Aide d'IBM Domino 9.0.1 Social Edition Administrator

SÉCURISATION

Options d'accès sécurisé à la LCE
Il existe trois catégories d'options d'accès pour les LCE.

Catégories :

Activité des autres (sécurité du poste de travail)
Utilisation des applets
Utilisation de JavaScript™

Remarque : Vous pouvez contrôler le comportement de tous ces paramètres à l'aide d'une politique de paramètres de sécurité. Vous pouvez modifier les paramètres dans la boîte de dialogue Sécurité des postes de travail - Liste de contrôle d'exécution qui s'ouvre lorsque vous cliquez sur Editer sur l'onglet Liste de contrôle d'exécution du document des paramètres de sécurité. Pour plus d'informations, voir la section Gestion des listes de contrôle d'exécution d'administration (LCE) dans la rubrique connexe relative à la création des paramètres de sécurité.

Activité des autres

Choisissez l'une de ces options lorsque vous définissez les droits d'accès aux données du poste de travail pour du contenu actif (des bases de documents Notes, par exemple).

Les options qui s'appliquent aux applications XPages sont répertoriées. Pour plus d'informations sur la sécurité de XPages, notamment l'utilisation du filtre de contenu actif (Active Content Filtering, ACF), pour se protéger des codes malveillants entrés dans une commande d'entrée XPage pendant l'exécution, voir l'Aide IBM® Domino Designer 9.0.1 Social Edition.

Tableau 1. Options pour Activité des autres (accès)

Autoriser l'accès à Si activée, permet aux formules et au code de

Système de fichiers Attacher, détacher, lire et écrire des fichiers de votre poste de travail. S'applique également au code Java™ exécuté à partir d'applications XPages.

Code externe Exécuter des classes LotusScript et des DLL inconnues de Notes

Base Notes actuelle Lire et modifier la base de documents courante

Variables d'environnement Utiliser les méthodes @SetEnvironment, @GetEnvironmentet LotusScript pour accéder au fichier NOTES.INI. S'applique également aux propriétés du système Java auxquelles accède le code Java lorsqu'il est exécuté à partir d'applications XPages.

Réseau Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs. S'applique également au code Java exécuté à partir d'applications XPages.

Programmes externes Accéder aux programmes externes, ce qui permet, par exemple, d'activer n'importe quel objet OLE

Bases non Notes Utiliser @DBLookup, @DBColumnet @DBCommand pour accéder aux bases de documents lorsque le premier paramètre de ces fonctions @ est un pilote de base de documents d'une autre application

Tableau 2. Options pour Activité des autres (droits)

Autoriser Si activée, permet aux formules et au code de

Envoi de courrier Envoyer du courrier à l'aide de fonctions comme @MailSend

Lecture d'autres bases Notes Lire d'autres bases de documents (que la base courante)

Lecture depuis Property Broker Lecture depuis les applications composites NSF

Modification de votre liste de contrôle d'exécution Modifier la LCE

Possibilité de configurer les capacités Widget Utiliser des widgets, y compris ceux créés à partir des gadgets OpenSocial. Pour plus d'informations, voir la rubrique connexe sur les politiques du composant OpenSocial.

Exportation de données Imprimer, copier dans le Presse-papiers, importer et exporter des données

Modification d'autres bases Modifier le contenu d'autres bases de documents

Ecriture dans Property Broker Ecriture dans les applications composites NSF

Utilisation des applets

Choisissez l'une de ces options lorsque vous définissez les droits d'accès aux données du poste de travail pour des applets Java qui s'exécutent dans Notes :

Tableau 3. Options d'applet

Autoriser l'accès à Si activé, permet aux applets Java de

Système de fichiers Lire et écrire des fichiers sur le système de fichiers local.

Classes Java Notes Charger et appeler les objets Domino pour Java et CORBA.

Adresses réseau Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs.

Impression Soumettre des travaux d'impression.

Propriétés du système Lire les propriétés du système, comme par exemple les paramètres de couleur et les variables d'environnement.

Boîte de dialogue et Presse-papiers Accéder au Presse-papiers du système. Désactive également le bandeau de sécurité qui s'affiche dans la fenêtre du haut pour indiquer qu'une applet Java a créé la fenêtre. Le bandeau de sécurité permet de rappeler aux utilisateurs de ne pas entrer d'informations sensibles dans des boîtes de dialogue de mot de passe, par exemple.

Accès au niveau processus Créer des discussions et des groupes de discussion, dupliquer et exécuter des processus externes, charger et lier des bibliothèques externes, accéder à des membres de classes non publics utilisant la réflexion Java et accéder à la file d'attente des événements AWT.

Utilisation de JavaScript

Ces options permettent de contrôler l'accès aux données des postes de travail pour du code JavaScript qui s'exécute dans le client Notes, dans un masque Notes ou sur une page Web présentée par le navigateur Notes. Ces options ne permettent pas de contrôler le code JavaScript exécuté par d'autres navigateurs, notamment Microsoft™ Internet Explorer, même lorsque le navigateur est intégré au client Notes.

Les paramètres de la liste de contrôle d'exécution (LCE) JavaScript contrôlent si le code JavaScript peut lire et/ou modifier les propriétés JavaScript de l'objet Microsoft Windows™. Vous pouvez autoriser l'accès en lecture et en écriture aux propriétés de l'objet Window. En tant qu'objet de premier niveau du modèle d'objet de document JavaScript, les propriétés de l'objet Window s'appliquent à l'ensemble de la fenêtre. La protection de l'accès à l'objet Window sécurise l'accès à d'autres objets de la page, car le programme JavaScript ne peut pas accéder aux objets situés plus bas dans la hiérarchie des modèles d'objet sans d'abord traverser l'objet Window.

Tableau 4. Classes d'objets Window

Classe d'objet Window Description Par défaut

La fenêtre source Contrôle l'accès JavaScript à l'objet Window sur la même page que le code JavaScript. Le choix de cette option n'empêche pas l'accès direct de code JavaScript à l'objet de la fenêtre source, car cela entraînerait l'échec de l'objet Window. Cette option LCE n'est donc pas obligatoire. Autoriser l'accès en lecture et écriture

Une autre fenêtre du même hôte Contrôle l'accès JavaScript à l'objet Window sur une page différente du code JavaScript, mais une page utilisant le même hôte. Par exemple, le code JavaScript d'une page www.IBM.com peut accéder à l'objet Window d'une autre page sur www.IBM.com. Cela permet à deux pages d'interagir si elle se trouvent dans le même agencement de cadres. Autoriser l'accès en lecture et écriture

Une autre fenêtre d'un hôte différent Contrôle l'accès JavaScript à l'objet Window sur une page différente, dans un jeu de cadre utilisant un hôte différent. Par exemple, le code JavaScript sur une page www.IBM.compeut accéder à l'objet Window d'une page sur tout autre serveur.
Remarque : Le choix de cette option pose un important problème de sécurité en cas de présence éventuelle de code malveillant sur une page de l'agencement de cadres accédant aux données d'une autre page.
Ne pas autoriser l'accès en lecture et écriture

Deux options supplémentaires relatives à la LCE contrôlent si le code JavaScript qui s'exécute dans le client Notes est autorisé à ouvrir une nouvelle page Web ou un document Notes.

Tableau 5. Options utilisées pour activer un accès libre sur le client Notes

Option Description Par défaut

URL sur le même hôte Contrôle l'accès pour ouvrir une page ou un document Notes sur le même hôte que le code JavaScript. Autoriser un accès libre

URL sur un hôte différent Contrôle l'accès pour ouvrir une page ou un document Notes sur un hôte différent que le code JavaScript. Ne pas autoriser un accès libre

Concepts associés
A propos des applications composites

Tâches associées
Liste de contrôle d'exécution
Création de LCE d'administration
Création d'un document de paramètres de politique de sécurité
Création de politiques pour le composant OpenSocial

Commentaires Aide ou Convivialité du produit ?

Aide sur l'aide

Tout le contenu de l'aide

Commentaires Aide ou Convivialité ?

Aide sur l'aide

Tout le contenu de l'aide

Autoriser l'accès à	Si activée, permet aux formules et au code de
Système de fichiers	Attacher, détacher, lire et écrire des fichiers de votre poste de travail. S'applique également au code Java™ exécuté à partir d'applications XPages.
Code externe	Exécuter des classes LotusScript et des DLL inconnues de Notes
Base Notes actuelle	Lire et modifier la base de documents courante
Variables d'environnement	Utiliser les méthodes `@SetEnvironment`, `@GetEnvironment`et LotusScript pour accéder au fichier `NOTES.INI`. S'applique également aux propriétés du système Java auxquelles accède le code Java lorsqu'il est exécuté à partir d'applications XPages.
Réseau	Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs. S'applique également au code Java exécuté à partir d'applications XPages.
Programmes externes	Accéder aux programmes externes, ce qui permet, par exemple, d'activer n'importe quel objet OLE
Bases non Notes	Utiliser `@DBLookup`, `@DBColumn`et `@DBCommand` pour accéder aux bases de documents lorsque le premier paramètre de ces fonctions @ est un pilote de base de documents d'une autre application

Autoriser	Si activée, permet aux formules et au code de
Envoi de courrier	Envoyer du courrier à l'aide de fonctions comme `@MailSend`
Lecture d'autres bases Notes	Lire d'autres bases de documents (que la base courante)
Lecture depuis Property Broker	Lecture depuis les applications composites NSF
Modification de votre liste de contrôle d'exécution	Modifier la LCE
Possibilité de configurer les capacités Widget	Utiliser des widgets, y compris ceux créés à partir des gadgets OpenSocial. Pour plus d'informations, voir la rubrique connexe sur les politiques du composant OpenSocial.
Exportation de données	Imprimer, copier dans le Presse-papiers, importer et exporter des données
Modification d'autres bases	Modifier le contenu d'autres bases de documents
Ecriture dans Property Broker	Ecriture dans les applications composites NSF

Autoriser l'accès à	Si activé, permet aux applets Java de
Système de fichiers	Lire et écrire des fichiers sur le système de fichiers local.
Classes Java Notes	Charger et appeler les objets Domino pour Java et CORBA.
Adresses réseau	Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs.
Impression	Soumettre des travaux d'impression.
Propriétés du système	Lire les propriétés du système, comme par exemple les paramètres de couleur et les variables d'environnement.
Boîte de dialogue et Presse-papiers	Accéder au Presse-papiers du système. Désactive également le bandeau de sécurité qui s'affiche dans la fenêtre du haut pour indiquer qu'une applet Java a créé la fenêtre. Le bandeau de sécurité permet de rappeler aux utilisateurs de ne pas entrer d'informations sensibles dans des boîtes de dialogue de mot de passe, par exemple.
Accès au niveau processus	Créer des discussions et des groupes de discussion, dupliquer et exécuter des processus externes, charger et lier des bibliothèques externes, accéder à des membres de classes non publics utilisant la réflexion Java et accéder à la file d'attente des événements AWT.

Classe d'objet Window	Description	Par défaut
La fenêtre source	Contrôle l'accès JavaScript à l'objet Window sur la même page que le code JavaScript. Le choix de cette option n'empêche pas l'accès direct de code JavaScript à l'objet de la fenêtre source, car cela entraînerait l'échec de l'objet Window. Cette option LCE n'est donc pas obligatoire.	Autoriser l'accès en lecture et écriture
Une autre fenêtre du même hôte	Contrôle l'accès JavaScript à l'objet Window sur une page différente du code JavaScript, mais une page utilisant le même hôte. Par exemple, le code JavaScript d'une page `www.IBM.com` peut accéder à l'objet Window d'une autre page sur `www.IBM.com`. Cela permet à deux pages d'interagir si elle se trouvent dans le même agencement de cadres.	Autoriser l'accès en lecture et écriture
Une autre fenêtre d'un hôte différent	Contrôle l'accès JavaScript à l'objet Window sur une page différente, dans un jeu de cadre utilisant un hôte différent. Par exemple, le code JavaScript sur une page `www.IBM.com`peut accéder à l'objet Window d'une page sur tout autre serveur. Remarque : Le choix de cette option pose un important problème de sécurité en cas de présence éventuelle de code malveillant sur une page de l'agencement de cadres accédant aux données d'une autre page.	Ne pas autoriser l'accès en lecture et écriture

Option	Description	Par défaut
URL sur le même hôte	Contrôle l'accès pour ouvrir une page ou un document Notes sur le même hôte que le code JavaScript.	Autoriser un accès libre
URL sur un hôte différent	Contrôle l'accès pour ouvrir une page ou un document Notes sur un hôte différent que le code JavaScript.	Ne pas autoriser un accès libre