Document toolboxDocument toolbox

Version (v1.4) of Nastavení - Konfigurace - Bezpečnost

Na obrazovce Bezpečnost je možné změnit konfigurační parametry zajišťující bezpečný provoz aplikace. Jmenovitě jsou to následující:

Minimální délka hesla

Minimální délka hesla uživatelů i administrátorů. Délka hesla se kontroluje při přidávání nového záznamu a při změně hesla.

Heslo musí obsahovat

Zaškrtnutím požadovaných skupin znaků (malá a velká písmena, číslice, symboly) je možné zvýšit složitost použitých hesel. Za symbol se považují znaky: ! @ # $ % ^ & *. Skupiny znaků se kontrolují při přidávání nového záznamu a při změně hesla.

Životnost odkazu pro obnovu hesla

Pokud má lokální uživatel (viz typy uživatelů) problém s přihlášením a vyžádá si obnovu hesla, přijde mu na email jednorázový token umožnující heslo změnit. Tato položka určuje kolik minut je tento token platný.

Životnost odkazu pro obnovu hesla (odeslaného adminem)

Pokud administrátor požádá o obnovu hesla lokálního uživatele, přijde uživateli na email jednorázový token umožnující heslo změnit. Tato položka určuje kolik minut je tento token platný.

Životnost odkazu pro obnovu hesla (založení nového uživatele)

Při zakládání nového lokálního uživatele má administrátor možnost místo přímého nastavení hesla poslat uživateli jednorázový token umožňující heslo nastavit. Tato položka určuje kolik minut je tento token platný.

Životnost JWT tokenu

Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. Ten je serverem vrácen v HTTP cookie a je tak prohlížečem odesílán při všech dalších požadavcích na server. V JWT tokenu je obsažena doba po kterou je platný. Pokud na server přijde JWT token s prošlou dobou platnosti, je uživatel odhlášen. JWT token je aktualizován a doba platnosti znovu nastavena při každém úspěšném požadavku, proto dokud uživatel aplikaci aktivně používá, nebude nikdy automaticky odhlášen. Toto nastavení určuje ve vteřinách dobu platnosti autentizačního JWT tokenu.

Zjednodušeně řečeno, tento parametr určuje dobu pro automatické odhlášení v případě nečinnosti.

Klíč pro podepisování JWT tokenů

Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. Token je podepsaný tajným soukromým klíčem a podpis každého přijatého tokenu je pomocí toho klíče ověřen (tak je zajištěno, že není s tokenem mimo server manipulováno). Klíč by měl mít alespoň 32 znaků. Změna klíče zneplatní všechny dosud vydané JWT tokeny a prakticky tak dojde k odhlášení všech uživatelů i administrátorů. Klíč je uložen na serveru. Z bezpečnostních důvodů ale nikdy nesmí opustit server, a tak ho není možné zobrazit, pouze změnit. Výchozí klíč je vytvořen jako náhodný řetězec při instalaci aplikace.

Salt přidávaný k XSRF tokenu

Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. JWT token obsahuje mimo jiné XSRF token který pomáhá chránit proti XSRF (Cross-site request forgery) útokům. XSRF token je náhodný řetězec spojený s tajným klíčem (“salt”), toto nastavení nastavuje právě tento salt. Změna saltu zneplatní všechny dosud vydané tokeny a prakticky tak dojde k odhlášení všech uživatelů i administrátorů. Salt je uložen na serveru, z bezpečnostních důvodů ale nikdy nesmí opustit server a tak ho není možné zobrazit, pouze změnit. Výchozí salt je vytvořen jako náhodný řetězec při instalaci aplikace.

reCAPTCHA secret key

Nastavuje reCAPTCHA secret key v případě použití reCAPTCHA anti-spam mechanismu (viz. https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používat.

reCAPTCHA site key

Nastavuje reCAPTCHA site key v případě použití reCAPTCHA anti-spam mechanismu (viz. https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používat.

reCAPTCHA hraniční skóre

Nastavuje hranici reCAPTCHA skóre od které požadavek není považován za spam (číslo od 0 do 1, viz. https://developers.google.com/recaptcha/docs/v3#interpreting_the_score). Výchozí doporučená hodnota je 0,5.

Povolit logování reCAPTCHA výsledků

Zapíná nebo vypíná logování výsledků reCAPTCHA testů do audit logu. Mělo by být zapnuto jen dočasně při řešení problémů s odesíláním zásilek, protože může vytvářet velké množství záznamů.

Zapnout ochranu proti opakovanému hádání hesel

Pokud je zapnuto, pak v případně chybných pokusů o přihlášení se bude exponenciálně prodlužovat čas, než aplikace dovolí další pokus o přihlášení. Maximálně však na 10 minut mezi pokusy.

Pokud je vypnuto, žádné omezení pokusů o chybné přihlášení neexistuje. V produkčním režimu by tak vždy mělo být zapnuto, jinak je možné rychle strojově testovat různá hesla a snažit se o prolomení účtu uživatele.

Ve výchozím stavu je zapnuto.