Domino-Plugin gegen Brute-Force-Angriffe
Ein Plugin soll Lotus Domino vor Angriffen schützen, bei denen Benutzer-Passwort-Kombinationen durch Permutation oder Dictionary-Lookups ausprobiert werden.
Lotus Domino Server sind nicht gegen Angriffe gesichert, bei denen ein Crack-Programm Benutzer-Passwort-Kombinationen durch Permutation oder Dictionary-Lookups "ausprobiert". Dem Anwender – und damit auch dem Cracker – stehen beliebig viele Anmeldeversuche am Domino-Webserver zur Verfügung. TimeToAct stellt nun eine neue Version des Plugins SecureDomino vor, dass diese Angriffe ausschließen soll. Das Programm nutzt dazu die DSAPI-Schnittstelle, in die sich alternative Zugangslösungen, etwa auch eine Anmeldung via ACE-Server, einklinken lassen. Nach einer einstellbaren Anzahl von Anmeldeversuchen sperrt SecureDomino das Benutzerkonto für Anmeldungen über das Web und teilt dem Anwender und dem Administrator diese Sperrung per E-Mail mit.
Das Plugin wehrt darüber hinaus auch von TimeToAct so genannte "Smart-Force-Angriffe" ab, bei denen unter Ausnutzung von Domino-URLs wie $DefaultNav, $DefaultView, $DefaultForm oder ReadViewEntries unsaubere Sicherheitseinstellungen ausgenutzt werden. Diese führten in der Vergangenheit bereits zu einigen Sicherheitsproblemen, etwa bei der Deutschen Allgemeinen Versicherung.
SecureDomino wird per Server lizenziert und steht bei TimeToAct als Demoversion zur Verfügung. (Volker Weber) / (jk)
