будь добр объясни мне этот механизм проверки в репликации на "примут/не примут"
а то у меня почему-то всегда принимает назад и я не могу смоделировать ситуацию чтобы НЕ принимало...
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
а то у меня почему-то всегда принимает назад и я не могу смоделировать ситуацию чтобы НЕ принимало...
алаверды в обратную сторону - у меня не принимает
[DOUBLEPOST=1427871972,1427871740][/DOUBLEPOST]давай так - ты расскажешь общественности, для грубого примера, что у тебя есть реплика, в кот. ты - ридер (и только один ИД - твой), и ты, в этой реплике создаешь документ (или меняешь), и эти изменения попадают на сервер (кот. тебе доступен только через клиента нотес)
Wanderstep
Lotus Team
TaxaRat, вспоминаем азы Lotus в части механизма репликации. 
И уточняем условия задачи.
К примеру: Имеем два сервера, участвующих в репликации. При репликации проводится проверка по ACL прав на изменение каждого сервера. Если один из серверов будет Читателем, то изменения из его реплики БД не будут допущены в реплику БД на другом сервере.
И уточняем условия задачи.
К примеру: Имеем два сервера, участвующих в репликации. При репликации проводится проверка по ACL прав на изменение каждого сервера. Если один из серверов будет Читателем, то изменения из его реплики БД не будут допущены в реплику БД на другом сервере.
И почему я не люблю попкорн?
upd: Не забываем, что цель - родить недоадмина в домине
))
На самом деле интереснейшее шоу, в этой ветке просто зоопарк.
Кто нить аккумулируйте задачу в теперешнем состоянии, ато срачь разведем.
Кто нить аккумулируйте задачу в теперешнем состоянии, ато срачь разведем.
ситуация еще интереснее - сервера второго нет, есть ИД некоего персонажа, у кот, ограничены права
про ридера я усугубил, для наглядности, из жизни - автор, но без прав создавать доки
цель - получить измененный док на сервере или новый док, все это относится не просто к БД, а + к АК
Последнее редактирование модератором:
@ToxaRat произвел странный вброс - де он может изменять БД (типа даже разенкриптить) не имея прав на изменение доков
изначально полагалось что цепочка ограничений + шифрование доков - исключает доступ к докам "кому не попадя"
в том что сейчас утверждает @ToxaRat я не могу быть уверенным - ибо там набор не специфичных сентенций, мало (никак) обоснованных и описанных
@lmike, вы его превратно поняли.
Дело в том, что он не понял условия задачи и рассуждает как админ/прогер с правами к серверу как Бог.
Я то же не понял условий задачи. Поэтому и прошу хоть кого нить сделать выжимку из обсуждения, что бы не растекаться мыслями по черт знает чему.
ЗЫЖ @lmike, по секрету вам скажу, если не правильно пользоваться Notes C++ API, можно натворить такого, что .... лучше помолчу. @ToxaRat не глумится над вами, он просто не договаривает.
Дело в том, что он не понял условия задачи и рассуждает как админ/прогер с правами к серверу как Бог.
Я то же не понял условий задачи. Поэтому и прошу хоть кого нить сделать выжимку из обсуждения, что бы не растекаться мыслями по черт знает чему.
ЗЫЖ @lmike, по секрету вам скажу, если не правильно пользоваться Notes C++ API, можно натворить такого, что .... лучше помолчу. @ToxaRat не глумится над вами, он просто не договаривает.
ему несколько раз повторили - что прав таких нет (и с этого и начинался топик)
[DOUBLEPOST=1427880469,1427880395][/DOUBLEPOST]
например? я смогу поменять данные, на сервере, не имея прав, с рабочей станции и по сети?
Я чуть скорочу, но суть процесса выдам вот так:
1) я обычным 8м или 9м клиентом забираю реплику АК
2) я кидаю полученную реплику на СВОЙ сервер
3) я меняю доки на своём сервере - ну он мой, я на нём БОГ и ACL существующей БД-АК мне менять не нужно, я там или точно также одноименно заведён как админ в пунке №1 или я вхожу в одну из групп типа LocalDomainAdmins как побочный одноименный админ
4) забираю БД-АК с СВОЕГО сервера
5) реплицируюсь назад с сервером из пункта №1
как человек производящий реплику туды/сюды я ни один док не изменил и моих следов изменения тама нету как и изменения ACL
[DOUBLEPOST=1427880945,1427880776][/DOUBLEPOST]
Пути как я оставляю базку для анонимуса или кусочек "базки" - различны....
1) я обычным 8м или 9м клиентом забираю реплику АК
2) я кидаю полученную реплику на СВОЙ сервер
3) я меняю доки на своём сервере - ну он мой, я на нём БОГ и ACL существующей БД-АК мне менять не нужно, я там или точно также одноименно заведён как админ в пунке №1 или я вхожу в одну из групп типа LocalDomainAdmins как побочный одноименный админ
4) забираю БД-АК с СВОЕГО сервера
5) реплицируюсь назад с сервером из пункта №1
как человек производящий реплику туды/сюды я ни один док не изменил и моих следов изменения тама нету как и изменения ACL
[DOUBLEPOST=1427880945,1427880776][/DOUBLEPOST]
Для выполнения этой задачи мне всего-то нужно предварительно оставить на сервере базку для анонимуса, и потом не авторизируясь через веб я делаю ВСЁ
Пути как я оставляю базку для анонимуса или кусочек "базки" - различны....
у тебя нет сертифайера и сервер авторизованный для подобных изменений, на удалении, ты создать не можешь
кросс-сертификация - не, не знаем
то что реплицируешь ты - основная засада - т.к. ты не имеешь прав
[DOUBLEPOST=1427881220,1427881169][/DOUBLEPOST]
у тебя НЕТ прав для "оставления" баз - ну сколько можно это повторять! и твоя подись не валидна для изменений на сервереДля выполнения этой задачи мне всего-то нужно предварительно оставить на сервере базку для анонимуса, и потом не авторизируясь через веб я делаю ВСЁ
Пути как я оставляю базку для анонимуса или кусочек "базки" - различны....
@lmike, "например? я смогу поменять данные, на сервере, не имея прав, с рабочей станции и по сети?" - Правильный ответ = Нет. Но если очень хочется, то ДА. Однако по другому. Прогеры тут лишние.
@ToxaRat, ИМХО, прости меня, но ты уводишь аудиторию куда то на опушку. Извени.
Вот по этому я и прошу выжимку ситуации
Или переименовывайте ветку в "Как поднасрать админу"
@ToxaRat, ИМХО, прости меня, но ты уводишь аудиторию куда то на опушку. Извени.
Вот по этому я и прошу выжимку ситуации
Или переименовывайте ветку в "Как поднасрать админу"
Изначально задача стояла, что бы "админы" не могли читать письма Был предложен вариант шифрования писем + ужесточения контроля за ИД.
Конечно же эти меры не обеспечат полную безопасность ибо:
1 - Админ может журналировать всю почту куда-ть
2 - может выдернуть ИД из ид ваулт или восстановить ид и под ним смотреть.
Вариация 1.1 по @ToxaRat - внести модификации в АК сервера на предмет журналирования почты. - но это становится видно другим. Можно модифицировать как 1.2 - создать 2 дока с ридерсами 1 - сервер+вуерист, 2- все остальные.
Но это опять таки будет видно админам с фулаксес и вычислить падлюку легко.
Остается закрыть АК от всех кроме суперадмина - вернее нужные доки. И в принципе задача решена - незаметно уже сложно будет читать чужую почту.
Был предложен вариант шифрования писем + ужесточения контроля за ИД. Конечно же эти меры не обеспечат полную безопасность ибо:
1 - Админ может журналировать всю почту куда-ть
2 - может выдернуть ИД из ид ваулт или восстановить ид и под ним смотреть.
Вариация 1.1 по @ToxaRat - внести модификации в АК сервера на предмет журналирования почты. - но это становится видно другим. Можно модифицировать как 1.2 - создать 2 дока с ридерсами 1 - сервер+вуерист, 2- все остальные.
Но это опять таки будет видно админам с фулаксес и вычислить падлюку легко.
Остается закрыть АК от всех кроме суперадмина - вернее нужные доки. И в принципе задача решена - незаметно уже сложно будет читать чужую почту.
мой сервер ничего не удаляет, БД ему я подкладываю и забираю на файловом уровне
БД не шифрована, доступ у меня к нет полноценный
что не так?
чтобы "нарушить" документ - мне нужно сбить с него цифровую подпись - но она на них не накладывалась
Реплицирую назад я изменения сделанные НЕ мною (не тем пользователем который производит репликацию)
И при репликации документы так же показывают что они изменены не тем кто реплицировался, а тем кто их менял
Свойсвтво - автор не от репликатора идёт
[DOUBLEPOST=1427881574,1427881479][/DOUBLEPOST]
создать скрытое правило видимое только серверу, которое будет делать копию сообщений куда нужно
не так то, что присутствие любых имен должно быть разрешено на удаленном сервере, для проведения изменений...
устал объяснять очевидное
[Изначально задача стояла, что бы "админы" не могли читать письма]
Ла-ла-ла ... закрывайте топик.
Ла-ла-ла ... закрывайте топик.
Погодите сударь, из не решаемой тема превратилась в очень интересную.
Обучение наступательной кибербезопасности в игровой форме. Начать игру!