin zu übergeben
• ach es gibt doch soviele Möglichkeiten ...

viele Grüße

Honigkuchen


[Dieser Beitrag wurde 2mal bearbeitet, zuletzt am 12.04.2013 um 10:53.]

Nun da wir dieses so nicht hinnehmen wollen haben wir folgendes getan :

1. freigabe Orgamax schliessen für niemenaden freigeben.
2. Die Ordner Archiv, Zeichnungen , Reports und Dokumente auf eines unserer NAS Laufwerke von QNAP verschoben.
3. Danach einfach die Einstellungen editiert und den neuen Sicheren Pfad dort eingetragen.
4. Firmenintern überprüfen, das keines der Internen Orgamax Verzeichnisse von den rechnern freigegeben ist.

kurzer Test und alles läuft.

Trotzdem sollte Deltra hier zeitnah reagieren um diese Lücke im System zu schließen. [Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 12.04.2013 um 11:40.]

Hallo Honigkuchen,

so wie du es beschreibst gibt es trotzdem keine Sicherheit, ich kann ja auch auch an jeden Client-PC gehen und einfach in den OM-Ordner klicken und mir die Datei ziehen. Arbeitet ihr in einer Domäne? Oder sind die Rechner als Arbeitsgruppe vernetzt? Lokale Kennwörter auf PC's sind kein Hindernis mehr.

Du kannst auf dem Client aber nur die HTML ziehen, die Du selbst mit Deinen Rechten in OM generierst. Also warum willst Du das machen, wenn Du es Dir doch auch in OM angucken kannst?

Oder habt ihr das OM Verzeichnis auf jedem Client freigegeben? ______________________________________________________________

Sind wir nicht alle ein bisschen Buhl?

Richtig ...
Da ist es wirklich egal weil dort nur die Clientrechte greifen.

Süsse Grüße