Beveiligingslek in SSL 3.0 – ook van toepassing voor IBM Domino

Afgelopen week was het weer raak: diverse beveiliging sites waarschuwen voor een probleem met SSL (HTTPS verkeer). Zie bijvoorbeeld: www.security.nl Met POODLE (Padding Oracle On Downgraded Legacy Encryption) is een aanval via een SSL versie 3 verbinding mogelijk. SSL 3.0 blijkt een forse fout te bevatten waardoor hackers toegang kunnen krijgen tot versleutelde informatie. Doordat het verouderde SSL 3.0 protocol ook in de nieuwe standaard, TLS, nog steeds beschikbaar is als terugval-optie, is de ‘Poodle’ bug ook voor nieuwe systemen een aanmerkelijk risico. Diverse software leveranciers zijn druk bezig met een oplossing voor dit probleem. Tot er een oplossing is wordt aanbevolen SSL2 en SSL3 uit te zetten op uw webserver en gebruik te maken van het veiligere TLS. Voor webservers als Apache is dit geen probleem, op internet zijn diverse manieren te vinden die dit helemaal uitleggen. Echter voor Domino servers met de standaard HTTP taak, is dit geen optie. De laatste versie van Domino, 9x Social Edition heeft ook de mogelijkheid om IBM HTTP Server als alternatieve webserver te gebruiken. Dit is al een hele verbetering omdat de IBM HTTP Server, gebaseerd op Apache, wel de veiligere verbindingen ondersteund. Met een paar aanpassingen (dezelfde als bij Apache) kan SSLv3 uitgeschakeld worden. Het installeren van IBM HTTP Server is een optie in het installatie programma van Domino 9. Zie ook http://www-01.ibm.com/support/docview.wss?uid=swg27039743 Toch zijn ook met deze opzet diverse (andere) problemen gemeld op internet. IBM zelf heeft nog geen officiele reactie gegeven op dit probleem. Zie ook: www-10.lotus.com/ldd/ndseforum.nsf Op dit moment lijkt het de meest betrouwbare oplossing om een Apache webserver te installeren die als reverse proxy wordt ingesteld om alle verzoeken door te sturen naar Domino. Dit kan, mits de server voldoende capaciteit heeft, op de zelfde machine geïnstalleerd worden zodat er geen extra hardware nodig is. De veilige SSL verbinding wordt dan tot stand gebracht met de Apache webserver die op zijn beurt intern een normale verbinding via HTTP met Domino maakt. Het voordeel is dat problemen met Apache veel sneller opgelost worden door de Open Source gemeenschap. Ten opzichte van de Domino HTTP server is certificaat beheer in IBM HTTP Server en Apache ook veel eenvoudiger. Voor Windows beheerders die liever met Microsoft IIS werken, natuurlijk is dat ook mogelijk in combinatie met IBM Domino. Op de site van Microsoft is ook informatie te vinden SSLv3 (en overige protocollen) uit te schakelen: http://support.microsoft.com/kb/187498/en-us Om te controleren of lees meer…

Lees verder ...

De Ontdekken Pagina ofwel Discover Page niet tonen in Notes 9

Bij een update van IBM Notes 8.5.3 naar 9.01 FP2 bij een klant kreeg iedereen de standaard Ontdekken pagina te zien. Geen probleem natuurlijk, weg klikken en je kunt weer verder. Toch leek het handig om dit in de Desktop policy Setting aan te passen. Op het Basis tabblad staat een instelling bij Home Page Options voor Social Edition Options. Daar aangegeven niets te tonen. Bij Discover Page Options ook de keuze “Do not show” gemaakt. Instellingen opgeslagen, en ja hoor iedereen kreeg de Ontdekken pagina in beeld, en bleef die ook krijgen. In de notes.ini was de regel $DISCOVER_HOMEPAGE=2 toegevoegd door deze aanpassing. Nu las ik op de Developerworks pagina van IBM een tip om dan een Custom setting te maken in de Desktop Policy Setting om die regel de waarde 0 te geven. Nou vergeet het maar…. Zeg maar nee dan krijg je er twee in dit geval. Er was zelfs een APAR bij IBM te vinden met dit probleem, en de oplossing was helder: de gebruiker begreep het niet of had een fout gemaakt….. Welke, wat en hoe? Na wat zoekwerk blijkt er wel degelijk een fout te zitten in het Desktop Settings formulier. Paul McBride heeft op 10 juli 2014 ook de oplossing die hij van IBM had gekregen na het aanmelden van een incident beschreven. Voor die mensen die van plaatjes houden heb ik een paar schermafdrukken gemaakt van de aanpassingen die IBM voor versie 9.0.2 (eerste kwartaal 2015) zal maken. Open het database sjabloon pubnames.ntf met de IBM Domino Designer. Open het Policy Settings\Desktop Settings formulier. Verander op het Basics tabblad de formule voor het veld $Pref$DISCOVER_HOMEPAGE$HA in @If(SocEdHome=”2″ & SocEdHome$HA!=”1″;””;tmpDISCOVER_HOMEPAGE$HA) Verander de input translation formule van het veld $Pref$DISCOVER_HOMEPAGEin tmpOut:=@If((SocEdHome=”0″ | SocEdHome=””) & tmpDISCOVER_HOMEPAGE=”5″;”5″;SocEdHome=”2″ & SocEdHome$HA!=”1″ ;”4″;”2″); @If(tmpOut=””;”2″;tmpOut) Verander de eigenschappen van het veld $Pref$DISCOVER_HOMEPAGE zo dat in plaats van een Checkbox een Dialog list wordt getoond, en haal het vinkje weg bij “Allow multiple values”. Er staan nu een aantal velden in de tabel onder Discover page: pas om het netjes te maken de “Hide When” formules zo aan dat deze ook verborgen worden als de waarde van het veld SocEdHome ”2” is. Een voorbeeld SocEdHome=”1” moet SocEdHome=”1″:”2” worden. Sla het formulier op. Vernieuw het ontwerp van names.nsf met het aangepaste sjabloon Ga naar de desktop policy setting, bewerk dit document en sla het op. Nu zou de Ontdekken pagina niet meer lees meer…

Lees verder ...