SharePointCommunity
Die deutschsprachige Community für SharePoint, Microsoft 365, Teams, Yammer und mit Azure

Sponsored by

Willkommen im Forum Archiv.
Einträge sind hier nicht mehr möglich, aber der Bestand von 12 Jahren SharePoint-Wissen ist hier recherchierbar.




Listen-Elemente für Benutzer filtern = Sicherheitsrisiko ?

Geprüfte Antwort Dieser Beitrag hat 4 Antworten

Ohne Rang
255 Beiträge
stephan12345 erstellt 19 Nov. 2010 16:19
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo zusammen,

ich habe mich heute ein wenig mit den Berechtigungen von Listen beschäftigt.
Dabei wollte ich, dass Benutzer nur die Elemente angezeigt bekommen, die sie auch erstellt haben.
Im einfachsten Fall habe ich in der Standartansicht einen Filter auf
 "Erstellt von" ist gleich [Ich]
gesetzt. Danach habe ich verschiedenen Testbenutztern nur noch Leserechte auf die Liste gegeben.
Funktioniert auch alles super. Es werden wirklich nur die Elemente des eingeloggten Benutzers angezeigt.

Ein kleines Problem ist mir dabei aber übel aufgefallen !!!:

Wechsle ich den Benutzer über "Als anderen Benutzer anmelden" werden tatsächlich auch nur die Elemente
vom neu angelegten Benutzer angezeigt, gehe ich dagegen auf "Mit Access öffnen"->"Kopie der Daten exportieren",
dann stehen dort die Elemente vom zuerst eingeloggten Benutzer in der Tabelle.

Daher meine Frage, was ist den "Best Practice" um die die Sicht auf Elemente für einzelne Benutzer einzuschränken ?
Über eine eigene Ansicht mit Filter besteht ja wohl ein erhebliches Sicherheitsrisiko.

Bin mal auf Eure Meinungen gespannt.

Grüße und ein schönes Wochenende
Stephan

Alle Antworten

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 19 Nov. 2010 16:31
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

[quote user="stephan12345"]gehe ich dagegen auf "Mit Access öffnen"->"Kopie der Daten exportieren",
dann stehen dort die Elemente vom zuerst eingeloggten Benutzer in der Tabelle[/quote]

Das ist normal. Office verwendet das zuletzt gespeicherte Cookie. Du hast damals wahrscheinlich im Anmeldedialog den Haken bei "Kennwort merken" gesetzt.

Das, was Du da gemacht hast, nennt man "Security by obscurity", also Sicherheit durch Verstecken. Best Practice ist das nicht. Echte Sicherheit gibt es nur, wenn man wirklich eigene Berechtigungen pro Element vergibt, z.B. per Workflow oder EventHandler. Vielleicht reicht es Dir auch schon, wenn Du in den Listeneinstellungen angibst, daß jeder nur seine eigenen Elemente sehen (und bearbeiten) darf.

Viele Grüße
Andi		 af @ evocom de
Blog
Ohne Rang
255 Beiträge
stephan12345 Als Antwort am 19 Nov. 2010 16:46
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo Andi,

Du kennst dich echt gut aus :-)

Genauso war es:

(Das ist normal. Office verwendet das zuletzt gespeicherte Cookie. Du hast damals wahrscheinlich im Anmeldedialog den Haken bei "Kennwort merken" gesetzt.)

 

Eigentlich wollte ich eine Aufgabenliste filtern, so dass jeder Benutzer nur "Meine Aufgaben" angezeigt bekommt.

Die Ansicht von "Allen Elementen" hätte ich dann gelöscht. Andere Benutzer sollen aber auf keinen Fall die Aufgaben der anderen sehen können.

Für mich stellt sich daher die Frage, ob das auf diese Art wirklich sicher ist ?

Danke und Grüße
Stephan

 

Ohne Rang
19231 Beiträge
Andi Fandrich Als Antwort am 19 Nov. 2010 17:01
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Wie gesagt: 100% sicher ist es nicht. Wenn die Benutzer nicht das Recht haben die Ansicht zu wechseln, wird es ihnen aber immerhin erschwert. Wenn jemand in der Adresszeile des Browser ../MyItems.aspx durch ../AllItems.aspx ersetzt, kommt er trotzdem ran. Wenn jemand in der Ansicht einer Aufgabe in der Adresszeile ../DispForm.aspx?ID=1 durch ../DispForm.aspx?ID=15 ersetzt, dann sieht er auch die Details einer anderen Aufgabe.

Die Frage ist hier immer, wie geheim die Informationen tatsächlich sind. In den meisten Fällen ist diese Sicherheit durch Verstecken ausreichend. Bei wirklich wichtigen Dingen wie z.B. Mitarbeiterbewertungen ist das natürlich nicht akzeptabel. Dort darf ein Mitarbeiter auf gar keinen Fall an Informationen kommen, die nicht für ihn bestimmt sind.

Viele Grüße
Andi		 af @ evocom de
Blog
Ohne Rang
255 Beiträge
stephan12345 Als Antwort am 21 Nov. 2010 13:27
SchlechtSchlechtIn OrdnungIn OrdnungDurchschnittDurchschnittGutGutSehr gutSehr gut

Hallo Andi,

ja hört sich plausibel an. 

Dann werde ich jetzt mal mit einem eigenen Workflow über VS und einem EventHandler testen wie aufwändig das ist.

Danke nochmals und Gruß

Stephan

CC BY-NC-ND - Michael Greth
Powered by Evocom Productivity