Feb 102014
 
Irgendwie unglaublich: Wir evaluieren gerade Office 365 mit Sharepoint Online, und Microsoft hat scheinbar keine Lösung dafür, wie man ein geklautes oder verlorenes Gerät wie z.B. Laptop oder Smartphone im Nachhinein aus dem eigenen System aussperrt.

Sobald sich jemand mit Webbrowser oder Smartphone App mit seinen Zugangsdaten an Office 365 anmeldet, wird ein Authentifizierungs-Cookie/Token erzeugt und auf dem Gerät gespeichert. Ab dann spielen die Zugangsdaten KEINE ROLLE mehr! Das Gerät mit dem Cookie kommt damit immer in den Sharepoint Account rein, kann auf alle Inhalte wie z.B. Dokumente zugreifen, darin arbeiten usw…. auch wenn das Passwort des Benutzers sich ändert. Soweit, so üblich, siehe Twitter, Dropbox, usw… ABER: Nach unserem bisherigen Erkenntnisstand gibt es bei Microsoft keinerlei Möglichkeit, dieses Cookie/Token serverseitig für ungültig zu erklären, ein verlorenes oder kompromittiertes Gerät wäre damit auf ewig ein Sicherheitsproblem. 

Anderes Szenario: Der User meldet sich im vertrauenserweckenden Internetcafé seiner Wahl mit einem Browser an Office 365 an, und setzt dabei versehentlich auf der Website den Haken "keep me signed in", das Cookie wird im Browser gesetzt. Nach seiner Session schließt er den Browser, und geht. Jeder mit Zugriff auf diesen PC kann nun dauerhaft auf die Office 365 Daten zugreifen, und man hat von der Server Seite keine Möglichkeit diesem PC die Anmelderechte zu entziehen (oder es gar mitzubekommen).

Noch viel erschreckender: Ich finde im Netz keinerlei Hinweise darauf, dass dies irgendjemand Sorgen bereitet! Keine Forenbeiträge die das Thema aufgreifen, keine Supporttickets die sich damit beschäftigten. Eine eigene Anfrage bei Microsoft (s.u.) ergibt ebenfalls, dass dieser Fakt bisher nie ein Thema war und es dafür auch keine nennenswerte Lösung gibt…

Office 365: Revoke Access for compromised devices | Manage Office 365 | Microsoft Office 365 Community
Hi, we are currently in the middle of an evaluation process for Office 365 with Sharepoint Online, E3 Plan. To be honest, we are pretty unsure

  Eine Antwort zu “Irgendwie unglaublich: Wir evaluieren gerade Office 365 mit Sharepoint Online, und…”

 Antworten

Du kannst diese HTML Tags und Attribute benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(Pflichtfeld)

(Pflichtfeld)