/
Poznámky k vydání (Release Notes / Changelog)
Poznámky k vydání (Release Notes / Changelog)
Obsah
Upozornění
Při přechodu na novou verzi je třeba postupovat dle pokynů zde: Pokyny k přechodu na novou verzi (Upgrade notes)
Verze aplikace
Verze 2.4.3 (10. 2. 2025)
Opravy:
- Oprava DB migrací, které způsobovaly chybu při upgrade na starších instalacích (s PostgreSQL 13 nebo starší).
- Povoleno přejmenování souborů čekajících na kontrolu přes SFTP. Opravuje problém ve WinSCP, kde je soubor nahráván jako .filepart a až po dokončení přejmenován.
- Do SFTP již není možné přihlášení jménem a heslem, pokud má uživatel nastaveno MFA.
- Další drobné opravy v SFTP modulu (počítání velikosti souborů a zásilky, vzhled v nastavení, aj.).
- Povoleno založení nového lokálního uživatele s prázdným heslem (nebude se moci přihlásit). Vhodné pro dedikované SFTP účty pouze s klíčem.
- Zvýšena obtížnost hashovací funkce nových hesel, dle aktuálních doporučení.
- Drobné opravy vzhledu.
Verze 2.4.2 (21. 1. 2025)
Opravy:
- Opravena chyba vzniklá ve verzi 2.4.1, kde mohlo docházet k problému při založení nového uživatele, včetně prvního přihlášení přes ADFS či jiné zdroje uživatelů.
Verze 2.4.1 (20. 1. 2025)
Drobné změny:
- Pro uživatele z ADFS je nově možné nastavit, aby se jim po přihlášení vpravo v horní liště místo uživatelského (login) jména zobrazoval e-mail nebo jméno a příjmení (Nastavení → Konfigurace → Uživatelé → Vzhled, nebo sám uživatel ve svém profilu).
- Možnost automaticky načíst aktuální veřejný klíč ADFS serveru (v Nastavení → ADFS). Aby fungovalo, je třeba upravit konfigurační soubor "/etc/nginx/sofie.d/http_common-variables.conf".
- Možnost nastavit vlastní text na tlačítko pro přihlášení uživatelů přes ADFS (v Nastavení → ADFS → Název).
- V seznamech zásilek v pohledu uživatele dochází nyní k automatickému obnovení (po 15s) a tedy se zobrazí automaticky nové zásilky, bez použití ručního obnovení.
Opravy:
- Docker CDR nástroje nyní poslouchá pouze na localhost.
- Výpis příkazu "sofie status" vypíše všechny služby najednou, nikoli po částech.
- Drobné opravy překlepů a designu.
Verze 2.4.0 (9. 1. 2025)
Nové funkce:
- Zásilky nyní podporují složky a podsložky, tj. stromovou strukturu.
- Složky lze vytvářet, mazat, přejmenovávat a přesunovat v detailu zásilky. Tedy až po vytvoření zásilky, při úvodním nahrání zásilky (zatím) složky vytvořit nelze. Pracovat s nimi tak může původní autor (odesílatel) zásilky a spolupracovníci, pokud existují.
- Inovovaný pohled v detailu zásilky podporující složky. Pohled je možné nastavit a vybrat si, jaké soubory (v jakém stavu) jsou viditelné a zda chceme vidět jeden strom se všemi stavy, nebo několik oddělených stromů pro každý stav (aktivní, v karanténě, smazané, skartované).
- Možnost přepnout na kompaktní pohled, kde je zobrazeno méně metadat o zásilce a je tak více prostoru pro strom složek a souborů.
- Zavedena podpora pro skupiny uživatelů (v Nastavení - Skupiny uživatelů).
- Lokální i vzdálené uživatele lze sdružovat do skupin.
- Pro vzdálené uživatele lze nastavit automatické mapování, které přiřadí uživatele do potřebných skupin na základě parametrů ze vzdáleného adresáře (AD / ADFS / OIDC). Pro uživatele bez mapování (lokální, nebo bez definice mapování) lze nastavit výchozí skupiny, které se jim přiřadí.
- Práva uživatelů se nově nastavují u skupin a již nikoliv u jednotlivých uživatelů. Po upgrade na v2.4 jsou automaticky založeny skupiny kopírující stávající práva uživatelů, aby nedošlo k jejich změně.
- Podpora protokolu SFTP pro přístup k zásilkám. Je podporováno jak stahování, tak i nahrávání obsahu zásilek po SFTP. (funkce vyžaduje doplňující licenci)
- Admin může nastavit, kteří uživatelé mohou využívat SFTP přístup k zásilkám.
- Uživatelé vidí unikátní SFTP odkaz pro přístup v detailu zásilky. Pro uživatele lze mít nastavenu výchozí zásilku, která se otevře, pokud nepoužije unikátní odkaz z detailu zásilky pro login do SFTP.
- Pro přístup k SFTP lze využívat SSH klíče a u uživatele nastavit odpovídající veřejné klíče ve formátu OpenSSH souboru authorized_keys.
- Implementováno nové API v2.
- Přepracováno a výrazně rozšířeno množství API funkcí a volání. Použitelné k rozsáhlejší automatizaci a integraci na další systémy. Nově jsou k dispozici i funkce v roli administrátora a lze přes API například spravovat uživatele.
- Dokumentace zde: https://docs.sofie.cloud/api/v2/cs/
- V nastavení detekce MIME typů lze nově omezit hloubku vnořeného obsahu (např. archiv v archivu v archivu...) a také maximální celkový počet vnořených objektů (např. souborů v archivu).
- Uživatelé mají k dispozici hromadné akce, které mohou spustit nad vybranými zásilkami v seznamu zásilek, nebo nad vybranými soubory v detailu zásilky.
- V nastavení detekce pro sandboxy lze nově aktivovat filtr pro zasílání pouze vybraných typů (přípon) souborů ke kontrole sandboxem.
Drobné změny:
- Přidáno nastavení pro deaktivaci lokálního loginu (v Nastavení - Konfigurace - Uživatelé - Povolit přímé přihlášení uživatelů).
- Zamykání uživatelských účtů odděleno od práva na přihlášení. Jednotlivé účty lze zamknout (aktivní/neaktivní) bez ohledu na nastavení práva na přihlášení, které se nyní odvozuje od členství uživatele ve skupinách.
- Aktualizace knihoven backendu i frontendu (včetně přechodu z Ant Design 4 na 5 a z JavaJDK 1.8 na 21).
- Pokud je v licenci nastavena kvóta na FortiSandbox, počítá se nově 1 kredit = 180s místo původních 300s.
- Upraveny výchozí hodnoty pro pravidla hesel na přísnější (dle pentest nálezu).
- Přidána možnost zobrazení komponenty v Audit Logu. Přidány všechny atributy do detailního zobrazení audit log záznamu.
- Přidána možnost ukončit kontrolu i pro zásilky, které již nejsou ve frontě. Kontroly zde mohou probíhat, protože se spustí na vyžádání opakovaně, nebo došlo dodatečně k přidání nových souborů.
- Upraveno počítání a zobrazení velikosti zásilek pro uživatele, pro admina a po skartaci. Uživatel vidí velikost "aktivních" souborů (čistých i v karanténě, ale ne smazaných, "v koši"). Admin vidí celkovou velikost všech uložených souborů, tedy kolik zabírají místa v úložišti (včetně smazaných a archivovaných).
- Zrychleno zjišťování výsledků kontrol asynchronních detekčních nástrojů (sandboxy).
- Možnost omezit přístup na /admin rozhraní již na úrovni webového serveru nginx (podrobnosti viz Pokyny k přechodu na novou verzi (Upgrade notes)).
- Připomenutí změn v CDR viz verze 2.3.11.
Opravy:
- Opravena chyba, díky které mohlo docházet k pokusům spustit kontroly i na skartované soubory.
- Oprava, kdy při některých selháních CDR převodu došlo k chybnému výstupu.
- Odstraněno logování výjimek při "Invalid UUID" např. v ID zásilky.
- Doplněn timeout do AV kontrol, aby v případě zaseknutí AV došlo k ukončení kontroly s chybou a nikoliv zaseknutí ve stavu skenování.
- Oprava zobrazení favicony (úprava Content-Security-Policy).
- Opravy v integraci pro některé verze AV: Kaspersky 12.1, FortiClient >7.0.3 a Sophos.
- Opraveno pořadí výsledků kontrol v detailu zásilky.
- Opraven možný výskyt chyby "500 Internal server error" v některých specifických situacích.
- Oprava expirace/skartace souborů zaseklých ve stavu nahrávání.
- Oprava možné chyby souborů v přeposlané zásilce, pokud byla jen částečně (de)šifrována.
- Doplněny chybějící atributy u některých audit logů.
- Opravy v audit logu pro skartaci souborů: zaveden nový audit log pro fyzické mazání pomocných souborů z úložiště a upraveny audit logy pro skartovaní souborů zásilek.
- Další opravy na základě provedeného penetračního testu aplikace:
- Opraveny neočekávané chyby při pokusu o přihlášení příliš dlouhým přihlašovacím jménem nebo heslem. Maximální délka přihlašovacího jména nově nastavena na 100 znaků a hesla na 300 znaků.
- Opraveny validace délek u dalších textových polí.
- Ve formuláři pro výzvu je nyní také zobrazeno nastavení limitů pro maximální počet souborů a velikost zásilky.
- Oprava v nahrávání souborů, kdy již nelze nahrát větší soubor, než bylo uvedeno v metadatech o souboru před zahájením jeho nahrávání.
- Požadavky na web server směřující na .map soubory nyní vlastní chybovou hlášku.
- Opravena možná chyba plus neočekávaná výjimka u schvalování zásilek a v přístupu schvalovatelů k souborům.
- Opravena chyba v oprávněních administrátora.
- Opravena chyba, kde v nastavení sandboxů nefungovalo nastavení portu mimo 80/443.
- Oprava úklidu metadat starých zásilek.
- Další různé opravy vzhledu, textů a překladů.
Verze 2.3.11 (3. 10. 2024)
Drobné změny:
- Podpora CIDR rozsahů v nastavení důvěryhodných proxy (Nastavení - Konfigurace - Bezpečnost - Obecné). Dříve byly podporovány pouze jednotlivé IP adresy.
- Zlepšena stabilita a spolehlivost CDR nástroje. Je třeba provést manuální kroky, viz Pokyny k přechodu na novou verzi (Upgrade notes).
Opravy:
- Opravena deduplikace příjemců tak, že pokud je stejný příjemce uveden v příjemcích i spolupracovnících, zůstane pouze ve spolupracovnících (dříve fungovalo obráceně).
- V konfiguraci e-mailů (Nastavení - Konfigurace - E-mail) bylo potlačeno automatické vyplňování hesla (autoComplete off).
- Drobná oprava při zjišťování stavu licence enginu Avast.
Verze 2.3.10 (5. 6. 2024)
Drobné změny:
- Možnost použít předvyplněnou šablonu formuláře pro odesílání zásilek anonymem na základě parametrů v URL. (například: https://sofie.sonpo.cz/#/?template&recipient=sofie@sonpo.cz&password=false&expiration=false)
- Úprava přepočtu FortiSandbox kreditů na čas (pro FSA jako službu).
Verze 2.3.9 (24. 4. 2024)
Drobné změny:
- Přihlašovací formulář má nově zavedenu unikátní CSS třídu, aby bylo možné selektivně skrýt přihlášení jménem a heslem pomocí CSS.
Opravy:
- Drobná oprava související se zobrazením favicony.
Verze 2.3.8 (19. 4. 2024)
Opravy:
- Opravena možná chyba (bílá stránka) při přístupu k zásilce způsobená interakcí s jinou opravou ve verzi 2.3.7.
- Upraveno zjištění verze v uvítací zprávě v příkazové řádce (aby se vyhnulo potencionálnímu řetězení volání).
Verze 2.3.7 (17. 4. 2024)
Opravy:
- Oprava zobrazení nastavení pro povinné heslo zásilky. Po zapnutí a uložení se sice nastavení aplikovalo, ale zobrazovalo se stále jako vypnuté.
- Opraveno možné přeskočení vynuceného nastavení vícefaktorové autentizace pro uživatele.
Verze 2.3.6 (16. 4. 2024)
Opravy:
- Opraveno zobrazení anglických Terms of Use v SK verzi a další drobné chyby v SK překladu.
- Oprava vzhledu úvodní stránky z mobilu (včetně přepínání jazyka).
- Vylepšena mini ikona aplikace (favicona) pro prohlížeče pro displeje s vyšším rozlišením.
Verze 2.3.5 (5. 4. 2024)
Opravy:
- Opraveno možné chybné automatické odhlášení o minutu dříve, než bylo nastaveno a související chybová stránka.
Verze 2.3.4 (4. 4. 2024)
Opravy:
- Slovenština automaticky povolena pro nové instalace (pro stávající nikoliv, musí aktivovat administrátor).
- Opraveno zobrazení stránky s chybou po automatickém odhlášení.
- Opravy překlepů.
Verze 2.3.3 (4. 4. 2024)
Nové funkce:
- Přidána podpora slovenštiny pro uživatelskou část rozhraní (a rozesílané e-maily).
Drobné změny:
- Při přístupu na neexistující URL je zobrazena chybová hláška o neexistenci stránky (místo normální úvodní stránky aplikace).
Opravy:
- Opravena chyba rozhraní při použití překladače v prohlížeči (Chrome a Edge). Části, které překlad rozbil, se nyní nepřekládají.
- Oprava indikace a zjišťování stavu CDR nástroje.
- Oprava chování a nastavení CDR nástroje a filtru přípon.
- Opravy překlepů.
Verze 2.3.2 (18. 3. 2024)
Opravy:
- Doplněn chybějící text k limitu v EN lokalizaci.
- Oprava v zobrazení hromadných akcí nad zásilkami.
- Aktualizace některých knihoven.
Verze 2.3.1 (8. 3. 2024)
Opravy:
- Změněn výchozí typ šifrovacího klíče pro nové instalace na aktuálně doporučovaný algoritmus.
Verze 2.3.0 (7. 3. 2024)
Nové funkce:
- Podpora OpenID Connect (OIDC) pro přihlašování uživatelů do aplikace. Kromě AD a ADFS je tak nyní možné aplikaci napojit i na Azure AD, Google nebo jiný OIDC kompatibilní zdroj pro přihlášení uživatelů.
- Implementace funkce CDR (Content Disarm and Reconstruction) - Podpora převodu kompatibilních dokumentů/souborů do bezpečné formy (čisté PDF bez aktivních prvků).
- Podpora nových anti-virových enginů: Avast a Trellix.
- Možnost blokace přístupu k aplikaci podle různých vlastností zdroje přístupu:
- IP filtr - blokace klientů z vyjmenovaných IP rozsahů
- Reverzní záznam - blokace klientů s reverzním záznamem obsahujícím vyjmenované řetězce
- Země (GeoIP) - blokace přístupu z vyjmenovaných zemí, nebo povolení přístupu pouze z vyjmenovaných zemí
- Hlavička User-Agent - blokace klientů, jejichž hlavička User-Agent obsahuje některý z vyjmenovaných řetězců
- Administrátor může nastavit trvalé uživatele, kteří nepodléhají automatickému zamykání nebo mazání účtů při neaktivitě (formou práva uživatele).
- Možnost omezení použití API pouze na vyjmenované adresní rozsahy (obdobně, jako u uživatelů a administrátorů).
- Přidáno nové právo uživatelům: označit zásilku jako trvalou, nepodléhající automatické expiraci. Dříve mohl toto provádět pouze administrátor.
- Nový filtr uživatelů:
- dle jejich práv (možnost vyhledat uživatele s konkrétními právy)
- dle toho, zda je lokální, nebo z externího zdroje (AD/ADFS/OIDC)
- Možnost vytvořit výzvu bez odeslání příslušného notifikačního e-mailu. Odkaz na výzvu pak uživatel předá jiným způsobem.
- Při přípravě nové zásilky k odeslání je nově možné vygenerovat náhodné heslo zásilky přímo ve formuláři do políčka s heslem.
- Podpora offline instalace. Do prostředí bez přístupu na Internet, ale s funkčním yum/dnf pro instalaci systémových balíčků, včetně epel nebo kompatibilního repozitáře. Pouze pro trvalé licence, nikoli předplatné.
Drobné změny:
- Aktualizace některých kryptografických algoritmů používaných v aplikaci, aby odpovídaly aktuálním doporučením, např. NÚKIB (Minimální požadavky na kryptografické algoritmy).
- Zda je přístup do aplikace z uzavřeného nebo otevřeného prostředí, je nyní jasně indikováno v horní liště aplikace (ikonou otevřeného nebo uzavřeného zámku).
- Vylepšení http security hlaviček (Permission-Policy a Content-Security-Policy).
- I nepřihlášení anonymní uživatelé vidí v horní liště ikonu s odkazem na dokumentaci.
- Zlepšen design obrazovky s detailem zásilky, pro přehlednost přidána odsazení aj. drobné úpravy.
- U administrátorů je nyní evidován čas vytvoření a posledního přihlášení, obdobně jako u uživatelů.
- Upraven upgrade proces:
- sofie upgrade - nově aktualizuje jen o jeden krok na novější větev, tj. např. z 2.1.x na 2.2.x, nikoliv rovnou na 2.3.x.
- Pokud je třeba aktualizovat o více hlavních verzí (větví), musí se upgrade spustit vícekrát a po každém kroku zkontrolovat a případně provést nutné kroky popsané v Pokyny k přechodu na novou verzi (Upgrade notes).
- Podpora čtení a logování nové hlavičky "Sec-Ch-Ua" (User agent client hint). Tu generuje napevno prohlížeč a nelze ji uživatelsky měnit.
- Drobné úpravy API (přidán atribut "fileId" do stavu zásilky).
- U přeposílání zásilky možnost označit/odznačit všechny soubory najednou.
- Administrátor vidí v seznamech zásilek celkový počet zásilek (vpravo dole u stránkování).
- Zlepšen filtr dle dalších příznaků v pohledu administrátora na všechny zásilky.
- Přidán nový limit omezující maximální počet vytvořených zásilek nebo výzev v nastaveném čase.
- Vylepšení v kooperativních zásilkách:
- nyní každý spolupracovník (i autor) může kooperativní zásilku upravovat nezávisle na nastavení funkce povolující editaci existujících zásilek
- přidáno nové tlačítko pro vkládání souborů do existující zásilky hned nad seznam se soubory
Opravy:
- Implementován automatický restart při pádu některého modulu aplikace, např. z důvodu vyčerpání paměti Javy. Nyní dojde v takovém případě k automatickému ukončení a novému spuštění, což minimalizuje nutnost ručních zásahů správce.
- Opraveny problémy objevené na základě provedeného podrobného pentestu aplikace.
- Přidána selinux pravidla pro Diagnostiku - Vzdálený přístup, aby byl tento funkční i při zapnutém selinuxu.
- Zlepšeno chování při chybě odeslání e-mailu. Již nedochází k dlouhodobému marnému opakování pokusů o odeslání, pokud SMTP server vrátí trvalou chybu (např. 550 invalid recipient).
- Opraveny možné výjimky a související chyby v překladech (projevující se zejména v maďarské lokalizaci).
- Opraveny chyby v některých hromadných akcích nad zásilkami, které se skenují, nebo jsou zašifrované.
- Opravena možná chyba při přihlášení uživatele a některých dalších akcích, která mohla nastat při speciální souhře okolností a aktivních limitech na akce.
- Administrátorovi se již nezobrazují akce pro (de)šifrování zásilek, pokud na ně nemá právo.
- Opraveno, že předmět testovacího e-mailu neobsahoval prefix nastavený v konfiguraci.
- Oprava skriptu pro změnu certifikátu v OS RHEL verze 9 a kompatibilních.
- Oprava možné výjimky při expiraci a mazání metadat skartovaných zásilek.
- Upraven skript pro BitDefender, aby nespouštěl více než jednu instanci skenu. Více instancí způsobuje chyby.
- Opravena možná chyba při příliš dlouhém názvu zásilky při přeposílání zásilky.
- Provedena aktualizace používaných knihoven.
- Opraveny různé překlepy, chybějící texty, či jiné drobné grafické nedostatky.
Verze 2.2.10 (29. 1. 2024)
Opravy:
- Provedena aktualizace některých používaných knihoven.
Verze 2.2.9 (5. 12. 2023)
Drobné změny:
- Doplnění ikony s otazníkem pro otevření nápovědy do horní lišty i pro anonymní uživatele (před přihlášením).
Opravy:
- Opravena neočekávaná chyba "500 Internal server error" místo korektního varování při zadání hesla zásilky nesplňujícího pravidla pro hesla, pokud bylo rozhraní přepnuto do maďarštiny.
- Opravena možná výjimka při finálním mazání metadat skartovaných zásilek.
Verze 2.2.8 (3. 10. 2023)
Nové funkce:
- Podpora nových antivirů v detekčních nástrojích: Avast, Trellix.
Drobné změny:
- V nových instalacích má po prvním spuštění administrátor náhodné heslo. Heslo administrátora lze resetovat příkazem "sofie reset-admin-password".
- Úpravy dokumentace popisující způsob nasazení z AWS Marketplace a zařazení do AWS Marketplace: SOFiE.
- Úpravy pro snazší změny FQDN a https certifikátu. (příkazy "sofie set-fqdn" a "sofie recreate-cert"). Změna FQDN zneplatní licenci (je vázána na FQDN), a tak je nutné kontaktovat nás a dohodnout úpravu licence (ideálně předem).
Verze 2.2.7 (20. 6. 2023)
Drobné změny:
- Úprava API (přidán atribut fileId k souborům v odpovědi se stavem zásilky).
Opravy:
- Oprava možné chyby při spuštění opakované kontroly souborů/zásilky detekčními nástroji. K chybě mohlo dojít při určité kombinaci nastavení a časování a důsledkem bylo předčasné ukončení kontroly s chybou.
Verze 2.2.6 (23. 5. 2023)
Drobné změny:
- Úpravy a vylepšení "sofie" skriptu pro příkazovou řádku. Přípravy na snazší instalace, např. z AWS Marketplace.
Verze 2.2.5 (20. 4. 2023)
Opravy:
- Opravena výjimka, která mohla občas nastat při komunikaci s FortiSandboxem. Způsobena byla neočekávanou hodnotou vracenou v API posledních verzí FortiSandboxu.
Verze 2.2.4 (12. 4. 2023)
Drobné změny:
- Upraven upgrade skript a proces tak, aby "sofie upgrade" poskočil vždy jen o jednu verzi (2.1 → 2.2), nikoliv o více (2.0 → 2.2). Řeší do budoucna problém s upgrade z verze starší než nejbližší předchozí.
Verze 2.2.3 (5. 4. 2023)
Drobné změny:
- Upraveny parametry zálohování (nižší komprese a vyšší paralelismus) pro urychlení. Ovlivňuje i updaty a upgrady, při nichž se záloha spouští.
Opravy:
- Opravena výjimka při zpracování příjemců zásilky, pokud jich bylo více, někteří byli z definované domény, ale ještě nikdy se nepřihlásili a tudíž neměli účet.
- Oprava zobrazení využitých uživatelů v licenci.
Verze 2.2.2 (2. 3. 2023)
Opravy:
- Opraveno možné vyčerpání paměti procesu při přesunu sandbox reportů z databáze na disk (nastává po spuštění verze 2.2).
Verze 2.2.1 (2. 3. 2023)
Opravy:
- Oprava blokovaného přístupu spolupracovníka k zásilce, pokud je zároveň schvalovatel a za určitého nastavení funkce schvalování zásilek.
- Oprava překlepu.
Verze 2.2.0 (27. 2. 2023)
Nové funkce:
- Nová funkce "Aktovka", určená pro jednoduché posílání zásilek "sám sobě". V kombinaci s další novou funkcí pro "Uzavřené prostředí" usnadňuje také řízenou výměnu souborů mezi uzavřeným a otevřeným prostředím.
- Nová funkce "Uzavřené prostředí".
- Vyjmenované IP adresy nebo IP rozsahy jsou považovány za uzavřené prostředí. (jinými slovy také "chráněné", "čisté", nebo "s omezeným přístupem", apod.)
- Přenosy mezi tímto uzavřeným prostředím a ostatním (otevřeným) prostředím, lze zakázat. Konkrétně lze nastavit, zda je povoleno přenášet v jednotlivých kombinacích směrů přenosu (uzavřené → uzavřené, uzavřené → otevřené, otevřené → uzavřené, otevřené → otevřené).
- Rovněž lze nastavit, zda je povoleno nahrávat zásilky z uzavřeného nebo z otevřeného prostředí.
- Vhodné pro zabezpečení a řízení přenosů mezi oddělenou částí sítě a zbytkem světa, kdy je někdy třeba zakázat přenos ven (kvůli úniku citlivých dat), nebo přenos dovnitř (kvůli riziku nebezpečného obsahu).
- V kombinaci s další novou funkcí "Aktovka", lze aplikaci velmi jednoduše používat pro bezpečný, řízený a auditovaný přenos souborů uživatelem mezi prostředími.
- Nová funkce "Kooperativní zásilky":
- Administrátor může tuto funkci zakázat, povolit všem, nebo jen vybraným uživatelům.
- Pokud má uživatel povoleno, může vytvořit kooperativní zásilku obdobně jako klasickou, ale navíc do ní přidá místo obyčejných příjemců tzv. "spolupracovníky".
- Spolupracovníci mohou, stejně jako odesílatel (autor), zásilku následně editovat. Tj. přidávat, přejmenovat, nebo mazat její soubory.
- Vhodné např. pro společnou práci více uživatelů na nějakém projektu, nebo pro lepší zastupitelnost.
- Podpora e-mail aliasů u uživatelů. Umožňuje mít u uživatele více e-mailů, např. po svatbě staré i nové jméno, atd.
- Vylepšení funkce schvalování odesílaných zásilek (také nazýváno režim 4 očí):
- Lze zapnout podporu "preferovaných schvalovatelů". Pokud má uživatel nebo zásilka nastavené preferované schvalovatele (jednoho či více), měli by schvalovat odeslání tito schvalovatelé a jen jim je zaslána notifikace o čekající zásilce.
- Lze nastavit, zda si preferovaného schvalovatele může nastavit sám uživatel, nebo mu ho musí nastavit administrátor.
- Lze nastavit, zda uživatel s právem schvalovat zásilky (auditor), má právo vidět a schvalovat jakékoliv čekající zásilky, nebo pouze ty, u kterých je nastaven jako preferovaný schvalovatel.
- Označení zásilek uživatelem:
- Uživatelé mohou označovat své zásilky hvězdičkou. Umožňuje jim to lépe se orientovat ve svých zásilkách, pokud jich je větší množství.
- Nové příchozí zásilky uživatele jsou považovány za nepřečtené a označeny tučně. Po přečtení toto označení zmizí.
- Podle hvězdičky i příznaku nepřečtené lze filtrovat.
- Odesílatel (autor) zásilky nebo Administrátor má možnost znovu odeslat notifikace o zásilce příjemcům.
- Zaveden nový administrátorský pohled "Všechny zásilky", který zobrazuje zásilky ve všech stavech (aktivní, karanténa, smazané, atd.). To například usnadňuje hledání zásilky, pokud nevím, v jakém je zásilka stavu.
- Administrátor může upravovat příjemce zásilky. To dosud mohl pouze odesílatel (autor).
- Zlepšena funkce automatického zamykání či mazání neaktivních uživatelů o náhled/simulaci, kterých uživatelů se to dotkne. Také přidána možnost okamžitého ručního spuštění této funkce.
- Uživatelům je možné zpřístupnit podrobné výsledky kontrol souborů, obdobně jako vidí administrátoři. Lze nastavit, kdo podrobné výsledky vidí (anonymové, přihlášení, jen vybraní, nikdo).
- Upravena výchozí konfigurace pro nové instalace, aby nové funkce byly implicitně aktivní (například šifrování, editace zásilek, aktovka, kooperativní zásilky, atd.). Stávajících instalací se nedotkne. Ve stávajících instalacích musí administrátor nové funkce vždy aktivovat sám, dle svého uvážení.
- Seznam uživatelů je možné exportovat/stáhnout ve formátu CSV.
- Zobrazené audit logy (dle aktuálního nastavení filtru) lze stáhnout ve formátu CSV.
- Možnost omezit dobu, po kterou jsou uloženy audit logy a metadata skartovaných zásilek. Doposud se ukládaly neomezeně a mohly nadměrně zaplňovat databázi. Rovněž doplněn automatický úklid dalších starých (uživateli ani administrátorovi neviditelných) záznamů v databázi.
- Export konfigurace. Administrátor může provést export aktuální konfigurace aplikace. Lze použít jako částečnou zálohu konfigurace. Export neobsahuje hesla a klíče. Import zpět zatím není podporován a tak případnou obnovu je třeba provést ručně.
- Sekce Nastavení → Konfigurace přepracována, pro větší přehlednost z důvodu přibývajících nových voleb.
Drobné změny:
- U přeposlaných zásilek je v detailu nově odkaz na původní zásilku, kterou tak lze snadno otevřít (jen pro odesílatele nebo administrátora).
- Z detailu audit logu souvisejícího se zásilkou se lze novým odkazem dostat na detail zásilky. Naopak z detailu zásilky se lze pomocí ikony u ID dostat na vyfiltrovaný seznam audit logů pro tuto zásilku.
- Plovoucí tlačítko Uložit v Nastavení → Konfigurace, aby bylo vždy vidět na obrazovce, i když je sekce nastavení delší, než se na obrazovku vejde.
- Zlepšeno hledání v seznamech zásilek:
- je možné hledat podle názvu zásilky
- je možné hledat podle názvu nebo SHA256 otisku souboru obsaženého v zásilce
- Zlepšeno hledání v audit logu:
- Možnost hledat v audit logu podle textu v atributech (např. logy obsahující "ESET"). Neplatí pro text zprávy audit logu, jen pro atributy (protože text je generován dynamicky až při zobrazení, včetně překladu).
- Možnost v audit logu zobrazit typ události. Usnadňuje hledání dle typu.
- Sjednoceno umístění Package ID ve filtrech pro hledání, aby bylo použití příjemnější.
- Doplněny hromadné akce o některé chybějící položky (retest, šifrování, kontrola integrity, aj.).
- Doplněny některé akce pro zásilku v seznamu zásilek a detailu zásilky, aby se dostupné akce v seznamu i detailu pokud možno shodovaly.
- Podrobné reporty ze sandbox kontrol přesunuty z databáze přímo na disk k souborům zásilky. Reporty nadměrně zvětšovaly velikost databáze a prodlužovaly její zálohování (a tím i upgrady a updaty aplikace).
- V úvodní obrazovce "Přehled" pro administrátory přidány odkazy na odpovídající části nastavení.
- MIME nálezy pro soubory či typy s dlouhými názvy se nevešly celé zobrazit a nebylo tak možné zjistit detail. Nyní lze celé zobrazit v tabulce v podrobnostech po klepnutí na lupu.
- Soubory v zásilce lze dodatečně přejmenovat. Dosud šlo jen smazat a nahrát znovu nový soubor.
- Seznam našeptávaných e-mailů a skupin z adresáře je nyní seřazen dle abecedy, dřív bylo pořadí náhodné.
- E-mail, na který je zaslána výzva, se také uloží do kontaktů v adresáři uživatele, pokud je zapnuta funkce sbírat kontakty.
- V seznamu administrátorů je zobrazen příznak (ikona) u administrátorů s nastavenou více-faktorovu autentizací.
- Funkce "Upozornit na umístění do karantény příjemce zásilky" upravena, aby platila pouze pro registrované uživatele (ne pro anonymy), tj. stejně jako u odesílatelů.
- Skrytí dalších citlivých údajů v audit log záznamech (klíče, salt, hesla).
- Zavedeny nové audit logy, viz: Seznam a popis jednotlivých typů Audit Log událostí
Opravy:
- Opravena chyba, kdy mohlo v některých situacích chybně dojít k ukončení kontroly sandbox nástrojem z důvodu vypršení časového limitu.
- Při prohlížení zásilky s omezeným počtem přístupů již nelze přepnout jazyk, neboť tím docházelo k vyčerpání dalšího přístupu.
- Opravena duplicita akce smazat u zásilek uživatele, kde je zároveň odesílatelem i příjemcem.
- Opraveno, že při využití odeslat další po odeslání zásilky nedocházelo ke korektnímu resetu formuláře nové zásilky.
- Opravena možnost přeposlání zásilky jako interní bez příjemce.
- Po přeposlání zásilky se korektně zobrazí odkaz na tuto novou zásilku.
- Oprava možné chyby při přeposlání zásilky s heslem.
- Opraven neočekávaný stav při opakovaném zadání chybného hesla k výzvě.
- Opravena možná výjimka při smazání souboru ze zásilky před dokončením jeho kontrol.
- I pro admina se nyní v nadpisu v detailu zásilky korektně zobrazuje název zásilky, pokud existuje, místo ID.
- Odstraněny chybné notifikace při vyjmutí neaktivní (smazané, v archivu) zásilky z karantény.
- Opraveny chyby při přístupu admina do některých částí nastavení s určitou kombinací práv admina.
- Opraveny možné chybné hodnoty v informačních čítačích ve statistikách šifrovaných zásilek.
- Opraveno, aby nebyla k dispozici akce odebrat poslední šifrovací klíč (KEK) od zašifrovaných zásilek.
- Opraven nefunkční limit na počet loginů za čas při specifické konfiguraci Active Directory.
- Různé opravy textů, formátování a vzhledu.
- Doplněn chybějící audit log (CONFIG_ADDED), který může výjimečně nastat.
Verze 2.1.4 (12. 4. 2023)
Drobné změny:
- Upraven upgrade skript a proces tak, aby "sofie upgrade" poskočil vždy jen o jednu verzi (2.1 → 2.2), nikoliv o více (2.0 → 2.2). Řeší do budoucna problém s upgrade z verze starší než nejbližší předchozí.
Verze 2.1.3 (21. 2. 2023)
Opravy:
- Oprava chyby znemožňující vypnout nebo zapnout v Nastavení → Nastavení detekce jednotlivé detekční nástroje či zda jsou povinné.
Verze 2.1.2 (2. 12. 2022)
Opravy:
- Oprava chyby při přístupu k zásilce chráněné heslem obsahujícím diakritiku nebo jiné speciální znaky.
- Oprava možné výjimky při resetu hesla uživatele nebo administrátora neexistujícím nebo již neplatným odkazem.
Verze 2.1.1 (13. 9. 2022)
Opravy:
- Drobná oprava skriptu "sofie" pro upgrade (na nové řady 2.0 → 2.1 apod.). V instalacích s ručně vytvořeným či upraveným yum repositářem sofie (neměl by být ručně upravován) mohlo dojít k chybě při upgrade.
Verze 2.1.0 (5. 9. 2022)
Nové funkce:
- Možnost vytvářet zásilky s omezeným počtem přístupů. Pro veřejné zásilky může administrátor navíc omezení přístupů povinně vynutit.
- Administrátor může u uživatelů vynutit používání více-faktorové autentizace (v Nastavení - Konfigurace - Nastavení uživatelů - Vícefaktorová autentizace).
- Vylepšení funkce (e-mail) šablon:
- V e-mail šablonách je možné vložit a použít oslovení příjemce (jménem, a pokud není známo, e-mailem) pro lepší individualizaci zpráv a zlepšenou ochranu proti phishingu.
- V šablonách lze definovat společný prefix / suffix, který se vloží vždy před / za text e-mailové zprávy. Lze tak snadno do všech odesílaných e-mailů např. přidat firemní patičku, nebo na začátek přidat oslovení příjemce, apod.
- Do notifikace o uložení zásilky do karantény lze vložit detail s výsledky kontrol problémových souborů. Výchozí šablona pro notifikace pro administrátory byla upravena, aby toto automaticky využívala a administrátor se tak v notifikaci rovnou dozvěděl důvody karantény, bez nutnosti otevírat detail zásilky v aplikaci.
- Podpora pro zobrazení podmínek užití na přihlašovací obrazovce. Dle nastavení administrátora buď dobrovolně, po klepnutí na odkaz, nebo povinně v modálním okně po vstupu na přihlašovací obrazovku.
- Nově lze uživatele omezit dle IP rozsahů:
- Uživatelům lze omezit přihlášení a povolit ho pouze z povolených IP (rozsahů). Jak všem společně (firemní adresy), tak každému navíc individuálně (např. domácí veřejné).
- Uživatelům lze zakázat anonymní zásilky (bez přihlášení) z rozsahů, z kterých mají povoleno přihlášení (viz výše). Pro odeslání z těchto IP se tak musí povinně přihlásit.
- Implementace nových bezpečnostních limitů (nová sekce Nastavení - Konfigurace - Bezpečnostní limity), včetně:
- Zlepšena ochrana proti hádání hesel uživatelů. Zatím co neúspěšné pokusy jsou omezovány v čase a následně blokovány, tak legitimní přihlášení ze stejné IP může mezitím proběhnout bez vlivu na toto omezení.
- Omezení počtu pokusů o obnovu hesla. Předchází možnosti DoS útoku nebo spamu.
- Omezení počtu pokusů o hádání hesla zásilky či výzvy.
- Omezení počtu pokusů o přístup k neexistující zásilce.
- Administrátor může nyní libovolně měnit typ (přístupnost) zásilky (mezi veřejná, interní a soukromá). Dříve bylo možné pouze zveřejnit soukromou zásilku.
- Administrátor může vynutit nastavení hesla pro nové zásilky (zvlášť pro anonymy a zvlášť pro přihlášené uživatele). Včetně požadovaných pravidel pro sílu hesla.
- Administrátor může nastavit, že auditor (uživatel schvalující čekající zásilky k odeslání) může přistupovat k zaheslované zásilce i bez znalosti hesla (podobně jako administrátor). Neplatí pro zásilky šifrované heslem, ty bez hesla nelze rozšifrovat.
- Administrátor může vypnout podporované jazyky pro uživatele i administrátory (kromě angličtiny, její podporu vypnout nelze). Vypnuté jazyky se pak nebudou nikde zobrazovat a nabízet k nastavení a použití.
- Podpora relací přihlášených uživatelů na straně serveru (navíc ke stávajícím jwt tokenům), což umožní uživatele odhlásit ze strany serveru a nebude stačit platný jwt token k obnovení přihlášení uživatele.
- Podpora kvóty na počet souborů ke kontrole odeslaných na FortiSandbox, pokud je provozovaný jako služba. Kvóta se stanovuje v rámci licence a po jejím překročení buď dojde pouze k upozornění, nebo se kontroly sandboxem přestanou provádět.
- Zavedeno administrátorem nastavitelné omezení na maximální počet zaznamenaných objektů v rámci MIME kontrol obsahu. Dříve bylo možné např. zipem s obrovským počtem souborů nadměrně zatížit aplikaci a prohlížeč při zobrazení tohoto obrovského počtu MIME výsledků.
Drobné změny:
- Změna v procesu aktualizace na nové verze (např. nyní 2.0 → 2.1), je nutné postupovat dle aktualizovaných instrukcí v Pokyny k přechodu na novou verzi (Upgrade notes).
- Zavedeny kroky pro lepší automatizaci procesu upgrade na budoucí verze (úprava nginx konfigurace, aby bylo možné ji lépe měnit automaticky).
- Při změně vlastního hesla nebo vlastních autentikátorů pro vícefaktorovou autentizaci je třeba nejprve zadat aktuální heslo. Platí pro uživatele i administrátory.
- Reset hesla pomocí odkazu v e-mailu vyvolaný administrátorem donutí ke skutečné změně hesla (nepůjde zadat znovu stejné heslo). Z bezpečnostních důvodů, např. po incidentu, kdy došlo k úniku hesla a administrátor vyžaduje jeho změnu.
- V pravidlech pro hesla byla minimální nastavitelná délka navýšena na 8 znaků. Navíc vždy doporučujeme zapnout vyžadování různých typů znaků a využití databáze uniklých hesel.
- Upraveno zobrazení práv uživatelů v seznamu uživatelů. Najetím myši nad novou ikonou pod jménem uživatele v seznamu lze zobrazit jeho aktuální nastavení práv.
- Administrátor s oprávněním "správa administrátorů" má automaticky napevno přidělena všechna ostatní práva. To reflektuje skutečný stav, kdy oprávnění pro správu administrátorů mu dovoluje si je stejně kdykoli přidat a nevytváří se tak iluze, že je nějak omezen.
- Při nahrání vlastního loga administrátorem ve formátu SVG dojde k lepší kontrole souboru, aby nemohl obsahovat spustitelný kód.
- API rozšířeno o podporu nových funkcí (nastavení zásilky) z verzí 2.0 a 2.1 (např. šifrování heslem, omezení počtu přístupů, atd.).
- Audit log pro neoprávněný přístup k zásilce rozdělen na dva různé audit logy (zvlášť pro anonymy: PACKAGE_DOWNLOAD_UNAUTHORIZED_ACCESS, a zvlášť pro přihlášené uživatele: PACKAGE_DOWNLOAD_USER_UNAUTHORIZED_ACCESS).
- Unikátní token pro reset hesla se již neloguje do audit logu, tj. administrátor ho nevidí.
- Zlepšení http hlaviček, včetně přidání CSP (Content-Security-Policy) hlavičky a hlaviček pro zamezení nežádoucí indexace a načítání vyhledávači a podobnými roboty.
- Úprava chybové stránky při nevalidním http požadavku.
- Vylepšení výstupu příkazu sofie status a rozšíření odesílaných diagnostických logů.
- Různé další úpravy dle méně závažných nálezů z pentestu.
- Různé menší úpravy a optimalizace vzhledu rozhraní aplikace.
Opravy:
- Uživatel se zakázaným přihlášením nemůže žádat o obnovu hesla (tato stejně nefungovala a zasekla se).
- Nelze odkazem nastavovat nové nebo obnovovat heslo z IP rozsahů, které nejsou povolené k přihlášení (pokud je nastaveno omezení příhlášení dle IP).
- Po uživateli z ADFS již není při přidávání vice-faktorového autentikátoru požadováno v aplikaci jeho aktuální heslo (které v aplikaci ani nemá).
- Opraveno nevyžadování hesla při nahrávání souborů do zaheslované výzvy (pokud nahrávající zná URL a obejde standardní postup ručně).
- Opravena nefunkční kombinace některých příznaků ve filtru nad seznamem zásilek.
- Opraveno opakované spouštění kontroly nad starými zásilkami.
- Opraveno chybné odesílání notifikace o chybě kontroly při skartování souborů ze zásilky obsahující soubory s chybou kontroly.
- Opravy DLP notifikací (zásílání prázné, nebo 2x).
- Opraveno, že přihlášený uživatel nemohl otevřít interní zásilku, pokud tato neměla žádného příjemce.
- Opravena chybná indikace řazení dle sloupce v seznamech při přechodu mezi různými obrazovkami.
- Opraven chybný výsledný stav při vyvolání ukončení kontrol zásilky, pokud mezitím stihly některé kontroly doběhnout do konce (mohlo nastat při velmi nepravděpodobném souběhu událostí).
- Opraveny aktualizace/notifikace v rozhraní pro dlouho běžící úlohy na pozadí (např. šifrování souborů nebo kontrola integrity).
- Opravena výjimka při pokusu o stažení neexistujícího souboru.
- Opravena výjimka, ke které mohlo dojít za speciálních okolností při MIME kontrole.
- Opravena výjimka, která mohla nastat při některých specifických požadavcích.
- Opraveno logování např. při chybách ADFS nebo pro externí API.
- Opraven zásek webového rozhraní při nestandardním stavu localStorage.
- Další drobné opravy textů či vzhledu.
Verze 2.0.9 (13. 9. 2022)
Opravy:
- Drobná oprava skriptu "sofie" pro upgrade (na nové řady 2.0 → 2.1 apod.). V instalacích s ručně vytvořeným či upraveným yum repositářem sofie (neměl by být ručně upravován) mohlo dojít k chybě při upgrade.
Verze 2.0.8 (9. 6. 2022)
Opravy:
- Opravena rozbitá integrace na Check Point SandBlast Cloud (drobná změna v API).
- Oprava v integraci na FortiNet FortiSandbox, kde mohlo v některých specifických případech dojít k chybě.
- V produkčním režimu skryt výpis konfiguračních parametrů a jejich hodnot při startu aplikace. V debug režimu skryt výpis hodnot citlivých hesel/klíčů.
- Doplnění několika chybějících textů v popisu šablon a oprava překlepu.
Verze 2.0.7 (13. 4. 2022)
Nové funkce:
- Podpora pro schvalování odesílaných zásilek vybranými uživateli před jejich skutečným odesláním. Funkcionalitu lze zapnout v "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky bez schválení", plus vybrat případné uživatele odebráním jejich práva "Odesílat zásilky bez dodatečného schválení". Schvalování mohou provádět vybraní uživatelé (s právem "Schvalovat odeslání zásilek") nebo administrátoři (s právem "správa zásilek"). Funkce má pomoci zamezit, aby uživatelé odeslali ven z organizace data, která by odeslat neměli. Jedná se o první základní verzi funcionality, která bude v budoucnu zdokonalena a rozšířena.
- Možnost zakázat uživatelům odesílat zásilky sami sobě a rovněž možnost zakázat stahovat soubory ze svých odeslaných zásilek. (V "Nastavení - Konfigurace - Základní nastavení - Uživatelé mohou odesílat zásilky sami sobě / Uživatelé mohou stahovat soubory ze svých odeslaných zásilek", plus případné odebrání odpovídajících práv jednotlivým uživatelům.) Toto má dále zabránit potencionálnímu úniku dat, kdy uživatel sice neodešle data veřejně ven, ale sám sobě nebo někomu interně a následně si je ze svého účtu znovu stáhne, ale při přihlášení mimo síť organizace.
Opravy:
- Opravena podpora integrace pro FortiClient verze 7.0.3 (změnil se drobně formát výstupu).
- Doplnění chybějících textů zpráv pro některé audit logy (PACKAGE_REQUEST_ENTERED_VALID_PASSWORD, PACKAGE_REQUEST_ENTERED_INVALID_PASSWORD).
- Opraveno několik překlepů.
Verze 2.0.6 (23. 2. 2022)
Opravy:
- Ošetření možného souběhu akcí, kdy u zásilky ve frontě čekající na kontroly detekčními nástroji mohlo být administrátorem omylem spuštěno její šifrování, což následně způsobilo nepřístupnost jejích souborů pro detekční nástroje a selhání kontrol. Zásilky ve frontě budou při ručním spuštění šifrování administrátorem přeskočeny.
- Zaveden nový audit log: PACKAGE_ENCRYPTION_SKIPPED.
Verze 2.0.5 (17. 2. 2022)
Opravy:
- Opravena chyba v integraci některých AV nástrojů (např. Kaspersky), pokud byla instalace provedena na systém s jinou jazykovou verzí než angličtinou (např. němčinou).
- Opravena chyba v situaci, kdy registrovaný uživatel po přihlášení odešle zásilku přes formulář pro anonymní uživatele (např. v jiné záložce). Nyní to již funguje a vzniklá zásilka bude typu soukromá.
- Opravena neočekávaná výjimka nastávající při přístupu na některé neexistující URL (např. při skenu roboty/crawlery).
Verze 2.0.4 (11. 2. 2022)
Opravy:
- Opravena nefunkční aktualizace časové značky posledního příhlášení uživatele při přihlášení přes ADFS bez MFA. (Mohlo ovlivňovat funkci automatického zamykání/mazání uživatelů, pokud byly tyto nové v2.0 funkce zapnuty.)
- Opravena chybná indikace řazení dle sloupců v některých seznamech, pokud mezitím došlo k přepnutí pohledu.
Verze 2.0.3 (7. 2. 2022)
Opravy:
- Opraveno možné odhlášení uživatele po dlouhém uploadu a také související chybu zásilky. Oprava z verze 2.0.0 nebyla plně funční a k odhlášení stále mohlo dojít.
- Opraveno možné přerušení stahování větších souborů po 1 GB při pomalé rychlosti přenosu. (Nutno provést úpravu nginx konfigurace, viz Upgrade notes.)
- Zvýšena závažnost audit logu EMAIL_SEND_FAILED z INFO na ERROR.
- Opraven překlep v HU jazykové verzi.
Verze 2.0.2 (28. 1. 2022)
Opravy:
- Opravena chyba v autorizaci požadavků pro API, která se objevila díky změnám ve verzi 2.0.0.
- Opravena výjimka, která mohla nastat za specifických okolností při skenování obsahu MIME detekčním nástrojem.
Verze 2.0.1 (20. 1. 2022)
Opravy:
- Při zapnuté funkci šifrování nových zásilek se v admin rozhraní ve frontě zásilek se již nezobrazují zbytečně vykřičníky s upozorněním na nezašifrovanou zásilku.
- Zrychleno zobrazení, řazení a některá hledání v audit logu (přidán index v databázi).
Verze 2.0.0 (10. 1. 2022)
Nové funkce:
- Podpora šifrování "encryption at rest" (nutno zapnout v Nastavení - Konfigurace - Šifrování). Umožňuje po dokončení kontroly souborů zásilek detekčními enginy tyto soubory v úložišti aplikace zašifrovat. Podrobnosti viz dokumentace.
- Podpora šifrování jednotlivých zásilek klíčem odvozeným z hesla nastaveného pro zásilku uživatelem (po zašifrování není nikde v aplikaci uloženo). Bez znalosti a zadání tohoto hesla tak nelze zásilku rozšifrovat a přístup k jejím souborům tak nemá ani administrátor.
- Kontrola integrity dat. U celých zásilek i jednotlivých souborů lze vyvolat kontrolu integrity dat, která spočítá aktuální kontrolní součty (SHA256) a srovná je s těmi z doby nahrání na server. Výsledek je u jednotlivých souborů i zásilky zaznamenán a zobrazen. Pokud je integrita narušena (soubor poškozen), lze odeslat upozornění dle nastavení. Admin může nastavit, zda kontrolu mohou spouštět u zásilek a souborů i uživatelé, nebo ne. Admin rovněž může naplánovat automatickou pravidelnou kontrolu. V Nastavení - Konfigurace - Integrita dat.
- Podpora nového antiviru v detekčních nástrojích - FortiClient (Fortinet antivirus).
- Možnost editace existující zásilky jejím odesílatelem (autorem) a adminem, konkrétně:
- Admin může nastavit, zda autor může do existující zásilky přidávat nové soubory, nebo z ní mazat existující soubory (oboje ve výchozím stavu zakázáno).
- Admin může mazat soubory z existujících zásilek a také obnovovat smazané soubory (adminem nebo uživatelem). Uživatel obnovovat smazané soubory nikdy nemůže.
- Admin může skartovat jednotlivé soubory z existujících zásilek (a uvolnit tak místo v úložišti).
- Při přidání nového souboru do zásilky dochází k nové notifikaci příjemcům zásilky, obdobně jako při nové zásilce.
- Hromadné akce nad zásilkami. V seznamech zásilek lze vybrat více zásilek najednou a provést nad nimi hromadnou akci, např. typicky je všechny najednou smazat.
- Hromadná změna práv vybraných uživatelů. V seznamu uživatelů lze vybrat více uživatelů najednou a hromadně jim přidat či odebrat zvolená práva.
- Admin může ručně znovu vyvolat (re)test celé zásilky či souboru detekčními nástroji. Vhodné např. pro ověření, zda po aktualizaci signatur anti-viru je zásilka/soubor stále zavirovaný nebo ne.
- Podpora automatické deaktivace a mazání neaktivních uživatelů (Nastavení - Konfigurace - Nastavení uživatelů). Neaktivní uživatele lze po zvoleném čase zamknout (nebudou se moci přihlásit), případně smazat.
- Dočasné uživatelské účty. Admin při zakládání lokálního uživatele může nastavit jeho expiraci. Takový účet pak po uvedeném čase expiruje a je automaticky smazán.
- Lepší podpora pro různé jazyky:
- Oddělené nastavení primárního jazyka pro e-maily. (Dosud byl určen dle výchozího jazyka aplikace.)
- Volitelné nastavení sekundárního jazyka pro e-maily. Je-li nastaven, e-mail bude dvojjazyčně, kde druhý jazyk bude následovat pod prvním.
- Oddělené nastavení jazyka pro syslog. (Dosud byl určen dle výchozího jazyka aplikace.)
- Přihlášený uživatel si ve svém profilu může nastavit jazyk. V tomto mu pak budou chodit jemu určené e-maily a nikoli dle globálního nastavení primárního a sekundárního jazyka, viz výše.
- Nové notifikace (zapíší se do audit logu a voliteně odešlou na e-mail) na události:
- Chybu při kontrole zásilky. Z důvodu chyby některého z detekčních enginů byl tento při kontrole zásilky vynechán.
- Nefunkčnost detekčního enginu. Některý z detekčních enginů přestane být dostupný. Může nastat např. při expiraci licence anti-viru, nefunkčním spojení na sandbox, apod.
- Docházející místo na disku. Pokud volné místo klesne pod 10% na kterémkoli úložišti zásilek a vybraných systémových cestách (/, /var/log, /var/lib/pgsql, /var/lib/kafka).
- Admin může přesunout zásilku z aktivních do karantény. (Dosud šlo pouze opačně, uvolnit z karantény.)
- Možnost zakázat použít nebezpečná hesla ze známého úniku (služba "have i been pwned?"). Lze zapnout v Nastavení - Konfigurace - Bezpečnost.
- Při zakládání nového účtu administrátora je možné místo přímého zadání hesla účtu odeslat e-mail s odkazem pro nastavení hesla novému administrátorovi. (Obdobně jako u uživatelů.)
- Čítač počtu stažení souborů a archivu zásilky. V detailu zásilky je vidět počet stažení jednotlivých souborů a archivu zásilky (anonymně, přihlášeným uživatelem, adminem). Počítá se pouze dokončené stažení (ze serveru odeslán konec souboru).
Drobné změny:
- Přihlašovací jména již nejsou citlivá na velikost písmen (case insensitive), tj. stejné chování jako např. v Active Directory. ("test" a "Test" je nyní stejný uživatel, dříve byli dva různí)
- Při pohledu na detail zásilky dochází k automatické aktualizaci jejích informací (např. stavu šifrování, kontroly integrity, výsledků kontrol, apod.).
- Upraveno pamatování hesla zásilky:
- Nastavitelná doba pamatování hesla, viz. Nastavení - Konfigurace - Bezpečnost: "Životnost JWT download tokenů".
- Pokud není uživatel přihlášený, neukládá se token v prohlížeči (v LocalStorage).
- Pokud je uživatel přihlášený, zobrazí se mu v dialogu pro zadání hesla zásilky volba "pamatovat heslo po dobu XX minut" (dle nastavení), ve výchozím stavu nezaškrtnutá.
- Na Dashboardu je zobrazen přehled zapnutých detekčních nástrojů a dostupné informace o nich.
- Seznam souborů v zásilce lze řadit dle názvu, typu, data nahrání a velikosti souboru.
- Nastavení požadavků na sílu hesel rozděleno zvlášť pro adminy a zvlášť pro uživatele (dosud bylo společné).
- V zásilkách lze hledat dle příznaků. Lze tedy např. najít všechny zásilky nastavené jako trvalé.
- Filtry nad seznamy zásilek lze schovat do jednořádkové lišty, aby nezabíraly příliš místa na obrazovce.
- Rozděleno zobrazení souborů v zásilce - soubory v karanténě, smazané a skartované zobrazeny zvlášť, v odděleném seznamu.
- Zlepšeno hledání v kontaktech a skupinách kontaktů (lze hledat obsažené skupiny i kontakty).
- Výzvy (zásilky ve stavu výzva) lze mazat.
- Uživatel může "mazat" své příchozí zásilky. Technicky se pouze schovají v jeho pohledu. Opravdové mazání může dělat pouze odesílatel, admin nebo časová expirace.
- I uživatel u přijatých a odeslaných zásilek vidí, zda zásilka je veřejná nebo ne (doposud viděl jen admin).
- Upraven proces obnovy/nastavení hesla na základě e-mailu s odkazem pro nastavení hesla. Nyní obsahuje přímo odkaz s unikátním UUID, který stačí otevřít a nastavit nové heslo. Dříve se po otevření odkazu ještě musel přepisovat token uvedený v těle e-mailu.
- Odpovídajícím způsobem byly rovněž upraveny výchozí e-mailové šablony pro tyto akce. Pokud instalace používá vlastní upravené šablony, je tyto potřeba aktualizovat dle vzoru nových výchozích šablon.
- Při aktivaci TOTP vícefaktorové autentizace je třeba zadat platný kód z aktivovaného autentikátoru, jinak se aktivace neprovede.
- Ochrana proti opakovanému hádání hesel (bruteforce attack) rozšířena i na opakované pokusy o vícefaktorovou autentizaci (MFA).
- Při změně časů expirace v Nastavení - Konfigurace - Workflow lze volitelně tuto změnu přepočítat i pro stávající zásilky (jinak se změna projeví pouze u nových).
- Podpora nových stavů licence. Původní "demo režim" rozdělen na nový režim "bez licence" (nové instalace bez jakékoli i trial licence) a nově upravený "demo režim" (speciální demo licence), určený pro demonstrační účely.
- Podpora FQDN aliasů. Kromě hlavního FQDN lze licenci vystavit i na další domény a bude funkční a platná pro všechny. Aplikace tak může běžet pod vícero doménami.
- Podpora alternativního https portu - FQDN může kromě domény navíc obsahovat i upravený port, tj. např. https://sofie.sonpo.cz:11443. (Dříve aplikace podporovala jen běh pod nativním https portem 443.)
- API token lze klepnutím zkopírovat do schránky.
- Zrušeny akce u skartovaných zásilek (např. uvolnění z/přesun do karantény), jsou zde zbytečné, obsah je již smazán.
- Stávající heslo v nastavení detekčních enginů (sandboxů) se již nezobrazuje, lze ho pouze změnit na nové.
- V audit log záznamech skryta případná obsažená hesla (nahrazena řetězcem ***).
- Úpravy JWT tokenů:
- JWT tokeny posílané a uchovávané v prohlížečích jsou nyní šifrované (dříve pouze podepsané) a klient tak nemůže číst jejich obsah.
- Zkrácena výchozí expirace autentizačních JWT tokenů (= platnost přihlašení při nečinnosti) z 60 na 30 min.
- Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Maximální životnost autentizačních JWT tokenů", které určuje, po jaké době je uživatel odhlášen i pokud je aktivní.
- Zavedeno nové nastavení (Nastavení - Konfigurace - Bezpečnost) "Životnost JWT download tokenů", které určuje, jak dlouho se může pamatovat již zadané heslo zásilky.
- Drobná bezpečnostní zlepšení dle výsledků pentestu, včetně:
- Lepší ochrana proti "session hijacking". Přidána IP adresa a User-Agent do JWT tokenu a pokud se neshodují (změní), požadavek se odmítne a zaloguje.
- Přidány hlavičky: Cache-Control "no-store", Pragma "no-cache", X-Content-Type-Options "nosniff" a Referrer-Policy "same-origin" do všech odpovědí.
- Při neočekávané interní chybě/výjimce se již nezobrazí detaily java třídy, ale vlastní chybové strán