защита информации

Тема в разделе "Lotus - Программирование", создана пользователем wk01, 19 июл 2011.

  1. wk01

    wk01 Active Member

    Регистрация:
    8 май 2010
    Сообщения:
    31
    Симпатии:
    0
    всем доброго дня!
    вот допустим задача: сделать склад конфиденциальной информации, которую бы пользователи могли читать/смотреть, но не имели бы возможности копировать/печатать.
    если бы инфа легко умещалась в текстовых (или ричтекстовых) полях, то проблемы особой и нет - убрали галку в acl о репликации-копировании документов, поставили на всей форме hide paragraph when printed и привет.
    а с аттачами такой фокус не прокатывае: открыл в соответствующем редакторе, сделал save as, или, не открывая, мышью стянул с открытой формы - воруй-нехочу.
    если б были все доки в doc/rtf/xls, то можно было бы при наполнении базы их импортить в RT Field, а не аттачить. но документы могут быть и других форматов, при стандартном лотусовом импорте которых ничего хорошего не получается. да если и *.doc листов на 150 импортировать - тоже по-моему не ок. получается, нужно скрыть сам аттач, и как-то отобразить его содержимое в удобном, приближенном к родному виде. как это может быть реализовано?

    у меня по этому вопросу мысли бегут только в сторону аплетов. но сам я по жаве и аплетам - не в зуб ногой. есть аплет, показывающий на форме приаттаченную картинку. может есть аплетные просматривалки и других форматов файлов? пытаюсь гуглить, но пока ничего полезного не найдено.
    какие ещё варианты?
     
  2. Cleric-Lviv

    Cleric-Lviv Lotus team
    Lotus team

    Регистрация:
    3 янв 2008
    Сообщения:
    605
    Симпатии:
    0
    wk01

    а телефони с камерой ви тоже у них отнимите? принт-скрин запретите ? да в наше то время, ....... нужно только желание....
     
  3. ToxaRat

    ToxaRat Чёрный маг
    Lotus team

    Регистрация:
    6 ноя 2007
    Сообщения:
    3.047
    Симпатии:
    18
    для решения подобной задачи лучше всего подходит терминальный клиент без возможности USB, Print и прочего перефирийного хлама
    вот тогда и принтскрин не поможет, ибо складывать некуда, почту внешнюю тоже запретить :)
     
  4. wk01

    wk01 Active Member

    Регистрация:
    8 май 2010
    Сообщения:
    31
    Симпатии:
    0
    ну, всё же вопрос не в том, кто кому что будет запрещать. а в том, как сделать базу данных в Lotus'е, чтобы юзеры, используя стандартный клиент notes, могли только читать аттачи в базе и не могли их никак скопировать.
    тогда и почту внешнюю запрещать не надо (т.к. отмыливать наружу будет просто нечего), и флешками/дисками работникам можно будет пользоваться без угрозы утечки ценной информации.

    а терминальный клиент с урезанными возможностями не подойдёт, потому что кроме обращения к базе с ценными документами у этих же пользователей есть ещё куча другой работы (связанной и с почтой, и с другими базами данных с полноценным доступом), выполнение которой просто неосуществимо в клиенте-огрызке.
     
  5. Akupaka

    Akupaka А че я?.. О.о

    Регистрация:
    4 окт 2007
    Сообщения:
    3.373
    Симпатии:
    2
    мечты... наивные )) только в "строгих конторах" решается все старыми методами: спец-комната, без окон-без дверей, без средств коммуникации в ней (глушат), и одна клавиатура да терминал.
     
  6. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    никак
    или уточняйте что имели в виду по шагам - что делает пользователь, когда он "читать"

    Добавлено: ну а по вопросу об "открыть приложение" - это и есть главная дыра в секурити
    если нужен тока текст - antiword
    либо держать все доки в ПДФ, с соответ. защитой (что правильно)

    Добавлено:
    если всё обрезать (и выход в интернет да и любое сетевое подсоединение) - то это вариант "неуловимый Джо" :)
     
  7. wk01

    wk01 Active Member

    Регистрация:
    8 май 2010
    Сообщения:
    31
    Симпатии:
    0
    когда пользователь "читать", он делает следующее: находит в представлении нужный документ, открывает его. в открытой форме: текстовые поля с реквизитами и кнопка. поле с аттачментом не показывается, чтобы он не мог его мышой стащить. он жмякает по кнопке, и тогда в отдельном окне (или в области этой же формы) отображается содержимое приаттаченного файла, которое он может только пролистать и закрыть. при этом сам файл ни в какие временные папки на диск выгружаться не должен.
    я это себе как-то так пока представляю.

    это да, защита контента от копирования/печати в пдфе видел, а там при этом и "сохранить/сохранить как" недоступны?
    хотя этот вопрос я и сам погуглю. ну допустим всё шоколадно, и из адобридера никак нельзя будет выдернуть текст/распечатать/сделать копию. но ведь файл же в нём и не открыть никак без предварительного сохранения на диск.

    и я правильно понял, что аплетов, отображающих приаттаченные пдфы (или tiff multipage), никто не встречал? что-то типа такого http://www.notesnet.ru/library/docid/1066CF только с функцией листания многостраничного файла.
     
  8. Kizarek86

    Kizarek86 Lotus team
    Lotus team

    Регистрация:
    20 июл 2007
    Сообщения:
    857
    Симпатии:
    5
    Плохая идея закрывать доступ на уровне приложения, не нужно этого делать.
    Если кому-то очень уж нужно будет унести информацию он найдет как её унести)
    Вы сможете запретить фотать экран? Если не сможете то не стоит и блочить остальное
    ИМХО
     
  9. wk01

    wk01 Active Member

    Регистрация:
    8 май 2010
    Сообщения:
    31
    Симпатии:
    0
    Ну так вот, для решения данной задачи альтернативы апплетам видимо нет.
    Про защищённые пдфы подсказка была очень кстати, взялся гуглить пдфные апплеты-просматривалки. оказалось их довольно много есть, и по цене - от нуля до чуть менее 9000$.
    поскольку мне нужна только возможность просмотра, то выбрал без наворотов:
    вот http://www.jpedal.org/open_source_pdf_viewer_download.php
    и вот http://bfo.com/products/pdfviewer/
    бесплатные, да ещё и местами с открытым кодом.
    По инструкциям сделал для каждого из них по веб-страничке, впежил туда код, открыл ыксплорером - работает, пдфники кажет!
    оставалось засунять jpedal'ный вьюер в лотусовую форму. если б это получилось, то можно было бы начинать вникать в исходники, чтоб убрать из аплета фичи сохранения, печати. но не получается у меня чегой-та.
    запихал jar'ы в shared resources\applets, тыкнул на форме create\Java Applet, выбрал шареный апплет, указал базовый класс, размеры. параметры не указывал, и без них должно работать. ан-нет! не фурычит. причём, в разных клиентах по-разному не фурычит:

    Notes 7.0.2
    jpedal:
    Java-программа (ошибка): java.lang.UnsupportedVersionError: Unsupported major.minor version 49.0.
    ---
    bfopdf:
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet загружена.
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet (исключение): java.lang.NoClassDefFoundError: org/faceless/pdf2/viewer2/PDFViewer
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet (запуск): программа не инициализирована.
    ===
    Notes 8.5.1
    jpedal:
    Java-программа org.jpedal.examples.simpleviewer.AppletViewer загружена.
    Java-программа org.jpedal.examples.simpleviewer.AppletViewer (исключение): java.lang.NullPointerException
    Java-программа org.jpedal.examples.simpleviewer.AppletViewer (запуск): программа не инициализирована.
    ---
    bfopdf:
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet загружена.
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet (исключение): java.lang.NoClassDefFoundError: org.faceless.pdf2.viewer2.PDFViewer (initialization failure)
    Java-программа org.faceless.pdf2.viewer2.PDFViewerApplet (запуск): программа не инициализирована.
    (bfopdf и jpedal это те два проверенных ыксплорером апплета)

    я про явы и апплеты не шарю. может кто объяснит, что всё это значит? что я делаю неправильно? и как бы мне всё-тки вкорячить jpedal в лотуса? или подскажет линк на проверенный другой апплет пдф-вьюер, с которым таких проблем нет.
     
  10. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    здесь весь вопрос - как нотусня ищет либы...
    судя по сообщениям (исключая ругань на низкую версию JVM) именно путей не находит
    можно jar-ы класть в jvm/lib/ext (тогда и с пермишенами не будет возни)
    вместо
     
  11. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    И апплеты вам тоже не помогут. Вся эта петрушка будет работать ровно до тех пор, пока юзер не догадается нажать на документе правой кнопкой, выбрать "forward" и отправить документ с потрохами на внешнюю почту. Могу еще пяток вариантов увода предложить, но не суть. Важно другое: файл можно открыть => можно скопировать => можно стырить.

    Интерфейсная защита создает фальшивое ощущение безопасности. Т.о. секьюрность не повышается, а понижается.
    Решение №1: ToxaRat, Akupaka
    Решение №2: административные меры: наказание за кражу, превышающее профит от нее + неотвратимость оного.

    код апплета( используемых библиотек) скомпилирован под java версии выше 1.5. В R7 java 1.4
    проблемы с classpath. попробуйте выложить либы в lib/ext
    Читать полное сообщение об ошибке( лучше в английской версии клиента) выяснять строку на которой падает и курить код AppletViewer... Куда конкретно валится стэктрейс от апплета не знаю, но начните поиск с локального лога и java консоли...
    не имея четкого представления об используемых инструментах, не стоит браться за проблемы безопасности.
    При просмотре файла апплетом - копия файла ляжет в темповую папку(с хорошей вероятностью, она даже не удалится автоматически). Достать его оттуда - секундное дело...
     
  12. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    именно, но и тут возможны варианты, но в любом случае подход должен быть "комплексным"
    -костылятор - монитор процессов доступающихся к файлу (не бином ньютона) и запрет на доступ "другим"...
    -можно рендерить страницы ПДФ в картинку и казать, сам ПДФ шифрованный, ключ в спец. доке, доступном подписанту, и серверным агент передаёт стрим страницы клиенту, аплет могет дергать по хттпс сервак и отображать резалт, хотя у нотусни сложности с отдачей бинарного потока по хттп, через агент (но ведь сервак могет сгенерить временную картинку)...

    вот тока, боюсь, топикстартер этого не реализует
     
  13. wk01

    wk01 Active Member

    Регистрация:
    8 май 2010
    Сообщения:
    31
    Симпатии:
    0
    так если у пользователя убрать в ACL галку "Replicate or copy documents", то никакие догадки о форварде не сработают. ещё пяток вариантов узнать было бы интересно и полезно для общего развития.
    стэктрейс обнаружен в java консоли. спасибо за наводку, а то, честно говоря, и не знал где искать подробности.
    я как раз и пытаюсь получить хоть какие-то представления об инструментах, которыми бы задача могла быть решена. собственно и сама задача только ради этого и поставлена, чтобы было с чего начинать разбираться. ведь если ни за что не браться, вряд ли чёткие представления о чём бы то ни было появятся сами собой.
    а вот с этим и правда засада.
    действительно, на данный момент мне это не по силам, но спасибо за описание решения.
     
  14. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    "Replicate or copy documents" лишь слегка усложняет задачу злоумышленнику. Мой ответ на эту галку - смартбаттон @Command( [AttachmentDetachAll] )
    Ну и тяжелую артиллерию никто не отменял: агент в локальной базе обойдет любую интерфейсную заморочку.

    А мнение что "пользователь - ламер ушастый и кодить он уж точно не будет никогда" может дорого обойтись:
    У девочки с ресепшена совершенно случайно муж (любовник, подруга, однокашник, сосед по даче, нужное подчеркнуть) может оказаться программистом и объяснить какие кнопки в какой последовательности жать. И чисто ради спортивного интереса обрушить такую "защиту" вдребезги пополам.

    оно похвально. желание разобраться - это правильно. вот только не каждая задача имеет решение...

    P.S. а апплеты, имхо, вообще тупиковая ветвь развития. если хочется быть в теме - нужно курить другую java.
    Нынче рулят танковые клинья и ковровое бомбометание(с) Goblin - JSF и OSGI bundles
     
  15. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    вот только в нотес клиенте это проявлено, мягко говоря, слабо... потому как хэпаги вродиб есть..., но в кач. отображалки в нотусне - как-то "не принято" ;) и странное поведение ИБМ этому не способствует
     
  16. turumbay

    Регистрация:
    13 мар 2009
    Сообщения:
    625
    Симпатии:
    2
    Нормально проявлено: пруф
    Просто надо уметь их готовить. Я вот, например, пока не умею.
    Но речь о том и идет, что если щаз не вскочить на этот поезд, то он уйдет в светлое высокооплачиваемое будущее без нас.
    P.S. На тему OSGI, кстати, есть неплохое кино "сделай сам". Похоже, аналогичные бандлы можно делать для клиента.
     
  17. lmike

    lmike нет, пердело совершенство
    Команда форума Lotus team

    Регистрация:
    27 авг 2008
    Сообщения:
    6.083
    Симпатии:
    300
    не сомневаюсь в возможности ;), я об удобстве разработки и о том, что ИБМ тянет старый UI отдельно (я предпочёл бы чисто эклипсовый, без вин32 гуйни, кот. коряво портируют в никсы), то что можно запустить "другое" UI - оно понятно, но бегиморно разрабатывать - неочевидно
     
Загрузка...
Похожие Темы - защита информации
  1. fear
    Ответов:
    4
    Просмотров:
    153
  2. Skip
    Ответов:
    8
    Просмотров:
    542
  3. serg24
    Ответов:
    0
    Просмотров:
    1.082
  4. Clodan
    Ответов:
    1
    Просмотров:
    1.302
  5. cdtnf
    Ответов:
    0
    Просмотров:
    1.309

Поделиться этой страницей