Kein Eintrag im Inhaltsverzeichnis unter Q im SP2010 Buch für Dummies, warum?

War dies im Manuskript etwa noch vorgesehen, ist dann allerdings aufgrund der zu erwartenden Erfahrungen mit und um Edward Snowden unter den Tisch gekehrt worden?

Im Laufe der Jahre habe ich einige blogs fallen gelassen zu dem System und seinem Problem um die Qualität der Sicherheit in der Vergangenheit..

Die Architekturidee vom Erfinder des Lotus Notes Systems ist bis heute genial, die Scheunentor Sicherheit der Kleinstweich damals noch nicht.

Dieser Edward, ein Admin mit Wissen zum Vorgängersystem, dessen Security daran zu messen war, wie loyal ein Admin zu seinem Brötchengeber eingestellt sei, war ja bekanntlich ein Vertragsmitarbeiter der NSA ausgeliehen von der CIA.

Heute tut er vom Asyl in Rusland aus, nach seinen aktuellen Verlautbarungen in Videos noch den CIA Wissenden spielend, kein bisschen weiser, oder tut er nur?

Was hat er getan?

Nun er hat damals die Datenbank der NSA, was besseres gab es nicht, könnte man heute sagen, [um die CIA darauf anzusetzen;)] mal eben komplett irgendwo in Asien sitzend kopiert, und auf den Markt der Informationen geworfen.

Das bekannte Spiel lief los, die weltweite Fahndung nach ihm, und sein Asyl bei Mr. Putin, der kann am besten mit seinen inländischen CIA Widerparts umgehen, einer mehr macht die Soljanka nicht fett.

Jahre später wurde der Eric Schmidt in seiner Funktion als CEO von Google in direkter Folge der Krankheit seiner später doch verschiedenen Tochter dazu gebracht, dem nordkoreanischen CIA den core Code von Google zu übergeben. Irgendetwas muß da gefehlt haben, sagen die Ereignisse.

Man sieht, das Schachspiel geht schon eine ganze lange Weile, bevor DJT als Präsident der originalen U.S. Republic of America berufen wurde, aktueller Oberfehlshaber der Streitkräfte ebenda, gegen die Nazis und den babylonischen Sumpf weltweit.

Wie lange wird die Hure von Babylon auf ihrer Insel noch agieren, oder wie lang lässt man sie noch? Welche Könige sind noch über, welche Kaufleute werden klagen?

Mit Liebe.

 

https://m.heise.de/developer/artikel/Verwundbarkeitsanalyse-anhand-von-CPE-Dictionary-und-CVE-Feeds-4188341.html

Angeregt durch diesen Artikel möchte ich auf ein Problem in MS SharePoint (SP) Farm Solution Erweiterungen (full trust code) eingehen, welche heute durchaus noch am Markt vertreten sind, Probleme möglicherweise weiter in sich tragen, so dass der Trust nicht gerechtfertigt sein könnte. Diese Art der SP Erweiterung ist on premise auch weiterhin von MS SP voll unterstützt.

Die Rede ist hier vom sogenannten Double Hop Problem. SP unterstütze standardmäßig das NTLM System für die Benutzerauthentifizierung, aber auch die griechischen Höllenhunde können benutzt werden. Im Gegensatz zu Kerberos unterstützt NTLM keine Delegation mit Tickets.

Was passiert also hier? Ein Benutzer meldet sich per Web Browser am SP an, und kann nun seinen Berechtigungen nach Schalten und Walten. Im Hintergrund sind Services im SP integriert, welche bestimmte Aufgaben auf einem eigenen Host vom Benutzer unbemerkt angestoßen abarbeiten. Host heisst hier, SP Farm Member auf einem eigenen Windows Server OS.

Dh. nach der Anmeldung am System, stellt der annehmende Service fest, daß der angeforderte Service auf einer anderen Member Maschine gehosted wird. Somit wird die Anfrage dorthin weitergeleitet, es findet eine Delegation statt, und nur wenn hier Tickets vorhanden sind ist der angesprochene Service in der Lage, die Anfrage einem Benutzer zuzuordnen. Die Standard Services des SP sind nun alle mit einer Abprüfung auf den Benutzer ausgestattet. Somit kann kein unberechtigter Benutzer die Services für seine Zwecke verwenden, in diesem Fall wird ein entsprechender Fehlercode zurückgeben.

Leider ist diese Art der Implementation in Custom SP Services nach meiner Beobachtung nicht zwingend gegeben. Da die Software abwärtskompatibel ausgeliefert wird, aus Performance Gründen auf einen eigenen Member Host gesetzt wird, tritt das Problem selbst dann auf, wenn dieser sich selber per SP URI anspricht. In der mir bekannten Implementation wird hier bei unbekanntem Benutzer schon mal im SP auf System impersoniert, um dann weiter zu prozessieren.

Solange alles ohne unlautere Absichten im SP Kontext abläuft tut das System seinen Dienst.

Nur sind die SP Webservice Endpunkte per se offen für den anonymen Zugriff, um eine kontraktgemäße Schnittstellenbeschreibung zu liefern und die Kommunikation auszuhandeln. Somit sind hier bei Kenntnis der Datenlage beliebige Manipulationen des gesamten SP && PM und oder ERP Systems denkbar.

Die in der Anfangszeit 2007/2010 implementierte Lösung hat sich an dieser Stelle spätestens mit  den Versionen 2013/2016/2019 keinen Gefallen getan. Zusätzlich zu der verwendeten late binding activeX Technologie der domainspezifischen Lösung wurden mehrere PR Anfragen mit Unverständnis für die Problemsachlage abgewiesen.

Das sogenannte SP Farm Solution Model birgt also nicht nur die Stabilität von SP beeinflussendem InProcess Ablaufschema in sich, auch Sicherheitsanforderungen müssen nicht mehr mit der Papierform des eigentlichen SP Produktes übereinstimmen.

Was bleibt als Fazit?

Ideal sind also SP Systeme, welche on premise like SPonline betrieben werden. Dh. sie sind immer auf dem aktuellen Security Patch Level, Erweiterungen und Webparts basieren auf dem SPFx und gehosteten csom apps. Sehnlicher Wunsch wäre eine in place Migration-Möglichkeit von Version zu nachfolgender Version. Aber leider ist dieses Ideal häufig nur Wunschdenken, aber träumen kann ja nicht verboten werden!