EGroupware hat bereits höchste Sicherheitsmaßnahmen implementiert, z. B. werden Passwörter standardmäßig mit dem Blowfish-Algorithmus verschlüsselt. Selbst wenn es also jemandem gelingt, in Ihren Server einzubrechen und die Datenbank zu stehlen, sind Ihre Passwörter sicher!
Mit 14.1 haben wir die Sicherheit noch weiter verbessert und zwei Sicherheitsmaßnahmen implementiert, die in vergleichbaren Produkten nicht zu finden sind.
Content Security Policy: ultimative Maßnahme gegen Cross Site Scripting
Cross Site Scripting (XSS) ist wahrscheinlich das größte Problem für Webanwendungen. Es wird durch böswillige Benutzer verursacht, die Javascript-Befehle in Inhalte einschleusen, die sie eingeben. Wenn dieser Inhalt wieder vom Server ausgegeben wird, hat der Browser keine Möglichkeit, zwischen erwünschtem Inline-Javascript im HTML-Markup (z.B. onclick-Attribut eines Buttons) und unzureichend escaptem Benutzerinhalt zu unterscheiden.
EGroupware war in dieser Hinsicht schon recht sicher, da die innovative eTemplate-Engine unsere Benutzeroberfläche rendert. Es gibt aber noch mehr Möglichkeiten als reine Benutzereingaben, um XSS zu generieren.
Content Security Policy (CSP) zur Rettung: Das W3C hat vor ein paar Jahren eine Möglichkeit definiert, Browsern mitzuteilen, dass sie kein Inline-Javascript ausführen oder Javascript-Dateien aus nicht vertrauenswürdigen Quellen laden sollen. Die gute Nachricht ist, dass es nun von allen aktuellen Browsern unterstützt wird, außer dem Internet Explorer.
Warum benutzt es also nicht jeder? Typische Webanwendungen verwenden z.B. onclick-Attribute, um Buttons mit Aktionen zu verknüpfen oder Inline-Javascript-Blöcke, um dynamische Inhalte zu definieren. Es ist ein großer Aufwand, das zu ändern.
Alle großen EGroupware Anwendungen nutzen unsere neu entwickelte eTemplate2 Engine, um ihre Benutzeroberfläche zu generieren. Diese Engine wurde in den letzten drei Jahren komplett neu entwickelt und eines der Ziele war es, jegliches Inline-Javascript zu eliminieren. eTemplate2, eine neue Client-seitige API und umfangreiche Änderungen in den Hauptanwendungen von EGroupware sowie der Template-Code für das gesamte Look & Feel ermöglichten es uns, CSP zu verwenden, um dem Browser die Ausführung von Inline-Javascript zu verbieten.
Alte Anwendungen können immer noch mit Inline-Javascript laufen, indem sie dem EGroupware-Framework sagen, dass sie das brauchen. Diese Anwendungen laufen entweder in einem iframe oder in einem Popup, um die Interferenz mit bereits modernisierten eTemplate2-Apps zu minimieren. Dasselbe gilt für Apps, die Rich Text über CKeditor einbetten, der trotz unserer Bemühungen, seine Macher zu überzeugen, nicht ohne Inline-Javascript laufen kann.
Mail-Passwörter in 14.1: jetzt in eigenem Passwort-Safe gespeichert
Um sich an einem beliebigen IMAP- oder SMTP-Server authentifizieren zu können, benötigt man einen Benutzernamen und ein Klartext / unverschlüsseltes Passwort.
Frühere EGroupware-Versionen erlaubten es bereits, das Login-Passwort des Benutzers zu verwenden, das nirgendwo dauerhaft auf dem System gespeichert ist. Dies erforderte einen mit EGroupware integrierten Mailserver z.B. über LDAP.
Die neu geschriebene Mail-App in 14.1 bringt nicht nur die Benutzerfreundlichkeit auf ein neues Niveau, sie verbessert auch die Sicherheit, indem sie Mail-Passwörter verschlüsselt mit dem Login-Passwort des Benutzers speichert. Dies bedeutet, zusammen mit den oben erwähnten aktuellen gesicherten Passwörtern, dass eine gestohlene Datenbank Ihre Passwörter nicht preisgibt!
Sie fragen sich vielleicht, was passiert, wenn ein Benutzer sein Passwort ändert. Wenn dies aus EGroupware heraus geschieht, werden die Passwörter automatisch mit dem alten, vom Benutzer vergebenen Passwort entschlüsselt und mit dem neuen Passwort wieder verschlüsselt. Wenn ein Admin ein Passwort zurücksetzt, bekommt er keinen Zugriff auf die (privaten) Mails des Benutzers!
EGroupwares oben beschriebene neue Sicherheitsfunktionen, unsere automatischen und zeitnahen Sicherheitsupdates über den Paketmanager Ihrer Linux-Distribution oder das spezialisierte EGroupware- und E-Mail-Hosting der Stylite AG empfehlen es als sichere Alternative für Ihre Groupware- oder Team-Organisationsanforderungen.
Unser Hosting bietet modernste verschlüsselte Konnektivität mit perfekter Forward Secrecy (abgefangene Kommunikation kann nicht mit nachträglich erworbenen Schlüsseln verschlüsselt werden) vom Web-Zugang, bis zu ein- und ausgehenden Mails. Alle unsere Server stehen innerhalb Deutschlands unter unserer vollen Kontrolle. Sie verwenden nur die neuesten Software-Versionen und werden ständig aktualisiert. Sicherheitsrelevante Vorfälle wie der Heartbleed-Bug wurden innerhalb von Stunden entschärft!
Ralf Becker
Leiter Software-Entwicklung