Options d'accès sécurisé à la LCE

Il existe trois catégories d'options d'accès pour les LCE.

Catégories :

  • Activité des autres (sécurité du poste de travail)
  • Utilisation des applets
  • Utilisation d'JavaScript
Remarque : Vous pouvez contrôler le comportement de tous ces paramètres à l'aide d'une politique de paramètres de sécurité. Vous pouvez modifier les paramètres dans la boîte de dialogue Sécurité des postes de travail : liste de contrôle d'exécution qui s'ouvre lorsque vous cliquez sur Editer sur l'onglet Liste de contrôle d'exécution du document des paramètres de sécurité. Pour plus d'informations, voir la section Gestion des listes de contrôle d'exécution d'administration (LCE) dans la rubrique connexe relative à la création des paramètres de sécurité.

Activité des autres

Choisissez l'une de ces options lorsque vous définissez les droits d'accès aux données du poste de travail pour du contenu actif (des bases de données Notes®, par exemple).

Les options qui s'appliquent aux applications XPages sont répertoriées. Pour plus d'informations sur la sécurité de XPages, notamment l'utilisation du filtre de contenu actif (Active Content Filtering, ACF), pour se protéger des codes malveillants entrés dans une commande d'entrée XPage pendant l'exécution, voir l'Aide sur HCL Domino® Designer.

Tableau 1. Options pour Activité des autres (accès)
Autoriser l'accès à Si activée, permet aux formules et au code de
Système de fichiers Attacher, détacher, lire et écrire des fichiers de votre poste de travail. S'applique également au code Java exécuté à partir d'applications XPages.
Code externe Exécuter des classes LotusScript® et des DLL inconnues de Notes®
Base Notes actuelle Lire et modifier la base de données courante
Variables d'environnement Utiliser les méthodes @SetEnvironment, @GetEnvironment et LotusScript® pour accéder au fichier NOTES.INI. S'applique également aux propriétés du système Java auxquelles accède le code Java lorsqu'il est exécuté à partir d'applications XPages.
Réseau Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs. S'applique également au code Java exécuté à partir d'applications XPages.
Programmes externes Accéder aux programmes externes, ce qui permet, par exemple, d'activer n'importe quel objet OLE
Bases non Notes Utiliser @DBLookup, @DBColumn et @DBCommand pour accéder aux bases de données lorsque le premier paramètre de ces fonctions @ est un pilote de base de données d'une autre application
Tableau 2. Options pour Activité des autres (droits)
Autoriser Si activée, permet aux formules et au code de
Envoi de courrier Envoyer du courrier à l'aide de fonctions comme @MailSend
Lecture d'autres bases Notes Lire d'autres bases de données (que la base courante)
Lecture depuis Property Broker Lecture depuis les applications composites NSF
Modification de votre liste de contrôle d'exécution Modifier la LCE
Possibilité de configurer les capacités Widget Utilisez des widgets.
Exportation de données Imprimer, copier dans le Presse-papiers, importer et exporter des données
Modification d'autres bases Modifier le contenu d'autres bases de données
Ecriture dans Property Broker Ecriture dans les applications composites NSF

Utilisation des applets

Choisissez l'une de ces options lorsque vous définissez les droits d'accès aux données du poste de travail pour des applets Java qui s'exécutent dans Notes® :

Tableau 3. Options d'applet

Autoriser l'accès à

Si activé, permet aux applets Java de

Système de fichiers

Lire et écrire des fichiers sur le système de fichiers local.

Notes® Java inconnues

Charger et appeler les objets Domino® pour Java et CORBA.

Adresses réseau

Se lier à un port privilégié (un port en dehors de la plage 0 à 1024), accepter les connexions de celui-ci et se connecter à d'autres serveurs.

Impression

Soumettre des travaux d'impression.

Propriétés du système

Lire les propriétés du système, comme par exemple les paramètres de couleur et les variables d'environnement.

Boîte de dialogue et Presse-papiers

Accéder au Presse-papiers du système. Désactive également le bandeau de sécurité qui s'affiche dans la fenêtre du haut pour indiquer qu'une applet Java a créé la fenêtre. Le bandeau de sécurité permet de rappeler aux utilisateurs de ne pas entrer d'informations sensibles dans des boîtes de dialogue de mot de passe, par exemple.

Accès niveau processus

Créer des discussions et des groupes de discussion, dupliquer et exécuter des processus externes, charger et lier des bibliothèques externes, accéder à des membres de classes non publics utilisant la réflexion Java et accéder à la file d'attente des événements AWT.

Utilisation d'JavaScript

Ces options permettent de contrôler l'accès aux données des postes de travail pour du code JavaScript qui s'exécute dans le client Notes®, dans un masque Notes® ou sur une page Web présentée par le navigateur Notes®. Ces options ne permettent pas de contrôler le code JavaScript exécuté par d'autres navigateurs, notamment Microsoft Internet Explorer, même lorsque le navigateur est intégré au client Notes®.

Les paramètres de la liste de contrôle d'exécution (LCE) JavaScript contrôlent si le code JavaScript peut lire et/ou modifier les propriétés JavaScript de l'objet Microsoft Windows. Vous pouvez autoriser l'accès en lecture et en écriture aux propriétés de l'objet Window. En tant qu'objet de premier niveau du modèle d'objet de document JavaScript, les propriétés de l'objet Window s'appliquent à l'ensemble de la fenêtre. La protection de l'accès à l'objet Window sécurise l'accès à d'autres objets de la page, car le programme JavaScript ne peut pas accéder aux objets situés plus bas dans la hiérarchie des modèles d'objet sans d'abord traverser l'objet Window.

Tableau 4. Classes d'objets Window

Classe d'objet Window

Description

Par défaut

La fenêtre source

Contrôle l'accès JavaScript à l'objet Window sur la même page que le code JavaScript. Le choix de cette option n'empêche pas l'accès direct de code JavaScript à l'objet de la fenêtre source, car cela entraînerait l'échec de l'objet Window. Cette option LCE n'est donc pas obligatoire.

Autoriser l'accès en lecture et écriture

Une autre fenêtre du même hôte

Contrôle l'accès JavaScript à l'objet Window sur une page différente du code JavaScript, mais une page utilisant le même hôte. Par exemple, le code JavaScript d'une page www.renovations.com peut accéder à l'objet Window d'une autre page sur www.renovations.com. Cela permet à deux pages d'interagir si elle se trouvent dans le même agencement de cadres.

Autoriser l'accès en lecture et écriture

Une autre fenêtre d'un hôte différent

Contrôle l'accès JavaScript à l'objet Window sur une page différente, dans un jeu de cadre utilisant un hôte différent. Par exemple, le code JavaScript sur une page www.renovations.com peut accéder à l'objet Window d'une page sur tout autre serveur.

Remarque : Le choix de cette option pose un important problème de sécurité en cas de présence éventuelle de code malveillant sur une page de l'agencement de cadres accédant aux données d'une autre page.

Ne pas autoriser l'accès en lecture et écriture

Deux options supplémentaires relatives à la LCE contrôlent si le code JavaScript qui s'exécute dans le client Notes® est autorisé à ouvrir une nouvelle page Web ou un document Notes®.

Tableau 5. Options utilisées pour activer un accès libre sur le client Notes®

Option

Description

Par défaut

URL sur le même hôte

Contrôle l'accès pour ouvrir une page ou un document Notes® sur le même hôte que le code JavaScript.

Autoriser un accès libre

URL sur un hôte différent

Contrôle l'accès pour ouvrir une page ou un document Notes® sur un hôte différent que le code JavaScript.

Ne pas autoriser un accès libre