• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Ограничить доступ

  • Автор темы Автор темы deeeman
  • Дата начала Дата начала
то - что если док изменился, а прав на это нет (на сервере) - то обратно его "не примут"
будь добр объясни мне этот механизм проверки в репликации на "примут/не примут"

а то у меня почему-то всегда принимает назад и я не могу смоделировать ситуацию чтобы НЕ принимало...
 
будь добр объясни мне этот механизм проверки в репликации на "примут/не примут"
алаверды в обратную сторону - у меня не принимает
[DOUBLEPOST=1427871972,1427871740][/DOUBLEPOST]давай так - ты расскажешь общественности, для грубого примера, что у тебя есть реплика, в кот. ты - ридер (и только один ИД - твой), и ты, в этой реплике создаешь документ (или меняешь), и эти изменения попадают на сервер (кот. тебе доступен только через клиента нотес)
 
Предлагаю поднять тестовый сервер ;)
Мне дико интересно, ибо если это правда то размер дыры сложно описать словами
 
Последнее редактирование модератором:
TaxaRat, вспоминаем азы Lotus в части механизма репликации. ;)
И уточняем условия задачи.
К примеру: Имеем два сервера, участвующих в репликации. При репликации проводится проверка по ACL прав на изменение каждого сервера. Если один из серверов будет Читателем, то изменения из его реплики БД не будут допущены в реплику БД на другом сервере.
 
На самом деле интереснейшее шоу, в этой ветке просто зоопарк.

Кто нить аккумулируйте задачу в теперешнем состоянии, ато срачь разведем.
 
К примеру: Имеем два сервера, участвующих в репликации.
ситуация еще интереснее - сервера второго нет, есть ИД некоего персонажа, у кот, ограничены права
про ридера я усугубил, для наглядности, из жизни - автор, но без прав создавать доки
цель - получить измененный док на сервере или новый док, все это относится не просто к БД, а + к АК
 
Последнее редактирование модератором:
На самом деле интереснейшее шоу, в этой ветке просто зоопарк.
@ToxaRat произвел странный вброс - де он может изменять БД (типа даже разенкриптить) не имея прав на изменение доков
изначально полагалось что цепочка ограничений + шифрование доков - исключает доступ к докам "кому не попадя"
в том что сейчас утверждает @ToxaRat я не могу быть уверенным - ибо там набор не специфичных сентенций, мало (никак) обоснованных и описанных
 
@lmike, вы его превратно поняли.
Дело в том, что он не понял условия задачи и рассуждает как админ/прогер с правами к серверу как Бог.
Я то же не понял условий задачи. Поэтому и прошу хоть кого нить сделать выжимку из обсуждения, что бы не растекаться мыслями по черт знает чему.


ЗЫЖ @lmike, по секрету вам скажу, если не правильно пользоваться Notes C++ API, можно натворить такого, что .... лучше помолчу. @ToxaRat не глумится над вами, он просто не договаривает.
 
как админ/прогер с правами к серверу как Бог
ему несколько раз повторили - что прав таких нет (и с этого и начинался топик)
[DOUBLEPOST=1427880469,1427880395][/DOUBLEPOST]
ЗЫЖ @lmike, по секрету вам скажу, если не правильно пользоваться Notes C++ API, можно натворить такого, что .... лучше помолчу.
например? я смогу поменять данные, на сервере, не имея прав, с рабочей станции и по сети?
 
Я чуть скорочу, но суть процесса выдам вот так:
1) я обычным 8м или 9м клиентом забираю реплику АК
2) я кидаю полученную реплику на СВОЙ сервер
3) я меняю доки на своём сервере - ну он мой, я на нём БОГ и ACL существующей БД-АК мне менять не нужно, я там или точно также одноименно заведён как админ в пунке №1 или я вхожу в одну из групп типа LocalDomainAdmins как побочный одноименный админ
4) забираю БД-АК с СВОЕГО сервера
5) реплицируюсь назад с сервером из пункта №1

как человек производящий реплику туды/сюды я ни один док не изменил и моих следов изменения тама нету как и изменения ACL
[DOUBLEPOST=1427880945,1427880776][/DOUBLEPOST]
например? я смогу поменять данные, на сервере, не имея прав, с рабочей станции и по сети?
Для выполнения этой задачи мне всего-то нужно предварительно оставить на сервере базку для анонимуса, и потом не авторизируясь через веб я делаю ВСЁ ;)
Пути как я оставляю базку для анонимуса или кусочек "базки" - различны....
 
4) забираю БД-АК с СВОЕГО сервера
5) реплицируюсь назад с сервером из пункта №1
у тебя нет сертифайера и сервер авторизованный для подобных изменений, на удалении, ты создать не можешь
кросс-сертификация - не, не знаем
то что реплицируешь ты - основная засада - т.к. ты не имеешь прав
[DOUBLEPOST=1427881220,1427881169][/DOUBLEPOST]
Для выполнения этой задачи мне всего-то нужно предварительно оставить на сервере базку для анонимуса, и потом не авторизируясь через веб я делаю ВСЁ ;)
Пути как я оставляю базку для анонимуса или кусочек "базки" - различны....
у тебя НЕТ прав для "оставления" баз - ну сколько можно это повторять! и твоя подись не валидна для изменений на сервере
 
@lmike, "например? я смогу поменять данные, на сервере, не имея прав, с рабочей станции и по сети?" - Правильный ответ = Нет. Но если очень хочется, то ДА. Однако по другому. Прогеры тут лишние.

@ToxaRat, ИМХО, прости меня, но ты уводишь аудиторию куда то на опушку. Извени.

Вот по этому я и прошу выжимку ситуации
Или переименовывайте ветку в "Как поднасрать админу"
 
Изначально задача стояла, что бы "админы" не могли читать письма :) Был предложен вариант шифрования писем + ужесточения контроля за ИД.
Конечно же эти меры не обеспечат полную безопасность ибо:
1 - Админ может журналировать всю почту куда-ть
2 - может выдернуть ИД из ид ваулт или восстановить ид и под ним смотреть.
Вариация 1.1 по @ToxaRat - внести модификации в АК сервера на предмет журналирования почты. - но это становится видно другим. Можно модифицировать как 1.2 - создать 2 дока с ридерсами 1 - сервер+вуерист, 2- все остальные.
Но это опять таки будет видно админам с фулаксес и вычислить падлюку легко.
Остается закрыть АК от всех кроме суперадмина - вернее нужные доки. И в принципе задача решена - незаметно уже сложно будет читать чужую почту.
 
у тебя нет сертифайера и сервер авторизованный для подобных изменений, на удалении, ты создать не можешь
мой сервер ничего не удаляет, БД ему я подкладываю и забираю на файловом уровне
БД не шифрована, доступ у меня к нет полноценный
что не так?

чтобы "нарушить" документ - мне нужно сбить с него цифровую подпись - но она на них не накладывалась

Реплицирую назад я изменения сделанные НЕ мною (не тем пользователем который производит репликацию)
И при репликации документы так же показывают что они изменены не тем кто реплицировался, а тем кто их менял
Свойсвтво - автор не от репликатора идёт
[DOUBLEPOST=1427881574,1427881479][/DOUBLEPOST]
Вариация 1.1 по @ToxaRat - внести модификации в АК сервера на предмет журналирования почты. - но это становится видно другим. Можно модифицировать как 1.2 - создать 2 дока с ридерсами 1 - сервер+вуерист, 2- все остальные.
Но это опять таки будет видно админам с фулаксес и вычислить падлюку легко.
Остается закрыть АК от всех кроме суперадмина - вернее нужные доки. И в принципе задача решена - незаметно уже сложно будет читать чужую почту.
создать скрытое правило видимое только серверу, которое будет делать копию сообщений куда нужно ;)
 
мой сервер ничего не удаляет, БД ему я подкладываю и забираю на файловом уровне
БД не шифрована, доступ у меня к нет полноценный
что не так?
не так то, что присутствие любых имен должно быть разрешено на удаленном сервере, для проведения изменений...
устал объяснять очевидное
 
Давайте от слов к делу? Поднимаем тестовый сервер и проверяем.
Готов поднять для @ToxaRat
 
[Изначально задача стояла, что бы "админы" не могли читать письма]

Ла-ла-ла ... закрывайте топик.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Курс AD