Первые шаги в 7-этапном плане действий “EFTA”.
Как мы обещали в обзоре Update 7A – безопасность в фокусе, сегодня мы выпустили Update 7A Alpha. Это обновление целиком посвящено безопасности нашей системы. В этой статье мы расскажем о новых функциях, 5 ключевых моментах, на которые следует обратить внимание, а также о необходимых действиях с вашей стороны. Сразу отметим – если вы используете текущий релиз десктопного приложения Update 7, учитывайте известные ограничения. Обязательно ознакомьтесь с ними!
Хеширование паролей
Понимая необходимость использования этой важной технологии в Update 7A, а также выполняя обязательства по улучшению безопасности системы, теперь мы хешируем все пароли веб-доступа. Системная служба 3CX выполнит сбор и преобразование паролей пользователей. Для пользователя внешне ничего не меняется – он может по-прежнему входить в систему со своим паролем. Однако мы рекомендуем регулярно менять свои пароли.
Как мы говорили в предыдущей статье, сейчас хэширование паролей применяется только для входа в веб-клиент. Для обратной совместимости мы не будем хэшировать ID и пароли SIP добавочных номеров, пароли SIP-транков и шлюзов, а также пароль туннеля 3CX. В случае кражи эти учетные данные могут быть использованы только для звонков через АТС. Но их нельзя использовать для входа в интерфейс АТС. Тем не менее, в будущих релизах мы будем хэшировать и пароли SIP.
Удаление паролей и файла конфигурации из Приветственного письма
Ранее в Приветственном письме 3CX содержался пароль входа в веб-клиент 3CX и файл конфигурации (вложение), позволяющий автоматически конфигурировать клиент 3CX без QR-кода. Теперь эти данные удалены из Приветственного письма, но вам следует учитывать несколько моментов:
- Установите пароль до входа в систему
- Используйте QR-код для настройки приложения Android и iOS
Ограничение входа в веб-клиент по IP-адресу
Ранее можно было ограничивать по IP-адресу доступ ко всему интерфейсу управления 3CX. Однако теперь ограничить доступ можно и к разделу Admin интерфейса веб-клиента 3CX.
BLF-панель в номеронабирателе веб-клиента и PWA
Хотя это не связано с безопасностью напрямую, отсутствие панели BLF в приложении PWA являлось основной причиной, по которой его не использовали. Чтобы пользователи активнее переходили на PWA, мы добавили BLF-панель в веб-клиент и PWA. Как мы уже неоднократно говорили, приложение PWA безопаснее и проще в обслуживании, и мы настоятельно рекомендуем использовать именно его.
BLF-панель имитирует индикаторную панель настольного телефона. Индикаторы не только показывают статус пользователя, но и позволяют одним нажатием переключать вызовы на этого пользователя. Если вы администратор системы, вы можете настроить BLF для всех пользователей в меню “Admin > Users > Add / Edit User”, вкладка BLF. Если вы пользователь, можно настроить собственные BLF в разделе “Settings > BLF”.
Обратите внимание на 5 моментов
5 важных моментов, на которые нужно обратить внимание при установке обновления. Ознакомьтесь с ними внимательно.
- Перед обновлением обязательно сделайте резервную копию системы. После установки обновления все пароли будут хешированы и недоступны в виде обычного текста. Пользователи смогут войти в систему со своим текущим паролем, но его рекомендуется изменить.
- Мы обновили Приветственное письмо, чтобы позволить пользователю установить или сбросить пароль. Если вы используете собственный шаблон Приветственного письма, включите в него новое поле e-mail.
- Мы убрали опцию “Resend Credentials” из настроек веб-клиента. Теперь на экране входа в систему можно выбрать опцию “Forgot Password”.
- В связи с хэшированием паролей, система теперь не может оценить надежность пароля. Поэтому предупреждение о ‘слабом пароле‘ удалено из интерфейса АТС.
- Все наши сборки были проверены службой VirusTotal. По состоянию на вчера, 24 апреля 2023 г., было обнаружено 0 (ноль) вирусов.
Десктопное приложение Electron на обновляется в сборке 18.12.425
Как вы знаете, десктопное приложение Electron для Windows в Update 7 было проверено нашими консультантами Mandiant. В нем не было обнаружено никаких признаков компрометации. Однако в этом релизе новое десктопное приложение распространяться не будет. Поэтому, если вы используете текущее десктопное приложение, оно будет работать с некоторыми ограничениями. Рассмотрим их подробнее:
- Ограничение входа в интерфейс управления / вкладку Admin не будет работать, даже если оно включено в системе.
- Невозможно загрузить файлы автонастройки для приложения Windows на странице Приложений.
- Функция ‘Изменить пароль’ не будет работать, даже если она включена для всех пользователей.
Планируемые исправления в Update 7A BETA
В связи с некоторыми обновлениями в наших внутренних пакетах, веб-клиент не будет работать в браузере Safari.
В ходе тестирования приложения PWA была обнаружена ошибка, при которой, в зависимости от браузера, логотип Chrome или Edge под аватаром не будет показан при первом входе нового пользователя. Из-за этого пользователь не сможет установить приложение PWA.
Установка Update 7A Alpha
Пользователи могут установить приложение следующими способами:
- Пользователи Windows и Linux Debian 10
- Зайдите в интерфейс управления 3CX
- Установите обновление “New 18.0 Update 7A Alpha Security”
Пользователи StartUP, NFR, тестовые и коммерческие экземпляры на Хостинге 3CX будут обновлены после выхода U7A Final (в нерабочие часы).
Полный журнал изменений.
Оставайтесь на связи
Следите за нами в Twitter и LinkedIn и узнавайте первыми о выходе Update 7A Beta/Final!