Noticias

EGroupware ya ha implementado las más altas medidas de seguridad, por ejemplo las contraseñas se encriptan por defecto utilizando el algoritmo blowfish. Por lo tanto, aunque alguien consiguiera entrar en tu servidor y robar la base de datos, tus contraseñas están a salvo.

Con la versión 14.1 hemos mejorado aún más la seguridad y hemos implementado dos medidas de seguridad que no se encuentran en otros productos similares.

Política de seguridad de contenidos: medida definitiva contra el cross site scripting
El cross-site scripting (XSS) es probablemente el mayor peligro para las aplicaciones web. Está causado por usuarios maliciosos que introducen a escondidas comandos javascript en el contenido que introducen. Si ese contenido se emite de nuevo desde el servidor, el navegador no tiene forma de distinguir entre el javascript en línea deseado en el marcado html (por ejemplo, el atributo onclick de un botón) y el contenido del usuario insuficientemente escapado.

EGroupware ya estaba bastante salvado en ese sentido gracias a su innovador motor eTemplate, que hace posible nuestra interfaz de usuario. Pensaba que hay más formas que la pura entrada del usuario para generar XSS.

La Política de Seguridad de Contenidos (CSP) al rescate: El W3C definió hace un par de años un medio para indicar a los navegadores que NO ejecuten ningún javascript en línea o que carguen archivos javascript de fuentes no confiables. Una buena noticia es que ya es compatible con todos los navegadores actuales, excepto Internet Explorer.

Entonces, ¿por qué no lo usa todo el mundo? Las aplicaciones web típicas utilizan p. ej. atributos onclick para conectar los botones con sus acciones o bloques javascript en línea para definir el contenido dinámico. Es un gran esfuerzo cambiar eso.

Todas las aplicaciones principales de EGroupware utilizan nuestro nuevo motor eTemplate2 para generar su interfaz de usuario. Este motor fue diseñado completamente nuevo durante los últimos tres años y uno de sus objetivos era eliminar cualquier javascript en línea. eTemplate2, una nueva API del lado del cliente y amplios cambios en las principales aplicaciones de EGroupware, así como el código de la plantilla para el aspecto general, nos permitieron utilizar CSP para prohibir al navegador la ejecución de cualquier javascript en línea.

Las aplicaciones antiguas pueden seguir funcionando con javascript en línea indicando al framework EGroupware que lo necesitan. Estas aplicaciones se ejecutan en un iframe o en una ventana emergente para minimizar su capacidad de interferir con las aplicaciones ya modernizadas de eTemplate2. Lo mismo ocurre con las aplicaciones que utilizan texto enriquecido incrustado a través de CKeditor, que, a pesar de nuestros esfuerzos por convencer a sus creadores, no puede funcionar sin javascript en línea.

Contraseñas de correo en 14.1: ahora se almacenan en su propia caja fuerte de contraseñas
Para poder autenticarse en un servidor IMAP o SMTP arbitrario se necesita un nombre de usuario y una contraseña en texto claro / sin cifrar.

Las versiones anteriores de EGroupware ya permitían utilizar la contraseña de acceso de los usuarios, que no se almacena en ningún lugar permanente del sistema. Para ello era necesario un servidor de correo integrado con EGroupware, por ejemplo. a través de LDAP.

La nueva aplicación de correo escrita en 14.1 no sólo lleva la experiencia del usuario a un nuevo nivel, sino que también mejora la seguridad al almacenar de forma segura las contraseñas de correo encriptadas con la contraseña de inicio de sesión de los usuarios. Esto significa, junto con las contraseñas seguras actualizadas mencionadas anteriormente, que una base de datos robada no revela sus contraseñas.

Se podría preguntar qué ocurre si el usuario cambia su contraseña. Si se hace desde EGroupware, las contraseñas se descifran automáticamente con la antigua contraseña dada por el usuario y se vuelven a cifrar con la nueva. Si un administrador restablece una contraseña, no tendrá acceso a los correos (privados) de los usuarios.

Las nuevas características de seguridad de EGroupwares descritas anteriormente, nuestras actualizaciones de seguridad automáticas y rápidas a través del gestor de paquetes de su distribución de Linux o el alojamiento especializado de EGroupware y correo electrónico de Stylite AG lo recomiendan como alternativa segura para sus necesidades de groupware o de organización de equipos.

Nuestro alojamiento ofrece una conectividad encriptada de última generación con un perfecto forward secrecy (la comunicación interceptada no puede ser encriptada con claves adquiridas posteriormente) desde el acceso a la web, hasta los correos entrantes y salientes. Todos nuestros servidores se encuentran en Alemania bajo nuestro pleno control. Sólo utilizan las últimas versiones de software y se actualizan permanentemente. Los incidentes relevantes para la seguridad, como el reciente fallo Heartbleed, se mitigaron en cuestión de horas.

Ralf Becker

Director de Desarrollo de Software