Hallo Zusammen,

nach einem 3/4 Jahr einer mehr oder minder quälendem Topobase2009 Phase haben wir seit heute begonnen auf die Topobase 2010 umzustellen, mit dem Ziel am Ende der Woche diese in Produktivbetrieb zu nehmen.

Da wir auf der Topobase Usergroupversammlung in Karlsruhe als auch in persönlichen Gesprächen in der vergangenen Woche mit einigen TUG Mitgliedern besprochen haben, Fehler, Meinungen und Erfahrungen zu posten mache ich hiermit den Anfang.

Als erstes ist mir direkt aufgefallen, das bei der Anmeldung im Web zukünftig auch die Oracle Anmeldeinformationen abgefragt werden! Somit hat jeder User zukünftig zumindestens den Oracleuser und den Servicenamen im Klartext angezeigt.

Den Sinn dieser Maßnahme verstehe ich nicht wirklich…. Alleine aus Sicherheitsgedanken heraus gebe ich gerade solche Informationen nicht preis…..

Wir basteln gerade an einer Lösung diese Felder auszublenden, aber mit dem Nachteil, das dann, wenn der User sich über die Rechte Maustaste den Quelltext anzeigen läßt, alle DB Anmeldeinformationen im Klartext finden kann. Anstatt einer solchen Anmeldung hätte man lieber die Programmierarbeit in die LDAP Authentifizierung stecken sollen.

Wir werden sicherlich die ASP Seiten versuchen zu bearbeiten, das diese Informationen nicht mehr erkennbar sind.

Traurig das das der Kunde machen muß!

Viele Grüße
Thomas Nüchter
Geodatenmanagment
Stadt Monheim am Rhein

Gorden Kock
Author: Gorden Kock