Drobné změny:

• Při vyjmutí z karantény zásilky či souboru přenášeného modulem AFiT je nově k dispozici možnost opakovat přenos modulem na výstup (ve výchozím stavu zapnutá). Pro instalace bez modulu AFiT se nic nemění.

• Provedena drobná aktualizace některých závislostí (knihoven).

• Doplněny pomocné diagnostické logy pro integraci na Check Point SandBlast.

Opravy:

• Opravena chyba, kdy přihlášení přes OIDC neověřovalo správně typ OIDC poskytovatele (admin vs. user). Mohlo tak např. dojít chybně k přihlášení uživatele do admin rozhraní, ale takto přihlášený admin měl prázdná práva a nemohl nic provést.

Opravy:

• Opravena chyba, díky které se neodesílaly notifikace o nové zásilce (od verze 2.5.10).

• Opravy ve skriptu/příkazu sofie:

  • Ošetřeno, aby vše fungovalo i na systémech s jiným výchozím jazykem než angličtina.

  • Lépe ošetřeny některé možné stavy a hlášky.

  • Opraveny překlepy a upraveny některé texty a nápověda.

Nové funkce:

• Příkazy “sofie update” a “sofie upgrade“ nově umožňují pomocí volitelného parametru vybrat konkrétní verzi na kterou provést update/upgrade. Bez jeho uvedení se chování nemění. Podrobnosti viz aktualizované Pokyny k přechodu na novou verzi (Upgrade notes) | Update nebo upgrade na konkrétní ručně zadanou verziPreview.

Drobné změny:

• Příkazy “sofie update” a “sofie upgrade“ nyní vyžadují před provedením akce potvrzení (volba y/n). Lze použít nový parametr “-y” nebo “--yes”, který toto nové chování potlačí a dojde k automatickému provedení bez potvrzení, jako dříve (vhodné pro automatizace).

Opravy:

• Opraveny možné problémy s expirací kontrol souborů, zejména v případě nahrávání ve více relacích a přes API. (Upraveno zpracování kontrol souborů a práce s relacemi zavedenými od verze 2.5.)

• Upravena maximální šířka názvu zásilky v seznamu zásilek a v detailu zásilky v uživatelské části a administraci.

• V detailu zásilky v pohledu uživatele zlepšeno zpracování událostí o aktualizaci zásilek a objektů (v přechozí verzi opraveno pro administrátora).

• Oprava zobrazení legendy grafu na obrazovce administrátora Přehled.

• Opravena chyba webového rozhraní při zrušení nahrávaní zásilky.

Nové funkce:

• Oficiální podpora zvýšení počtu paralelně vykonávaných kontrol souborů. Doposud bylo podporováno pouze neoficiálně a výchozí stav je nastaven na 1, tedy sériové vykonávání. Více viz: Pokyny k přechodu na novou verzi (Upgrade notes) | Verze 2.5.9Preview

Drobné změny:

• Aktualizace některých závislostí (knihoven frontendu a lokalizací) a související úpravy zastaralých částí.

Opravy:

• Doplněny chybějící akce nad zásilkami v pohledu se seznamem kooperativních zásilek.

• Opravena podpora FQDN aliasů, kdy díky interním úpravám nginx konfigurace tato nefungovala správně a alternativní domény (FQDN aliasy) přesměrovávaly na hlavní.

• Opravy vycházející z aktuálních pentest nálezů:

  • Časování pokusů o přihlášení.

  • Omezení specifických DoS požadavků zavedením nových limitů, timeoutů a http2.

  • Backend vynucuje stejnou minimální sílu hesel jako frontend.

  • Vylepšení CSP (Content-Security-Policy) parametrů.

  • Validace nastavení datastore cest, zakázáno použít systémové adresáře (např. "/", "/bin", "/sbin", "/etc", "/proc", atd.) a také všechny neprázdné adresáře.

  • Zlepšen proces obnovy při poškození local storage hodnot, již neskončí "bílou stránkou", může skončit odhlášením.

  • Další drobné opravy a úpravy.

• Oprava chyby vyvolané v případě rychlého vkládání příjemců ze schránky.

• Aktualizace Kafka klienta = oprava rozdělování zpráv do front v případě paralelismu > 1.

• Opraven problém s možným nezobrazováním záložek v detailu zásilky u uživatele i v administraci.

• Opraveny specifické chyby webového rozhraní, které mohly způsobit chyby a varování v konzoli a výjimečně i nefunkčnost.

• Optimalizace mazání expirovaných souborů a složek ve fázi nahrávání.

• Ve webovém rozhraní zlepšeno zpracování událostí o aktualizaci zásilek a objektů.

• Další drobné opravy textů, překladů a designu (včetně zalamování textů a přetékání oken).

Drobné změny:

• Přidáno nové nastavení expirace jednotlivých souborů v zásilce: expirace skartovaných souborů. Tyto soubory již byly skartovány = smazány z disku, ale metadata o nich zůstávala v zásilce. Při velkém počtu skartovaných souborů (v dlouho používané či trvalé zásilce) toto zhoršovalo přehlednost a zpomalovalo práci se zásilkou. Toto nové nastavení expirace tak umožní tyto metadata o skartovaných souborech ze zásilky mazat.

• Změna výchozího nastavení zobrazení detailu zásilky pro uživatele i administrátory - ve výchozím stavu už nevidí smazané soubory. To zrychluje a zpřehledňuje zobrazení, zejména u zásilek s velkým počtem smazaných souborů. V případě potřeby stále lze svůj pohled upravit dle požadavků (zubatým kolem vpravo nad seznamem souborů) a soubory opět zobrazit.

• Přidána možnost nastavit, které sloupce v seznamu souborů v detailu zásilky zobrazovat (zubatým kolem vpravo nad seznamem souborů). Menší počet sloupců = rychlejší zobrazení. Pro uživatele i administrátora.

• Přidáno stránkování seznamů souborů do detailu zásilky uživatelů i administrátorů. Pohled se díky tomu rychleji načítá a zobrazuje. Bez stránkování byl pohled na zásilky s 1000+ souborů špatně použitelný.

• Zobrazen počet souborů v záložkách Smazané, Karanténa, atd. v detailu zásilky.

• Pro administrátora bylo v detailu zásilky pro zobrazení podrobností o kontrolách souborů (rozkliknutí + u souboru) zavedeno opožděné načítání (lazy loading). To přináší další zrychlení zobrazení seznamu za cenu drobného zpomalení zobrazení těchto podrobností o kontrolách.

• Optimalizace zpracování notifikací o změně zásilky v administraci.

• Přidána práva “Sdílet zásilky” do výchozích práv uživatelů (skupina default) pro nové instalace. Projeví se až pokud je nastaven režim “jen vybraní” u funkce “Uživatelé mohou sdílet zásilky”, což není výchozí stav.

• Vylepšeno odesílání diagnostických dat z aplikace v Nastavení - Konfigurace - Diagnostika. Průběh a případné chyby (např. nefunkční spojení na server výrobce) lze zobrazit v novém rámečku “Výstup posledního pokusu o odeslání logů“. Rovněž je na tlačítku indikováno, že odesílání právě probíhá, aby nedocházelo omylem k opakování.

Opravy:

• Různé optimalizace a úpravy pro zrychlení načítání seznamu souborů v detailu zásilky, které se ve verzi 2.5 citelně zpomalilo. Řádové zrychlení načítání seznamu souborů pro SFTP.

• Zrychleno načítání ostatních obecných informací v detailu zásilky.

• Opravena chyba v SFTP, kdy někteří klienti (např. OpenSSH sftp) zůstali zaseklí na konci stahovaného souboru, protože očekávali značku EOF a dostali místo toho nulový datový blok.

• U souborů ve stavu “nahrává se” se chybně nabízely akce Přesunout, Přejmenovat, Smazat a Skartovat. Již se nenabízejí. Administrátorovi a vlastníkovi souboru se místo nich zobrazuje správná akce Zrušit, která zruší nahrávání souboru (a ten se skartuje).

  • Ovlivní i chování API a SFTP, pro které platí stejná omezení na dostupné akce.

• Upraveny podmínky, kdy lze u souborů spustit akci “Znovu zkontrolovat”. Krom toho, že musí být dešifrované, musí být nyní také čisté nebo v karanténě (tj. nikoli nahrává se, čeká na kontrolu, atd.).

• Opraveno načítání výsledků kontrol skartovaných souborů.

• Opravena neočekávaná chyba (způsobená vyčerpáním paměti) při exportu velkého množství audit logů do CSV.

• Opraven výpočet velikosti zásilky a také související zobrazení velikosti zásilky. V detailu zásilky pro administrátora se nyní korektně zobrazuje obsazené místo v úložišti (tedy včetně smazaných souborů), stejně jako v seznamu (dříve se zobrazovala aktivní velikost, tedy bez smazaných souborů).

  • Jednorázová operace při této aktualizaci provede přepočet velikostí existujících zásilek, aby došlo k jejich případné opravě.

• AV Trend Micro již není ve výchozím stavu nastaven jako povinný, stejně jako všechny ostatní AV.

• Přidáno korektní ošetření dalších možných chyb při odesílání diagnostických dat.

• Opravena zbytečná příprava některých log zpráv úrovně trace i když nebylo nebylo nastaveno logování této úrovně (= další drobné zrychlení).

• Opravena chyba ve zprávě v audit logu, pokud se přes OIDC hlásil účet bez e-mailu, vypsal se do zprávy chybně “null” místo uživatelského jména.

• Opraveny chybně zdvojené zprávy v audit logu při založení uživatele.

• Oprava v přihlášení administrátora přes OIDC, email je u administrátora nepovinný, ale přesto byl vyžadován.

• Různé opravy textů a překlepů a další drobné opravy.

Drobné změny:

• Soubor http-acme.conf v nginx, který v nových instalacích slouží ke konfiguraci automatické obnovy Let’s Encrypt certifikátů, se již nebude při aktualizacích přepisovat a je tak možné v něm provádět ruční úpravy, které zůstanou zachovány (např. použít jinou autoritu než LE).

Opravy:

• Opravena chyba od verze 2.5 znemožňující přidat uživateli další faktor, pokud byl jeho účet z AD.

Drobné změny:

• Úpravy UX z předchozí verze 2.5.5 doplněny pro konzistenci i do formulářů po založení klasické nové zásilky, přeposlané zásilky a přidání souborů do zásilky.

Opravy:

• Doplněny chybějící překlady do EN, SK a HU lokalizací, kde se pro několik vět zobrazovala místo těchto jazyků CS verze. Opraven překlad v HU lokalizaci.

• Opraveno nefunkční přeposlání zásilky v případě, že zásilky uživatele podléhají schvalování.

• Opravena chyba při přeposlání staré zásilky z verze před 2.5, kdy díky absenci profilu u kontrol došlo k neočekávané výjimce a opakovanému vytváření dočasných souborů v úložišti zásilky.

Drobné změny:

• Přidána položka do Nastavení - Konfigurace - Bezpečnost - Pravidla hesel - Pravidla hesel pro zásilky - Povinné heslo přístupového odkazu. Dříve se řídilo společně dle předchozí položky “Povinné heslo zásilky - přihlášený uživatel“, nyní má samostatné nastavení.

• Administrátor může vymazat heslo u zásilky, i pokud je nastaveno povinné heslo zásilky.

• Zlepšeno UX pro práci s výzvami a odkazy pro uživatele:

  • Zobrazený odkaz po založení nové výzvy již není aktivní, ale pouze textový. Zkopírovat lze snadno ikonou kopírování hned vedle. Je to odkaz na výzvu, určený k použití příjemcem výzvy a nahrání souborů.

  • Odkaz na detail odpovídající navázané zásilky je nově uveden v textu níže.

  • Upraveny a sjednoceny ikony pro kopírování odkazů zásilek a výzev.

  • V detailu zásilky je nově v sekci Obecné informace kromě odkazu na zásilku i odkaz na výzvu, pokud zásilka vznikla jako výzva k nahrání souborů.

Opravy:

• Opraveno nefunkční odeslání výzvy (bez hesla), pokud bylo nastaveno povinné heslo zásilky pro přihlášené uživatele.

• Oprava možného nefunkčního exportu konfigurace (pokud byl v ADFS nulový atribut).

• Opravy ve formuláři pro dodatečnou editaci zásilky (zejména v souvislosti se změnou hesla a validací hesla) a další drobné opravy vzhledu.

• Ošetření neočekávané výjimky, pokud se z ADFS vrátí prázdný token.

Opravy:

• Pokud je využita nová funkce vypnutí zasílání emailů a nějaké zprávy byly ještě ve frontě, docházelo k chybným pokusům o jejich odeslání, nyní se zahodí a neodešlou.

• Oprava možného chybného (dvojího) úklidu “WorkflowSession” a zlepšeny související Audit logy.

• Opravena výjimka v úloze pravidelného úklidu (při zpracování limitů), která mohla způsobit nefunkčnost úklidu.

Drobné změny:

• Úprava API v2:

  • Pokud klient v API volání při vytváření souboru k nahrání uvede jeho otisk (hash), který je volitelný, bude tento otisk na serveru uložen a už ve stavu souboru UPLOADING ho budou ostatní API volání vracet. Následně po dokončení nahrávání obsahu souboru dojde k výpočtu nového otisku na straně serveru a porovnání s klientem uvedeným otiskem. Pokud se neshodují, vrátí server klientovi chybu a nahrání souboru není úspěšné. Soubor zůstává ve stavu UPLOADING a klient může nahrání obsahu opakovat, nebo jiným API voláním zrušit.

Opravy:

• Drobná oprava ve zpracování “WorkflowSession” v netypických situacích, aby se sezení korektně uklidila.

Opravy:

• Opravena neočekávaná výjimka při pokusu odeslat notifikace k prázdné zásilce.

• Oprava chybných textů v nadpisech v Nastavení → Konfigurace → Zásilky → Expirace souborů a Omezení počtu přístupů.

Opravy:

• Ve verzi 2.5.0 došlo k předělání výzev na přístupové odkazy. Pokud byly v tu dobu nějaké výzvy aktivní a čekaly na nahrání souborů, přestaly staré odkazy na ně po upgrade na 2.5.0 fungovat. Rovněž pro tyto převedené výzvy nefungovala volba znovu odeslat notifikace. To je nyní opraveno. Starý odkaz výzvy provede přesměrování na nový přístupový odkaz. A je také možné znovu odeslat notifikace, které již budou obsahovat nový přístupový odkaz.

• Neobnovoval se korektně seznam souborů v detailu zásilky při uvolnění souboru z karantény, opraveno.

• V detailu zásilky u seznamu kontrol u souborů se nyní korektně zobrazuje žlutý pruh, pokud kontrola ještě neproběhla a čeká ve frontě.

• Doplněno správné maskování některých nových tajemství pro audit logy a export konfigurace.

• Opravena chyba, kdy spolupracovník na kooperativní zásilce nemohl korektně nahrávat soubory přes SFTP.

• Opravy v novém uživatelském pohledu “Sdíleno se mnou”: nefunkční označování, oprava filtru.

• Opraveny drobné grafické chyby (např. rozestupy ikon) a texty.

Nové funkce:

• Přístupové odkazy (sdílení) zásilek. Přístup k zásilce je nově možné přidělit pomocí unikátního přístupového odkazu. Podrobnosti:

  • Přístupových odkazů k zásilce je možné založit libovolné množství a může je vytvářet odesílatel/autor zásilky (pokud to administrátor povolil, viz Nastavení - Konfigurace - Zásilky - Obecné - Uživatelé mohou sdílet zásilky) nebo administrátor.

  • Odkaz je možné založit i na konkrétní podsložku v zásilce, kdy odkaz zpřístupní pouze obsah této složky a nikoliv celé zásilky.

  • U odkazů je možné nastavit: přístupová práva (jen čtení, jen nahrávání, čtení+zápis), expiraci, heslo, omezení na počet přístupů a přístupnost (veřejná, interní, soukromá).

  • Umožní tedy například nasdílet zásilku (nebo jen její složku) i k úpravám, pomocí zaheslovaného unikátního odkazu, třetí straně, která nemusí mít účet v aplikaci, stačí přístupový odkaz. Provádí se pomocí tlačítka "Sdílet složku" v detailu zásilky.

  • Zásilky, které byly uživateli nasdíleny pomocí přístupového odkazu, vidí přihlášený uživatel v novém menu "Sdíleno se mnou". Funguje podobně jako (a může do budoucna nahradit) funkce kooperativních zásilek a spolupracovníků.

• Přidání funkce "Audit Log" k zásilce pro uživatele (odesílatele a spolupracovníky). Vhodné zejména kooperativní zásilky, či zásilky s novými přístupovými odkazy. Umožní odesilateli a spolupracovníkům, pokud jim to administrátor povolí, zobrazit kdo a co se zásilkou naposledy prováděl (nahrával soubory, přesouval, mazal, stahoval, atd.). Administrátor může pomocí práv nastavit, zda:

  • uživatel audit log zásilky vůbec nevidí (původní stav)

  • vidí základní (se základními událostmi: práce se soubory a odkazy - vhodné pro běžné uživatele)

  • nebo vidí rozšířený (se všemi událostmi zásilky, včetně skenů, šifrování, atd. - pro pokročilé nebo uživatele administrátorů)

• Politiky a profily konfigurace, které umožňují administrátorovi nastavit rozdílnou konfiguraci pro různé uživatele, skupiny, nebo IP adresy a rozsahy. Konkrétně:

  • Profily pro detekční nástroje - v Nastavení detekce lze u jednotlivých detekčních nástrojů založit několik různých profilů s odlišným nastavením a určit, který z nich je výchozí.

  • Politiky pro detekční nástroje - s pomocí profilů (viz výše) umožňují různé konfigurace a pravidla pro skenování souborů zásilek, včetně přeskočení skenování.

  • Politiky pro limity velikosti - umožňují různé limity na velikost zásilek a souborů, nahrávaných různými uživateli či skupinami.

  • Politiky pro expiraci zásilek - umožňují nastavit různé doby expirace pro různé uživatele a skupiny.

• Podpora distribučních skupin uživatelů. Umožňuje administrátorovi skupinu uživatelů označit jako distribuční a zadat u ní email. Distribuční skupiny se následně nabízejí uživatelům (dle nastavení všem, nebo pouze těm ze skupiny) k doplnění tam, kde se zadávají kontakty, a to obdobně jako je to u záznamů z osobního adresáře uživatele. Jinými slovy lze odesílat zásilky "na skupinu", kterou uživatelům administrátor připravil.

• Nová funkce Hledat v Nastavení - Konfigurace pro administrátory. Vpravo nahoře je nové pole pro vyhledávání v konfiguraci (zkratka Ctrl+K), které umožňuje rychle vyhledat a skočit na požadovanou volbu.

• Možnost přihlásit administrátora z ADFS nebo OIDC (např. MS Entra). Doposud šlo pouze lokálním účtem v aplikaci.

• Administrátor může uživatelům povolit nové možnosti pro zásilky v karanténě, konkrétně:

  • Do sekce "Konfigurace - Zásilky - Řízení přístupu" přidána volba "Uživatelé mohou mazat soubory v zásilkách v karanténě" s poznámkou, že smazáním posledního souboru v karanténě bude zásilka automaticky uvolněna z karantény.

  • Obdobně přidána volba “Uživatelé mohou přidávat a spravovat soubory zásilek v karanténě”. Vhodné doplnění, pokud je nastaven režim "Povolit stahovat soubory, které jsou v pořádku, ze zásilek v karanténě". Umožní uživatelům přidávat a přesouvat soubory i v zásilkách v karanténě.

• Expirace/mazání jednotlivých souborů v zásilce. Dříve byla automatická expirace pouze pro celou zásilku se všemi soubory. Nová verze umožňuje nastavit expiraci souborů v zásilce nezávisle na expiraci celé zásilky. A to buď od vytvoření, nebo od posledního přístupu k souboru. Vhodné zejména pro déle používané či trvalé kooperativní zásilky s podsložkami a velkým množstvím obsahu.

• Notifikace na zásilky a výzvy je možné odesílat s uvedením e-mailu odesílatele (řídí administrátor v Nastavení - Konfigurace - E-mail). Konkrétně se nastaví Reply-To hlavička ve zprávě, což nerozbije SPF/DKIM/DMARC.

• Zaveden číselník "Síťové objekty", kde může administrátor definovat a pojmenovat IP adresy, rozsahy a jejich skupiny. Ty lze zatím použít pro:

  • Odlišné login formuláře (tlačítka) pro různé IP rozsahy. Dle IP rozsahů je možné určit, které ADFS nebo OIDC zdroje se zobrazují v přihlašovacím formuláři, tj. pro interní síť může být jiné (ADFS) než z Internetu (MS Entra), atd.

  • Politiky detekčních nástrojů.

• Možnost globálně vypnout odesílání všech emailů z aplikace (v Nastavení - Konfigurace - E-mail - Odesílat e-maily).

Drobné změny:

• Upraveny výzvy, ale s důrazem na minimální dopad na uživatele. Konkrétně se mění:

  • Terminologie - dříve: Výzva k podání zásilky, nově: Výzva k nahrání souborů. Uživatel pro vytvoření ale používá stejné menu Odeslat výzvu a v podstatě identický formulář.

  • Výzvy již nejsou zobrazeny v Přijatých zásilkách uživatele, který je vytvořil/odeslal, ale v Odeslaných zásilkách a také navíc v novém menu Výzvy.

  • Technicky se nyní výzva založí jako nová prázdná zásilka uživatele, ke které se rovnou vytvoří přístupový odkaz (viz nové funkce výše) s odpovídajícími parametry (pouze nahrávání, omezení na jeden přístup, volitelně heslo), aby kopírovalo chování původních výzev.

• Administrátor může pro uživatele (v jeho profilu/detailu v seznamu uživatelů) vypnout zasílání notifikací o zásilce. Vhodné pro systémové/API účty, aby se jim neodesílaly emaily, které nikdo nechce/nečte.

• Uživatel má možnost vypnout odeslání notifikace pro novou zásilku (ve formuláři Nová zásilka), obdobně jako u výzvy. Informaci a odkaz pro přístup zásilce pak musí předat příjemcům jiným způsobem sám.

• Administrátor může z karantény vyjmout i jednotlivé soubory, nejen celou zásilku. Vhodné, pokud je nastaven režim "Povolit stahovat soubory, které jsou v pořádku, ze zásilek v karanténě".

• Administrátor může nově měnit základní vlastnosti zásilky, stejně jako uživatel: t.j. název, poznámku a platnost.

• V seznamu administrátorů se zobrazuje náhled na práva jako u uživatelů přímo v seznamu.

• Vylepšeny šablony e-mailů: lépe zohledňují kooperativní zásilky, trvalé zásilky, dodatečné přidání souborů, veřejné zásilky s heslem, apod. Nová šablona pro sdílení obsahu zásilek (přístupové odkazy).

• Úpravy v API v2:

  • Přidána podpora pro správu uživatelských skupin.

  • Doplněno stránkování a základní filtrování v seznamech uživatelů a skupin.

  • U administrátorských API tokenů zavedeno nastavení "Vydávání se za uživatele povoleno", které určuje, zda administrátorský token umožňuje provádět i uživatelské akce za uživatele. Dříve bylo vždy povoleno.

• Administrátor může v sekci API tokeny provést znovu vydání (reissue) u existujícího API tokenu. Starý token se tímto zneplatní a vystaví a jednorázově se zobrazí nový. Dříve bylo nutné token smazat a založit nový záznam, což zrušilo vazby a nastavení tokenu.

• Upraveno zobrazení zásilek ve frontě. Dříve se zde ukazovaly pouze nové zásilky ještě čekající na kontrolu. Nyní se zde zobrazují všechny zásilky, které mají soubory čekající na kontrolu (např. nově přidané soubory do staré zásilky).

• Zavedena relace (session) při přidávání a nahrávání souborů do zásilky. Zamezuje konfliktům při současném nahrávání do jedné zásilky z více zdrojů, umožňuje korektně zrušit nedokončené/nepovedené nahrání, atd. Pro uživatele je transparentní, nemusí nijak řešit nebo vědět, děje se automaticky.

• Při zakládání nového uživatele administrátorem se jako výchozí posílá odkaz na nastavení hesla, místo ručního zadání hesla (ale stále lze přepnout).

• Přidáno nové právo "Obnovovat heslo", bez kterého si lokální uživatel nemůže zažádat o reset hesla. Po upgrade ho automaticky dostanou všichni uživatelé, kdo měli právo na přihlášení, tedy chování se nezmění.

• Vylepšené limity velikosti zásilky, aby fungovaly nejen pro první upload, ale i pro průběžné editace.

• Nové podmenu "Správa uživatelů" v menu Nastavení, kam byly přesunuty části týkající se správy uživatelů, skupin, administrátorů, apod.

• Lepší možnosti aktualizace otisků hesel, konkrétně:

  • Historicky se již několikrát změnil algoritmus (či jeho parametry) pro výpočet otisku hesel, aby splňoval aktuální doporučení (např. NÚKIB). Projevilo se však pouze při změně hesla stávajícího uživatele nebo založení nového uživatele.

  • Nyní se, pokud je to třeba, otisk hesla na aktuální verzi algoritmu aktualizuje automaticky při přihlášení uživatele.

  • Navíc se administrátorovi v seznamu uživatelů a administrátorů indikují účty se zastaralým otiskem hesla. Může jim tak například poslat odkaz na reset hesla, aby aktualizaci vynutil.

• Zrušena funkce "Ukládat otisky hesel" v nastavení Active Directory. Mohla mít pro někoho neočekávané důsledky (při výpadku/odstávce/chybě AD mohlo sice fungovat přihlášení, ale i v případě mezitím na AD zrušeného účtu, změněného hesla, atd.).

• V dialogu pro nastavení práv (u skupin uživatelů) mohou být vykřičníky, které upozorňují, že nyní se toto právo nepoužívá z důvodu nastavení aplikace. Nově obsahuje odkaz a umožňuje rovnou skočit do odpovídající části nastavení, aby toto bylo možné změnit.

• V aktovce zrušena možnost nastavit heslo zásilky (určeno k posílání "sám sobě").

• Modul AFiT podporuje nastavení podadresářů pro vstup a výstup.

• Přidána podpora RHEL 10 a kompatibilních klonů pro instalaci a provoz aplikace.

• Doplnění CLI skriptu pro import a založení uživatelů z CSV.

• Vylepšeno vyhodnocení poslední aktualizace u Antivirů a přidání na obrazovku Přehled.

• Doplnění součtů do grafu na obrazovku Přehled.

• Zavedena tolerance na časovou platnost TOTP kódů při přihlašování s dalším faktorem. Administrátor může nastavit v Nastavení - Konfigurace - Uživatelé - Vícefaktorová autentizace - Časová prodleva TOTP [s]  v rozsahu 0 až 30 a výchozí je 10 s.

• Zrušeny stavy zásilky "vyžádaná" (requested) a "nahrává se" (uploading). Souvisí s novinkami a změnami výše (přístupové odkazy, upravené výzvy).

• Nově je možné zapnout i vypnout odesílání hlášení o chybách (výjimky), či ho anonymizovat (Nastavení - Konfigurace - Diagnostika). Rovněž je možné zapnout nebo vypnout odesílání základních informací o prostředí aplikace (při pravidelné kontrole licence). Doporučujeme nechat zapnuté, pro lepší diagnostiku chyb a kompatibility.

• Změna vyhodnocování dostupných akcí na objektech ve webovém rozhraní (např. zásilkách), frontend se nyní dynamicky přizpůsobuje backendu.

• Pro nové instalace předělána podpora Let’s Encrypt certifikátů. Zrušeno používání “Certbot”, nyní se využívá nativní nginx acme plugin. Existující instalace zůstanou beze změny.

• V Nastavení - Konfigurace - SFTP server je statické horní upozornění o nutnosti mít zapnutou službu sofie-sftp-server nahrazeno dynamickou zprávou, která reflektuje skutečný stav této služby (zda běží).

• Administrátor nyní může v seznamu uživatelů a administrátorů přepnout typ účtu mezi lokálním a vzdáleným. Dříve bylo nutné v případě změny účet smazat a znovu vytvořit jako požadovaný typ (lokální ručně, vzdálený nechat založit automaticky prvním přihlášením uživatele). Mělo by se používat pouze ve specifických případech, například pokud si administrátor potřebuje připravit pro účet nějaké nastavení, založí ho ručně lokálně a následně přepne na vzdálený.

• Nově se logují nepovolené pokusy o přístup k aplikaci (blokované díky Nastavení - Konfigurace - Bezpečnost - Omezení přístupu) - s úrovní DEBUG. Lze omezit počet těchto logů za čas v Nastavení - Konfigurace - Protokol aplikace - Omezení logování nepovolených pokusů o přístup, aby nedocházelo k zahlcení logů (ve výchozím stavu omezení zapnuto na 3 za 60 sekund.

• Interní vývojové úpravy: provedeny aktualizace interních knihoven a závislostí, proveden refaktoring vyhodnocování oprávnění na akce v rámci aplikace, refaktoring textů a překladů a další.

Opravy:

• Některé záznamy v audit logu (např. o změně emailu/aliasu uživatele) neměly vyplněný zdroj/účet, který akci provedl. Opraveno.

• Manuální zrušení nahrávání dříve sice ukazovalo, že bylo zrušeno, ale na pozadí mohlo stále pokračovat a nemuselo se korektně "uklidit". Zavedení nahrávacích relací, viz výše, toto řeší.

• Vylepšeny dialogy pro kontrolu hesla a omezený počet přístupů k zásilce, včetně opravy chyby, kdy přímý přístup na odkaz přidání souboru do zásilky tyto dialogy přeskočil a soubor nešel přidat.

• Odstraněny nalezené nekonzistence mezi dokumentací a implementací API v2.

• Sníženo množství SSE notifikací backend->frontend, což odstraňuje zbytečné problikávání (znovu načítání) stránky v některých situacích.

• Opraveno, že v seznamech zásilek z pohledu administrátora se chybně zobrazovala ikona ! s varováním, že zásilka není šifrovaná, přestože je šifrování zapnuté, i pro prázdné zásilky (bez souborů), kde toto nedávalo smysl.

• Po SFTP již nelze přistupovat k zásilce chráněné heslem, protože není jak toto heslo zásilky v SFTP kanálu zadat.

• Export uživatelů do CSV byl chybně omezen dle nastaveného stránkování, nyní je omezen maximem 5000 záznamů.

• Další různé opravy, zejména textů, vzhledu, funkce některých filtrů, atd.

Opravy:

• Opravena chyba, kdy interní zásilka nebyla korektně přístupná přihlášeným uživatelům, pokud byl někdo uveden jako její příjemce nebo spolupracovník.

• Opravena chyba znemožňující založení nové skupiny uživatelů.

Opravy:

• Úprava parametru v API v2 (sshPublicKeys), aby byl konzistentní v různých voláních.

• Odstraněna závislost "sofie" CLI skriptu na rpm balíčku "ansible". (Je stále vyžadována dostupnost "ansible-playbook".)

Opravy:

• Opraveny možné výjimky při skenu některých specifických souborů interními moduly, které způsobily zaseknutí ve frontě. (Vylepšeny interní testy, aby tento problém příště automaticky zachytily.)

Opravy:

• Aktualizována používaná knihovna Apache Tika na poslední verzi (3.2.2), která opravuje kritickou zranitelnost (CVE-2025-54988). Vzhledem k závažnosti doporučujeme provést aktualizaci co nejdříve.

• Aktualizace dalších používaných knihoven.

• Při expiraci zaseklých souborů ve stavu nahrávání se lépe filtrují dotčené soubory a přeskakují ty, kterých se netýká.

Opravy:

• Opravena chyba, kdy za určitých specifických podmínek se při nekorektním přerušení nahrávání zásilky tato dostala mezi aktivní zásilky (nebo do karantény), i když měla zůstat nedokončená ve frontě ve stavu nahrávání a po nastaveném čase být skartována. Takováto chybná zásilka mohla mít i chybné (nenahrané) soubory, které pak nešlo stahovat, nebo stahovat ZIP. Pravděpodobnost výskytu této chyby byla zvýšena ve verzi 2.4.9.

• Opraveno skartování (mazání z disku) souborů u skartovaných zásilek ve stavu nahrávání (tj. zásilek, co se nepovedlo nahrát korektně celé).

• Opravena chyba zanesená ve verzi 2.4.9, kdy docházelo zbytečně k pokusům o skartaci již skartovaných souborů. Díky tomu mohlo ve speciálních případech (starší instalace se soubory se speciálními znaky v názvech) dojít i k zaseknutí některých zásilek (nedošlo k jejich expiraci do koše/archivu/skartaci).

• Opraveny audit logy USER_AUTH_SESSION_HIJACK a ADMIN_AUTH_SESSION_HIJACK, kde v admin logu se chybně dosazovaly některé atributy uživatele místo administrátora.

• Opravena neočekávaná výjimka při zjišťování informací o uživateli, pokud tento uživatel neexistoval.

Opravy:

• Opraveno chování při integraci s FortiSandboxem, kdy v některých případech (archivy/kontejnery s více soubory) mohlo docházet k získání výsledků ze sandboxu, které neobsahovaly výsledky pro všechny vnořené soubory. Díky změně v API FortiSandboxu tato oprava vyžaduje verzi FSA nejméně 5.0. Starší verze opravené chování nepodporují. Doporučujeme tak nejprve provést aktualizaci FortiSandboxu na verzi 5.0+.

• Opravena chyba, kdy při přerušení nahrávání souborů do zásilky (např. ztráta konektivity), mohly některé soubory skončit v nekonzistentním stavu a zůstat v něm zaseklé. Projevovalo se zejména u kooperativních zásilek s dodatečně nahrávanými soubory v možném souběhu.

• Opraveno chybné zobrazení ikony pro stahování souborů administrátorovi u souborů, které ve skutečnosti stahovat nejdou (např. se teprve nahrávají).

Opravy:

• Opravena chyba znemožňující vytvoření nového uživatele, která byla zanesena ve verzi 2.4.7.

• Drobné opravy a úpravy týkající se IPv6 v nginx webové proxy. Aplikace IPv6 zatím plně nepodporuje, ale web server může na IPv6 běžet.

Drobné změny:

• Podpora nového antiviru v detekčních nástrojích - Trend Micro.

• Administrátor může v nastavení uživatele zaškrtnout volby na přeskočení kontrol sandboxy, antiviry nebo interními moduly. Pokud některou tuto volbu zapne, budou pro zásilky odeslané tímto uživatelem přeskočeny kontroly odpovídajícími nástroji. Platí i pro API volání spouštěná pod tímto uživatelem. V budoucí větší verzi bude nahrazeno systémovějším řešením.

Opravy:

• Přidání indexu pro rychlejší práci se složkami v zásilkách.

Opravy:

• Opravena chyba při mazání zásilky po kontrole odeslané přes API v1.

• Oprava zobrazení štítků v detailu zásilky pro administrátora.

Drobné změny:

• Aktivní filtry v seznamech mají nyní výraznou značku, oznamující že jsou aktivní. Resetovat a vypnout filtr lze křížkem u této značky, aniž by bylo nutné filtr rozbalit.

Opravy:

• Pokud je využíváno omezení pro uzavřené prostředí (Nastavení - Konfigurace - Zásilky - Řízení přístupu) a zároveň dodatečné přidávání souborů do již existujících zásilek autorem nebo spolupracovníky, nelze již přidávat soubory do zásilky z jiného prostředí, než z kterého byla zásilka autorem vytvořena. Směr přenosu je vždy vyhodnocován pro celou zásilku a tak všechny soubory v ní musí být ze stejného prostředí. Dodatečné přidávání souborů nyní rovněž respektuje případné omezení pro nahrávání z daného prostředí.

• Směr stahování (otevřené ↔ uzavřené prostředí) se nyní korektně vyhodnocuje i pro SFTP a je tak respektováno případné omezení v nastavení.

• Oprava ve validaci duplicity uživatelů při zakládání či editaci uživatele administrátorem.

• Oprava chyby při přeposílání zásilky chráněné heslem.

• Opravy překlepů a drobné úpravy textů.

Drobné změny:

• Pokud je v nastavení povoleno dodatečné nahrávání souborů do již existující zásilky, je možné zakládat prázdné zásilky (bez souborů). Soubory totiž lze do zásilky přidat dodatečně. Vhodné např. pro kooperativní zásilky.

• Pokud má uživatel právo k nastavení zásilky jako trvalé, může to nyní udělat rovnou při založení zásilky, nemusí ji až dodatečně upravovat.

Opravy:

• Aktualizace podpory pro BitDefender verze 7.4.1+, kde se změnilo chování nekompatibilním způsobem. Starší verze BitDefender nebude od této verze fungovat, změny nejsou zpětně kompatibilní.

• Opraveno zobrazení validační chyby v e-mailech u příjemců zásilky, pokud byla chyba ve spolupracovnících. Validační chyba se nyní zobrazuje u správného pole.

Opravy:

• Oprava DB migrací, které způsobovaly chybu při upgrade na starších instalacích (s PostgreSQL 13 nebo starší).

• Povoleno přejmenování souborů čekajících na kontrolu přes SFTP. Opravuje problém ve WinSCP, kde je soubor nahráván jako .filepart a až po dokončení přejmenován.

• Do SFTP již není možné přihlášení jménem a heslem, pokud má uživatel nastaveno MFA.

• Další drobné opravy v SFTP modulu (počítání velikosti souborů a zásilky, vzhled v nastavení, aj.).

• Povoleno založení nového lokálního uživatele s prázdným heslem (nebude se moci přihlásit). Vhodné pro dedikované SFTP účty pouze s klíčem.

• Zvýšena obtížnost hashovací funkce nových hesel, dle aktuálních doporučení.

• Drobné opravy vzhledu.

Opravy: