Document toolboxDocument toolbox

(v2.1) Nastavení - Konfigurace - Bezpečnost

Owned by Pavel Novák
Feb 17, 2023
4 min read

Na obrazovce Bezpečnost je možné změnit konfigurační parametry zajišťující bezpečný provoz aplikace. Jmenovitě jsou to následující:

Pravidla hesel pro administrátory

Minimální délka hesla

Minimální délka hesla administrátorů. Délka hesla se kontroluje při nastavování nového nebo změně hesla. Z důvodu bezpečnosti nelze nastavit na méně než 8 znaků.

(výchozí: 8)

Heslo musí obsahovat

Zaškrtnutím požadovaných skupin znaků (malá a velká písmena, číslice, symboly) je možné zvýšit složitost použitých hesel. Za symbol se považují znaky: ! @ # $ % ^ & *. Skupiny znaků se kontrolují při nastavování nového nebo změně hesla.

(výchozí: vše nezaškrtnuto)

Zakázat použití uniklých hesel

Pokud je zapnuto, pak nelze nastavit heslo, které je součástí známého úniku hesel. Pro kontrolu se používá služba "Have I Been Pwned (HIBP)". Při kontrole se heslo nikam neodesílá. Odešle se jen fragment 5-ti znaků SHA1 otisku hesla. Více informací lze nalézt zde: https://haveibeenpwned.com/API/v3#PwnedPasswords. Kontroluje se při nastavování nového nebo změně hesla.

(výchozí: vypnuto)

Pravidla hesel pro uživatele

Následující nastavení pravidel pro hesla uživatelů se vztahují pouze na lokální uživatele, založené administrátorem přímo v aplikaci SOFiE. Na vzdálené uživatele (z AD/ADFS) nemají vliv.

Minimální délka hesla

Minimální délka hesla uživatelů. Délka hesla se kontroluje při nastavování nového nebo změně hesla. Z důvodu bezpečnosti nelze nastavit na méně než 8 znaků.

(výchozí: 8)

Heslo musí obsahovat

Zaškrtnutím požadovaných skupin znaků (malá a velká písmena, číslice, symboly) je možné zvýšit složitost použitých hesel. Za symbol se považují znaky: ! @ # $ % ^ & *. Skupiny znaků se kontrolují při nastavování nového nebo změně hesla.

(výchozí: vše nezaškrtnuto)

Zakázat použití uniklých hesel

Pokud je zapnuto, pak nelze nastavit heslo, které je součástí známého úniku hesel. Pro kontrolu se používá služba "Have I Been Pwned (HIBP)". Při kontrole se heslo nikam neodesílá. Odešle se jen fragment 5-ti znaků SHA1 otisku hesla. Více informací lze nalézt zde: https://haveibeenpwned.com/API/v3#PwnedPasswords. Kontroluje se při nastavování nového nebo změně hesla.

(výchozí: vypnuto)

Pravidla hesel pro zásilky

Minimální délka hesla

Minimální délka hesla pro zásilky, pokud je nastaveno. Z důvodu bezpečnosti nelze nastavit na méně než 8 znaků.

(výchozí: 8)

Heslo musí obsahovat

Zaškrtnutím požadovaných skupin znaků (malá a velká písmena, číslice, symboly) je možné zvýšit složitost použitých hesel. Za symbol se považují znaky: ! @ # $ % ^ & *. Skupiny znaků se kontrolují při nastavování nového nebo změně hesla.

(výchozí: vše nezaškrtnuto)

Zakázat použití uniklých hesel

Pokud je zapnuto, pak nelze nastavit heslo, které je součástí známého úniku hesel. Pro kontrolu se používá služba "Have I Been Pwned (HIBP)". Při kontrole se heslo nikam neodesílá. Odešle se jen fragment 5-ti znaků SHA1 otisku hesla. Více informací lze nalézt zde: https://haveibeenpwned.com/API/v3#PwnedPasswords.

(výchozí: vypnuto)

Povinné heslo zásilky - nepřihlášený uživatel

Vynutit nastavení hesla pro přístup k zásilce, pokud ji nahrává NEPŘIHLÁŠENÝ uživatel (anonym). Pokud je zapnuto, zásilku bez nastaveného hesla (splňujícího výše uvedená pravidla) nepůjde odeslat.

(výchozí: vypnuto)

Povinné heslo zásilky - přihlášený uživatel

Vynutit nastavení hesla pro přístup k zásilce, pokud ji nahrává PŘIHLÁŠENÝ uživatel. Pokud je zapnuto, zásilku bez nastaveného hesla (splňujícího výše uvedená pravidla) nepůjde odeslat.

(výchozí: vypnuto)

Životnost odkazu pro obnovu hesla

Pro obnovu vyžádanou uživatelem

Pokud má lokální uživatel (viz typy uživatelů) problém s přihlášením a vyžádá si obnovu hesla, přijde mu na email unikátní odkaz umožňující heslo změnit. Tato položka určuje, kolik minut je tento odkaz platný.

(výchozí: 30)

Pro obnovu vyžádanou administrátorem

Pokud administrátor požádá o obnovu hesla lokálního uživatele, přijde uživateli na email unikátní odkaz umožňující heslo změnit. Tato položka určuje, kolik minut je tento odkaz platný.

(výchozí: 1440 = 24 h)

Pro nově založené účty uživatelů a administrátorů

Při zakládání nového lokálního uživatele nebo administrátora má administrátor možnost místo přímého nastavení hesla poslat e-mailem unikátní odkaz umožňující mu, aby si heslo sám nastavil. Tato položka určuje kolik minut je tento odkaz platný.

(výchozí: 20160 = 14 dní)

Doba platnosti přihlášení a autorizace

Při přihlášení do aplikace je uživatelům i administrátorům vystaven JWT token. Ten je serverem vrácen v HTTP cookie a je tak prohlížečem odesílán při všech dalších požadavcích zpět na server. V JWT tokenu je obsažena doba, po kterou je platný. Pokud na server přijde JWT token s prošlou dobou platnosti, je uživatel odhlášen. JWT token je aktualizován a doba platnosti znovu nastavena při každém úspěšném požadavku, proto dokud uživatel aplikaci aktivně používá, platnost přihlášení se mu prodlužuje.

Čas do odhlášení při nečinnosti

Životnost autentizačních JWT tokenů ve vteřinách (60 - 1000000). Token je obnoven při každé akci uživatele a tak je toto nastavení zároveň max. doba nečinnosti uživatele před odhlášením.

(výchozí: 1800 = 30 min)

Maximální doba platnosti přihlášení

Maximální celková životnost autentizačních JWT tokenů ve vteřinách (60 - 1000000). Po této době již není možné obnovit JWT token akcí uživatele a uživatel je odhlášen.

(výchozí: 28800 = 8 h)

Doba platnosti přístupu k zaheslované zásilce

Doba ve vteřinách po kterou lze přistupovat k zásilce chráněné heslem bez znovu zadávání hesla (60 - 1000000).

(výchozí: 1800 = 30 min)

Doba platnosti jednoho přístupu k zásilce s omezeným počtem přístupů

Doba ve vteřinách po kterou lze přistupovat k zásilce s omezeným počtem přístupů a bude to počítáno jako jeden přístup (60 - 1000000).

(výchozí: 1800 = 30 min)

reCaptcha

reCAPTCHA secret key

Nastavuje reCAPTCHA secret key v případě použití reCAPTCHA anti-spam mechanismu (viz. https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používat.

reCAPTCHA site key

Nastavuje reCAPTCHA site key v případě použití reCAPTCHA anti-spam mechanismu (viz. https://developers.google.com/recaptcha/intro). Pokud není vyplněn, reCAPTCHA se nebude používat.

reCAPTCHA hraniční skóre

Nastavuje hranici reCAPTCHA skóre od které požadavek není považován za spam (číslo od 0 do 1, viz. https://developers.google.com/recaptcha/docs/v3#interpreting_the_score). Výchozí doporučená hodnota je 0,5.

(výchozí: 0.5)

Povolit logování reCAPTCHA výsledků

Zapíná nebo vypíná logování výsledků reCAPTCHA testů do audit logu. Mělo by být zapnuto jen dočasně při řešení problémů s odesíláním zásilek, protože může vytvářet velké množství záznamů.

(výchozí: vypnuto)

Ostatní nastavení

Důvěryhodné proxy

Seznam IP adres (oddělených čárkou) důvěryhodných proxy.

Pokud je aplikace provozována za proxy (např. WAF typu F5, FortiWeb, aj.), nevidí přímo IP adresy připojujících se klientů, neboť ti se připojují k proxy, ale vidí pouze IP adresu proxy, která předává požadavky aplikaci. Veškeré audit logy a také nastavení omezující přihlášení administrátorů pouze na vybrané IP adresy pak pracují s touto IP adresou proxy, což obvykle není požadovaný stav.

Pokud v tomto nastavení vyplníme IP adresy důvěryhodných proxy, které požadavky na aplikaci předávají, a tyto podporují přidávání hlavičky X-Forwarded-For (mělo by být standardem), bude aplikace tyto IP adresy důvěryhodných proxy pro potřeby logů a řízení přístupu ignorovat a místo nich používat IP adresy klientů předaných od důvěryhodné proxy (a pouze od ní) v hlavičce X-Forwarded-For.