Na obrazovce Bezpečnost je možné změnit konfigurační parametry zajišťující bezpečný provoz aplikace. Jmenovitě jsou to následující:
Minimální délka hesla
Minimální délka hesla uživatelů i administrátorů. Délka hesla se kontroluje při přidávání nového záznamu a při změně hesla.
Heslo musí obsahovat
Zaškrtnutím požadovaných skupin znaků (malá a velká písmena, číslice, symboly) je možné zvýšit složitost použitých hesel. Za symbol se považují znakyThe Security screen allows the administrator to change the settings ensuring secure operation of the application. Namely the following:
Minimum password length
Minimum password length for both users and administrators. The length is enforced when entering a new password or when changing the existing one.
Password must contain
By checking the required character groups (lowercase and uppercase, digits, symbols) it is possible to increase the complexity of used passwords. The following characters are considered as symbols: ! @ # $ % ^ & *. Skupiny znaků se kontrolují při přidávání nového záznamu a při změně hesla.
Životnost odkazu pro obnovu hesla
Pokud má lokální uživatel (viz typy uživatelů) problém s přihlášením a vyžádá si obnovu hesla, přijde mu na email jednorázový token umožnující heslo změnit. Tato položka určuje kolik minut je tento token platný.
Životnost odkazu pro obnovu hesla (odeslaného adminem)
Pokud administrátor požádá o obnovu hesla lokálního uživatele, přijde uživateli na email jednorázový token umožnující heslo změnit. Tato položka určuje kolik minut je tento token platný.
Životnost odkazu pro obnovu hesla (založení nového uživatele)
Při zakládání nového lokálního uživatele má administrátor možnost místo přímého nastavení hesla poslat uživateli jednorázový token umožňující heslo nastavit. Tato položka určuje kolik minut je tento token platný.
Životnost JWT tokenu
Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. Ten je serverem vrácen v HTTP cookie a je tak prohlížečem odesílán při všech dalších požadavcích na server. V JWT tokenu je obsažena doba po kterou je platný. Pokud na server přijde JWT token s prošlou dobou platnosti, je uživatel odhlášen. JWT token je aktualizován a doba platnosti znovu nastavena při každém úspěšném požadavku, proto dokud uživatel aplikaci aktivně používá, nebude nikdy automaticky odhlášen. Toto nastavení určuje ve vteřinách dobu platnosti autentizačního JWT tokenu.
Zjednodušeně řečeno, tento parametr určuje dobu pro automatické odhlášení v případě nečinnosti.
Klíč pro podepisování JWT tokenů
Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. Token je podepsaný tajným soukromým klíčem a podpis každého přijatého tokenu je pomocí toho klíče ověřen (tak je zajištěno, že není s tokenem mimo server manipulováno). Klíč by měl mít alespoň 32 znaků. Změna klíče zneplatní všechny dosud vydané JWT tokeny a prakticky tak dojde k odhlášení všech uživatelů i administrátorů. Klíč je uložen na serveru. Z bezpečnostních důvodů ale nikdy nesmí opustit server, a tak ho není možné zobrazit, pouze změnit. Výchozí klíč je vytvořen jako náhodný řetězec při instalaci aplikace.
Salt přidávaný k XSRF tokenu
Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. JWT token obsahuje mimo jiné XSRF token který pomáhá chránit proti The character groups are checked when entering a new password or when changing the existing one.
Password reset link lifetime
If the local user (see user types) has problems logging in and requests a password reset, a notification is sent to his email, containing a temporary single use token allowing him to set a new password. This setting specifies for how many minutes is this temporary token valid.
Password reset link lifetime (sent by admin)
If the administrator requests a password reset for some local user, a notification is sent to the user’s email, containing a temporary single use token allowing him to set a new password. This setting specifies for how many minutes is this temporary token valid.
Password reset link lifetime (new user creation)
When creating a new local user, the administrator can, instead of directly setting the user’s password, send a temporary single use token allowing the user to set his initial password. This setting specifies for how many minutes is this temporary token valid.
JWT token lifetime
After logging in a JWT token is issued to both users and administrators. It is then returned by the server in a HTTP cookie and is then always sent back by the browser in all requests to the server. The JWT token contains an expiration time, until which it is valid. If the server receives a token, which is already expired, the user is logged out. The JWT token is updated and the expiration time extended during every successful request to the server, so if the user is actively using the application, he will be never automatically logged out. This setting specifies this authentication token’s expiration time in seconds.
Simply said, this setting specifies after how long inactivity will the user be automatically logged out.
Secret for JWT token signing
After logging in a JWT token is issued to both users and administrators. The token is signed by the server’s private key and every received token is then check, if signed by this private key (this way it is ensured, the token was not changed outside the server). This key should be at least 32 characters long. Changing the key invalidates all issued JWT tokens and therefore results in logging out of all users and administrators. The key is stored on the server. For security purposes it must never leave the server, so it is not possible to display it, only change it by submitting a new one. The default key, if none was specified, is a string of random characters generated during the application installation.
Salt added to XSRF token
After logging in a JWT token is issued to both users and administrators. The JWT token contains among other things a XSRF token, which helps with protection against XSRF (Cross-site request forgery) útokůmattacks. XSRF token je náhodný řetězec spojený s tajným klíčem (“salt”), toto nastavení nastavuje právě tento salt. Změna saltu zneplatní všechny dosud vydané tokeny a prakticky tak dojde k odhlášení všech uživatelů i administrátorů. Salt je uložen na serveru, z bezpečnostních důvodů ale nikdy nesmí opustit server a tak ho není možné zobrazit, pouze změnit. Výchozí salt je vytvořen jako náhodný řetězec při instalaci aplikaceis a string of random characters appended with a secret key (“salt”). This setting sets this salt. Changing the salt invalidates all issued tokens and therefore results in logging out of all users and administrators. The salt is stored on the server. For security purposes it must never leave the server, so it is not possible to display it, only change it by submitting a new one. The default salt, if none was specified, is a string of random characters generated during the application installation.
reCAPTCHA secret key
Nastavuje Sets the reCAPTCHA secret key v případě použití in case the reCAPTCHA anti-spam mechanismu (viz. mechanism is used (see https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používatIf not set, the reCAPTCHA will not be used.
reCAPTCHA site key
Nastavuje Sets the reCAPTCHA site key v případě použití in case the reCAPTCHA anti-spam mechanismu (viz. mechanism is used (see https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používatIf not set, the reCAPTCHA will not be used.
reCAPTCHA
...
score threshold
Sets the reCAPTCHA score threshold, specifying the score value above which a request is not considered spam (number from 0 to 1, see https://developers.google.com/recaptcha/docs/v3#interpreting_the_score). Výchozí doporučená hodnota je 0,Default recommended value is 0.5.
...
Enable reCAPTCHA
...
Zapíná nebo vypíná logování výsledků reCAPTCHA testů do audit logu. Mělo by být zapnuto jen dočasně při řešení problémů s odesíláním zásilek, protože může vytvářet velké množství záznamů.
...
results logging
Enables or disables the logging of reCAPTCHA test results into the audit log. Should be enabled only temporarily during debugging of problems with sending of packages, because it may create a lot of log entries.
The whole settings screen looks like this:
...