Nach unserem Sicherheitsvorfall haben wir uns entschieden, ein Update zu erstellen, das sich ausschließlich auf die Sicherheit konzentriert. Wir hoffen, dieses Update in den kommenden Tagen für QA freigeben zu können. Wir werden dann nächste Woche eine Alpha und Beta veröffentlichen – mit dem finalen Release in der darauffolgenden Woche. Hier ist, was kommen wird:

Ein BLF-Panel im Dialer der PWA „App“

PWA mit BLF-Panel

Diese Funktion ahmt ein Tischtelefon nach und zeigt BLFs ähnlich wie bei einem Tischtelefon. BLFs zeigen den Status eines Benutzers an und ermöglichen einen einfachen Transfer mit einem Klick. Administratoren können BLFs für alle Benutzer konfigurieren, indem sie auf „Admin > Benutzer > Benutzer hinzufügen/bearbeiten“ und dann auf die Registerkarte „BLF-Taste“ gehen. Benutzer können ihre eigenen BLFs unter „Einstellungen > BLF-Taste“ konfigurieren.

Hashen aller Passwörter

In diesem Update werden alle Webpasswörter im System gehasht. Das bedeutet nicht, dass sie vorher völlig unsicher waren. Sie benötigen immer noch Administratorrechte, um darauf zuzugreifen. Aber es ist keine gute Praxis und war Gegenstand von CVE-2021-45491. Dies wurde in Update 7A behoben.

Nach dem Update wird eine Konvertierung durch den Systemdienst durchgeführt, der alle aktuellen Passwörter erhält und sie hasht. Benutzer können sich mit ihrem aktuellen Passwort anmelden, aber wir empfehlen, es zu ändern.

Das Hashing von Passwörtern gilt nur für die Webclient-Anmeldung. Aus Gründen der Abwärtskompatibilität werden wir die SIP-Authentifizierungs-ID und das Passwort, die SIP-Trunk- und Gateway-Passwörter oder die Tunnelpasswörter nicht hashen. Wenn sie gehackt werden, können diese Anmeldeinformationen nur verwendet werden, um Zugriff auf Anrufe in der Telefonanlage zu erhalten. Diese Benutzeranmeldeinformationen können nicht dazu verwendet werden, sich bei der PBX anzumelden. In zukünftigen Builds werden wir diese Passwörter auch hashen.

Entfernen des Passworts und der Konfigurationsdatei aus der Willkommens-E-Mail

Die Willkommens-E-Mail enthielt früher das Webclient-Passwort sowie die Konfigurationsdatei für die veraltete Provisionierung der App. Wir entfernen dies jetzt aus der Willkommens-E-Mail. Das heisst:

  1. Vor der Anmeldung müssen Benutzer zunächst ein Passwort festlegen.
  2. Android- und iOS-Apps müssen mithilfe des QR-Codes konfiguriert werden.
  3. Wenn Sie die ältere Desktop-App verwenden möchten, müssen Sie sie über PNP bereitstellen.
    • Verbinden Sie den Legacy-Client mit dem Netzwerk
    • Genehmigen Sie die App über die Managementkonsole
  4. Die neue Willkommens-E-Mail spiegelt dies wider. Diejenigen, die einen benutzerdefinierten Willkommens-E-Mail-Text implementiert haben, müssen ihn aktualisieren.

Beschränken Sie den Adminzugriff über den Webclient nach IP

Sie könnten den Zugriff per IP bereits für die Management Console einschränken. Jetzt können Sie dies auch für Systemadministratoren tun, die Zugriff auf den Admin-Bereich im Webclient haben.

PWA-Web-App empfohlen

Obwohl wir bald eine neue Version der Desktop-App veröffentlichen werden, sind wir aus Gründen der Netzwerkverwaltung dennoch der Meinung, dass es gut ist, möglichst die PWA-App zu verwenden. Alle Benutzer, die ein Tischtelefon oder die Android/iOS-App für den eigentlichen Anruf verwenden, sollten den PWA-Client verwenden. Die Kombination der Smartphone-App mit der PWA-Web-App ist hervorragend – nehmen Sie Anrufe überall an, im Büro oder unterwegs, ohne ein teures DECT-Headset!

In Update 7A bewerben wir die PWA-Web-App jetzt ausschließlich in der Benachrichtigung auf der linken Seite.

PWA erfordert einen richtigen FQDN, der überall funktioniert. Jedes System in der Cloud (StartUP / 3CX Hosted / Private Cloud) wird diesen haben. On-Premise-Systeme müssen Split-DNS implementieren, aber dies wird irgendwann sowieso für alle Systeme erforderlich sein.

Die Windows- oder Mac-Desktop-Apps befinden sich jetzt nur noch auf der Apps-Seite unten links.

Bleiben Sie informiert

Folgen Sie uns auf Twitter und LinkedIn, um Ankündigungen und Blog-Updates zu dieser Version von Update 7A zu erhalten. Bleiben Sie über unseren RSS-Feed über die Ermittlungen auf dem Laufenden. Beteiligen Sie sich an der Diskussion in unserem speziellen Hilfeforum.