Первые шаги  в 7-этапном плане действий “EFTA”.

Как мы обещали в обзоре Update 7A – безопасность в фокусе, сегодня мы выпустили Update 7A Alpha. Это обновление целиком посвящено безопасности нашей системы. В этой статье мы расскажем о новых функциях, 5 ключевых моментах, на которые следует обратить внимание, а также о необходимых действиях с вашей стороны. Сразу отметим – если вы используете текущий релиз десктопного приложения Update 7, учитывайте известные ограничения. Обязательно ознакомьтесь с ними!

Хеширование паролей

Понимая необходимость использования этой важной технологии в Update 7A, а также выполняя обязательства по улучшению безопасности системы, теперь мы хешируем все пароли веб-доступа. Системная служба 3CX выполнит сбор и преобразование паролей пользователей. Для пользователя внешне ничего не меняется – он может по-прежнему входить в систему со своим паролем. Однако мы рекомендуем регулярно менять свои пароли.

Как мы говорили в предыдущей статье, сейчас хэширование паролей применяется только для входа в веб-клиент. Для обратной совместимости мы не будем хэшировать ID и пароли SIP добавочных номеров, пароли SIP-транков и шлюзов, а также пароль туннеля 3CX. В случае кражи эти учетные данные могут быть использованы только для звонков через АТС. Но их нельзя использовать для входа в интерфейс АТС. Тем не менее, в будущих релизах мы будем хэшировать и пароли SIP.

Удаление паролей и файла конфигурации из Приветственного письма

Ранее в Приветственном письме 3CX содержался пароль входа в веб-клиент 3CX и файл конфигурации (вложение), позволяющий автоматически конфигурировать клиент 3CX без QR-кода. Теперь эти данные удалены из Приветственного письма, но вам следует учитывать несколько моментов:

  1. Установите пароль до входа в систему
  2. Используйте QR-код для настройки приложения Android и iOS

Ограничение входа в веб-клиент по IP-адресу

Ранее можно было ограничивать по IP-адресу доступ ко всему интерфейсу управления 3CX. Однако теперь ограничить доступ можно и к разделу Admin интерфейса веб-клиента 3CX.

BLF-панель в номеронабирателе веб-клиента и PWA

Update 7A Alpha – BLF-панель в номеронабирателе веб-клиента и PWA

Хотя это не связано с безопасностью напрямую, отсутствие панели BLF в приложении PWA являлось основной причиной, по которой его не использовали. Чтобы пользователи активнее переходили на PWA, мы добавили BLF-панель в веб-клиент и PWA. Как мы уже неоднократно говорили, приложение PWA безопаснее и проще в обслуживании, и мы настоятельно рекомендуем использовать именно его.

BLF-панель имитирует индикаторную панель настольного телефона. Индикаторы не только показывают статус пользователя, но и позволяют одним нажатием переключать вызовы на этого пользователя. Если вы администратор системы, вы можете настроить BLF для всех пользователей в меню “Admin > Users > Add / Edit User”, вкладка BLF. Если вы пользователь, можно настроить собственные BLF в разделе “Settings > BLF”.

Обратите внимание на 5 моментов

5 важных моментов, на которые нужно обратить внимание при установке обновления. Ознакомьтесь с ними внимательно.

  • Перед обновлением обязательно сделайте резервную копию системы. После установки обновления все пароли будут хешированы и недоступны в виде обычного текста. Пользователи смогут войти в систему со своим текущим паролем, но его рекомендуется изменить.
  • Мы обновили Приветственное письмо, чтобы позволить пользователю установить или сбросить пароль. Если вы используете собственный шаблон Приветственного письма, включите в него новое поле e-mail.
  • Мы убрали опцию “Resend Credentials” из настроек веб-клиента. Теперь на экране входа в систему можно выбрать опцию “Forgot Password”.
  • В связи с хэшированием паролей, система теперь не может оценить надежность пароля. Поэтому предупреждение о ‘слабом пароле‘ удалено из интерфейса АТС.
  • Все наши сборки были проверены службой VirusTotal. По состоянию на вчера, 24 апреля 2023 г., было обнаружено 0 (ноль) вирусов.

Десктопное приложение Electron на обновляется в сборке 18.12.425

Как вы знаете, десктопное приложение Electron для Windows в Update 7 было проверено нашими консультантами Mandiant. В нем не было обнаружено никаких признаков компрометации. Однако в этом релизе новое десктопное приложение распространяться не будет. Поэтому, если вы используете текущее десктопное приложение, оно будет работать с некоторыми ограничениями. Рассмотрим их подробнее:

  • Ограничение входа в интерфейс управления / вкладку Admin не будет работать, даже если оно включено в системе.
  • Невозможно загрузить файлы автонастройки для приложения Windows на странице Приложений.
  • Функция ‘Изменить пароль’ не будет работать, даже если она включена для всех пользователей.

Планируемые исправления в Update 7A BETA

В связи с некоторыми обновлениями в наших внутренних пакетах, веб-клиент не будет работать в браузере Safari.

В ходе тестирования приложения PWA была обнаружена ошибка, при которой, в зависимости от браузера, логотип Chrome или Edge под аватаром не будет показан при первом входе нового пользователя. Из-за этого пользователь не сможет установить приложение PWA.

Установка Update 7A Alpha

Пользователи могут установить приложение следующими способами:

  • Пользователи Windows и Linux Debian 10
    • Зайдите в интерфейс управления 3CX
    • Установите обновление “New 18.0 Update 7A Alpha Security”

Пользователи StartUP, NFR, тестовые и коммерческие экземпляры на Хостинге 3CX будут обновлены после выхода U7A Final (в нерабочие часы).

Полный журнал изменений.

Оставайтесь на связи

Следите за нами в Twitter и LinkedIn и узнавайте первыми о выходе Update 7A Beta/Final!