Tip |
---|
Verze 2.0.0 (10. 1. 2022) |
Nové funkce: - Podpora šifrování "encryption at rest" (nutno zapnout v Nastavení - Konfigurace - Šifrování). Umožňuje po dokončení kontroly souborů zásilek detekčními enginy tyto soubory v úložišti aplikace zašifrovat. Podrobnosti viz dokumentace.
- Podpora šifrování jednotlivých zásilek klíčem odvozeným z hesla nastaveného pro zásilku uživatelem (po zašifrování není nikde v aplikaci uloženo). Bez znalosti a zadání tohoto hesla tak nelze zásilku rozšifrovat a přístup k jejím souborům tak nemá ani administrátor.
- Kontrola integrity dat. U celých zásilek i jednotlivých souborů lze vyvolat kontrolu integrity dat, která spočítá aktuální kontrolní součty (SHA256) a srovná je s těmi z doby nahrání na server. Výsledek je u jednotlivých souborů i zásilky zaznamenán a zobrazen. Pokud je integrita narušena (soubor poškozen), lze odeslat upozornění dle nastavení. Admin může nastavit, zda kontrolu mohou spouštět u zásilek a souborů i uživatelé, nebo ne. Admin rovněž může naplánovat automatickou pravidelnou kontrolu. V Nastavení - Konfigurace - Integrita dat.
- Podpora nového antiviru v detekčních nástrojích - FortiClient (Fortinet antivirus).
- Možnost editace existující zásilky jejím odesílatelem (autorem) a adminem, konkrétně:
- Admin může nastavit, zda autor může do existující zásilky přidávat nové soubory, nebo z ní mazat existující soubory (oboje ve výchozím stavu zakázáno).
- Admin může mazat soubory z existujících zásilek a také obnovovat smazané soubory (adminem nebo uživatelem). Uživatel obnovovat smazané soubory nikdy nemůže.
- Admin může skartovat jednotlivé soubory z existujících zásilek (a uvolnit tak místo v úložišti).
- Při přidání nového souboru do zásilky dochází k nové notifikaci příjemcům zásilky, obdobně jako při nové zásilce.
- Hromadné akce nad zásilkami. V seznamech zásilek lze vybrat více zásilek najednou a provést nad nimi hromadnou akci, např. typicky je všechny najednou smazat.
- Hromadná změna práv vybraných uživatelů. V seznamu uživatelů lze vybrat více uživatelů najednou a hromadně jim přidat či odebrat zvolená práva.
- Admin může ručně znovu vyvolat (re)test celé zásilky či souboru detekčními nástroji. Vhodné např. pro ověření, zda po aktualizaci signatur anti-viru je zásilka/soubor stále zavirovaný nebo ne.
- Podpora automatické deaktivace a mazání neaktivních uživatelů (Nastavení - Konfigurace - Nastavení uživatelů). Neaktivní uživatele lze po zvoleném čase zamknout (nebudou se moci přihlásit), případně smazat.
- Dočasné uživatelské účty. Admin při zakládání lokálního uživatele může nastavit jeho expiraci. Takový účet pak po uvedeném čase expiruje a je automaticky smazán.
- Lepší podpora pro různé jazyky:
- Oddělené nastavení primárního jazyka pro e-maily. (Dosud byl určen dle výchozího jazyka aplikace.)
- Volitelné nastavení sekundárního jazyka pro e-maily. Je-li nastaven, e-mail bude dvojjazyčně, kde druhý jazyk bude následovat pod prvním.
- Oddělené nastavení jazyka pro syslog. (Dosud byl určen dle výchozího jazyka aplikace.)
- Přihlášený uživatel si ve svém profilu může nastavit jazyk. V tomto mu pak budou chodit jemu určené e-maily a nikoli dle globálního nastavení primárního a sekundárního jazyka, viz výše.
- Nové notifikace (zapíší se do audit logu a voliteně odešlou na e-mail) na události:
- Chybu při kontrole zásilky. Z důvodu chyby některého z detekčních enginů byl tento při kontrole zásilky vynechán.
- Nefunkčnost detekčního enginu. Některý z detekčních enginů přestane být dostupný. Může nastat např. při expiraci licence anti-viru, nefunkčním spojení na sandbox, apod.
- Docházející místo na disku. Pokud volné místo klesne pod 10% na kterémkoli úložišti zásilek a vybraných systémových cestách (/, /var/log, /var/lib/pgsql, /var/lib/kafka).
- Admin může přesunout zásilku z aktivních do karantény. (Dosud šlo pouze opačně, uvolnit z karantény.)
- Možnost zakázat použít nebezpečná hesla ze známého úniku (služba "have i been pwned?"). Lze zapnout v Nastavení - Konfigurace - Bezpečnost.
- Při zakládání nového účtu administrátora je možné místo přímého zadání hesla účtu odeslat e-mail s odkazem pro nastavení hesla novému administrátorovi. (Obdobně jako u uživatelů.)
- Čítač počtu stažení souborů a archivu zásilky. V detailu zásilky je vidět počet stažení jednotlivých souborů a archivu zásilky (anonymně, přihlášeným uživatelem, adminem). Počítá se pouze dokončené stažení (ze serveru odeslán konec souboru).
Drobné změny: - Přihlašovací jména již nejsou citlivá na velikost písmen (case insensitive), tj. stejné chování jako např. v Active Directory. ("test" a "Test" je nyní stejný uživatel, dříve byli dva různí)
- Při pohledu na detail zásilky dochází k automatické aktualizaci jejích informací (např. stavu šifrování, kontroly integrity, výsledků kontrol, apod.).
- Upraveno pamatování hesla zásilky:
- Nastavitelná doba pamatování hesla, viz. Nastavení - Konfigurace - Bezpečnost: "Životnost JWT download tokenů".
- Pokud není uživatel přihlášený, neukládá se token v prohlížeči (v LocalStorage).
- Pokud je uživatel přihlášený, zobrazí se mu v dialogu pro zadání hesla zásilky volba "pamatovat heslo po dobu XX minut" (dle nastavení), ve výchozím stavu nezaškrtnutá.
- Na Dashboardu je zobrazen přehled zapnutých detekčních nástrojů a dostupné informace o nich.
- Seznam souborů v zásilce lze řadit dle názvu, typu, data nahrání a velikosti souboru.
- Nastavení požadavků na sílu hesel rozděleno zvlášť pro adminy a zvlášť pro uživatele (dosud bylo společné).
- V zásilkách lze hledat dle příznaků. Lze tedy např. najít všechny zásilky nastavené jako trvalé.
- Filtry nad seznamy zásilek lze schovat do jednořádkové lišty, aby nezabíraly příliš místa na obrazovce.
- Rozděleno zobrazení souborů v zásilce - soubory v karanténě, smazané a skartované zobrazeny zvlášť, v odděleném seznamu.
- Zlepšeno hledání v kontaktech a skupinách kontaktů (lze hledat obsažené skupiny i kontakty).
- Výzvy (zásilky ve stavu výzva) lze mazat.
- Uživatel může "mazat" své příchozí zásilky. Technicky se pouze schovají v jeho pohledu. Opravdové mazání může dělat pouze odesílatel, admin nebo časová expirace.
- I uživatel u přijatých a odeslaných zásilek vidí, zda zásilka je veřejná nebo ne (doposud viděl jen admin).
- Upraven proces obnovy/nastavení hesla na základě e-mailu s odkazem pro nastavení hesla. Nyní obsahuje přímo odkaz s unikátním UUID, který stačí otevřít a nastavit nové heslo. Dříve se po otevření odkazu ještě musel přepisovat token uvedený v těle e-mailu.
- Odpovídajícím způsobem byly rovněž upraveny výchozí e-mailové šablony pro tyto akce. Pokud instalace používá vlastní upravené šablony, je tyto potřeba aktualizovat dle vzoru nových výchozích šablon.
- Při aktivaci TOTP vícefaktorové autentizace je třeba zadat platný kód z aktivovaného autentikátoru, jinak se aktivace neprovede.
- Ochrana proti opakovanému hádání hesel (bruteforce attack) rozšířena i na opakované pokusy o vícefaktorovou autentizaci (MFA).
- Při změně časů expirace v Nastavení - Konfigurace - Workflow lze volitelně tuto změnu přepočítat i pro stávající zásilky (jinak se změna projeví pouze u nových).
- Podpora nových stavů licence. Původní "demo režim" rozdělen na nový režim "bez licence" (nové instalace bez jakékoli i trial licence) a nově upravený "demo režim" (speciální demo licence), určený pro demonstrační účely.
- Podpora FQDN aliasů. Kromě hlavního FQDN lze licenci vystavit i na další domény a bude funkční a platná pro všechny. Aplikace tak může běžet pod vícero doménami.
- Podpora alternativního https portu - FQDN může kromě domény navíc obsahovat i upravený port, tj. např. https://sofie.sonpo.cz:11443. (Dříve aplikace podporovala jen běh pod nativním https portem 443.)
- API token lze klepnutím zkopírovat do schránky.
- Zrušeny akce u skartovaných zásilek (např. uvolnění z/přesun do karantény), jsou zde zbytečné, obsah je již smazán.
- Stávající heslo v nastavení detekčních enginů (sandboxů) se již nezobrazuje, lze ho pouze změnit na nové.
- V audit log záznamech skryta případná obsažená hesla (nahrazena řetězcem ***).
- Úpravy JWT tokenů:
- JWT tokeny posílané a uchovávané v prohlížečích jsou nyní šifrované (dříve pouze podepsané) a klient tak nemůže číst jejich obsah.
- Zkrácena výchozí expirace autentizačních JWT tokenů (= platnost přihlašení při nečinnosti) z 60 na 30 min.
- Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Maximální životnost autentizačních JWT tokenů", které určuje, po jaké době je uživatel odhlášen i pokud je aktivní.
- Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Životnost JWT download tokenů", které určuje, jak dlouho se může pamatovat již zadané heslo zásilky.
- Drobná bezpečnostní zlepšení dle výsledků pentestu, včetně:
- Lepší ochrana proti "session hijacking". Přidána IP adresa a User-Agent do JWT tokenu a pokud se neshodují (změní), požadavek se odmítne a zaloguje.
- Přidány hlavičky: Cache-Control "no-store", Pragma "no-cache", X-Content-Type-Options "nosniff" a Referrer-Policy "same-origin" do všech odpovědí.
- Při neočekávané interní chybě/výjimce se již nezobrazí detaily java třídy, ale vlastní chybové stránky neodhalující zbytečné interní detaily.
- Zrušen finální stav zásilky "nahrávání přerušeno" (UPLOAD_CANCELED) a nahrazen společným jednotným stavem "skartovaná" (CONTENT_DELETED).
- Upraven vzhled některých částí aplikace pro lepší přehlednost.
- Nové a upravené audit logy, podrobnosti viz: Seznam a popis jednotlivých typů Audit Log událostí.
Opravy: - Při dlouhém nahrávání obsahu zásilky dochází k pravidelné obnově přihlášení, takže nemůže dojít k automatickému odhlášení v průběhu nahrávání a tím způsobené následné chybě.
- Opraveno občas podivné chování formuláře při nastavování práv administrátora.
- Opraveno zobrazení uživatelů a dalších řetězců v audit logu a dalších místech, kde se zobrazoval navíc řetězec #časová-značka.
- Řazení výsledků kontrol detekčních enginů v detailu souboru zásilky je nyní dle abecedy podle sloupce "Detekční nástroj".
- Opraveno zobrazení barev u výsledků kontrol - žlutá by měla být konzistentní a vždy znamenat, že došlo k detekci, ale dle nastavení to neznamená blokaci a umístění do karantény, ale pouze notifikaci. (Dříve v některých případech i takové výsledky byly červené.)
- Upravena hláška "Chyba ADFS" na "Chyba přihlášení", pokud se uživatel úspěšně přihlásí v ADFS, ale nemá přístup do SOFiE.
- Opraveno parsování expirace licence u enginu Kaspersky 11.2.
- Oprava nepřítomnosti atributu stavu licence v audit log záznamech LICENSE_INVALID.
- Opraveno možné zdvojení audit logů při změně stavu licence.
- Logo v náhledu Nastavení - Konfigurace - Vzhled se nyní lépe shoduje s tím, jak bude vypadat v horní liště.
- Další různé opravy překlepů, textů, grafiky, apod.
|