• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

БД с документами только для чтения

K

kereyt

Доброго вечера!
Прошу совета у опытных лотусистов.
Можно ли сделать так, чтобы пользователи могли только просматривать прикреплённые файлы (pdf) без возможности их сохранения у себя на ПК?
При просмотре файлы же сохраняются во временной папке...
В целях безопасности нужно, чтобы было такое ограничение в правах.
Или это вообще не задача Lotus'а?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
Доброго вечера!
Прошу совета у опытных лотусистов.
Можно ли сделать так, чтобы пользователи могли только просматривать прикреплённые файлы (pdf) без возможности их сохранения у себя на ПК?
При просмотре файлы же сохраняются во временной папке...
В целях безопасности нужно, чтобы было такое ограничение в правах.
Или это вообще не задача Lotus'а?
Ну почему не Лотуса... Вернее и Лотус то же может поучаствовать в такого рода сексе)
Например - аттачи хранить в отдельной базе, к которой доступ только у безопасников, и при открытии основного дока - предложение написать заявку на check-in секретного документа\пдф.
После подтверждения заявки по смс приходит код подтверждения, он валиден только на том компе, где писалась заявка.
После ввода смс на комп агентом передается образ доверенной среды (докер\виртуалка\exe итп.) единственной ф-цией которого будет только показ впендюренного туда ПДФ и обезображенного для расшифровки в памяти процесса доверенной среды.
Скачать-открыть где то на другом компе будет невозможно - ибо оно будет шифроватся на основе заявки+смс+логина юзера+№ карты безопасника.
Все это можно сделать запросто на Лотусе.

UPD: для варианта когда у юзера отнимают телефон при работе за компом - можно вводить с бумажки безопасника MD5 какой-ть хрени.
 
Последнее редактирование:

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
@rinsk браво :)
в винде есть и просто RDP с запуском одного приложения, кот. может являться браузер с демонстрацией ПДФ
в линухах - X2GO может казать только одно приложение (а не весь десктоп), можно и иксы, но по сети накладно
vnc тоже могет
 

alexas1

Green Team
10.04.2014
1 202
225
BIT
34
Если я на своём экране увидел пдф, то кто мне может помешать его заскринить и сохранить (в тот же пдф) ;-)
Задача не имеет решения)))
Опять жэ, если оч хочется показывать пдф в браузере, то для этого есть embedded browser
 

Мыш

Lotus Team
12.02.2008
1 213
29
BIT
43
Ит депендс от степени паранойи товарища майора. Напоминаю - фотоаппараты и PrintScreen пока решительно одолевают безопасников! :)))

В свое время делали примерно так.
Док-ты (doc, pdf, xls) печатали в картинку, картинку вставляли в Body док-та. У документа - $KeepPrivate.
Доступ к базе с этими док-тами у юзера - Reader, без возможности копирования/репликации док-та.
С отображениями, конечно, бывали косяки.
Ну и насчет надежности защиты - надо проверять на текущих версиях, давно дело было.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Если я на своём экране увидел пдф, то кто мне может помешать его заскринить и сохранить (в тот же пдф) ;-)
Задача не имеет решения)))
Опять жэ, если оч хочется показывать пдф в браузере, то для этого есть embedded browser
там отключение/включение фич в js задается (кот. запрещает сохранение) что дыряво байдизайн
зависит от того - что дальше будут делать с информацией
 
K

kereyt

просмотр во встроенном браузере всех документов БД (doc, pdf) с запретом печати и сохранения средствами Lotus'a.
в выпадающем меню есть пункт Вид (Просмотр). как можно сделать, чтобы при щелкании на файл происходил просмотр файла именно в Lotus? а не в стороннем ассоциированном приложении. с файлами doc это получается, а pdf открывается в PDF ридере...
[doublepost=1503561322,1503560553][/doublepost]
Ит депендс от степени паранойи товарища майора. Напоминаю - фотоаппараты и PrintScreen пока решительно одолевают безопасников! :)))

В свое время делали примерно так.
Док-ты (doc, pdf, xls) печатали в картинку, картинку вставляли в Body док-та. У документа - $KeepPrivate.
Доступ к базе с этими док-тами у юзера - Reader, без возможности копирования/репликации док-та.
С отображениями, конечно, бывали косяки.
Ну и насчет надежности защиты - надо проверять на текущих версиях, давно дело было.

в принципе скринить можно. это же будет заметно.
просто сохранять и распечатывать можно будет только одному пользователю (роль editor). его распечатки будут считаться актуальными. надо в них что-то типа печатаемых меток вносить с указанием даты и текста "одобрено для использования. департамент такой-то", например. и только этот распечатанный документ можно будет использовать всем остальным.
 

garrick

Lotus Team
26.10.2009
1 349
151
BIT
164
Короче, вместо PDF надо использовать обычный лотусовый RichText или изображения документов в графических файлах, кот. embedded в RichText, тогда задача приобретает какие-то решаемые очертания.
 
K

kereyt

сделано так.
есть изменяемое поле (RTF текст). и есть вынесенная кнопка с командой @Command([AttachmentView])
но при щёлкании на это поле правой кнопкой мыши выпадает меню с пунктами: "Вид", "Изменить", "Сохранить" и т.д.
как можно отключить выпадание этого меню?
и чтобы кнопка работала и с PDF файлами. с doc файлами работает - открываются во встроенном просмотрщике...
[doublepost=1503564963,1503563016][/doublepost]
Короче, вместо PDF надо использовать обычный лотусовый RichText или изображения документов в графических файлах, кот. embedded в RichText, тогда задача приобретает какие-то решаемые очертания.
а как это можно реализовать?
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
у ПДФ есть ф-ции запрета печати/копирования текста, но я знаю программу, кот. плюет на эти проприерастивные заморочки ;)
остальные - соблюдают это правило, ниже пример "такого" файла, создан из обычного
Bash:
pdftk OpenNTF\ SDK\ readme.pdf output OpenNTF\ SDK\ readme.128.pdf owner_pw foopass
[doublepost=1503572271,1503571427][/doublepost]
с doc файлами работает - открываются во встроенном просмотрщике...
и что это меняет - я могу спокойно скопировать текст...
мало того - keyview.ini позволяет подменить вьюер
вы с чем боретесь, я не понимаю?
 

Вложения

  • OpenNTF SDK readme.128.pdf
    151,1 КБ · Просмотры: 223

garrick

Lotus Team
26.10.2009
1 349
151
BIT
164
А, к стати об этом файле... кто-то пробовал эту штуку "OpenNTF XPages SDK for Eclipse"? Как оно? На новом Eclipse'е запускается?
[doublepost=1503577498,1503577049][/doublepost]
а как это можно реализовать?
1. Выбрасываете PDF файл, а весь текст набиваете в RichText поле лотусового документа.
2. В RichText поле лотусового документа внедряете (embedded, не attachment!) изображение страниц PDF документа.
Права доступа к этим лотусовым документам настраиваете как обычно через Lotus Notes. Такие документы можно просматривать и читать в Lotus Notes, тем у кого доступ есть, попытки отправить на печать перехватываются, копирование в буфер блокируется правами доступа в ACL базы. Если использовать текст в RichText поле, будет работать полнотекстовый поиск - это удобно. С картинками поиск, конечно, работать не будет.
 

alexas1

Green Team
10.04.2014
1 202
225
BIT
34
Фигня - принтскрин и поехали...
Вопрос же был: "Можно ли сделать так, чтобы пользователи могли только просматривать прикреплённые файлы (pdf) без возможности их сохранения у себя на ПК?"
Т.е. просматривать должны все...
Частично поможет жёсткий терминал но тут уже чота надо с фотоаппаратом делать)))
А безопасникам надо лечить моцк и сами работать, а не заставлять делать бессмысленности других
Ну, эт всё риторика)))
Нормального решения нет (в той плоскости, как это себе рисуют безопасники)
 
  • Нравится
Реакции: odyssey

Gandliar

Lotus Team
16.02.2004
556
26
BIT
40
Одному мальчику не хватало денег, чтобы купить плеер, поэтому он просто запоминал музыку и слушал её в голове.
 
  • Нравится
Реакции: Мыш

savl

Lotus Team
28.10.2011
2 597
310
BIT
159
можно попробовать сделать VIEW - действием по умолчанию, принтскрин вырубить настройками ОС.


Телефоны можно изымать на входе или тупо запретить смартфоны, только нокию с фонариком.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
можно попробовать сделать VIEW - действием по умолчанию, принтскрин вырубить настройками ОС.


Телефоны можно изымать на входе или тупо запретить смартфоны, только нокию с фонариком.
можно, но и там индусы грабельки припасли ;)
аттач в таблицах не кажет контекстного меню (т.е. - будет трабла для др. БД, где такое встречается)
и ПДФ смотрелки, как правило, имеют всякие доп. фичи и найти только смотрелку - надо еще постараться
[doublepost=1504018376,1504017553][/doublepost]людЯ даже заморачваются на собственные для просмотра ПДФ
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!