EGroupware ha già implementato le più alte misure di sicurezza, ad esempio. le password sono crittografate per impostazione predefinita utilizzando l’algoritmo blowfish. Così, anche se qualcuno riuscisse a penetrare nel tuo server e rubare il database, le tue password sono salve!
Con la 14.1 abbiamo migliorato ulteriormente la sicurezza e implementato due misure di sicurezza che non si trovano in prodotti simili.
Content Security Policy: misura definitiva contro il cross site scripting
Il cross site scripting (XSS) è probabilmente il filo conduttore più grande per le applicazioni web. È causato da utenti malintenzionati che intrufolano comandi javascript nel contenuto che inseriscono. Se quel contenuto viene emesso di nuovo dal server, il browser non ha modo di distinguere tra il javascript inline desiderato nel markup html (ad esempio l’attributo onclick di un pulsante) e il contenuto utente con escape insufficiente.
EGroupware era già abbastanza salvo in questo senso grazie al suo innovativo motore eTemplate che rendeva la nostra interfaccia utente. Ho pensato che ci sono più modi del puro input dell’utente per generare XSS.
Content Security Policy (CSP) alla riscossa: Il W3C ha definito un paio di anni fa un mezzo per dire ai browser di NON eseguire alcun javascript inline o di caricare file javascript da fonti non fidate. Buone notizie: ora è supportato da tutti i browser attuali, tranne Internet Explorer.
Allora perché non tutti lo usano? Le tipiche applicazioni web usano ad es. gli attributi onclick per collegare i pulsanti con le azioni o i blocchi javascript in linea per definire il contenuto dinamico. È uno sforzo enorme per cambiare questo.
Tutte le principali applicazioni EGroupware utilizzano il nostro nuovo motore eTemplate2 sviluppato per generare la loro interfaccia utente. Questo motore è stato progettato completamente nuovo negli ultimi tre anni e uno dei suoi obiettivi era quello di eliminare qualsiasi javascript in linea. eTemplate2, una nuova API lato client e ampi cambiamenti nelle principali applicazioni EGroupware, così come il codice del template per il look and feel generale ci ha permesso di usare CSP per proibire al browser di eseguire qualsiasi javascript in linea.
Le vecchie applicazioni possono ancora funzionare usando javascript in linea dicendo al framework EGroupware che ne hanno bisogno. Queste applicazioni vengono eseguite in un iframe o in un popup per minimizzare la loro capacità di interferire con le applicazioni eTemplate2 già modernizzate. Lo stesso vale per le applicazioni che utilizzano l’embed rich text tramite CKeditor, che, nonostante i nostri sforzi per convincere i suoi creatori, non è in grado di funzionare senza javascript in linea.
Password di posta elettronica nella 14.1: ora memorizzate nella propria cassaforte delle password
Per essere in grado di autenticarsi ad un server IMAP o SMTP arbitrario si ha bisogno di un nome utente e di una password in chiaro / non criptata.
Le versioni precedenti di EGroupware permettevano già di utilizzare la password di accesso degli utenti, che non è memorizzata in modo permanente nel sistema. Questo richiedeva un server di posta integrato con EGroupware ad esempio. tramite LDAP.
La nuova app di posta scritta nella 14.1 non solo porta l’esperienza dell’utente a un nuovo livello, ma migliora anche la sicurezza memorizzando in modo sicuro le password di posta crittografate con la password di accesso degli utenti. Questo significa, insieme alle password sicure aggiornate di cui sopra, che un database rubato non rivela le vostre password!
Potreste chiedere cosa succede se l’utente cambia la sua password. Se questo viene fatto dall’interno di EGroupware, le password vengono decriptate automaticamente con la vecchia password data dall’utente e ricriptate con quella nuova. Se un amministratore resetta una password, non avrà accesso alle mail (private) degli utenti!
Le nuove caratteristiche di sicurezza di EGroupwares descritte sopra, i nostri aggiornamenti di sicurezza automatici e tempestivi tramite il gestore di pacchetti della vostra distribuzione Linux o l’hosting specializzato in EGroupware e posta elettronica di Stylite AG lo raccomandano come alternativa sicura per le vostre esigenze di groupware o organizzazione di team.
Il nostro hosting offre una connettività criptata allo stato dell’arte con una perfetta segretezza in avanti (la comunicazione intercettata non può essere criptata con chiavi acquisite in seguito) dall’accesso al web, alle mail in entrata e in uscita. Tutti i nostri server sono in Germania sotto il nostro pieno controllo. Usano solo le ultime versioni del software e sono costantemente aggiornati. Incidenti rilevanti per la sicurezza come il recente bug Heartbleed sono stati mitigati in poche ore!
Ralf Becker
Direttore dello sviluppo del software