Hilfe zu IBM Domino Social Edition Administrator 9.0.1

SICHERHEIT

ECL-Sicherheitszugriffsoptionen
Es gibt drei Kategorien von Zugriffsoptionen für ECLs.

Folgende Kategorien stehen zur Verfügung:

Was andere Personen tun (Workstation-Sicherheit)
Applets verwenden
JavaScript™ verwenden

Anmerkung: Sie können das Verhalten all dieser Einstellungen mithilfe einer Richtlinie für Sicherheitseinstellungen steuern. Sie können die Einstellungen über das Dialogfeld Workstation-Sicherheit: Ausführungskontrollliste (ECL) bearbeiten. Um das Dialogfeld zu öffnen, klicken Sie auf Bearbeiten auf dem Register "Ausführungskontrollliste (ECL)" des Sicherheitseinstellungsdokuments. Weitere Informationen hierzu finden Sie im Abschnitt Administrations-ECLs (Ausführungskontrolllisten) verwalten im verwandten Thema zum Erstellen der Sicherheitseinstellungen.

Was andere Personen tun

Die folgenden Optionen stehen zur Verfügung, wenn Sie den Zugriff auf Workstationdaten für aktive Inhalte, z. B. Notes-Datenbanken und NSF-Verbundanwendungen, einrichten.

Es werden Optionen aufgeführt, die auf XPages-Anwendungen angewendet werden können. Weitere Informationen zur Xpages-Sicherheit, einschließlich des Filterns aktiver Inhalte zum Schutz gegen gefährlichen Code, der während der Ausführung in ein XPage-Eingabesteuerelement eingegeben wird, finden Sie in der IBM® Domino Designer 9.0.1 Social Edition-Hilfe.

Tabelle 1. Optionen für Was andere Personen tun - Zugriff

Zugriff zulassen auf Ermöglicht Formeln und Code bei Aktivierung Folgendes

Dateisystem Anhängen, Anhang lösen, Workstation-Dateien lesen und schreiben. Gilt auch für Java™-Code, der von XPages-Anwendungen ausgeführt wird.

Externer Code LotusScript-Klassen und DLLs ausführen, die Notes unbekannt sind.

Aktuelle Notes-Datenbank Die aktuelle Datenbank lesen und ändern.

Umgebungsvariablen Verwendung von @SetEnvironment und @GetEnvironment sowie von LotusScript-Verfahren für den Zugriff auf die Datei NOTES.INI. Gilt auch für Java-Systemeigenschaften, auf die von Java-Code zugegriffen wird, der von XPages-Anwendungen ausgeführt wird.

Network Verbindung mit einem privilegierten Port (ein Port außerhalb des Bereichs 0 bis 1024) herstellen und Verbindungen annehmen sowie Verbindungen mit anderen Servern herstellen Gilt auch für Java-Code, der von XPages-Anwendungen ausgeführt wird.

Externe Programme Auf andere Anwendungen einschließlich der Aktivierung beliebiger OLE-Objekte zugreifen.

Nicht-Notes-Datenbanken Verwendung von @DBLookup, @DBColumn und @DBCommand für den Zugriff auf Datenbanken, wenn der erste Parameter für diese @-Funktionen ein Datenbanktreiber einer anderen Anwendung ist.

Tabelle 2. Optionen für Was andere Personen tun - Möglichkeiten

Folgende Funktionen zulassen Ermöglicht Formeln und Code bei Aktivierung Folgendes

Mail senden Funktionen wie @MailSend zum Senden von Mail verwenden.

Andere Notes-Datenbanken lesen Informationen außerhalb der aktuellen Datenbank lesen.

Vom Eigenschaftsbroker lesen Von NSF-Verbundanwendungen lesen

Ändern Ihrer Ausführungskontrollliste Die ECL ändern.

Widget-Funktionen konfigurieren Mit Widgets arbeiten, einschließlich derer, die aus OpenSocial-Gadget erstellt wurden. Weitere Informationen hierzu finden Sie im verwandten Thema zu Richtlinien für die OpenSocial-Komponente.

Daten exportieren Daten drucken, in die Zwischenablage kopieren, importieren und exportieren.

Andere Datenbanken ändern Informationen außerhalb der aktuellen Datenbank ändern.

In Eigenschaftsbroker schreiben In NSF-Verbundanwendungen schreiben

Applets verwenden

Die folgenden Optionen stehen zur Verfügung, wenn Sie den Zugriff auf Workstationdaten für Java-Applets einrichten, die in Notes ausgeführt werden:

Tabelle 3. Optionen für Applets

Zugriff zulassen auf Ermöglicht Java-Applets bei Aktivierung Folgendes

Dateisystem Dateien auf einem lokalen Dateisystem schreiben und lesen

Notes-Java-Klassen Domino-Objekte für Java und CORBA laden und aufrufen

Netzwerkadressen Verbindung mit einem privilegierten Port (ein Port außerhalb des Bereichs 0 bis 1024) herstellen und Verbindungen annehmen sowie Verbindungen mit anderen Servern herstellen

Drucken Druckjobs abschicken

Systemeigenschaften Systemeigenschaften, z. B. Farbeinstellungen und Umgebungsvariablen, lesen

Dialoge und Zwischenablage Auf die Zwischenablage des Systems zugreifen. Außerdem wird der Sicherheitshinweis deaktiviert, der im Fenster der höchsten Ebene angezeigt wird und darauf hinweist, dass das Fenster von einem Java-Applet erstellt wurde. Der Sicherheitshinweis soll Benutzer daran erinnern, keine vertraulichen Informationen in ein Dialogfeld einzugeben, das beispielsweise als Kennwortdialogfeld angezeigt wird.

Zugriff auf Prozessebene Threads und Threadgruppen erstellen, Verzweigungen externer Prozesse erstellen und die Prozesse ausführen, externe Bibliotheken laden und verzweigen, auf nicht öffentliche Mitglieder von Klassen unter Verwendung von Java Core Reflection zugreifen sowie auf die AWT-Ereigniswarteschlange zugreifen

JavaScript verwenden

Diese Optionen steuern den Zugriff auf Workstationdaten für JavaScript, das vom Notes-Client ausgeführt wird, und zwar entweder in einer Notes-Maske oder auf einer Webseite, die vom Notes-Browser angezeigt wird. Sie steuern kein JavaScript, das von anderen Browsern ausgeführt wird. Das gilt auch für Microsoft™ Internet Explorer, selbst wenn dieser Browser in den Notes-Client eingebettet ist.

JavaScript-ECL-Einstellungen steuern, ob JavaScript-Code die JavaScript-Eigenschaften des Microsoft Windows™-Objekts lesen und/oder ändern kann. Sie können Lese- und Schreibzugriff auf die Eigenschaften des Fensterobjekts gewähren. Als Objekt der höchsten Ebene im JavaScript-Dokumentobjektmodell verfügt das Fensterobjekt über Eigenschaften, die sich auf das gesamte Fenster beziehen. Durch die Sicherung des Zugriffs auf das Fensterobjekt wird gleichzeitig der Zugriff auf andere Objekte auf der Seite gesichert, da das JavaScript-Programm nur über das Fensterobjekt auf Objekte auf einer niedrigeren Ebene in der Objektmodellhierarchie zugreifen kann.

Tabelle 4. Fensterobjektklassen

Fensterobjektklasse Beschreibung Vorgabe

Quellenfenster Steuert den JavaScript-Zugriff auf das Fensterobjekt auf der Seite, die den JavaScript-Code enthält. Durch Auswahl dieser Option wird nicht verhindert, dass JavaScript-Code direkt auf das Objekt im Quellenfenster zugreift, da hierdurch das Fensterobjekt umgangen wird; daher wird diese ECL-Option nicht erzwungen. Lese- und Schreibzugriff zulassen

Anderes Fenster auf demselben Host Steuert den JavaScript-Zugriff auf das Fensterobjekt auf einer anderen Seite als der, die den JavaScript-Code enthält, die sich jedoch auf demselben Host befindet. JavaScript-Code auf einer Seite unter www.IBM.com kann beispielsweise auf das Fensterobjekt auf einer anderen Seite unter www.IBM.com zugreifen. Dadurch können zwei Seiten interagieren, wenn sie sich in derselben Rahmengruppe befinden. Lese- und Schreibzugriff zulassen

Anderes Fenster auf anderem Host Steuert den JavaScript-Zugriff auf das Fensterobjekt auf einer anderen Seite in einer Rahmengruppe, die einen anderen Host verwendet. JavaScript-Code auf einer Seite unter www.IBM.com kann beispielsweise auf das Fensterobjekt auf einer Seite auf einem beliebigen anderen Server zugreifen.
Anmerkung: Die Aktivierung dieser Option stellt ein hohes Sicherheitsrisiko dar, weil die Möglichkeit besteht, dass gefährlicher Code auf einer Seite der Rahmengruppe auf Daten auf einer anderen Seite zugreift.
Lese- und Schreibzugriff nicht zulassen

Mit zwei weiteren ECL-Optionen wird gesteuert, ob mit JavaScript-Code, der vom Notes-Client ausgeführt wird, eine neue Webseite oder ein neues Notes-Dokument geöffnet werden darf.

Tabelle 5. Optionen, mit denen das Öffnen im Notes-Client aktiviert werden kann

Option Beschreibung Vorgabe

URL auf demselben Host Steuert, ob eine Seite bzw. ein Notes-Dokument auf demselben Host wie dem, auf dem der JavaScript-Code ausgeführt wird, geöffnet werden kann. Öffnen zulassen

URL auf anderem Host Steuert, ob eine Seite bzw. ein Notes-Dokument auf einem anderen Host wie dem, auf dem der JavaScript-Code ausgeführt wird, geöffnet werden kann. Öffnen nicht zulassen

Zugehörige Konzepte
Informationen zu Verbundanwendungen

Zugehörige Tasks
Ausführungskontrolllisten
Administrations-ECLs erstellen
Einstellungsdokument für Sicherheitsrichtlinien
Richtlinien für die OpenSocial-Komponente erstellen

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Zugriff zulassen auf	Ermöglicht Formeln und Code bei Aktivierung Folgendes
Dateisystem	Anhängen, Anhang lösen, Workstation-Dateien lesen und schreiben. Gilt auch für Java™-Code, der von XPages-Anwendungen ausgeführt wird.
Externer Code	LotusScript-Klassen und DLLs ausführen, die Notes unbekannt sind.
Aktuelle Notes-Datenbank	Die aktuelle Datenbank lesen und ändern.
Umgebungsvariablen	Verwendung von `@SetEnvironment` und `@GetEnvironment` sowie von LotusScript-Verfahren für den Zugriff auf die Datei `NOTES.INI`. Gilt auch für Java-Systemeigenschaften, auf die von Java-Code zugegriffen wird, der von XPages-Anwendungen ausgeführt wird.
Network	Verbindung mit einem privilegierten Port (ein Port außerhalb des Bereichs 0 bis 1024) herstellen und Verbindungen annehmen sowie Verbindungen mit anderen Servern herstellen Gilt auch für Java-Code, der von XPages-Anwendungen ausgeführt wird.
Externe Programme	Auf andere Anwendungen einschließlich der Aktivierung beliebiger OLE-Objekte zugreifen.
Nicht-Notes-Datenbanken	Verwendung von `@DBLookup`, `@DBColumn` und `@DBCommand` für den Zugriff auf Datenbanken, wenn der erste Parameter für diese @-Funktionen ein Datenbanktreiber einer anderen Anwendung ist.

Folgende Funktionen zulassen	Ermöglicht Formeln und Code bei Aktivierung Folgendes
Mail senden	Funktionen wie `@MailSend` zum Senden von Mail verwenden.
Andere Notes-Datenbanken lesen	Informationen außerhalb der aktuellen Datenbank lesen.
Vom Eigenschaftsbroker lesen	Von NSF-Verbundanwendungen lesen
Ändern Ihrer Ausführungskontrollliste	Die ECL ändern.
Widget-Funktionen konfigurieren	Mit Widgets arbeiten, einschließlich derer, die aus OpenSocial-Gadget erstellt wurden. Weitere Informationen hierzu finden Sie im verwandten Thema zu Richtlinien für die OpenSocial-Komponente.
Daten exportieren	Daten drucken, in die Zwischenablage kopieren, importieren und exportieren.
Andere Datenbanken ändern	Informationen außerhalb der aktuellen Datenbank ändern.
In Eigenschaftsbroker schreiben	In NSF-Verbundanwendungen schreiben

Zugriff zulassen auf	Ermöglicht Java-Applets bei Aktivierung Folgendes
Dateisystem	Dateien auf einem lokalen Dateisystem schreiben und lesen
Notes-Java-Klassen	Domino-Objekte für Java und CORBA laden und aufrufen
Netzwerkadressen	Verbindung mit einem privilegierten Port (ein Port außerhalb des Bereichs 0 bis 1024) herstellen und Verbindungen annehmen sowie Verbindungen mit anderen Servern herstellen
Drucken	Druckjobs abschicken
Systemeigenschaften	Systemeigenschaften, z. B. Farbeinstellungen und Umgebungsvariablen, lesen
Dialoge und Zwischenablage	Auf die Zwischenablage des Systems zugreifen. Außerdem wird der Sicherheitshinweis deaktiviert, der im Fenster der höchsten Ebene angezeigt wird und darauf hinweist, dass das Fenster von einem Java-Applet erstellt wurde. Der Sicherheitshinweis soll Benutzer daran erinnern, keine vertraulichen Informationen in ein Dialogfeld einzugeben, das beispielsweise als Kennwortdialogfeld angezeigt wird.
Zugriff auf Prozessebene	Threads und Threadgruppen erstellen, Verzweigungen externer Prozesse erstellen und die Prozesse ausführen, externe Bibliotheken laden und verzweigen, auf nicht öffentliche Mitglieder von Klassen unter Verwendung von Java Core Reflection zugreifen sowie auf die AWT-Ereigniswarteschlange zugreifen

Fensterobjektklasse	Beschreibung	Vorgabe
Quellenfenster	Steuert den JavaScript-Zugriff auf das Fensterobjekt auf der Seite, die den JavaScript-Code enthält. Durch Auswahl dieser Option wird nicht verhindert, dass JavaScript-Code direkt auf das Objekt im Quellenfenster zugreift, da hierdurch das Fensterobjekt umgangen wird; daher wird diese ECL-Option nicht erzwungen.	Lese- und Schreibzugriff zulassen
Anderes Fenster auf demselben Host	Steuert den JavaScript-Zugriff auf das Fensterobjekt auf einer anderen Seite als der, die den JavaScript-Code enthält, die sich jedoch auf demselben Host befindet. JavaScript-Code auf einer Seite unter `www.IBM.com` kann beispielsweise auf das Fensterobjekt auf einer anderen Seite unter `www.IBM.com` zugreifen. Dadurch können zwei Seiten interagieren, wenn sie sich in derselben Rahmengruppe befinden.	Lese- und Schreibzugriff zulassen
Anderes Fenster auf anderem Host	Steuert den JavaScript-Zugriff auf das Fensterobjekt auf einer anderen Seite in einer Rahmengruppe, die einen anderen Host verwendet. JavaScript-Code auf einer Seite unter `www.IBM.com` kann beispielsweise auf das Fensterobjekt auf einer Seite auf einem beliebigen anderen Server zugreifen. Anmerkung: Die Aktivierung dieser Option stellt ein hohes Sicherheitsrisiko dar, weil die Möglichkeit besteht, dass gefährlicher Code auf einer Seite der Rahmengruppe auf Daten auf einer anderen Seite zugreift.	Lese- und Schreibzugriff nicht zulassen

Option	Beschreibung	Vorgabe
URL auf demselben Host	Steuert, ob eine Seite bzw. ein Notes-Dokument auf demselben Host wie dem, auf dem der JavaScript-Code ausgeführt wird, geöffnet werden kann.	Öffnen zulassen
URL auf anderem Host	Steuert, ob eine Seite bzw. ein Notes-Dokument auf einem anderen Host wie dem, auf dem der JavaScript-Code ausgeführt wird, geöffnet werden kann.	Öffnen nicht zulassen