Poznámky k vydání (Release Notes / Changelog)

Nové funkce:

• Možnost vytvářet zásilky s omezeným počtem přístupů. Pro veřejné zásilky může administrátor navíc omezení přístupů povinně vynutit.
• Nově lze uživatele omezit dle IP rozsahů:
  • Uživatelům lze omezit přihlášení a povolit ho pouze z povolených IP (rozsahů). Jak všem společně (firemní adresy), tak každému navíc individuálně (např. domácí veřejné).
  • Uživatelům lze zakázat anonymní zásilky (bez přihlášení) z rozsahů, z kterých mají povoleno přihlášení (viz výše). Pro odeslání z těchto IP se tak musí povinně přihlásit.
• Implementace nových bezpečnostních limitů (nová sekce Nastavení - Konfigurace - Bezpečnostní limity), včetně:
  • Zlepšena ochrana proti hádání hesel uživatelů. Zatím co neúspěšné pokusy jsou omezovány v čase a následně blokovány, tak legitimní přihlášení ze stejné IP může mezitím proběhnout bez vlivu na toto omezení.
  • Omezení počtu pokusů o obnovu hesla. Předchází možnosti DoS útoku nebo spamu.
  • Omezení počtu pokusů o hádání hesla zásilky či výzvy.
  • Omezení počtu pokusů o přístup k neexistující zásilce.
• Administrátor může nastavit, že auditor (uživatel schvalující čekající zásilky k odeslání) může přistupovat k zaheslované zásilce i bez znalosti hesla (podobně jako administrátor). Neplatí pro zásilky šifrované heslem, ty bez hesla nelze rozšifrovat.
• Administrátor může u uživatelů vynutit používání více-faktorové autentizace (v Nastavení - Konfigurace - Nastavení uživatelů - Vícefaktorová autentizace).
• Administrátor může nyní libovolně měnit typ (přístupnost) zásilky (mezi veřejná, interní a soukromá). Dříve bylo možné pouze zveřejnit soukromou zásilku. Může tak vzniknout i soukromá zásilka bez příjemce, kterou si pak nikdo nestáhne, ale to není považováno za chybu ale úmysl administrátora.
• Administrátor může vynutit nastavení hesla pro nové zásilky (zvlášť pro anonymy a zvlášť pro přihlášené uživatele). Včetně požadovaných pravidel pro sílu hesla.
• Administrátor může vypnout podporované jazyky pro uživatele i administrátory (kromě angličtiny, její podporu vypnout nelze). Vypnuté jazyky se pak nebudou nikde zobrazovat a nabízet k nastavení a použití.
• Podpora relací přihlášených uživatelů na straně serveru (navíc ke stávajícím jwt tokenům), což umožní uživatele odhlásit ze strany serveru a nebude stačit platný jwt token k obnovení přihlášení uživatele.
• Podpora kvóty na počet souborů ke kontrole odeslaných na FortiSandbox, pokud je provozovaný jako služba. Kvóta se stanovuje v rámci licence a po jejiím překročení buď dojde pouze k upozornění, nebo se kontroly sandboxem přestanou provádět.
• Vylepšení funkce (e-mail) šablon:
  • V e-mail šablonách je možné vložit a použít oslovení příjemce (jménem, a pokud není známo, e-mailem) pro lepší individualizaci zpráv a zlepšenou ochranu proti phishingu.
  • V šablonách lze definovat společný prefix / suffix, který se vloží vždy před / za text e-mailové zprávy. Lze tak snadno do všech odesílaných e-mailů např. přidat firemní patičku, nebo na začátek přidat oslovení příjemce, apod.
  • Do notifikace o uložení zásilky do karantény lze vložit detail s výsledky kontrol problémových souborů. Výchozí šablona pro notifikace pro administrátory byla upravena, aby toto automaticky využívala a administrátor se tak v notifikaci rovnou dozvěděl důvody karantény, bez nutnosti otevírat detail zásilky v aplikaci.
• Podpora pro zobrazení podmínek užití na přihlašovací obrazovce. Dle nastavení admina buď dobrovolně, po klepnutí na odkaz, nebo povinně v modálním okně po vstupu na přihlašovací obrazovku.
• Zavedeno administrátorem nastavitelné omezení na maximální počet zkoumaných objektů v rámci MIME kontrol obsahu. Dříve bylo možné např. zipem s obrovským počtem souborů nadměrně zatížit aplikaci například při zobrazení tohoto obrovského počtu výsleků.

Drobné změny:

• Změna v procesu aktualizace na nové verze (např. nyní 2.0 → 2.1), je nutné postupovat dle aktualizovaných instrukcí v Pokyny k přechodu na novou verzi (Upgrade notes).
• Při změně vlastního hesla nebo vlastních autentikátorů pro vícefaktorovou autentizaci je třeba nejprve zadat aktuální heslo. Platí pro uživatele i administrátory.
• Reset hesla pomocí odkazu v e-mailu vyvolaný administrátorem donutí ke skutečné změně hesla (nepůjde zadat znovu stejné heslo). Z bezpečnostních důvodů, např. po incidentu, kdy došlo k úniku hesla a administrátor vyžaduje jeho změnu.
• V pravidlech pro hesla byla minimální nastavitelná délka navýšena na 8 znaků. Navíc vždy doporučujeme zapnout vyžadování různých typů znaků a využití databáze uniklých hesel.
• Upraveno zobrazení práv uživatelů v seznamu uživatelů. Najetím myši nad novou ikonou pod jménem uživatele v seznamu lze zobrazit jeho aktuální nastavení práv.
• Administrátor s oprávněním "správa administrátorů" má automaticky napevno přidělena všechna ostatní práva. To reflektuje skutečný stav, kdy oprávnění pro správu administrátorů mu dovoluje si je stejně kdykoli přidat a nevytváři se tak iluze, že je nějak omezen.
• Při nahrání vlastního loga administrátorem ve formátu SVG dojde k lepší kontrole souboru, aby nemohl obsahovat spustitelný kód.
• API rozšířeno o podporu nových funkcí (nastavení zásilky) z verzí 2.0 a 2.1 (např. šifrování heslem, omezení počtu přístupů, atd.).
• Audit log pro neoprávněný přístup k zásilce rozdělen na dva různé audit logy (zvlášť pro anonymy: PACKAGE_DOWNLOAD_UNAUTHORIZED_ACCESS, a zvlášť pro přihlášené uživatele: PACKAGE_DOWNLOAD_USER_UNAUTHORIZED_ACCESS).
• Unikátní token pro reset hesla se již neloguje do audit logu, tj. administrátor ho nevidí.
• Zavedeny kroky pro lepší automatizaci procesu upgrade na budoucí verze (úprava nginx konfigurace, aby bylo možné ji lépe měnit automaticky).
• Různé menší úpravy a optimalizace vzhledu rozhraní aplikace.

Opravy:

• Opravena chybná indikace řazení dle sloupce v seznamech při přechodu mezi různými obrazovkami.
• Opraven chybný výsledný stav při vyvolání ukončení kontrol zásilky, pokud mezitím stihly některé kontroly doběhnout do konce (mohlo nastat při velmi nepravděpodobném souběhu událostí).
• Opraveny aktualizace/notifikace v rozhraní pro dlouho běžící úlohy na pozadí (např. šifrování souborů nebo kontrola integrity).
• Opravena výjimka při pokusu o stažení neexistujícího souboru.
• Opravena výjimka, ke které mohlo dojít za speciálních okolností při MIME kontrole.
• Opravena výjimka, která mohla nastat při některých specifických požadavcích.
• Opraveno logování např. při chybách ADFS nebo pro externí API.
• Opraven zásek frontendu při nestandardním stavu localStorage.

Opravy:

• Opravena rozbitá integrace na Check Point SandBlast Cloud (drobná změna v API).
• Oprava v integraci na FortiNet FortiSandbox, kde mohlo v některých specifických případech dojít k chybě.
• V produkčním režimu skryt výpis konfiguračních parametrů a jejich hodnot při startu aplikace. V debug režimu skryt výpis hodnot citlivých hesel/klíčů.
• Doplnění několika chybějících textů v popisu šablon a oprava překlepu.

Nové funkce:

• Podpora pro schvalování odesílaných zásilek vybranými uživateli před jejich skutečným odesláním. Funkcionalitu lze zapnout v "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky bez schválení", plus vybrat případné uživatele odebráním jejich práva "Odesílat zásilky bez dodatečného schválení". Schvalování mohou provádět vybraní uživatelé (s právem "Schvalovat odeslání zásilek") nebo administrátoři (s právem "správa zásilek"). Funkce má pomoci zamezit, aby uživatelé odeslali ven z organizace data, která by odeslat neměli. Jedná se o první základní verzi funcionality, která bude v budoucnu zdokonalena a rozšířena.
• Možnost zakázat uživatelům odesílat zásilky sami sobě a rovněž možnost zakázat stahovat soubory ze svých odeslaných zásilek. (V "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky sami sobě / Uživatelé mohou stahovat soubory ze svých odeslaných zásilek", plus případné odebrání odpovídajících práv jednotlivým uživatelům.) Toto má dále zabránit potencionálnímu úniku dat, kdy uživatel sice neodešle data veřejně ven, ale sám sobě nebo někomu interně a následně si je ze svého účtu znovu stáhne, ale při přihlášení mimo síť organizace.

Opravy:

• Opravena podpora integrace pro FortiClient verze 7.0.3 (změnil se drobně formát výstupu).
• Doplnění chybějících textů zpráv pro některé audit logy (PACKAGE_REQUEST_ENTERED_VALID_PASSWORD, PACKAGE_REQUEST_ENTERED_INVALID_PASSWORD).
• Opraveno několik překlepů.

Opravy:

• Ošetření možného souběhu akcí, kdy u zásilky ve frontě čekající na kontroly detekčními nástroji mohlo být administrátorem omylem spuštěno její šifrování, což následně způsobilo nepřístupnost jejích souborů pro detekční nástroje a selhání kontrol. Zásilky ve frontě budou při ručním spuštění šifrování administrátorem přeskočeny.
  • Zaveden nový audit log: PACKAGE_ENCRYPTION_SKIPPED.

Opravy:

• Opravena chyba v integraci některých AV nástrojů (např. Kaspersky), pokud byla instalace provedena na systém s jinou jazykovou verzí než angličtinou (např. němčinou).
• Opravena chyba v situaci, kdy registrovaný uživatel po přihlášení odešle zásilku přes formulář pro anonymní uživatele (např. v jiné záložce). Nyní to již funguje a vzniklá zásilka bude typu soukromá.
• Opravena neočekávaná výjimka nastávající při přístupu na některé neexistující URL (např. při skenu roboty/crawlery).

Opravy:

• Opravena nefunkční aktualizace časové značky posledního příhlášení uživatele při přihlášení přes ADFS bez MFA. (Mohlo ovlivňovat funkci automatického zamykání/mazání uživatelů, pokud byly tyto nové v2.0 funkce zapnuty.)
• Opravena chybná indikace řazení dle sloupců v některých seznamech, pokud mezitím došlo k přepnutí pohledu.

Opravy:

• Opraveno možné odhlášení uživatele po dlouhém uploadu a také související chybu zásilky. Oprava z verze 2.0.0 nebyla plně funční a k odhlášení stále mohlo dojít.
• Opraveno možné přerušení stahování větších souborů po 1 GB při pomalé rychlosti přenosu. (Nutno provést úpravu nginx konfigurace, viz Upgrade notes.)
• Zvýšena závažnost audit logu EMAIL_SEND_FAILED z INFO na ERROR.
• Opraven překlep v HU jazykové verzi.

Opravy:

• Opravena chyba v autorizaci požadavků pro API, která se objevila díky změnám ve verzi 2.0.0.
• Opravena výjimka, která mohla nastat za specifických okolností při skenování obsahu MIME detekčním nástrojem.

Opravy:

• Při zapnuté funkci šifrování nových zásilek se v admin rozhraní ve frontě zásilek se již nezobrazují zbytečně vykřičníky s upozorněním na nezašifrovanou zásilku.
• Zrychleno zobrazení, řazení a některá hledání v audit logu (přidán index v databázi).

Nové funkce:

• Podpora šifrování "encryption at rest" (nutno zapnout v Nastavení - Konfigurace - Šifrování). Umožňuje po dokončení kontroly souborů zásilek detekčními enginy tyto soubory v úložišti aplikace zašifrovat. Podrobnosti viz dokumentace.
  • Podpora šifrování jednotlivých zásilek klíčem odvozeným z hesla nastaveného pro zásilku uživatelem (po zašifrování není nikde v aplikaci uloženo). Bez znalosti a zadání tohoto hesla tak nelze zásilku rozšifrovat a přístup k jejím souborům tak nemá ani administrátor.
• Kontrola integrity dat. U celých zásilek i jednotlivých souborů lze vyvolat kontrolu integrity dat, která spočítá aktuální kontrolní součty (SHA256) a srovná je s těmi z doby nahrání na server. Výsledek je u jednotlivých souborů i zásilky zaznamenán a zobrazen. Pokud je integrita narušena (soubor poškozen), lze odeslat upozornění dle nastavení. Admin může nastavit, zda kontrolu mohou spouštět u zásilek a souborů i uživatelé, nebo ne. Admin rovněž může naplánovat automatickou pravidelnou kontrolu. V Nastavení - Konfigurace - Integrita dat.
• Podpora nového antiviru v detekčních nástrojích - FortiClient (Fortinet antivirus).
• Možnost editace existující zásilky jejím odesílatelem (autorem) a adminem, konkrétně:
  • Admin může nastavit, zda autor může do existující zásilky přidávat nové soubory, nebo z ní mazat existující soubory (oboje ve výchozím stavu zakázáno).
  • Admin může mazat soubory z existujících zásilek a také obnovovat smazané soubory (adminem nebo uživatelem). Uživatel obnovovat smazané soubory nikdy nemůže.
  • Admin může skartovat jednotlivé soubory z existujících zásilek (a uvolnit tak místo v úložišti).
  • Při přidání nového souboru do zásilky dochází k nové notifikaci příjemcům zásilky, obdobně jako při nové zásilce.
• Hromadné akce nad zásilkami. V seznamech zásilek lze vybrat více zásilek najednou a provést nad nimi hromadnou akci, např. typicky je všechny najednou smazat.
• Hromadná změna práv vybraných uživatelů. V seznamu uživatelů lze vybrat více uživatelů najednou a hromadně jim přidat či odebrat zvolená práva.
• Admin může ručně znovu vyvolat (re)test celé zásilky či souboru detekčními nástroji. Vhodné např. pro ověření, zda po aktualizaci signatur anti-viru je zásilka/soubor stále zavirovaný nebo ne.
• Podpora automatické deaktivace a mazání neaktivních uživatelů (Nastavení - Konfigurace - Nastavení uživatelů). Neaktivní uživatele lze po zvoleném čase zamknout (nebudou se moci přihlásit), případně smazat.
• Dočasné uživatelské účty. Admin při zakládání lokálního uživatele může nastavit jeho expiraci. Takový účet pak po uvedeném čase expiruje a je automaticky smazán.
• Lepší podpora pro různé jazyky:
  • Oddělené nastavení primárního jazyka pro e-maily. (Dosud byl určen dle výchozího jazyka aplikace.)
  • Volitelné nastavení sekundárního jazyka pro e-maily. Je-li nastaven, e-mail bude dvojjazyčně, kde druhý jazyk bude následovat pod prvním.
  • Oddělené nastavení jazyka pro syslog. (Dosud byl určen dle výchozího jazyka aplikace.)
  • Přihlášený uživatel si ve svém profilu může nastavit jazyk. V tomto mu pak budou chodit jemu určené e-maily a nikoli dle globálního nastavení primárního a sekundárního jazyka, viz výše.
• Nové notifikace (zapíší se do audit logu a voliteně odešlou na e-mail) na události:
  • Chybu při kontrole zásilky. Z důvodu chyby některého z detekčních enginů byl tento při kontrole zásilky vynechán.
  • Nefunkčnost detekčního enginu. Některý z detekčních enginů přestane být dostupný. Může nastat např. při expiraci licence anti-viru, nefunkčním spojení na sandbox, apod.
  • Docházející místo na disku. Pokud volné místo klesne pod 10% na kterémkoli úložišti zásilek a vybraných systémových cestách (/, /var/log, /var/lib/pgsql, /var/lib/kafka).
• Admin může přesunout zásilku z aktivních do karantény. (Dosud šlo pouze opačně, uvolnit z karantény.)
• Možnost zakázat použít nebezpečná hesla ze známého úniku (služba "have i been pwned?"). Lze zapnout v Nastavení - Konfigurace - Bezpečnost.
• Při zakládání nového účtu administrátora je možné místo přímého zadání hesla účtu odeslat e-mail s odkazem pro nastavení hesla novému administrátorovi. (Obdobně jako u uživatelů.)
• Čítač počtu stažení souborů a archivu zásilky. V detailu zásilky je vidět počet stažení jednotlivých souborů a archivu zásilky (anonymně, přihlášeným uživatelem, adminem). Počítá se pouze dokončené stažení (ze serveru odeslán konec souboru).

Drobné změny:

• Přihlašovací jména již nejsou citlivá na velikost písmen (case insensitive), tj. stejné chování jako např. v Active Directory. ("test" a "Test" je nyní stejný uživatel, dříve byli dva různí)
• Při pohledu na detail zásilky dochází k automatické aktualizaci jejích informací (např. stavu šifrování, kontroly integrity, výsledků kontrol, apod.).
• Upraveno pamatování hesla zásilky:
  • Nastavitelná doba pamatování hesla, viz. Nastavení - Konfigurace - Bezpečnost: "Životnost JWT download tokenů".
  • Pokud není uživatel přihlášený, neukládá se token v prohlížeči (v LocalStorage).
  • Pokud je uživatel přihlášený, zobrazí se mu v dialogu pro zadání hesla zásilky volba "pamatovat heslo po dobu XX minut" (dle nastavení), ve výchozím stavu nezaškrtnutá.
• Na Dashboardu je zobrazen přehled zapnutých detekčních nástrojů a dostupné informace o nich.
• Seznam souborů v zásilce lze řadit dle názvu, typu, data nahrání a velikosti souboru.
• Nastavení požadavků na sílu hesel rozděleno zvlášť pro adminy a zvlášť pro uživatele (dosud bylo společné).
• V zásilkách lze hledat dle příznaků. Lze tedy např. najít všechny zásilky nastavené jako trvalé.
• Filtry nad seznamy zásilek lze schovat do jednořádkové lišty, aby nezabíraly příliš místa na obrazovce.
• Rozděleno zobrazení souborů v zásilce - soubory v karanténě, smazané a skartované zobrazeny zvlášť, v odděleném seznamu.
• Zlepšeno hledání v kontaktech a skupinách kontaktů (lze hledat obsažené skupiny i kontakty).
• Výzvy (zásilky ve stavu výzva) lze mazat.
• Uživatel může "mazat" své příchozí zásilky. Technicky se pouze schovají v jeho pohledu. Opravdové mazání může dělat pouze odesílatel, admin nebo časová expirace.
• I uživatel u přijatých a odeslaných zásilek vidí, zda zásilka je veřejná nebo ne (doposud viděl jen admin).
• Upraven proces obnovy/nastavení hesla na základě e-mailu s odkazem pro nastavení hesla. Nyní obsahuje přímo odkaz s unikátním UUID, který stačí otevřít a nastavit nové heslo. Dříve se po otevření odkazu ještě musel přepisovat token uvedený v těle e-mailu.
  • Odpovídajícím způsobem byly rovněž upraveny výchozí e-mailové šablony pro tyto akce. Pokud instalace používá vlastní upravené šablony, je tyto potřeba aktualizovat dle vzoru nových výchozích šablon.
• Při aktivaci TOTP vícefaktorové autentizace je třeba zadat platný kód z aktivovaného autentikátoru, jinak se aktivace neprovede.
• Ochrana proti opakovanému hádání hesel (bruteforce attack) rozšířena i na opakované pokusy o vícefaktorovou autentizaci (MFA).
• Při změně časů expirace v Nastavení - Konfigurace - Workflow lze volitelně tuto změnu přepočítat i pro stávající zásilky (jinak se změna projeví pouze u nových).
• Podpora nových stavů licence. Původní "demo režim" rozdělen na nový režim "bez licence" (nové instalace bez jakékoli i trial licence) a nově upravený "demo režim" (speciální demo licence), určený pro demonstrační účely.
• Podpora FQDN aliasů. Kromě hlavního FQDN lze licenci vystavit i na další domény a bude funkční a platná pro všechny. Aplikace tak může běžet pod vícero doménami.
• Podpora alternativního https portu - FQDN může kromě domény navíc obsahovat i upravený port, tj. např. https://sofie.sonpo.cz:11443. (Dříve aplikace podporovala jen běh pod nativním https portem 443.)
• API token lze klepnutím zkopírovat do schránky.
• Zrušeny akce u skartovaných zásilek (např. uvolnění z/přesun do karantény), jsou zde zbytečné, obsah je již smazán.
• Stávající heslo v nastavení detekčních enginů (sandboxů) se již nezobrazuje, lze ho pouze změnit na nové.
• V audit log záznamech skryta případná obsažená hesla (nahrazena řetězcem ***).
• Úpravy JWT tokenů:
  • JWT tokeny posílané a uchovávané v prohlížečích jsou nyní šifrované (dříve pouze podepsané) a klient tak nemůže číst jejich obsah.
  • Zkrácena výchozí expirace autentizačních JWT tokenů (= platnost přihlašení při nečinnosti) z 60 na 30 min.
  • Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Maximální životnost autentizačních JWT tokenů", které určuje, po jaké době je uživatel odhlášen i pokud je aktivní.
  • Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Životnost JWT download tokenů", které určuje, jak dlouho se může pamatovat již zadané heslo zásilky.
• Drobná bezpečnostní zlepšení dle výsledků pentestu, včetně:
  • Lepší ochrana proti "session hijacking". Přidána IP adresa a User-Agent do JWT tokenu a pokud se neshodují (změní), požadavek se odmítne a zaloguje.
  • Přidány hlavičky: Cache-Control "no-store", Pragma "no-cache", X-Content-Type-Options "nosniff" a Referrer-Policy "same-origin" do všech odpovědí.
  • Při neočekávané interní chybě/výjimce se již nezobrazí detaily java třídy, ale vlastní chybové stránky neodhalující zbytečné interní detaily.
• Zrušen finální stav zásilky "nahrávání přerušeno" (UPLOAD_CANCELED) a nahrazen společným jednotným stavem "skartovaná" (CONTENT_DELETED).
• Upraven vzhled některých částí aplikace pro lepší přehlednost.
• Nové a upravené audit logy, podrobnosti viz: Seznam a popis jednotlivých typů Audit Log událostí.

Opravy:

• Při dlouhém nahrávání obsahu zásilky dochází k pravidelné obnově přihlášení, takže nemůže dojít k automatickému odhlášení v průběhu nahrávání a tím způsobené následné chybě.
• Opraveno občas podivné chování formuláře při nastavování práv administrátora.
• Opraveno zobrazení uživatelů a dalších řetězců v audit logu a dalších místech, kde se zobrazoval navíc řetězec #časová-značka.
• Řazení výsledků kontrol detekčních enginů v detailu souboru zásilky je nyní dle abecedy podle sloupce "Detekční nástroj".
• Opraveno zobrazení barev u výsledků kontrol - žlutá by měla být konzistentní a vždy znamenat, že došlo k detekci, ale dle nastavení to neznamená blokaci a umístění do karantény, ale pouze notifikaci. (Dříve v některých případech i takové výsledky byly červené.)
• Upravena hláška "Chyba ADFS" na "Chyba přihlášení", pokud se uživatel úspěšně přihlásí v ADFS, ale nemá přístup do SOFiE.
• Opraveno parsování expirace licence u enginu Kaspersky 11.2.
• Oprava nepřítomnosti atributu stavu licence v audit log záznamech LICENSE_INVALID.
• Opraveno možné zdvojení audit logů při změně stavu licence.
• Logo v náhledu Nastavení - Konfigurace - Vzhled se nyní lépe shoduje s tím, jak bude vypadat v horní liště.
• Další různé opravy překlepů, textů, grafiky, apod.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.17.0), což opravuje nově objevenou zranitelnost (CVE-2021-45105). V naší aplikaci opět nejsou splněny specifické podmínky pro zneužití, takže se nemůže vůbec projevit. Pro jistotu však znovu vydáváme opravenou verzi s novou verzí knihovny.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.16.0), což opravuje nově objevenou zranitelnost (CVE-2021-45046). Původně byla tato zranitelnost hodnocena nižší závažností, ale později byla také přehodnocena na kritickou. V naší aplikaci však nejsou splněny specifické podmínky pro zneužití, takže se pravděpodobně nemůže vůbec projevit. Pro jistotu však opět vydáváme opravenou verzi s novou verzí knihovny.

Opravy:

• Aktualizována používaná knihovna log4j na poslední verzi (2.15.0), což opravuje nově objevenou kritickou zranitelnost (CVE-2021-44228). Vzhledem k závažnosti by aktualizace měla být provedena co nejdříve. Aplikace SOFiE však běží až za proxy serverem nginx a prochází do ní pouze některé URL cesty, což dle našich aktuálních zjištění efektivně filtruje všechny zatím viděné pokusy o zneužití této zranitelnosti, které tak do aplikace vůbec nedojdou a skončí již na nginx serveru. Pro zneužití by byl třeba exploit přímo na míru aplikaci SOFiE, nikoli obecné log4j pokusy šířící se nyní Internetem.

Nové funkce:

• Podpora maďarštiny v uživatelském rozhraní a e-mailových notifikacích (v admin rozhraní nikoliv).
• Vícefaktorové ověřování (MFA / 2FA) při prihlášení podporováno i pro uživatele z AD a ADFS (dříve pouze pro lokální).
• Ve formuláři pro odeslání zásilky jsou zobrazeny aktuální nastavené limity pro maximální počty souborů a velikost.
• Podpora funkce reset hesla i pro administrátory, pomocí e-mailu s instrukcemi a unikátním tokenem, obdobně jako u uživatelů. Aby fungovalo, musí mít administrátor vyplněn e-mail.
• PDF report z FortiSandboxu s výsledky kontroly lze nyní zobrazit přímo v okně prohlížeče, není nutné soubor stahovat, ukládat a následně otevírat.
• Zobrazení všech, včetně vnořených, MIME typů u souborů (pokud je zapnut v Nastavení detekce modul MIME). Například soubory archivů, Office dokumentů, PDF, aj. mohou mít další vnořený obsah různých MIME typů uvnitř. Toto je nyní zobrazováno v detailu souboru.
• Podpora logování "user agenta" z hlavičky webových požadavků do audit logu. Lze zapnout v Nastavení - Konfigurace - Protokol aplikace - Logovat hlavičku User-Agent.

Drobné změny:

• V seznamu uživatelů přidány sloupce "Datum vytvoření" a "Poslední přihlášení", podle kterých lze i řadit. To usnadňuje vyhledání a smazání starých a nepoužívaných uživatelských účtů.
• Nové audit logy pro události: LICENSE_INVALID, LICENSE_VALID, APP_VERSION_CHANGED, PACKAGE_DOWNLOAD_UNAUTHORIZED_ACCESS, PACKAGE_DOWNLOAD_PACKAGE_NOT_FOUND, PACKAGE_DOWNLOAD_PACKAGE_EXPIRED. Podrobnosti viz: Seznam a popis jednotlivých typů Audit Log událostí.
• V detailu zásilky ve frontě doplněna akce na předčasné ukončení kontroly (v seznamu akce byla, v detailu ne).
• Automatická rotace log souborů modulu Kafka, aby nedocházelo k jejich nadměrnému růstu.
• Vylepšení instalátoru (aktualizace komponent, LetsEncrypt nepotřebuje e-mail, oprava verze nginx pro CentOS8, OCSP stapling v nginx).
• Upraveny parametry v e-mail šablonách. Zrušen parametr ${appTitle} a nahrazen parametry ${appName} a ${subjectPrefix} (které odpovídají Nastavení - Konfiguraci - Vzhled a Nastavení - Konfiguraci - E-mail prefix). V existujících šablonách bude provedena automatická náhrada původního parametru za nový, dle toho, zda je umístěn v předmětu (->subjectPrefix) nebo v těle (→appName). Odpovídajícím způsobem upraveny texty, ukázky, nápověda a související. Zvětšena maximální délka předmětu v šabloně ze 100 na 200 znaků.
• Upraveno logování změn (zpřesnění) MIME typu. Dříve mohlo nastat dvakrát v závislosti na tom, zda změnu provedl "magic" nebo "content" detektor. Nyní nastane a je zalogováno maximálně jednou, ale s novými atributy upřesňujícími tuto změnu.
• Aplikační webový server (Tomcat) poslouchá jen na localhost adrese (před ním je lokální nginx).
• Aktualizace komponent (React, Ant Design, Tomcat, Meecrowave, aj.).
• Drobné úpravy grafiky, ikon, aj.

Opravy:

• Opraveno mazání XSRF cookie při zavření prohlížeče, ale neobnovení při znovu otevření, narozdíl od přihlášení, takže následně došlo po jakékoli akci k odhlášení z důvodu neplatnosti XSRF cookie. Nyní má stejnou platnost jako přihlášení.
• Opraven "přeskakující" kalendář u editace expirace zásilky. Po pár vteřinách od změny měsíce docházelo k návratu zpět.
• Opraveno mazání obsahu pole pro maximální velikost v nastavení DLP po několika vteřinách.
• Další drobné opravy překlepů, textů, grafiky, apod.

Drobné změny:

• Aktualizován Apache Tomcat na verzi 9.0.43 a Apache Meecrowave na verzi 1.2.10.
• Vylepšen skript pro odesílání diagnostických logů - přidána offline varianta s manuálním předáním logů.

Opravy:

• Doplněna kompatibilita s novou ESET verzí 8. Pokud není zapnuta automatická aktualizace (při postupu přesně dle našeho instalačního návodu není), pak lze provést aktualizaci na novou verzi příkazem:
  /opt/eset/efs/bin/upd --perform-app-update

Drobné změny:

• Doplněn pomocný skript "offline-license.sh" pro manuální stažení a aktivaci trvalé licence z příkazové řádky.
• Zlepšeno debug logování při problémech se získáním licence.

Opravy:

• Opravena kompatibilita s FortiSandbox pro verzi 3.2.2+, kdy došlo ze strany Fortinetu ke změně API pro předávání větších souborů.
• Opravena integrace na AD s využítím SSL (LDAPS). V systému je nutné přidat odpovídající certifikační autoritu mezi důvěryhodné.
• Upraveno odesílání diagnostických logů - pokud neexistuje soubor s licencí (vytváří se automaticky při online aktivaci licence v aplikaci), zkusí se načíst licence z databáze - obsahuje potřebné informace k odeslání logů.
• Zlepšeno chování při chybě při stažení podrobného reportu ze skenu souboru z FortiSandboxu. Nyní při chybě stažení reportu neselže celý sken, ten korektně doběhne, pouze je zalogována chyba a report není k dispozici.

Opravy:

• Opraveno chování při smazání odeslané zásilky uživatelem, pokud tato zásilka stále čeká na dokončení skenů obsahu. Zbývající skeny jsou nyní zrušeny a pokud některé povinné selhaly, již se donekonečna neopakují.
• Opravena audit log zpráva pro některé neočekávané chyby FortiSandboxu. (INVALID_JSON_DATA, INVALID_REQUEST, UNSUPPORTED_VER)

Opravy:

• Drobná oprava velikosti zobrazení vyskakovacího okna s doplňujícími informacemi o FortiSandbox kontrole.

Opravy:

• Oprava chybného chování FortiSandbox API, kdy pro některé zip archivy (obsahující soubory s diakritikou v názvech), nevrací korektně výsledky. Upraveno na dotazování dle SHA otisku, čímž se problém v API obejde. Doporučená verze FortiSandbox je 3.2.1+.
• Oprava BitDefender integrace, aby opět fungovala po aktualizaci BitDefenderu z cca 12. 11. 2020, která způsobila nekompatibilní změny.
• Oprava načítání a ukládání FQDN z licence.

Nové funkce:

• Trvalé zásilky. Admin může pro vybranou zásilku vypnout expiraci, čímž se zásilka stane trvalou, dokud admin opět expiraci nezapne.
• Podpora rozpoznávání IP adres klientů při provozu aplikace za proxy. Je třeba vyplnit adresu proxy v Nastavení - Konfigurace - Bezpečnost - Důvěryhodné proxy a proxy musí přidávat hlavičku X-Forwarded-For.
• Nová práva pro uživatele, určující, zda mohou posílat jednotlivé typy zásilek (veřejné, interní, soukromé). Rovněž nové výchozí nastavení typu zásilky, pokud uživatel typ nezmění.
• Nové právo pro uživatele, určující, zda mohou stahovat obsah zásilky bez znovu zadání svého přihlašovacího hesla. (Pokud je vypnuté, musí uživatel před každým stažením znovu zadat své heslo.)
• Nastavení výchozích práv nových uživatelů, v Nastavení - Konfigurace - Výchozí nastavení uživatelů.

Drobné změny:

• U úložišť, která nelze smazat, neboť jsou používána, je ikona koše neaktivní.
• Akce u zásilek pro administrátory přesunuty do menu, které se zobrazí po klepnutí na ikonu ... .
• Upraveno zobrazení ikon příznaků v seznamech.
• Nové popisky typů zásilek přímo v aplikaci pro uživatele.

Opravy:

• Administrátor si nyní může změnit svoje vlastní heslo i pokud nemá právo na správu administrátorů.
• Při změně oprávnění uživatele se v audit logu již nezobrazuje prázdná změna "personalSettings".
• Odesílání zásilek přes API nebralo v úvahu práva uživatele. Nyní již u uživatele bez práva odesílat zásilky nelze odesílat ani přes API.
• Při zrušení kontroly zásilky ve frontě stejně doběhly všechny naplánované kontroly. Nyní se zbývající ještě nespuštěné kontroly přeskočí.
• Drobné opravy textů a zobrazení.

Opravy:

• Oprava blokování / povolování obsahu na základě MIME typu, kdy některé typy byly zobrazeny jinak v detailu zásilky, než jak bylo nutné je vložit do blacklistu / whitelistu. (např. "application/x-dosexec" vs. "application/x-msdownload")

Drobné změny:

• Upraven instalátor: nové instalace mají ve výchozím stavu aktivní HSTS (HTTP Strict Transport Security). To znamená, že je možné k nim přistupovat pouze po https a s platným certifikátem.

Opravy:

• Opraveno chybné párování e-mailu příjemce, pokud se neshodovala velikost znaků (Test@sofie.cloud vs. test@sofie.cloud). Velikost znaků v e-mail adresách nyní již nemá na výsledek vliv.
• Oprava v instalátoru, kdy v nových instalacích nemusel jít zapnout vzdálený diagnostický tunel (chybějící soubor /root/.ssh/authorized_keys).
• Drobná kosmetická oprava v profilovém menu uživatele a administrátora, kde chybně zůstávala zvýrazněná poslední použitá položka.

Opravy:

• Opravena chyba ve vyhodnocení výsledků kontroly FortiSandbox nástrojem, ke které mohlo dojít v některých specifických případech (např. mnoho souborů v archivech).
• Již není povinné zadávat příjemce pro typ zásilky "Interní". Nyní se tedy z hlediska příjemců chová jako "Veřejná" zásilka, nikoli jako "Soukromá".

Opravy:

• Opravena nefunkční TOTP klíč pro vícefaktor v některých app na iOS (odstraněn znak = na konci).
• Oprava zobrazení nerealizovaných výzev ve skartovaných zásilkách.
• Opraveno několik překlepů v textech.

Nové funkce:

• Implementována podpora více-faktorové autentizace (2FA) pro uživatele i administrátory. Podporovány jsou faktory:
  • TOTP - podporuje např. Google Authenticator
  • FIDO2 (Webauthn) - podporuje např. Yubico 5
• Režim provozu "pouze na výzvu". Anonymním (nepřihlášeným) uživatelům může administrátor v Nastavení - Konfigurace - Základní nastavení zakázat nahrávat zásilky, pokud nedostanou výzvu k nahrání od přihlášeného uživatele aplikace.
• Nový režim přístupnosti zásilky "interní" ke stávajícím "soukromá" a "veřejná". Přístup k interním zásilkám budou mít všichni přihlášení uživatelé, kteří na ní získají odkaz.
• Podpora "slepé kopie" pro přihlášené uživatele. Obdobně jako v e-mailech, mohou přihlášení uživatelé poslat zásilky skrytým příjemcům, kteří nebudou vidět v adresátech zásilky.
• Adresář kontaktů pro uživatele s podporou skupin a nastavitelným automatickým ukládáním adresátů zásilek.
• Podpora editace e-mailových šablon. Administrátor může upravit obsah rozesílaných notifikací v Nastavení - E-mailové šablony.
• Podpora více datových úložišť (disků/svazků). Administrátor může konfigurovat v Nastavení - Úložiště. Umožní snadno přidat další svazek nebo disk, pokud by na stávajícím docházelo místo.
• Administrátor může uživatelům nastavit (odebrat) následující práva:
  • povoleno přihlášení (vypnutí způsobí, že uživatel se nebude moci přihlásit)
  • povolen příjem zásilek (vypnutí způsobí, že na adresu uživatele nebude možné odeslat zásilku, jakoby neexistoval)
  • povoleno odesílání zásilek (vypnutí způsobí, že uživatel nebude moci odesílat zásilky, pouze přijímat)
• Funkce pro vzdálenou diagnostiku aplikace. Admin může:
  • odeslat aplikační logy a data o instalaci na technickou podporu (neodesílají se uživatelská data ani data zásilek).
  • zapnout / vypnout reverzní SSH tunel pro vzdálený SSH přístup technické podpory.
• Podpora pro Check Point SandBlast appliance. (dříve pouze cloud verze, nyní oboje)
• V nastavení FortiSandbox lze vybrat, které z výsledků "vysoké riziko", "střední riziko", "nízké riziko", budou blokovány.

Drobné změny:

• Do pravé části horní lišty aplikace přidána ikona s odkazem na dokumentaci.
• Oficiální API dokumentace zde: https://docs.sofie.cloud/cs/api/v1/user/
• Rozšíření API o některé funkce, viz API dokumentace.
• Zásilky z archivu může administrátor obnovit, podobně jako smazané zásilky (z koše).
• ZIP Archiv je možné vytvářet i pro zásilky v archivu (jsou přístupné pouze administrátorovi).
• K audit logům přidán atribut "severity" dle syslog standardu.
• Nový vzhled obrazovky Přehled pro administrátory, včetně grafů s informacemi o využití úložišť.
• Nová načítací obrazovka (loading page) při prvním načítání aplikace, aby neproblikávala přihlášeným uživatelům anonymní část.
• Nová info obrazovka, která se zobrazí, pokud není dostupný backend (upgrade, restart, aj.) a automaticky zmizí, jakmile již bude backend dostupný.
• Podpora nové verze ESET 7. Stará verze ESET 4 zatím zůstává také funkční, ale již nebude nadále udržována a podporována.
• Administrátor může v Nastavení - Konfigurace - Základní nastavení povolit stahovat soubory, které jsou v pořádku, ze zásilek v karanténě.
• Pokud je nastaveno odesílání notifikace o umístění do karantény odesilateli zásilky (registrovanému), bude mu rovněž zaslána notifikace o uvolnění z karantény.
• U všech souborů zásilek vyjmutých z karantény bude nastaven stav na "v pořádku". Jak u zásilek, tak u těch souborů, co původně v pořádku nebyly, bude zobrazen příznak indikující vyjmutí z karantény.
• V seznamu souborů v detailu zásilky jsou ty, kvůli kterým je zásilka umístěna do karantény, tj. mají nějaký nález, umístěny nahoře.
• Upraveno menu zásilek pro administrátora: přidány pohledy pro některé stavy, které byly dříve společné a jednotlivé stavy zařazeny jako podmenu hlavní položky menu Zásilky.
• PDF report z FortiSandboxu přístupný ke stažení pod ikonou lupy, nejen dvojklikem.
• FortiSandbox bez licence není brán jako nedostupný, ale jako dostupný, pokud jinak funguje.
• Zlepšeny audit logy pro přeposlané zásilky, aby je bylo možné lépe dohledat.
• Rozšíření audit logů pro zásilky v karanténě: zaveden nový atribut "detectionResults", který obsahuje pole všech důvodů, z kterých byla zásilka nebo soubor umístěna do karantény.
• Zdokumentovány všechny audit log typy, viz: Seznam a popis jednotlivých typů Audit Log událostí
• Interně přidán SID atribut k uživatelům pro lepší párování v AD a ADFS. Užitečné např. při přejmenování uživatele.
• V rámci ověřování a aktualizace licence se na licenční server odesílá údaj o počtu uživatelů v aplikaci.
• Upraveny některé texty / názvy pro sjednocení názvosloví v rámci aplikace a jasnější pochopení.
• Zavedena 90ti denní retence aplikačních logů na serveru. Dříve bylo neomezeno a časem by zaplnilo disk.
• Upraven yum repositář sofie - nastaven v systému na disabled. Sofie skript si ho v případě potřeby aktivuje. Nebude tak docházet k nečekaným updatům v rámci obecného yum update.
• Upraveny (sjednoceny) výchozí hodnoty nastavení detekčních nástrojů po instalaci.
• Nové nastavení v Nastavení - Konfigurace - E-mail: Ignorovat chyby certifikátu. Umožní odesílat e-maily po SSL/TLS i pokud zadaný e-mail server nemá platný certifikát.
• Administrátor může sám sobě změnit heslo obdobně jako uživatel vpravo nahoře v liště pod ikonou svého profilu.
• V Nastavení - Konfigurace - Omezení velikosti zásilek lze nastavit neomezeně Maximální velikost souboru v ZIP archivu, dříve bylo omezeno na max 1 GiB.

Opravy:

• Odstraněny duplikované řádky detekce šifrovaného obsahu u některých ZIP archivů.
• Oprava chyby interních detekčních nástrojů nad některými typy archivů (chyba knihovny: https://issues.apache.org/jira/browse/COMPRESS-479).
• Opravy a vylepšení instalátoru a související dokumentace.
• Opravy a úpravy ve filtrech zásilek uživatele (pokud není žádný stav zaškrtnut, nebere se na stavy při filtrování ohled, správně se filtrují vyžádané).
• Doplněny texty a správné zobrazení audit logu FILE_CHECK_REPORT_ADDED.
• Oprava prohozených audit log zpráv FILE_ARCHIVE_ADDED a FILE_ARCHIVE_UPDATED.
• Oprava diskusage v sofie skriptu, aby fungoval i ve variantě se symlinkem na datový adresář.
• Oprava dlouhého času rebootu serveru (doplněny potřebné závislosti v systemd skriptech).
• Opravy v implementaci podpory paralelního zpracování úloh (např. AV skenů). Ve výchozím stavu se ale nepoužívá.
• Opravy v pomocných AV skriptech (používaných detekčními nástroji) pro některé specifické situace. Doplněny debug aplikační logy AV detekčních nástrojů.
• Opravena neošetřená výjimka, pokud není datové úložiště pro zásilky zapisovatelné.
• Opravena výjimka znemožňující přihlášení, pokud byla vypnutá ochrana proti opakovanému přihlášení, došlo k mnoha neplatným pokusům a pak se ochrana opět zapnula.
• Opraveny různé drobné chyby v některých formulářích (nefunkční křížek na zavření, smazání vyplněného obsahu z pole, apod.).
• Doplněny některé chybějící texty a opraveny chyby v existujících.
• Další drobné opravy ve vzhledu a formátování.

Opravy:

• Opraveno selhání některých kontrol souborů na FortiSandboxu (obvykle v případě, že název souboru obsahoval některé národní nebo speciální znaky).
• Opraveno nefunkční zveřejnění zásilky od anonyma (nepřihlášeného uživatele) adminem, zásilka se tvářila jako veřejná, ale nebyla.

Drobné změny:

• Rozšířeno API pro aplikace třetích stran o:
  • zjištění detailů o zásilce (včetně výsledků kontrol, tj. např. jaké viry byly v souborech nalezeny)
  • při odesílání zásilky přes API možnost nastavit příznak "po kontrole smazat", který způsobí smazání souborů zásilky ihned po dokončení kontrol - vhodné pro aplikace využívající SOFiE pouze k bezpečnostním kontrolám souborů (podatelny, archivy, aj.)
• Aktualizována dokumentace API - dostupná zde: https://docs.sofie.cloud/cs/api/v1/user/

Opravy:

• Oprava validace zadaných e-mailů příjemců zásilek (diakritika v e-mail adresách).
• Zotavení ze stavu, kdy došlo k zaseknutí zásilky ve frontě, díky nevalidnímu e-mailu příjemce.

Opravy:

• Oprava chování při stahování reportu z FortiSandbox, ošetření stavu PDF_REPORT_NONEXIST.
• Oprava logování při velmi dlouhých názvech souborů (limit 100 znaků zvýšen na 255).

Drobné změny:

• Zlepšeno logování FortiSandbox komunikace pro lepší možnosti ladění problémů.

Opravy:

• Opraven problém nekonečně se opakující zaseklé kontroly souboru proti FortiSandboxu v některých specifických případech, kdy FortiSandbox vrátí neočekávanou chybu.
• Doplněno rozpoznávání nového kódu možné chyby, kterou vrací FortiSandbox.

Opravy:

• Opraveno zpracování výstupu AV BitDefender, který se v posledních aktualizacích změnil. Tedy došlo k opravě načítání informací v sekci Nastavení - Nastavení detekce - BitDefender.

Drobné změny:

• Zlepšeno logování pro trasování některých potencionálních problémů.

Drobné změny:

• Upraveno ověřování uživatelů v Active Directory tak, aby se členství ve skupině zjišťovalo rekurzivně. Uživatel nyní již nemusí být přímo členem uvedené skupiny, ale může být v podskupině, která je ve skupině, v libovolné hloubce.

Opravy:

• Doplněn chybějící audit log text pro log FILE_CHECK_REPORT_ADDED.

Drobné změny:

• Novou volbou v Nastavení - Konfigurace - Bezpečnost lze vypnout ochranu proti opakovanému hádání hesel, která zpožďuje další pokusy o přihlášení.

Opravy:

• Opraveno ověřování uživatelů v Active Directory a upraven formulář pro jeho konfiguraci (rozšířen o výchozí doménu).
• Opraveno zobrazení uživatelského rozhraní pro odeslání zásilky a výzvy v úzkém okně a další drobné optimalizace.

Opravy:

• Opravena chyba při mazání uživatelů s dlouhým uživatelským jménem.
• Opraveno zobrazení ikony pro PDF reporty z FortiSandbox kontrol (na řádku s detaily o kontrolách pod souborem).
• Dostupnost FortiSandbox v nastavení detekce již není ovlivněna stavem licence na FSA (i FSA bez licence může skenovat).
• Oprava překlepu v textu.

Nové funkce:

• Instalátor a návod pro samostatné provedení nové instalace na vlastní server.
  • Dokumentace ZDE.
  • Automatické získání 30-denní trial licence pro 50 uživatelů pro nové instalace aplikace.
• Detekční nástroje mají novou funkci pro zjištění stavu, tj. zda v dané instalaci aplikace fungují a lze je tedy využívat. Např. pokud není nainstalován AV ESET, nebude fungovat a nelze ho tak zapnout a používat. Rovněž je administrátorovi zobrazována sada dostupných informací o nástroji (např. expirace licence, poslední aktualizace signatur, aj.).
• Mezi detekční nástroje přidána podpora BitDefender AV.
• Nové API pro aplikace třetích stran umožňující automatizovaně odesílat zásilky. Dokumentace viz: http://sofie-api-docs.s3-website.eu-central-1.amazonaws.com

Drobné změny:

• U výsledků kontrol z FortiSandboxu lze stáhnout PDF zprávu s detaily.
• V Nastavení - Konfigurace - Bezpečnost lze nyní nastavit hraniční skóre pro vyhodnocení reCAPTCHA a také zapnout logování reCAPTCHA výsleků.
• V Nastavení - Konfigurace - Upozornění lze nyní zvolit, zda notifikace o uložení zásilky do karantény má přijít příjemci a/nebo odesílateli (jen registrovanému). Texty notifikací jsou pro ně odlišné.
• V Nastavení - Nastavení detekce pro větší přehlednost rozděleno zobrazení detekčních nástrojů podle jejich kategorií na "Interní moduly", "Antiviry" a "Sandboxy".
• Message-ID v generovaných e-mailech nyní obsahuje @FQDN. Mohlo by snížit šanci na vyhodnocení zpráv jako spam.
• Zpřesnění MIME typů u souborů při použití detekčního nástroje "MIME" se nyní zapisuje do audit logu.
• Úpravy a zlepšení v grafickém rozhraní (příjemci u zásilek, výsuvná okna s detaily, příjemci v audit logu, aj.).
• Do audit log zpráv týkajících se uživatelů přidán atribut sAMAccountName z Windows AD, pokud je k dispozici (je aktivní AD/ADFS integrace a atribut je předáván aplikaci).
• Notifikace pro obnovení hesla uživatele rozděleny na tři různé případy, kde každá tak má jiný text zprávy:
  1. uživatel si sám vyžádá obnovu zapomenutého hesla
  2. administrátor vyžádá obnovu hesla za uživatele
  3. administrátor založí nového uživatele a vyžádá nastavení prvního hesla
• Šablony e-mail notifikací nyní obsahují zvlášť původní výchozí text a zvlášť upravený pro konkrétní instalaci (příprava na budoucí možnost editace v admin rozhraní).
• Zobrazení platnosti licence v nastavení upraveno. Nyní se zobrazuje doba, do kdy je licence skutečně vystavena licenčním serverem. U licencí typu předplatné ale může dojít k přerušení platnosti dříve, pokud se nelze po 30 dní spojit s licenčním serverem.
• Informace o licenci pro administrátora zobrazeny rovněž na "Dashboardu".
• Veřejné zásilky jsou v seznamech označeny ikonou.
• Admin může změnit zásilku ze soukromé na veřejnou.
• Podpora paralelního zpracování více úloh (např. AV skenů) najednou. Jde o speciální nastavení pouze v konfiguračním souboru.
• Zrušeno nastavení FQDN, nyní se přebírá automaticky z licence / instalátoru, protože se musí s licencí shodovat.
• Doplněna kontrola použitého FQDN v (Host) hlavičce http požadavku. Pokud se neshoduje s licencí, aplikace se chová jako v demo režimu (většina je pouze pro čtení).
• Zrušen audit log záznam pro změnu LICENSE_CACHED (probíhá pravidelně automaticky a plnilo logy).
• Shell skript "sofie update" při úspěšné aktualizaci vypíše výsledek aktualizace.
• Navýšen limit na počet otevřených souborů (deskriptorů) aplikací v systému z výchozí hodnoty (4 tisíce) na 32 tisíc. V běžném provozu aplikace by již nemělo hrozit jeho vyčerpání.

Opravy:

• Opravena detekce MIME typů obsahujících v názvu znakovou sadu (např. ffc.bat=application/x-bat; charset=ISO-8859-1).
• Oprava chybných názvů souborů s diakritikou při ukládání.
• Opravy různých grafických nedostatků ve webovém rozhraní a chybných textů.
• Pokud se liší deklarovaná velikost souboru od skutečně nahraného, je vrácena chyba (dříve nebylo ošetřeno).
• Prodloužena doba čekání při zpracování zpráv v interní frontě, což by mělo předejít ve speciálních případech zaseknutí v nežádoucím stavu.
• Oprava výsledku při chybě AV.
• Opraven chybný JSON výstup z AV skriptů ve specifických případech.
• Opraveno spouštění po-instalačního skriptu "sofie.sh".
• Doplněny chybějící závislosti rpm balíčku sofie.
• Migrace databáze při aktualizaci na novou verzi by již neměla přeskakovat žádné kroky.
• Opravena kontrola práv při stahování souborů zásilky.
• Opravena možná chyba při nahrávání souborů zásilky za specifických okolností (kombinace rušení uploadu v určitém bodě a opakování).
• Doplněno uzavírání souborů po dokončení MIME kontroly, aby nedocházelo k vyčerpání maxima otevřených souborů.

Opravy:

• Oprava migrace na verzi 1.2, kde nastavení nově zavedeného vlastního prefixu pro emaily se převezme z názvu aplikace. Nedojde tak ke změně tohoto prefixu po upgrade na 1.2, pokud byl vlastní název aplikace používán.

Opravy:

• Oprava v kontrole přístupu uživatele k zásilce, kdy ve specifických případech (v nastavení povolena celá doména a mezi příjemci obsažen ještě neexistující uživatel) skončila výjimkou a zobrazením hlášky "500 Internal server error" uživateli.

Opravy:

• Opravena migrace práv administrátorů, kde u verze 1.2.0, měl pouze administrátor "admin" všechna práva a ostatní žádná. Nyní mají po migraci všichni administrátoři všechna práva (tj. stejný stav jako před verzí 1.2).
• Oprava parsování boolean hodnoty "disallowedAdminDataAccess" z licence.
• Úprava CheckPoint API - ošetření výjimek.
• Opraveny drobné chyby v textech a doplněny některé chybějící EN texty.

Nové funkce:

• Integrace licencování. Aplikace od této verze vyžaduje platnou licenci pro FQDN konkrétní instalace na licenčním serveru, jinak běží jen v omezeném režimu (demo režim, většina read only).
• Ochrana před "phishingem" nepřihlášených uživatelů - anonym už nemůže zadat jako svůj e-mail adresu existujícího registrovaného uživatele nebo z domény zadané v nastavení.
• V nastavení přidány minimální požadavky na sílu hesla.
• Implementace nového detekčního sandbox enginu: CheckPoint Sandblast cloud přes cloud API.
• Implementace nového detekčního AV enginu: Sophos.
• Soukromé a veřejné zásilky - registrovaný uživatel si může zvolit, zda odesílá soukromou (přístupnou pouze vyjmenovaným příjemcům) nebo veřejnou (přístupnou všem co mají odkaz) zásilku. Zásilky od nepřihlášených uživatelů jsou automaticky soukromé.
• Zavedeny role a práva administrátorů. U každého administrátora je možné zapnout nebo vypnout následující práva:
  • "správa administrátorů" (admin management) = může vytvářet, upravovat a mazat administrátory, včetně změn jejich hesel a nastavení jejich oprávnění - výchozí administrátor "admin" má vždy toto právo nastaveno a nelze mu ho odebrat.
  • "správa uživatelů" (user management) = může vytvářet, upravovat a mazat uživatele.
  • "přístup k seznamům a meta datům zásilek" (package access) = může procházet a prohlížet zásilky, nikoliv stahovat jejich data.
  • "přístup k souborům zásilek" (file access) = může stahovat data (soubory) zásilek - vyžaduje právo package access.
  • "správa zásilek" (package management) = může zásilky vyřazovat z karantény, mazat a obnovovat smazané (všechny admin akce nad zásilkami) - vyžaduje právo package access.
  • "přístup k logům" (log access) = má přístup do audit logu a do nastavení syslogu.
  • "nastavení aplikace" (application settings) = může provádět vše s výjimkou výše uvedeného, tj. zejména veškeré zbývající nastavení.
• Nový režim funkce, kdy žádný admin nemá přístup k datům zásilek a nemůže si ho ani nijak přiřadit. Nastavuje se jako atribut v rámci licence (= dohodou se Sonpo).
• "Forwarding" zásilek - zásilku je, obdobně jako e-mail, možné dále přeposlat. Nelze přitom ale přidávat nové soubory.
• Pro zásilky čekající na kontrolu byla přidána do nastavení expirace a rovněž je může administrátor vyřadit z fronty ručně. Zásilka se přesune dále dle aktuálních výsledků kontrol a nastavení detekčních enginů (zejména zda jsou povinné). Přidán nový admin pohled "fronta zásilek", kde jsou tyto čekající zásilky vidět.
• Nové vyhledávací pole v seznamu uživatelů - admin může v seznamu uživatele vyhledávat.
• Nový zastřešující rpm balíček "sofie" (ostatní balíčky, "sofie-web, sofie-worker, sofie-scheduler", má v závislostech) - obsahuje systemd skript pro správu aplikace a služeb (spouštění, zjištění verze, záloha, update na novou verzi, ...). Usnadní případné instalace a aktualizace prováděné přímo zákazníkem nebo partnerem.

Drobné změny:

• Lepší chování při odhlášení administrátora na pozadí (zobrazuje "loading").
• Při překročení počtu uživatelů oproti licenci se aplikace přepne do omezeného režimu (demo režim, většina read only).
• V nastavení e-mailu přidána možnost nastavit vlastní prefix předmětu emailů, tj. je nyní odděleně od nadpisu oken v nastavení vzhledu.
• V nastavení vzhledu přidán vlastní volitelný textový nadpis, který se bude zobrazovat v aplikaci uprostřed horní lišty.
• Při založení nového lokálního uživatele administrátorem je mu ve výchozím stavu automaticky poslán token na nastavení nového hesla. Toto lze v dialogu při zakládání vypnout.
• Nové nastavení: doba expirace tokenů na reset hesla odesílaných automaticky při založení uživatele a také administrátorem.
• Akce ze seznamu zásilek jsou k dispozici také v detailu konkrétní zásilky (vpravo nahoře).
• U soukromých zásilek je možné odebírat příjemce a tím jim dodatečně odebrat přístup k zásilce.
• Administrátorovi s přístupem k souborům (file access) povoleno stahovat zásilky ve všech stavech.
• Administrátor s právem na správu zásilek (package management) může smazat zásilku ve všech stavech - umožní např. uvolnit místo obsazené velkou zásilkou.
• V seznamech zásilek zobrazována celková velikost zásilky a počet souborů.
• Validace délky textových polí, webové rozhraní nedovolí zadat delší řetězec, než je pro danou hodnotu správně.
• Administrátor může vytvářet a stahovat archiv u smazaných čistých zásilek ("v koši").
• Přidáno nastavení časové zóny pro e-maily. Časy uvedené v e-mailech (např. expirace tokenu pro reset hesla) budou v této zóně a ne UTC jako doposud.

Opravy:

• Oprava textu v nastavení pro expiraci čistých zásilek.
• Opraveno zobrazování dlouhých "change log" záznamů v audit logu.
• Omezena délka zprávy v aplikačním logu pro konfigurační parametry s velmi dlouhým obsahem (např. logo).
• Opravena audit log zpráva pro selhání při kontrole souborů.
• Opraveno řazení souborů v zobrazení zásilky - nyní je podle abecedy.
• Opraveno/doplněno hlášení neočekávaných chyb serveru (včetně neodpovídajícího serveru) ve webovém rozhraní.
• Zakázáno vkládání iframe.
• Upraven/opraven systém zadávání a editace hodnot včetně jednotek velikosti.
• Oprava chování detekce MIME, DLP a šifrovaného obsahu - chyba advanced parseru (např. že v doc není rozpoznána doc struktura) už není vyhodnocena jako selhání kontroly.
• Fonty jsou nyní lokální součástí aplikace, nestahují se online z Internetu. Webové rozhraní tak bude dobře fungovat, i pokud nebude dostupný Internet v prohlížeči, kde se aplikace otevře.
• Zadaná hesla v nastavení již nelze po uložení znovu zobrazit při další editaci.
• Oprava chování formuláře s nahráním zásilky, pokud nějaká proxy v cestě zablokuje upload. Uživateli se zobrazí chyba a nezůstane navždy probíhající nahrávání zásilky.
• Úprava a zrychlení upload formuláře, lepší a rychlejší práce s velkým množstvím souborů v jedné zásilce.
• Oprava selhání některých kontrol větších souborů na FortiSandboxu z důvodu timeoutu odpovědi.
• Oprava selhání kontrol velkých souborů na FortiSandboxu z důvodu nedostatku paměti.
• U uživatelů z AD/ADFS zrušeny neplatné akce (změna hesla, token pro reset hesla).
• Oprava chybného chování při kombinaci nastavení nepovinný detekční engine a vypnutém nadlimitní jako čisté (opraveno umístění mezi čisté při překročení limitu velikosti).
• Úprava konfigurace syslogu se projeví hned a nikoli až po restartu. Příliš dlouhé řetězce (>1000) jsou pro syslog zkráceny, aby nedocházelo k překročení rozumné velikosti zpráv.
• Různé opravy a úpravy textů, včetně e-mailů.
• Zamezeno vytváření audit log zpráv o změně, pokud ve skutečnosti k žádné změně nedošlo (např. když se provádí editace, ale výsledné uložené hodnoty jsou stejné, jako byly původní).
• Uživatel při přístupu k vlastní zásilce nebo žádosti, ke které nastavil heslo, toto heslo nemusí sám zadávat.
• Oprava vícenásobného odesílání stejných notifikačních emailů a audit logů o výsledku kontrol.
• Opravy v přidávání příjemců.
• Odstraněno nastavení admin cesty v URL. Toto nastavení v aplikaci totiž nestačí, je nutný ještě zásah do nginx konfigurace a změnou tak mohl administrátor aplikaci dostat do nekonzistentního stavu. Úpravu nyní může po dohodě provést administrátor serveru ručně.
• Oprava o 5 min zkrácené expirace tokenu pro reset hesla (technicky je nyní o 5 min delší než je uvedeno - rezerva na různá zdržení a nepřesnosti času).

Drobné změny:

• Nové nastavení v sekcí vzhled: výběr úvodní stránky mezi anonymním uploadem a přihlašovacím dialogem.
• Upraven přihlašovací dialog.

Drobné změny:

• Pro uživatele z ADFS je generován do notifikačního emailu o nové zásilce speciální odkaz, který umožní automatické přihlášení uživatele přes ADFS.

Opravy:

• Oprava přesměrování pohledu na zásilku po rozkliknutí odkazu bez přihlášení a následném přihlášení.
• Oprava textu chyby v dialogu informujícím o nepřístupnosti zásilky pro anonymní uživatele. Navedení a doplnění odkazů na přihlášení.

Drobné změny:

• Možnost zobrazit ikonou oka zadané heslo pro zásilku/výzvu.

Opravy:

• Oprava designu formuláře pro zásilku na výzvu (na úzkém zobrazení (mobilu) nefungovalo dobře).

Opravy:

• Oprava generování odkazu pro ADFS login (někdy docházelo k použití http místo https).

Opravy:

• Opravena nefunkční změna loga.

Drobné změny:

• V integraci na AD zrušena možnost pouze kontrolovat existenci uživatelů bez ověření hesla při přihlášení.
• Lepší řešení polí pro nastavení velikostí (zavedení jednotek kiB, MiB, GiB).
• Doplnění chybějícího odesilatele výzvy v emailové notifikaci k výzvě i ve webovém formuláři reakce na výzvu.

Opravy:

• Opraveno nefunkční stažení ZIP archivu u nových instalací.
• Opraveno nastavení funkce archivu zásilek.
• Oprava validačních zpráv při zadání neplatných hodnot v nastavení.
• Kontrola, zda nastavení expirace zásilky je mezi min a max povolenou hodnotou v nastavení.
• Při dodatečné úpravě zásilky je možné nastavení doby platnosti dle maxima v nastavení a to počítáno od doby původního odeslání zásilky.
• Oprava zobrazení a práce s poznámkami, včetně možnosti zaseknutí zásilky ve stavu čekání na kontrolu za specifických okolností.
• Vynuceno okamžité odhlášení uživatele i admina na straně serveru, pokud byl jeho účet v nastavení smazán.
• Oprava vzhledu tabulky se seznamem zásilek v admin pohledu.
• Opraveno ořezávání prvního a posledního sloupce v grafu na stránce Přehled/Dashboard u administrátora.
• Opraveny chybějící audit log zprávy u některých neúspěšných přihlášení uživatele.
• Oprava vyrovnávací paměti hodnot nastavení, kdy nové nastavení se díky ní nějakou dobu neprojevilo.
• Oprava nefunkčního nastavení velikosti s novými jednotkami v IE11.
• Další drobné opravy vzhledu.
• Opraveny další drobné chyby v sekci nastavení.

Pozn.: První řádně testovaná verze od zavedení verzování a tedy vhodná k produkčnímu nasazení. (což by mělo platit pro všechny budoucí vydané verze)

Opravy:

• Opraveno nefunkční odeslání zásilky.

Nové funkce:

• Přepracována sekce nastavení pro administrátory, aby byla pochopitelná a použitelná bez studia dokumentace.

Drobné změny:

• Úpravy vzhledu - označení zásilek ikonami různých stavů.
• Integrováno číslo verze (do nastavení - základní nastavení).

Opravy:

• Oprava možného zjištění existujících účtů při přihlášení.
• Oprava možného nahrání prázdné zásilky nebo záporně velikých souborů přímo přes REST API.
• Oprava stavu, kdy chybná přihlášení uživatelů z AD nebyla omezena na množství v čase, jako ostatní.
• Pole v nastavení reCaptcha nejsou povinná ale volitelná.
• Upraveny výchozí hodnoty v konfiguraci.
• Doplněn chybějící uživatel u některých audit log záznamů.
• Oprava některých neprovedených ale do audit logu zaznamenaných akcí při nepovedeném přihlášení.
• Opravy textů a jejich překladů.
• Opravy dalších drobných chyb.

První verze označená číslem. Nebyla nikdy veřejně vydána. Slouží jako startovní bod evidence změn. Tato verze není vhodná k nasazení na produkci.