Sicherheitsrisiko durch DvAPI32?

    Ich habe festgestellt, dass es mit Anwendungen, die die DvAPI32 verwenden möglich ist auch auf Emails and Kalender von Usern zuzugreifen, auf die der Benutzer der Anwendung auf Dateiebene keine Rechte hat. Ich vermute das die DvAPI dabei die Rechte des System-Users nutzt.


    Kann das jemand bestätigen?

    Hallo,


    die API nutzt die Rechte des Windows Users unter dem das Programm ausgeführt wird - bei einem Windows Dienst also als SYSTEM oder Administrator und daher "globale" Rechte.


    In vielen Fällen wird David aber nicht "korrekt" installiert. Wenn man David z.B. auf c:\david installiert ohne vorher die Berechtigungsvererbung zu deaktivieren, hat man über alle Verzeichnisse das Recht "Benutzer lesen" vererbt, da dies im Volume Root standardmäßig definiert ist.
    Siehe dazu auch http://www.schneller-und-besse…el&cat=2&id=52&artlang=de


    Gruß Jens

    Es wäre schön, Deinen Vornamen zu kennen. Bitte beachte unsere Forenregeln und die Netiquette.

    ----------

    Bitte teilen/weitersagen: STARFACE Module Databasewww.sfm-db.com


    STARFACE Excellence PartnerSTARFACE Module CreatorTobit.Software Authorized Partner (Mailserver/Unified Messaging)work4all! Solution Partner (CRM/ERP)Securepoint Professional Partner (Firewall/UTM)


    1 Qubit - J.Suingwww.1qubit.deSoftware - Service - Coding

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden