Notre bon vieil écran d'ouverture de session en 5250 (QDSIGNON) souffre de 2 défauts pouvant aider un intrus dans ses tentatives d'accès au système.
- Les zones "Programme/procédure, Menu et Bibliothèque en cours" peuvent permettre à quelqu'un ayant un Profil/Mot de passe d'appeler, par exemple, un programme auquel il ne devrait pas avoir accès normalement par le biais de ses menus. Au hasard ... QCMD.
Il est donc aujourd'hui fortement recommandé de modifier l'écran QDSIGNON en mettant ces zones de saisie en H (Hidden) ou DSPATR(PR). Seuls le Profil et le mot de passe devraient être saisissables.
- Sur ce même écran d'ouverture, 2 messages différents et trop explicites apparaissent lorsque l'on se trompe de profil ou de mot de passe.
Savoir si c'est l'un ou l'autre qui est erroné est déjà une information précieuse pour un ..."curieux"
.
En cas d'erreur de profil le message est : CPF1120 - Le profil utilisateur AAAA n'existe pas.
et pour le mot de passe c'est : CPF1107 - Mot de passe incorrect pour le profil utilisateur.
Il est donc recommandé de modifier les textes de ces 2 messages pour un seul texte identique et sans précision. Par exemple :
"Informations d'ouverture de session incorrectes !"
Pour cela voici les commandes à passer :
CHGMSGD MSGID(CPF1107) MSGF(QCPFMSG)
MSG('Informations d''ouverture de session incorrectes !')
CHGMSGD MSGID(CPF1120) MSGF(QCPFMSG)
MSG('Informations d''ouverture de session incorrectes !')
A refaire à chaque changement de version d'OS
Référence doc IBM : "Tips and Tools for Securing Your iSeries Version 5 SC41-5300-06"
