Im Juni war ITWU auf der DNUG46 um sich umzuhören, was sich in der NotesDomino-Welt gerade so interessantes tut. Die Messe war vom 3. bis zum 5. Juni 2019 in Essen und sehr gut besucht. Wir fanden die Vorträge sehr spannend und man merkte grundsätzlich bei der Veranstaltung, dass viel Neues im Gange ist und eine breitere Fülle an Themen aufgefahren wurden, als zu Zeiten unserer letzten DNUG-Besuche – Domino ist und bleibt einfach eine spannende Plattform! Wir finden auch super, dass HCL wieder den Fokus auf die Security legt und es ist überwältigend, wie viel Elan HCL ins Produkt Domino steckt. Den Vorträgen nach können wir schon auf eine riesige Fülle an Möglichkeiten gespannt sein, die in Domino endlich eingebaut werden sollen und auf welche die Nutzer schon lange warten – z.B. Stichwort: ADSync.

Wir haben uns drei Vorträge herausgepickt, von denen wir euch in diesem Artikel berichten möchten:

- Making cool websites with Classic Notes

- Domino Query Language (DQL)

- Domino Webserver Security

 

Making cool websites with Classic Notes

Im Vortrag „Making cool websites with Classic Notes“ war der Clue des Ganzen, dass der Redner bei der Erstellung einer Notes-basierten Webseite ganz ohne Xpages ausgekommen ist und den Webseiten-Code in Formulare geschrieben hat. Diesen Code hat er dann später mit jQuery aus den Views auslesen lassen. Auf diese Weise konnte er die Vorteile von Notes (super schnelle Anwendungsentwicklung, einfache Integration von weiteren Tools wie JQuery, Bootstrap etc., Weltklasse No-SQL Datenbank, …) mit von Notes nicht unterstützten Tools vereinen, da auf diese Weise keine Validierung stattfindet und man prinzipiell im HTML-Code einbinden kann was man möchte.

-> Hier geht es zum vorgestellten Webseiten-Beispiel

Wir waren beeindruckt, wie gut die Beispiel-Webseite aussah. Allerdings sind uns auch Nachteile dieser Methode aufgefallen: z.B. bekommt man auf diese Weise ellenlange und unübersichtliche Views. Zudem ist unseren Kunden in der Regel die schnelle Erzeugung der gewünschten Anwendungsfunktionalität wichtiger als die Verschönerung der Eingabemasken – die Anwendungen sollen einwandfrei laufen, der Rest ist eher Nebensache. Und last but not least kann man den Code mit dieser Methode im Designer nicht debuggen – was für uns ein ziemlicher Schwachpunkt darstellt, weil dadurch nicht so leicht festgestellt werden kann, an welcher Stelle die Anwendung in einen Fehler läuft.

Quelle: Vortrag „Making cool websites with Classic Notes – Theo Heselmans https://dnug46.sched.com/event/LMOg/making-cool-websites-with-classic-notes

 

Domino Query Language (DQL)

Domino Query Language ist als zusätzliche Sprache mit Domino 10 hinzugekommen und dient dazu sich schnelle Datenbankabfragen (kurze Schreibweisen) zu konstruieren (z.B. zur Programmierung von Suchfunktionen). Ohne DQL muss man sich für Datenbankabfragen sehr lange query strings zusammenbauen um Daten einer zugrunde liegenden Datenbank abzurufen. DQL soll recht komplizierte Abfragen mit vielen Dokumenten in kurzer Zeit durchlaufen können und durch eine leicht verständliche Syntax sehr einfach sein, sodass kein Domino-spezifisches Wissen z.B. zu formular language benötigt wird. Da unsere Entwickler allerdings alle bisher noch auf Notes 9 entwickeln, können wir euch noch nichts über unsere eigenen Erfahrungen zu DQL erzählen. Nichtsdestotrotz finden wir, hört sich das Ganze wirklich super vielversprechend an!

Quelle: Vortrag „Domino Query Language (DQL) – John Curtis https://dnug46.sched.com/event/LMQK/domino-query-language-dql

 

Domino Webserver Security

Der Vortrag zur Domino Webserver Security war besonders spannend: Es wurden weit verbreitete Annahmen zu Sicherheitsaspekten von Webservern widerlegt, die wir übrigens in unserer jahrelangen Erfahrung schon leider viel zu oft gehört haben.

Die erste Annahme war, dass ein Webserver nicht gefunden werden kann, wenn dieser nicht öffentlich ist und somit nicht darauf zugegriffen werden kann. Allerdings wird das Web kontinuierlich gescannt und die Ergebnisse sind auf Webseiten wie z.B. „Shodan.io“ ohne Probleme einsehbar. Und sobald die IP Adresse bekannt ist, ist erstmal jeder Server angreifbar. Es ist also auch bei nicht-öffentlichen Webservern sinnvoll und nötig Sicherheitsfeatures zu aktivieren.

Der zweite Einwand war, dass ein Domino (Web-)Server ja recht spezifisch sei und deshalb nicht so leicht zu hacken ist. Die Entgegnung hierauf war, dass es mittlerweile für alles Toolkits gibt mit denen es nicht mehr notwendig ist, dass Hacker sich mit der Serverarchitektur z.B. eines Domino Servers auskennen müssen. Angriffe auf veraltete Systeme seien hier besonders einfach. Ungesicherte Domino Webserver sind also mit den entsprechenden Tools genauso angreifbar, wie gewöhnliche Webserver, besonders diejenigen mit veralteten Betriebssystemen.

In der dritten Fehlannahme ging es darum, dass auf die eigenen Webanwendungen ja nicht ohne weiteres zugegriffen werden könne. Es gibt allerdings in dieser Hinsicht einige mögliche Sicherheitslücken, wie z.B. rein clientseitige Validierungen, die grundsätzlich manipulierbar sind oder schlecht eingestellte Zugriffskontrollen (ACLs). Als Beispiel wurde gezeigt, wie bei einer Anwendung mit schlecht eingestellten ACLs mittels Übergabe von Befehlen über die URL Aktionen ausgeführt werden konnten (z.B. http://Host/Database/View/Document?DeleteDocument – löscht Dokument). Der URL-Befehl-Trick war besonders eindrucksvoll und auch eine Warnung: Wer seine ACLs nicht gut im Blick hat, riskiert nicht-autorisierte Datenbankzugriffe und -manipulationen – nicht nur im Web.

Annahme vier war, dass Verschlüsselung im internen Netz nicht wichtig sei.  Zu dieser Aussage wurde entgegnet, dass HTTP-Verbindungen sehr einfach über bestimmte Software, Hardwaresniffer oder selbst per Smartphone abhörbar sind, d.h. alles was über einen Webserver ausgetauscht wird, ist grundsätzlich abgreifbar. Zwar sind nicht alle Daten schützenswert, aber Nutzer- und Anmeldeinformationen sind es immer! Es ist also grundsätzlich besser auch intern SSL-Verschlüsselung einzusetzen.

Und last but not least die Annahme, dass es schon ausreicht, wenn die Nutzer ihre Kennwörter einmal im Monat ändern. Besser wäre als Admin nicht zu häufige Passwortwechsel zu erzwingen und vom Nutzer ein Passwort wählen zu lassen, welches sehr sicher und einzigartig unter seinen Passwörtern ist, anstatt eines seiner Standardpasswörter hochzuzählen (sind wir mal ehrlich, wer tut es nicht …). Hierzu muss man sagen, dass die Zertifizierung in Notes über die Notes ID schon sehr sicher ist. D.h. man kann einen Notes-Account nicht einfach so Hacken, denn dafür braucht man die Notes ID an die man nicht ganz so einfach kommt. Allerdings bleibt das Thema Passwortsicherheit auch in der Domino Umgebung weiterhin wichtig, allein wenn es um das Internet-Kennwort des Nutzers für Web-Anwendungen geht. Auf letztere kann man nämlich auch ohne Notes-ID zugreifen. So kann z.B. über die altbekannte Bruteforce-Methode versucht werden Zugriff bekommen: Per Script werden hier verschiedene Kennwörter-Nutzername-Kombinationen ausprobiert. So ein Angriff erfolgt meist über Kennwortlisten, welche z.B. nach einem Angriff auf Facebook oder Twitter im Netz auftauchen. Hat man auch woanders ein ähnliches Passwort passend zur selben Mailadresse gewählt, ist es nicht mehr ganz so schwer Passwörter zu knacken. Domino erlaubt per Default unendlich viele Login-Versuche, deshalb ist es sinnvoll als Gegenmaßnahme das sogenannte Internet Lockout im Server-Konfigurationsdokument zu aktivieren. Auf diese Weise deckelt man die möglichen Login-Versuche auf ein gesetztes Maximum.

Zudem sorgt eine hochgedrehte Passworthash-Einstellung intern dafür Nutzerpasswörter recht sicher zu speichern. Beim Passworthash handelt es sich um eine nicht zurückberechenbare Verschlüsselungsfunktion die Anwendung findet in Datensignaturen und der sicheren Ablage von Kennwörtern, in unserem Fall z.B. in der Ablage der Internet-Kennwörter der Nutzer im Domino Directory. Seit Domino 8 ist beispielsweise schon eine recht hohe Passworthash-Verschlüsselung auswählbar, die allerdings nicht standardmäßig eingestellt ist. Um die Passworthash-Einstellung anzupassen, kann man das Domino Directory öffnen und dann über „Actions“>“Edit Directory Profile“ zu den Konfigurationsprofil-Einstellungen gelangen.

Wenn ihr euch für spezifischer mit dem Thema Passwort-Hashes in Domino beschäftigen möchtet, kommt ihr hier auf einen sehr interessanten Artikel dazu.

Quelle: Vortrag „Domino – Webserversecurity – Markus Petzold“ https://dnug46.sched.com/event/LMOm/domino-web-security

 

Abschließend möchten wir nochmal unsere Freude darüber betonen, dass HCL wieder die Sicherheit von Domino als eine seiner großen Stärken aufgreift und daran weiterarbeitet. Grundsätzlich warten wir schonmal sehr gespannt auf die Sicherheitsfeatures von Domino 11.

Habt ihr Fragen oder Anregungen? Ruft uns einfach an unter 05251-288160 oder schreibt uns eine Mail an info@itwu.de.

Auf der diesjährigen DNUG-Frühjahrskonferenz in Karlsruhe fühlte ich mich etwas an unseren Vortrag "Das Notes Browser Plugin im Vergleich" aus dem Vorjahr zurückerinnert - denn auch in diesem Jahr stand das Notes Browser Plug-in auf dem Programm. Christian Henseler, freiberuflicher IBM Notes/Domino Berater mit langjähriger Erfahrung in großen Domino-Umgebungen, referierte über die aktualisierte Version des Notes Browser Plug-ins in der Notes/Domino Version 9.0.1. Allerdings scheint sich seit dem letzten Jahr nicht allzuviel getan zu haben.

Die einzige bahnbrechende Neuerung, die das Notes Browser Plug-in unserer Meinung nach nun bietet, ist die Unterstützung von workflowverbundenen Mailfunktioninalitäten für Notes-Anwendungen und Mail-In-Datenbanken. So müssen die Benutzer des Notes Browser Plug-ins nun nicht mehr auf Benachrichtigungen in Workflow-Anwendungen verzichten.

 

Abb. 1: Das Notes Browser Plug-in unterstützt nun auch Mailfunktionalität in Workflowanwendungen (Quelle: Präsentation von Christian Henseler / siehe Anhang)

 

Das ist zwar schon ein großer Schritt nach vorne, aber leider fehlt immer noch Einiges, damit das Notes Browser Plug-in eine einfache Alternative für XPages-basierte Anwendungen wird. So hat sich z.B. die Webbrowser-Sicherheit und die -Kompatibiltät immer noch nicht verbessert - das Notes Browser Plug-in wird nach wie vor nur unter Windows im Internet Explorer und im Firefox unterstützt. Darüber hinaus ist die native Browserintegration zur Installation und zum Update auch noch nicht in der neuen Version vorhanden.

Christian Henseler hat die bereits in unserer Präsentation erwähnten Kinderkrankheiten des Notes Browser Plug-ins in seinem Agendapunkt "Ausgewählte Probleme" etwas detaillierter beleuchtet. Die beiden wichtigsten Punkte wollen wir hier aber noch einmal hervorheben:

  1. Wenn die Funktion "NotesUIDocument.Close" in einer Anwendung aufgerufen wird, schließt das den ganzen Browser. Und das ist ziemlich ungünstig.
  2. "NotesUIDocument.PicklistCollection" funktioniert nicht. Diese Funktion ist allerdings in vielen Anwendungen als Verbindung mit anderen Views oder Datenbanken sehr beliebt - jedenfalls benutzen wir sie sehr gerne.

 


Abb. 2: Das Aufrufen der hier dargestellten Auswahl mit Hilfe der Funktion "NotesUIDocument.PicklistCollection" wäre im Notes Brower Plug-in momentan nicht möglich.

 

Demnach ähnelt unser Fazit vom letzten Jahr auch sehr dem, was Christian Henseler zusammenfassend am Ende seiner Präsentation zu sagen hatte:

"NBP ist meiner Einschätzung nach nur eine taktische Lösung auf dem Weg zu vollständig integrierten Web-Anwendungen."

Die vollständige Präsentation "IBM Notes Browser Plug-in 9.0.1" von Christian Henseler findet ihr im Anhang dieses Blog-Posts.

Konntet ihr euch denn auch schon eine Meinung zum Notes Browser Plug-in bilden? Dann freuen wir uns auf eure Kommentare!

 

Berlin, Berlin, wir fahren nach Berlin!

In diesem Sinne begaben sich drei hochmotivierte ITWUler am Mittwoch Morgen auf Ihren Weg zur DNUG Frühjahrskonferenz "Social Collaboration 2013" in die deutsche Hauptstadt - im Gepäck: 

  • eine Menge Diskussionsbedarf zum IBM Notes Browser Plugin und den entsprechenden Vortrag zu dem Thema,
  • viele Domino Legacy Datenbanken, die mit Hilfe des ITWU XPages Legacy Enablers live am ITWU Stand enabelt werden sollten
  • und natürlich Wissensdurst nach den vielen Neuigkeiten, die uns auf der DNUG-Konferenz präsentiert werden sollten.

Nachdem wir wohlbehalten am Seminaris Campus Hotel angekommen waren und fleißig unseren Stand aufgebaut hatten, widmeten wir uns der Abendveranstaltung. Während die einen sehr erfolgreich am Kickerturnier teilnahmen, beschränkten sich die anderen doch lieber auf ein Bier und viele gute Gespräche.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Am Donnerstag und Freitag war hingegen Schwerstarbeit angesagt - allerdings wieder in Arbeitsteilung. Die einen gingen in die Konferenz-Sessions und erfuhren viele Neuigkeiten, die anderen begeisterten am ITWU Stand Interessenten und zeigten, wie einfach sie mit dem ITWU XPages Legacy Enabler alte Domino Anwendungen webfähig und mobil machen können.

 

 

Und dann war da ja am Freitag morgen auch noch ein Vortrag zu halten! So ließen die Referenten (Carl und Stephan) das Standpersonal (Katrin) alleine am Stand zurück und erläuterten der aufmerksamen Zuhörerschaft im Raum Cambridge die unterschiedlichen Alternativen zum Notes Standard Client sowie deren Vorteile in Bezug auf ihre Funktionalität, den TCO und die Anwendungsentwicklung. Der Schwerpunkt lag bei diesem Vortrag vor allem auf dem neuen Notes Browser Plugin, welches IBM mit der Notes und Domino 9 Social Edition in diesem Jahr einführte. Unser Fazit zu diesem Thema könnt ihr ausführlich in unserer Präsentation nachlesen.

Wenn ihr die DNUG verpasst haben solltet und gerne Informationen zu unserem Vortrag, zum Notes Browser Plugin oder zum ITWU XPages Legacy Enabler haben möchtet, braucht ihr nicht bis zur DNUG Herbstkonferenz warten - ruft uns bitte einfach an (05251 288160)!

 

Am 6. und 7. Juni ist es endlich wieder soweit. Die Anwendervereinigung "DNUG - The Enterprise Collaboration Professionals" lädt zu ihrer jährlichen Frühjahrskonferenz ein - dieses Jahr ins Seminaris CampusHotel Berlin. Unter dem Motto "Social Collaboration 2013: Effizient, mobil und optimal integriert" können sich Anwender von IBM Collaboration Solutions (IBM Notes und Domino, IBM Connections, usw.) über die neuesten Trends und Einsatzszenarien der Lösungen informieren. Auch ITWU nimmt wieder an der Veranstaltung teil - sowohl als Aussteller als auch als Vortragsreferent.

DNUG Fr?hjahrskonferenz 2013

Am ITWU Stand erwartet euch in diesem Jahr etwas ganz Besonderes: Mit Hilfe des ITWU XPages Legacy Enablers könnt ihr eine eurer alten Domino Legacy Datenbanken fit für die XPages-Welt machen - live und kostenlos! Die ITWU Profis schauen euch dabei hilfreich über die Schulter und unterstützen euch - falls notwendig - bei der einfachen Handhabung des ITWU XPages Legacy Enablers. Bringt also einfach eine Domino Legacy Datenbank auf einem USB-Stick mit auf die Konferenz und seht selbst, wie einfach es ist, eure alten Datenbanken für den Webzugriff und für mobile Endgeräte zu optimieren. Wir freuen uns auf euren Besuch!

Weitere Informationen zum ITWU XPages Legacy Enabler findet Ihr auf unserer Homepage und hier im Blog (unter dem Tag "xpages legacy enabler").

Vorher - Nachher

Haltet einfach nur nach unseren ITWU XPages Legacy Enabler T-Shirts Ausschau und sprecht uns an!

 

Natürlich zeigen wir euch neben dem ITWU XPages Legacy Enabler auch andere Lösungen aus dem Hause ITWU. So könnt ihr z.B. einen exklusiven Blick auf den aktuellen Entwicklungsstatus unserer webbasierten Workflowengine ITWU Simple Processes werfen oder euch ITWU Simple Signature - unser Tool zur automatischen Generierung und Verteilung von E-Mail-Signaturen - vorführen lassen. Auch, wenn ihr Fragen und Probleme zur Administration eurer IBM Domino Infrastruktur habt, seid ihr am ITWU Stand genau richtig.

In ihrem Vortrag "Das Notes Browser Plug-in im Vergleich" gehen unsere Chefs Carl Goos und Stephan Schramm auf die verschiedenen Alternativen bei der Wahl des Notes Clients ein und erläutern mögliche strategische Ansätze zur zukünftigen Nutzung von IBM Notes und Domino. Ihr findet die beiden am Freitag (2. Konferenztag) von 10:30 bis 11.15 Uhr im Raum Cambridge. Also meldet euch am Besten gleich für die Konferenz an!

Weitere Informationen zur DNUG Frühjahrskonferenz entnehmt ihr der Einladungsbroschüre oder der DNUG Webseite.

Nicht-DNUG-Mitglieder sollten bei ihrer Registrierung für die Konferenz nicht vergessen „auf Einladung der IT works unlimited GmbH & Co. KG“ in das „Bemerkungen“-Feld einzutragen. Damit spart ihr mal eben 680,-- EUR beim Eintrittspreis.

Wir sehen uns bei der DNUG!